Przykładowy przebieg ataku phishingowego, czyli podszycia się w internecie pod inną osobę lub instytucję, i łatwość z jaką można go przeprowadzić, daje do myślenia. Okazuje się, że wystarczy ogólnodostępna strona internetowa, stworzenie wiarygodnie wyglądającego adresu e-mailowego i odpowiednie skonstruowanie wiadomości, aby próba kradzieży danych zakończyła się sukcesem. Jak podkreślali uczestnicy dyskusji, bardzo ważna jest wciąż uaktualniana wiedza pracowników w tym zakresie.
Niezbędne szkolenia
— Kilka lat temu, kiedy wysyłano pierwsze e-maile phishingowe, byłem przekonany, że za kilka lat nikt takiego e-maila nie otworzy. Dzisiaj widzę, jak bardzo się myliłem. Okazuje się, że znalezienie naiwnego ogniwa w jakiejkolwiek firmie wcale nie jest trudne. Zagrożenia brzegowe będą penetrowane tak długo, jak długo będą istniały e-maile — podkreślił Marcin Spychała, IBM cyber security specialist, IBM Polska.
W firmach, w których poziom wykształcenia pracowników jest wysoki, prawdopodobieństwo otworzenia e-maila phishingowego wynosi około 4-5 proc., a w firmach z wykształceniem pracowników na niższym poziomie prawdopodobieństwo wzrasta do 30 proc.
— Często działamy odruchowo. Codzienne obowiązki odbierają możliwość odpowiedniego reagowania i zamiast zabezpieczaćsię i działać prewencyjnie, stawiamy swoje firmy w takich sytuacjach, w których zaczyna się naprawianie szkód i łatanie dziur — ostrzegał Karol Wróbel, kierownik działu bezpieczeństwa w NASK.
Czy RODO pomoże?
Wiele wskazuje na to, że Polska jest dość dobrze przygotowana na ewentualne ataki. Jednak nie wszystko da się przewidzieć i przed wszystkim zabezpieczyć. — W praktyce żadnej firmie w Polsce ataki nie powinny zagrażać, bo z tego, co wiem, większość z nich jest dobrze zabezpieczona. Ale np. nie jesteśmy gotowi na tzw. czarnego łabędzia, czyli atak, który w konkretny sposób uderza w konkretną organizację czy departament. Wprowadzane w Polsce regulacje prawne, mające pomóc w zabezpieczaniu np. danych osobowych (dyrektywa RODO), jak to zwykle u nas bywa, są traktowane jak większość wprowadzanych zmian — na zasadzie „jakoś to będzie” — dodał dr inż. Paweł Wnuk z Politechniki Warszawskiej.
RODO ma wejść w życie w maju 2018 r. Zmiany w konsultowanej propozycji ustawy zakładają, że powstanie nowy urząd, który będzie się zajmował monitorowaniem, analizowaniem i egzekwowaniem kar w razie ewentualnych uchybień, jeśli chodzi o ochronę danych osobowych. Zdaniem uczestników dyskusji, kluczowe dla cyberbezpieczeństwa będzie to, jak do RODO podejdą przedsiębiorcy.
— RODO może wiele zmienić na lepsze, pod warunkiem że nowy urząd rzeczywiście będzie skutecznie pilnował przestrzegania przez organizacje prawa w kwestii ochrony danych — zauważył Mirosław Maj z Fundacji Bezpieczna Cyberprzestrzeń.