Można pokonać hakera

Kuba Dobroszek:andnbsp;Jakie są zdrowe nawyki, jeśli chodzi o dbanie o cyberodporność firmy?

Daniel Kamiński: Trochę przewrotnie odpowiem, że cyberodporność zaczyna się wtedy, kiedy pracownicy nie boją się rozmawiać na jej temat. Jest co prawda ogromna moda na cyberbezpieczeństwo, ale kiedy – nawet w codziennej sytuacji – chcę o nim podyskutować, to wiele osób milknie.

Dlaczego?

D.K.: Często dlatego, że jest mnóstwo mitów, więc ludzie nie chcą wyjść na naiwniaków bądź ignorantów. Czasem wstydzą się swojej niewiedzy. To naprawdę nie są jednostkowe przypadki.

Jakie są najczęstsze mity związane z cyberbezpieczeństwem?

Krzysztof Bronarski: „Mamy w firmie oprogramowanie antywirusowe, więc jesteśmy bezpieczni” – bardzo często słyszę takie zdanie. „Robię backupy, nie mam się czego obawiać, bo nawet jeśli hakerzy mnie zaatakują, to wszystko sobie odtworzę” – kolejna nagminnie padająca opinia. W przypadku bankowości elektronicznej powielanym mitem jest, że strona internetowa jest bezpieczniejsza niż aplikacja – tymczasem jest dokładnie odwrotnie. Mam wrażenie, że na cyberhigienę patrzy się wybiórczo, fragmentarycznie, tymczasem to powinien być proces, ponieważ krajobraz cyberzagrożeń nieustannie się zmienia.

D.K.: Przedsiębiorstwo powinno zdawać sobie sprawę z tego, na jakim jest etapie, jeśli chodzi o cyberbezpieczeństwo, dlatego tak ważna jest otwarta rozmowa – kadry zarządzającej i pracowników. Nie da się zbudować skutecznego programu bezpieczeństwa bez pełnego zaangażowania obu stron.

Dodałbym jeszcze jeden mit. Przedsiębiorcy stykają się z różnymi ryzykami, którymi muszą zarządzać. Wielu uważa, że ich firmy są zbyt małe, by zostały zaatakowane. Ostatnio usłyszałem, że cała atmosfera zagrożenia została rozdmuchana przez dziennikarzy. Firmy są mądre, dopóki nie dojdzie do cyberincydentu.

Takim przedsiębiorcom zawsze polecam, by sprawdzali listy podmiotów, gdzie doszło do wycieków danych. Tam widnieją fintechy, domy kultury, spółdzielnie mieszkaniowe – absolutnie wszyscy.

D.K.: Uwielbiam słowo cyberodporność, bo ono dotyczy zapobiegania. Jeśli o firmie możemy powiedzieć, że jest cyberodporna, to oznacza, że ona przeanalizowała zagrożenia, zrozumiała swoje mocne i słabe strony oraz wprowadziła kulturę cyberhigieny wewnątrz organizacji.

Objawem przeziębienia jest np. katar. Co może świadczyć o tym, że w moim przedsiębiorstwie dzieje się coś niedobrego?

D.K.: Symptomów bywa naprawdę sporo. Kiedy jest przygotowywany atak na daną firmę, to w internecie – w darkwebie czy na Telegramie – pojawiają się oferty w stylu: „sprzedam login i hasło administratora firmy X”. Największe firmy nieustannie przeszukują sieć w poszukiwaniu tego typu aukcji, ale mniejsze podmioty nie mają podobnych możliwości.

A jakie mają?

D.K.: Jeśli część twoich usług działa niepoprawnie, pojawia się zwiększone obciążenie prądowe, opóźnienia w różnych systemach – to wszystko powinno wzbudzić twój niepokój.

K.B.: Takie objawy najczęściej świadczą o tym, że coś już się zaczęło dziać, więc dostrzegamy pewne anomalia. Ja natomiast zachęcam do regularnych przeglądów bezpieczeństwa, dzięki którym można dokładnie przebadać firmową infrastrukturę. To pozwala wcześniej zidentyfikować słabe punkty raz je naprawić.

D.K.: Zadam ci pytanie. Wiesz, ile czasu przestępcy są w organizacji zanim skopiują dane, zatrą za sobą ślady i zaszyfrują komputery?

Ile?

D.K.: Średnio: 186 dni. Samo kopiowanie danych tak, by nie zostało wykryte przez systemy zabezpieczeń, zajmuje sporo czasu. Przez pół roku w twojej firmie mogą grasować hakerzy, a ty możesz nie zdawać sobie z tego faktu sprawy. Szokujące, prawda? Dlatego trzeba się regularnie „badać”.

Jak wygląda taki przegląd bezpieczeństwa, o którym wspomniał Krzysztof?

