8 mitów na temat cyberbezpieczeństwa

Mit 1 Zainstalowałem oprogramowanie antywirusowe, więc żaden haker mnie nie tknie

Mit powszechny zarówno wśród użytkowników, jak i w firmach. Przedsiębiorcy często są przekonani, że raz kupiony system chroniący otuli ich organizację niewidzialnym murem obronnym, przez który nie prześlizgnie się żaden cyberprzestępca. No, gdyby tak to działało, to świat wyglądałby jak na słynnych memach ukazujących utopijną wizję przyszłości… Tymczasem regularnie powstają zupełnie nowe wektory ataków, z którymi wcześniejsze „antywirusy” w żaden sposób nie są w stanie sobie poradzić.

Rodzaj zagrożeń dominujących w cyberprzestrzeni nieustannie ewoluuje. Z jednej strony obserwujemy znane z minionych lat kampanie phishingowe mające na celu wyłudzenie danych logowania do mediów społecznościowych czy poczty elektronicznej, z drugiej – pojawiają się nowe, interesujące z punktu widzenia cyberbezpieczeństwa, metody. Whatsappowe oszustwa „na dziecko”, kampanie wyłudzeń opartych na rzekomych naruszeniach praw autorskich, ewolucje ransomware – kreatywność hakerów nie zna granic. Dbanie o cyberbezpieczeństwo to proces, a nie jednorazowa decyzja.

Mit 2 Co miesiąc zmieniam hasło do firmowej skrzynki, cyberprzestępcy nie są w stanie tego ogarnąć

Powszechną praktyką jest wymuszanie na pracownikach regularnych – najczęściej co miesiąc – zmian haseł, co prowadzi do absurdów, że nasze hasła różnią się dosłownie jednym znakiem. Kuba123, Kuba1234, Kuba12345 – skądś to znasz, prawda?

Takie zalecenia najczęściej frustrują ludzi, a im trudniejsza polityka bezpieczeństwa haseł, tym ludzie potrafią sprytniej ją obejść. Wiele najważniejszych organizacji standaryzujących zasady dotyczące cyberbezpieczeństwa już wiele lat temu wydało rekomendacje mówiące o tym, że cykliczna zmiana haseł do niczego dobrego nie prowadzi. Jedyny moment, kiedy powinniśmy zmienić hasło, jest wtedy, kiedy dotychczasowe zostało wykradzione. Jeśli udało ci się wymyślić mocne, trudne do odgadnięcia hasło, które w dodatku potrafisz zapamiętać, absolutnie nie ma konieczności jego zmiany.

Co więcej, warto, aby przedsiębiorstwa prowadziły czarną listę haseł, która powstrzymywałaby pracowników przed tworzeniem nieodpowiednich i popularnych kombinacji.

Mit 3 Moja firma jest zbyt mała, żeby paść ofiarą hakerów

Na początek zagadka. Co trudniej złapać: wieloryba na wędkę czy mniejsze rybki w sieć? No właśnie…

Różnego rodzaju instytucje prowadzą listy firm, które zostały ukarane za wyciek danych. Warto co jakiś czas do nich zaglądać, ponieważ to dosyć otrzeźwiająca lektura. W tego typu publikacjach znajdują się domy kultury, spółdzielnie mieszkaniowe, a nawet mikroskopijne przedsiębiorstwa, o których słyszała wyłącznie najbliższa okolica. Owszem, kary na ogół nie są zbyt wysokie – zwykle rzędu kilkuset lub kilku tysięcy złotych – ale pokazują, że żaden, nawet najmniejszy podmiot nie może czuć się w pełni bezpieczny.

Każde przedsiębiorstwo powinno zdawać sobie sprawę z tego, na jakim jest etapie, jeśli chodzi o cyberbezpieczeństwo, dlatego tak ważna jest otwarta rozmowa – kadry zarządzającej i pracowników. Nie da się zbudować skutecznego programu bezpieczeństwa bez pełnego zaangażowania obu stron.

Tak więc – żeby lepiej wybrzmiało – nie, hakerzy nie są zainteresowani wyłącznie największymi bankami czy instytucjami finansowymi.

Mit 4 Mojej firmy nie stać na cyberbezpieczeństwo, to zbyt duży koszt

Po pierwsze, środki przeznaczane na cyberodoporność organizacji nie powinny być rozpatrywane w kontekście wydatków, lecz inwestycji.

