Szkoła przetrwania w cyfrowym świecie

Biznes i technologie: Im więcej gromadzimy danych, z tym większą radością przejmują je organizacje przestępcze. Jak temu zaradzić?

Pamiętamy to z początków polskiej transformacji ustrojowej — niedoinwestowana policja w starych, zdezelowanych polonezach próbowała ścigać kryminalistów, którzy jeździli nowoczesnymi i superszybkimi autami z Zachodu. Dziś analogiczną sytuację widzimy w tzw. gospodarce cyfrowej. Zorganizowane grupy cyberprzestępców dysponują najlepszymi technologiami, co skutkuje coraz większą liczbą udanych ataków. Tymczasem firmy przeciwstawiają im rozwiązania stworzone w latach 80.

GWARANCJA:
Zobacz więcej

GWARANCJA:

Nawet CIA, NSA i FBI nie są w stanie uzyskać dostępu do dobrze zaszyfrowanych danych — mówi Jacek Skwarski, starszy menedżer produktu w spółce CryptoMind. Grzegorz Kawecki

Według badania EY, Chubb i CubeResearch, są to przede wszystkim programy antywirusowe (93 proc.) i zapory ogniowe (89 proc.). Tylko co ósma spółka ma odpowiedni plan i zespół, by sprawnie koordynować działania w obliczu zagrożeń. — Ignorowanie cyberbezpieczeństwa przynosi instytucjom komercyjnym i publicznym odczuwalne straty. Dopiero po takim zimnym prysznicu następuje refleksja i próba zrozumienia, jak i z kim współpracować, żeby w przyszłości uniknąć podobnych sytuacji — uważa Grzegorz Idzikowski, menedżer w dziale zarządzania ryzykiem nadużyć EY.

Złap mnie, jeśli potrafisz

Większość (96 proc.) dużych i średnich firm w Polsce odnotowała w ostatnich 12 miesiącach ponad 50 naruszeń bezpieczeństwa danych i systemów IT. W przypadku64 proc. przedsiębiorstw takich incydentów było ponad 500 — wynika z raportu PwC, który kilka dni temu prezentowaliśmy na łamach „Pulsu Biznesu”.

Czy podmioty te są niewinnymi ofiarami wyspecjalizowanych grup przestępczych? A może zbyt swobodnie podchodziły do ochrony swoich cyfrowych zasobów i zaniechały wdrażania choćby podstawowych środków ochrony? Odpowiedź leży pośrodku. Lekceważenie czyhających w sieci zagrożeń zawsze kończy się źle.

Z drugiej strony, skoro niedawno została skutecznie zaatakowana cybernetyczna odnoga Centralnej Agencji Wywiadowczej (CIA), co się dziwić, że raz po raz ktoś włamuje się do naszych służbowych laptopów? Ryzyko rośnie wraz z rozpowszechnianiem się urządzeń i programów IT. Weźmy pod lupę np. BYOD (ang. bring your own device) — coraz popularniejsze zjawisko, które polega na tym, że pracownicy używają prywatnych urządzeń, głównie smartfonów, do zadań służbowych.

Ułatwia to komunikację i realizację obowiązków. Umożliwia pracę zdalną. Jest jednak druga strona medalu: logowanie się do firmowych systemów IT za pomocą gadżetów przenośnych nierzadko oznacza utratę danych, pieniędzy i reputacji. Doskonale ujął to Evgeny Morozov, publicysta zajmujący się politycznymi i społecznymi implikacjami nowych technologii: „Telefony komórkowe należą do najmniej bezpiecznych urządzeń, jakie były kiedykolwiek dostępne.

