Nikt nie jest bezpieczny

Co dziś jest większym zagrożeniem dla przedsiębiorców: fizyczna kradzież sprzętu czy zablokowanie komputerów przez hakerów?

Zdecydowanie cyberbezpieczeństwo jest dziś większym problemem dla firm. Nie mierzymy się teraz z pojedynczymi atakami, ale wręcz z całym cyberbiznesem. To już nie są tylko studenci, którzy bawią się w informatykę, jak kiedyś postrzegano hakerów. Na świecie działają całe sztaby ludzi, które pracują nad tym, by zaszyfrować dane czy sprzęt w przedsiębiorstwach i pobierać okup za ich odblokowanie. Wiele firm takie pieniądze płaci. To nie zawsze wystarcza, bo nigdy nie wiemy, czy ten sprzęt jest bezpieczny. Nasza sieć może być dalej zainfekowana i możemy się tego nigdy nie dowiedzieć. Parę lat temu szacowano, że światowe straty z powodu naruszeń bezpieczeństwa cyfrowego wynosiły dziesiątki czy setki milionów dolarów. Dziś są to dziesiątki miliardów. Ta kwota wynika nie z kilku wielkich ataków, ale z sumy małych kwot zapłaconych przez firmy i z przestojów ich biznesów.

To nie jedyny problem. Ataki stają się coraz bardziej wymyślne…

Dziś możemy zostać zaatakowani tzw. phishingiem, czyli podszyciem się pod jakąś osobę lub proces z firmy. Przykładowo, księgowa wypłaca pieniądze po e-mailu jakiegoś dyrektora. Tyle że to nie był prawdziwy dyrektor, bo adres e-mailowy od prawdziwego różnił się jedną literką. Można sobie wyobrazić sytuację, w której szef magazynu dostaje e-mail, by wysłać gdzieś zamówienie o wartości setek tysięcy złotych. Jeśli bezrefleksyjnie wykona polecenie, to może narazić firmę na poważne straty. Wiele osób wciąż myśli, że za bezpieczeństwo odpowiada dział IT. To nieprawda. Dziś każdy pracownik dba o bezpieczeństwo w firmie! Tym bardziej że dziś wiele osób pracuje z domu. Tu czujemy się bezpieczniejsi, mamy swoje biurko, naszą kawę. To poczucie domowego bezpieczeństwa przenosi się na sferę cyfrową, a to wielki błąd. O wiele bardziej bezpieczni byliśmy w biurze, gdzie czuwały nad nami działy IT. Dużo łatwiej jest pokonać zabezpieczenia w typowej sieci wi-fi w domu niż w sieci biurowej. Nieprzypadkowo w czasie pandemii skala ataków wzrosła o kilkaset procent.

Wiele firm zdaje sobie z tego sprawę. Tyle że jest mnóstwo przedsiębiorców, którzy myślą, że skoro są małą firmą gdzieś z Małopolski to nikt ich nie będzie chciał zaatakować. A coraz większym problemem są ataki zautomatyzowane.

Takim osobom radzę odwrócić sytuację. Co jest atrakcyjniejsze dla hakera – próba przełamania zapory w dużej instytucji i kradzież 3 mln zł czy wykonanie 100 prostych ataków z których 10 się powiedzie i za każdy z nich zarobi po 300 tys. zł? Hakerzy dostosowują się do sytuacji i przechodzą na niższy poziom. Praktycznie nie ma już zastępów pracowitych żuczków, którzy tygodniami myślą, jak się włamać do konkretnej firmy. To robią automaty, specjalne algorytmy, które próbują różnych sposobów. Jak nie tym e-mailem to innym. Jak nie tak, to inaczej. Kiedyś kogoś się uda oszukać i wtedy zarobią. Nikt nie jest bezpieczny! Ani firma duża, ani mała, ani firma z branży IT, ani producent obuwia. Dla cyberprzestępców liczą się pieniądze, nieważne skąd będą pochodziły. Wie pan, co najlepiej buduje świadomość zagrożenia? Ataki w danej branży. Zauważyliśmy, że jeśli pojawi się informacja o ataku na jakąś firmę, to jej konkurenci zaczynają szybko inwestować w cyberbezpieczeństwo. Bo uświadamiają sobie, że zagrożenie jest realne. Problem w tym, że czasem na ochronę może być już za późno.

W dodatku taka konkurencja może przekonać kontrahentów, by nie współpracowali z zaatakowanym podmiotem. Nad głową wiszą także kary od UODO.