A po drugie, każde przedsiębiorstwo w Polsce może zainwestować w podstawowe środki ochrony. Cyberbezpieczeństwo to proces, który można dostosować do rozmiaru, budżetu i ryzyka przedsiębiorstwa. Wiele podstawowych zabezpieczeń – jak silne hasła, uwierzytelnianie wieloskładnikowe czy regularne kopie zapasowe – jest niedrogich lub bezpłatnych, a zapewnia solidną ochronę. Rynek oferuje także modułowe rozwiązania, takie jak ochrona punktów końcowych czy monitorowanie chmury, które są dostosowane do potrzeb MSP. Dodatkowo dostępne są mechanizmy wsparcia publicznego, takie jak dotacje z Unii Europejskiej czy usługi doradcze, co szczególnie wspiera mikro- i małe przedsiębiorstwa. Choć systemy klasy korporacyjnej mogą być kosztowne, każda firma może wdrożyć podstawową strategię cyberbezpieczeństwa.

Mit 5 Używam skomplikowanego hasła, więc jestem bezpieczny

Mit wyjaśnia Robert Grabowski, szef CERT Orange Polska

Nie do końca. Dobre hasło to tylko pierwszy etap układanki. Bez względu na jego moc i poziom skomplikowania może zostać przechwycone przez złośliwe oprogramowanie, wykradzione z serwisu, do którego się logujemy, czy sami je oddamy, wpisując je na fałszywej stronie. Dlatego też dzisiaj absolutnym must have jest stosowanie uwierzytelniania wieloskładnikowego, czyli dodatkowego czynnika, którego użyjemy oprócz hasła - np. kodu SMS czy aplikacji OTP (jak Google Authenticator). To zabezpieczy nas, gdy stracimy hasło, ale może być również wykradzione (jednorazowo) w ataku phishingowym. Przed tym uchroni nas tylko token sprzętowy lub metody passwordless.

Mit 6 Niebezpieczni są wyłącznie cyberprzestępcy

Jakiś czas temu głośno było o przypadku pracownika lotniska Heathrow, który zgubił pendrive’a z poufnymi danymi. Szczęśliwie osoba, która go znalazła, oddała urządzenie, zamiast użyć w niecnym celu, ale firma i tak została ukarana sowitą grzywną za poważne uchybienia w zakresie ochrony danych.

Cyberincydenty to nierzadko efekt nieuwagi pracowników bądź celowego działania... byłych pracowników, chcących zemścić się na szefie, który ich zwolnił. Tego typu sytuacje się zdarzają, ponieważ organizacje nie przykładają należytej uwagi do kontroli dostępów. Rozrost uprawnień (czyli większa liczba osób i aplikacji uzyskujących dostęp do kolejnych zasobów, często bez odpowiedniego nadzoru) czy pełzanie uprawnień (sytuacja, w której pracownik po zmianie roli zachowuje stare dostępy, mimo że nie są mu już potrzebne) powodują poważne luki w bezpieczeństwie.

I jeszcze ciekawostka, jaką podzielił się ze mną pewien ekspert od cyberbezpieczeństwa. Jak najłatwiej wpuścić wirusa do organizacji? Podrzucić komuś na biurko pendrive’a, a na nim zostawić zainfekowany plik o nazwie „kadry – płace”. Wynagrodzenia współpracowników to coś, co interesuje większość ludzi.

Mit 7 Cyberatak wykrywany jest od razu

Wiesz, ile czasu przestępcy są w organizacji, zanim skopiują dane, zatrą za sobą ślady i zaszyfrują komputery? Średnio 186 dni. Samo kopiowanie danych tak, by nie zostało wykryte przez systemy zabezpieczeń, zajmuje sporo czasu. Przez pół roku w twojej firmie mogą grasować hakerzy, a ty możesz nie zdawać sobie z tego faktu sprawy. Szokujące, prawda? Dlatego trzeba się regularnie „badać”.

Co może świadczyć o tym, że w twoim przedsiębiorstwie dzieje się coś niedobrego? Jeśli część twoich usług działa niepoprawnie, pojawia się zwiększone obciążenie prądowe, opóźnienia w różnych systemach – to wszystko powinno wzbudzić twój niepokój.

Mit 8 W mojej firmie nie ma ekspertów od cyberbezpieczeństwa

To, że nie ma ich teraz, nie oznacza, że nie będzie ich w przyszłości. Coraz powszechniejszym zjawiskiem jest szkolenie podopiecznych właśnie z cyberochrony – zamiast decydować się na kosztownych specjalistów zewnętrznych, można własnymi środkami wyedukować osoby już obecne w firmowych strukturach.

Programy reskillingowe są kluczowe nie tylko dla zwiększenia odporności na cyberzagrożenia, ale także dla zapewnienia zgodności z regulacjami prawnymi, takimi jak dyrektywa NIS2. Brak odpowiednich kompetencji w firmie może skutkować poważnymi konsekwencjami prawnymi i finansowymi. Jak przekonują eksperci Future Collars, reskilling w cyberbezpieczeństwie pomaga firmom na zwiększenie odporności, zmniejszenie ryzyka strat finansowych i reputacyjnych, a także budowanie przewagi konkurencyjnej m.in. poprzez posiadanie wykwalifikowanego zespołu.