K.B.: Bazuje przede wszystkim na dobrych praktykach rynkowych i rozmaitych standardach. Może mieć różne formy, ale najczęściej spotykaną są wywiady z przedstawicielami firmy – m.in. zarządem, administratorem, osobami odpowiedzialnymi za bezpieczeństwo – na bazie których sprawdza się ogólną świadomość organizacji. Do tego analizuje się dostępną dokumentację, często bada się konfigurację urządzeń czy ruch sieciowy.

Bierzesz udział w wielu przeglądach bezpieczeństwa – jakie są twoje przemyślenia dotyczące cyberodporności polskich przedsiębiorców?

K.B.: Współpracuję z podmiotami z różnych regionów świata i Polska nie jest jakimś szczególnym ewenementem, jeśli chodzi o cyberbezpieczeństwo. Poziom świadomości jest różny w różnych firmach, ale zwykle jest tak, że większe organizacje – z racji większych budżetów i możliwości – są bardziej świadome.

D.K.: Nie bez znaczenia pozostaje profil przedsiębiorstwa. Na przykład w maszyny produkcyjne inwestuje się na 20–30 lat, podczas gdy serwery wymienia się średnio co 10 lat, a laptopy co kilka. W przemyśle rozwiązania zamontowane 30 lat temu mają ogromny dług technologiczny w stosunku do współczesnych innowacji. To jeden z powodów tak częstych ataków na infrastrukturę krytyczną. Bezpieczeństwo w świecie IT to bezpieczeństwo informacji. W świecie OT – to ciągłość działania.

K.B.: Jest naprawdę mnóstwo niedużych spółek – dostarczających wodę, odprowadzających ścieki, odpowiedzialnych za ciepło – które z racji niskich budżetów często nawet nie zdają sobie sprawy, że ich infrastruktura krytyczna również może stać się celem ataku. W mniejszych podmiotach nagminnie zdarzają się rozwiązania „klasy domowej”, czyli np. proste routery kupione w sklepie z elektroniką za 100 zł, które może zhakować zwykły użytkownik internetu. Świadomość stale rośnie, jednak potrzeba edukacji wciąż jest widoczna.

I właśnie po to powstało Centrum Doświadczeń Cyberbezpieczeństwa Orange? By edukować w atrakcyjny sposób?

D.K.: Tak – aby edukować przede wszystkim zarządy. W trakcie gry decyzyjnej w naszym Centrum przeprowadzamy dyrektorów przez proces ataku ransomware. Pytamy np. dyrektora finansowego, co to oznacza dla niego, że systemy informatyczne stają się niedostępne. Symulujemy zarządzanie kryzysowe, podczas którego członkowie zarządu odkrywają, że mają różne kryteria decyzyjności w zależności od stanowiska, a dzięki atrakcyjnej formule uczą się ze sobą komunikować. Przykład idzie z góry, więc jeśli kierownictwo zrozumie cyberryzyka, to swoją wiedzę skuteczniej przenosi na pracowników.

Znowu zadam ci pytanie: Ile twoim zdaniem trwa przywrócenie organizacji do funkcjonowania po ataku ransomware?

Tygodnie.

D.K.: Zgadza się, średnio 24 dni, pod warunkiem, że nie mówimy o ataku na infrastrukturę krytyczną. Uczestnicy naszych szkoleń często są zaskoczeni. Pytają, dlaczego tak długo. Orientują się, że muszą w taki sposób zadbać o ciągłość działania organizacji, by odbudować się jak najszybciej.

Niedawno stworzyliśmy również grę VR, dzięki której użytkownicy mogą zobaczyć hakerów, dostrzec, jak wykradają oni nasze dane. Największa siła naszego Centrum? Uważam, że zbyt dużo firm traktuje kwestie związane z cyberbezpieczeństwem jak kij – pracownik kliknął w zainfekowany link, więc trzeba go zwolnić. A my pokazujemy, że cyberprzestępców można pokonać! Wystarczy cyberhigiena, by być względnie bezpiecznym, by się zanadto nie denerwować.

K.B.: Wydatki na cyberbezpieczeństwo porównałbym do kupna ubezpieczenia. Zawsze znajdą się ludzie, którzy go nie wykupują, ale co do zasady – warto je mieć. Cyberbezpieczeństwo pomaga rozwijać biznes. Na przykład ciężko jest myśleć o wdrożeniu rozwiązań przemysłu 4.0 bez zapewnienia właściwego bezpieczeństwa. Rośnie też świadomość przedsiębiorców, więc coraz częściej dostawcy muszą spełnić określone wprost wymagania w zakresie cyberbezpieczeństwa. Jeśli chcesz zdobyć przewagę konkurencyjną, musisz być cyberodporny, nie ma już innego wyjścia.