Bardzo łatwo je śledzić i bardzo łatwo na nie się włamać”. Jeśli wierzyć najnowszemu badaniu Ipsos Mori „Nowoczesne IT w MŚP”, BYOD praktykuje się w niemal połowiemałych i średnich przedsiębiorstw. Najgorzej, że tylko 46 proc. tych firm wprowadziło w tej sferze jakiekolwiek regulacje. A szkolenia z bezpieczeństwa mobilnego to w Polsce niezwykła rzadkość. Naiwnością byłoby sądzić, że w dużym biznesie sprawy mają się lepiej. — Badanie Samsunga dowodzi, że w korporacjach zatrudniających powyżej tysiąca osób z polityką bezpieczeństwa jest jeszcze gorzej — jej posiadanie i przestrzeganie deklaruje tylko 44 proc. ankietowanych. Na to nakłada się brak zabezpieczenia firmowej infrastruktury i bagatelizowanie roli szkoleń — uświadamia Jakub Gałczyk, ekspert od bezpieczeństwa transmisji i przetwarzania danych w spółce Atman.

Mów do mnie szyfrem

Firmowe regulacje są ważne, podobnie jak edukowanie pracowników w dziedzinie bezpieczeństwa IT. Inwestycje w odpowiednie technologie również zasługują na pochwałę. Ale czy te wszystkie środki zapobiegawcze i ochronne pokrzyżują plany jakiemuś cyberprzestępcy? Jeśli tak, z pewnością jest to amator, a nie zawodowiec, raczej samotnik niż członek cybergangu.

— Gdyby stosowane obecnie zabezpieczenia były w 100 proc. skuteczne, nie trąbiłoby się tak dużo o cyberbezagrożeniach i nie bylibyśmy świadkami tylu incydentów w tej dziedzinie. Ani programy antywirusowe, ani osłony typu firewall czy ochrona transmisji danych jak VPN czy SSL nie rozwiązują ostatecznie problemu — odziera ze złudzeń Jacek Skwarski, starszy menedżer produktu w spółce CryptoMind.

Według niego, liczba możliwych scenariuszy kradzieży lub nieupoważnionego dostępu do cyfrowych zasobów przedsiębiorstw ciągle się zwiększa. Przybywa również produktów i usług, które znacząco obniżają bezpieczeństwo. Czy więc firmy są bezbronne wobec działających w sieci przestępców? Absolutnie nie — twierdzi ekspert, zachwalając szyfrowanie danych.

— W tej sytuacji bezpieczeństwo gwarantują algorytmy — są tak złożone, że trzeba byłoby wykonać gigantyczną liczbę obliczeń, aby dane niejawne zamienić na jawne. Mówimy np. o liczbach rzędu 2 do potęgi 119, więc skuteczny atak nawet za 10-15 lat nie będzie możliwy. Nie zmieni tego pojawienie się komputerów kwantowych, bo algorytmy symetryczne dadzą sobie z nimi radę — mówi Jacek Skwarski. Co warte podkreślenia — zaszyfrować można dowolne dane, np. zdjęcia, grafiki, filmy, a nie tylko tekst.

— Polska myśl kryptograficzna jest znana na całym świecie. Mamy na tym polu znaczące osiągnięcia i wybitnych specjalistów, cieszących się międzynarodowym uznaniem — nie ukrywa dumy przedstawiciel CryptoMind. Co jeszcze może napawać optymizmem? Przedsiębiorcy, którzy dziś cyberbezpieczeństwo traktują po macoszemu, niedługo zmienią podejście. Wymuszą to przepisy Ogólnego Rozporządzenia Danych Osobowych (RODO, GDPR).

— W rozporządzeniu wskazano m.in. zasady przetwarzania danych osobowych, nowe organy nadzorujące przestrzeganie przepisów na poziomie unijnym i transgranicznym, a także bardzo wysokie sankcje za niestosowanie się do regulacji RODO precyzuje także obowiązki nakładane na administratorów i podmioty przetwarzające dane — informuje Jacek Skwarski. Nowe rozporządzenie Parlamentu Europejskiego wejdzie w życie w 2018 r. Ale już teraz przedsiębiorcy powinni przygotowywać się na nadchodzące zmiany.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Mirosław Konkel

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Firmy / Szkoła przetrwania w cyfrowym świecie