Raport Cyberbezpieczeństwo. Rozwijać świadomość [WYWIAD]

Cyfrowa transformacja biznesu postępuje coraz szybciej. Ale czy fakt, że robimy to szybko oznacza, że robimy to dobrze?

Podczas takiego procesu trzeba być spokojnym i opanowanym, bo wszystko, co jest robione szybko, wiąże się z większym ryzykiem popełnienia błędu. W trakcie tego typu przyspieszonych wdrożeń dostrzegam wiele, jak ja to nazywam, błędów wieku dziecięcego. Powinniśmy każde nowe narzędzie przetestować w zakresie bezpieczeństwa, sprawdzać przez kogo i gdzie odbywa się przetwarzanie informacji, zwłaszcza że cały proces kręci się wokół danych – najczęściej tych dotyczących klientów – które w każdej firmie stanowią największą wartość. Chęć postępu i szybkiej digitalizacji nie może przyćmić konieczności dbania właśnie o dane.

Jak w tym przypadku definiować „błędy wieku dziecięcego”?

One są związane z dwoma typami cyfrowej transformacji. Pierwszy rodzaj tak naprawdę nie jest transformacją – to raczej dynamiczny rozwój. Większość narzędzi służących choćby do pracy zdalnej już występowało w firmach, ale one nie były szeroko wykorzystywane. Pracownicy spotykali się w biurach, ale w szczególnych okolicznościach – zwłaszcza w międzynarodowych korporacjach – korzystano właśnie z narzędzi do wideokonferencji. 

Mówiąc w tym wypadku o cyfrowej transformacji, nie mam na myśli wdrożeń zupełnie nowych rozwiązań, ale jedynie dynamiczne implementowanie tych już istniejących. To rodzi m.in. problemy związane z wydajnością, ale przede wszystkim trzeba pamiętać o tym, że odmienny charakter pracy różnych działów może sprawiać, że te same narzędzia nie będą mogły być użyte w całej organizacji. Załóżmy, że jest dział w przedsiębiorstwie, który sprawnie pracuje na wspomnianych narzędziach: ludzie się komunikują, dyskutują, ale nie wymieniają się informacjami mającymi charakter danych osobowych czy tajemnicy przedsiębiorstwa.  Organizacja – dostrzegając ich efektywność – próbuje więc wdrożyć podobne narzędzia do takich działów jak prawny czy HR, ale to wymaga całkowicie innego podejścia właśnie ze względu na charakter przetwarzanych danych. 

A drugi typ?

Wiąże się z wdrażaniem zupełnie nowych rozwiązań, jeszcze niesprawdzonych. W takim przypadku o błędy jest dużo łatwiej. Szczególnie chciałbym uczulić wszystkich na wykorzystanie narzędzi darmowych. Stara prawda mówi, że nic nie ma za darmo, zawsze w jakiś sposób ponosimy koszty użycia darmowych rozwiązań. Często są to znów nasze dane lub informacje o nas i naszej firmie, dlatego zanim wdrożymy jakieś nowe narzędzie musimy się do tego przygotować.  Opiszę to na przykładzie T-Mobile. Każdy nowy system informatyczny – zanim będzie mógł zostać wdrożony – jest wnikliwie testowany po kątem bezpieczeństwa. Dopiero gdy jesteśmy pewni, że system jest bezpieczny i spełnia wymogi prawne (RODO) można przystąpić do wdrożenia. O weryfikacji trzeba pamiętać, nie wolno zachłysnąć się digitalizacją, bo to zapewne spowoduje, że firma będzie musiała zrobić dwa kroki wstecz, a dopiero potem znów wkroczy na ścieżkę rozwoju.

Czy przedstawiciele przedsiębiorstw są świadomi tych zagrożeń?

Niestety nie jest z tym dość dobrze, bardzo często firmy nie zdają sobie sprawy ze skali zagrożenia. Budowanie świadomości trzeba zacząć od prezesów i kierowników. Oni muszą znać konsekwencje płynące z niezapewnienia bezpieczeństwa, gdyż to jest ich bezpośrednia odpowiedzialność. Można skorzystać z pomocy partnera zewnętrznego, który zaprojektuje rozwiązania bezpieczeństwa, a także przygotuje specjalne szkolenia dla całego zespołu. Wszystko kręci się wokół edukacji – każdy pracownik odpowiada za cyberbezpieczeństwo firmy, więc każdy musi mieć świadomość zagrożeń. Zanim przejdziemy do inwestycji systemowych, trzeba zastanowić się nad tym, jak sprawić, by podopieczni byli odpowiednio czujni.