Większość ludzi rozumie, że dziś to dane są wielką wartością. Chrońmy je! By to robić skutecznie, musimy zmienić paradygmat myślenia o bezpieczeństwie. Do tej pory było tak, że najpierw kupowaliśmy infrastrukturę, a potem ją zabezpieczaliśmy. W efekcie jak wynika z naszych badań, średnie i duże firmy mają ok. 70 różnych systemów, których celem jest ochrona. Wraz ze wzrostem liczby zagrożeń ich liczba również będzie rosła. Czy zaraz będzie ich 200? To wielki problem, bo nie da się wszystkiego na bieżąco aktualizować i monitorować, nie wiemy, jak te narzędzia na siebie wpływają. Zadbajmy o to, by pewne systemy były już standardowo w samych urządzeniach. Mamy mechanizmy bezpieczeństwa już w BIOS komputera, które uniemożliwiają instalację złośliwego oprogramowania. Przykładem jest system, który blokuje programy ściągające duże ilości zaszyfrowanych danych, czyli najprawdopodobniej próby ataków hakerskich. Co więcej, trzeba także dbać o zabezpieczenie sprzętu nawet na etapie dostaw. W USA doszło do zainfekowania tysięcy urządzeń już w transporcie. Ktoś fizycznie zamontował w nich czipy wykorzystane później do ataków. Bardzo niebezpieczne jest również kupowanie komputerów z niepewnych źródeł. Dziś zaoszczędzimy 10 proc., a za parę lat stracimy miliony.

Co jeszcze można zrobić, by zwiększyć poziom bezpieczeństwa?

Najprościej jest po prostu przygotować złotą kopię całego systemu. Tworzymy ją obok standardowej kopii zapasowej, ale dbamy o to, by była całkowicie odcięta od jakiekolwiek sieci. W ten sposób możemy odtworzyć cały system w ciągu paru godzin lub dni, a nie tygodni czy miesięcy. Warto także przeprowadzać audyt bezpieczeństwa. Można zaprosić firmę, która zbada, gdzie mamy luki w zabezpieczeniach. Dbajmy także o serwis urządzeń. Jeśli ktoś przy takim serwisie popełni błąd, nawet niecelowy, może nas narazić na atak. Najważniejsza jest jednak edukacja pracowników. Są dostępne darmowe materiały, działają dobre serwisy internetowe piszące o tych tematach. Zróbmy „dzień security w firmie” i zorganizujmy parogodzinny warsztat. Podajmy przykłady ataków, by uczulać pracowników, co może się stać. Dbajmy też o nasze dane i o to, gdzie je trzymamy – czy wszystko znajduje się gdzieś na zewnątrz, czy też dodatkowo chronimy kluczowe informacje… Oczywiście, nigdy nie osiągniemy 100 proc. bezpieczeństwa, ale trzeba do tego dążyć nieustannie. Pamiętajmy także, że nigdy nie będziemy wiedzieli, czy ktoś nas już nie zaatakował. Niektóre ataki wyglądają tak, że sprzęt jest zainfekowany w maju, a do zablokowania komputera czy utraty danych dochodzi w listopadzie. Nie wystarczy powiedzieć sobie: „Przez trzy ostatnie lata nie zostałem zaatakowany, to teraz sobie kupię firewall i będzie dobrze”. To tak nie działa, o bezpieczeństwo trzeba dbać cały czas.

Tylko czy problemem nie jest sama świadomość przedsiębiorców? Jeśli do szefa przychodzi dział IT i mówi, że trzeba kupić to i to, by zapewnić bezpieczeństwo, to bez wiedzy technicznej trudno jest mu dać zgodę na wydanie konkretnych pieniędzy bez gwarancji, że będzie całkowicie chroniony.

Zastanówmy się – czy lepiej kupić nowe krzesła do biura, czy wydać trochę pieniędzy i docelowo uratować firmę albo ochronić jej majątek? Pamiętajmy, że najważniejszy punkt to szkolenie pracowników, a to nie jest wielki koszt. Traktujmy ten problem poważnie, bo on jest naprawdę poważny. Jak przekonać szefa? Prezes czy dyrektor zrozumie, że jeśli nie zamontujemy krat w oknach, to złodzieje mogą wynieść sprzęt za kilka milionów. Jeśli nie zabezpieczymy magazynu, to stracimy setki tysięcy złotych. Tak samo można podejść do tematu bezpieczeństwa danych. Jeśli nie zainwestujemy w taki system, to możemy stracić konkretne pieniądze. Możemy pokazać przykłady firm, także z polskiego podwórka, które poniosły takie straty. To może przemówić do decydentów. Pamiętajmy także, że wiele działań nie wymaga żadnych nakładów finansowych. Na przykład wprowadźmy ochronę dwuskładnikową krytycznych procesów. Jeśli księgowa robi przelew na kwotę, powiedzmy, 20 tys. zł i więcej, to musi zadzwonić albo wysłać SMS do prezesa albo dyrektora i potwierdzić taką dyspozycję. To dosłownie najprostszy pomysł, a w wielu firmach tego nie ma.