Właściciele firm bagatelizują cyberzagrożenia, bo wydaje się im, że ich to nie dotyczy.

Zaryzykuję tezę, że mnóstwo przedsiębiorstw już zostało zaatakowanych, ale nawet tego nie zauważyło. Klienci często mówią nam: „czuję się bezpiecznie, nikt nas do tej pory nie zaatakował”. Potem podpisujemy umowę, sprawdzamy wstecznie pewne sesje oraz dane klienta i okazuje się, że ataków było wiele. W T-Mobile dziennie obserwujemy ok. 8 mln złośliwych sesji w sieci mobilnej – i to dane dotyczące wyłącznie sektora prywatnego. Świat się zmienił, niektóre programy infekujące są zautomatyzowane do tego stopnia, że pewne automaty bez przerwy sprawdzają, czy jesteśmy podatni na ataki, czy nasze zabezpieczenia mają jakieś luki.

Innym problemem jest chyba fakt, że jeśli już do ataku dojdzie, to firmy bardzo często zamiatają sprawę pod dywan.

Takie zachowanie to złamanie prawa. To bardzo krótkowzroczne i niedojrzałe działanie. Nie jest wstyd być ofiarą ataku, bo stuprocentowe środki ochrony nie istnieją. Miarą profesjonalizmu przedsiębiorstwa jest pokazanie, jak reaguje się w przypadku kryzysu. Pamiętajmy, że obecnie celem hakerów są przede wszystkim pieniądze, a nie niszczenie firm. Cyberprzestępcy szybciej wyłudzą pieniądze od małej firmy niż od dużej korporacji.

Do tej pory hakerów utożsamiano głównie z pryszczatymi młodzieńcami, którzy w małym pokoju robią coś dla idei. 

Ten obraz z całą pewnością jest  nieprawdziwy. Dzisiaj grupy hakerskie działają jak profesjonalne firmy zatrudniające nie tylko znakomitych informatyków, ale też psychologów. Obecnie większość ataków bazuje na socjotechnice. Ataki mają charakter masowy i zautomatyzowany.

Od prezesów firm wielokrotnie słyszę: „nie czuję się zagrożony. Ataki dotyczą pewnie tych, którzy mają więcej pieniędzy”. Dziś hakerzy łowią siecią – łatwiej im złowić milion małych rybek niż jednego wieloryba, z którym walka będzie trudna. Po raz kolejny podkreślam, że najważniejsza jest edukacja. Rozwijajmy świadomość pracowników, jak tylko możemy!

To oczywiście słuszne podejście, ale wiele firm trochę niewłaściwie do tego podchodzi. Weźmy takie ataki kontrolowane. Rozmawiałem niedawno z pracownikiem pewnego przedsiębiorstwa, który został zwolniony tylko dlatego, że dał się „nabrać” podczas właśnie kontrolowanego ataku. A to chyba duży błąd, bo przecież taki pracownik będzie teraz uważniejszy niż pozostali?

Dla pracownika, który dał się „nabrać” na kontrolowany atak to ogromna trauma. T-Mobile również przeprowadza tego typu fałszywe ataki, by stale podnosić odporność pracowników na ataki socjotechniczne, bardzo psychologicznie i sprytnie podchodzimy do procesu. Robimy wszystko, żeby z jednej strony wiadomości wyglądały bardzo prawdopodobnie,  ale z drugiej strony dbamy o to, żeby np. e-mail phishingowy posiadał wszystkie cechy świadczące o jego złośliwym charakterze. Nie należy karać pracowników za popełnienie błędów podczas takiego procesu, tu chodzi o edukację, a ktoś, kto raz dał się złapać na testową kampanię, będzie ostrożniejszy w przyszłości i może dzięki temu uniknie prawdziwego ataku. Z naszego doświadczenia wynika, że tego typu kampanie edukacyjne przynoszą duże  efekty. 

Z drugiej strony, jest też chyba coraz więcej nadgorliwców, jeśli chodzi o cyberbezpieczeństwo?Lepiej być nadgorliwym, niż odpuścić.

Ciągle mówimy o edukacji, ale dobry kierownik musi tak działać, by do pracowników dotarło jak najmniej podejrzanych czy zainfekowanych wiadomości. Systemy trzeba cały czas rekonfigurować i aktualizować, żeby odpowiedni poziom bezpieczeństwa był stale zapewniony. 

Jakie więc stoją największe wyzwania przed firmami, które dopiero rozpoczynają cyfrową transformację?

Najważniejszy jest spokój, nie wolno zachłysnąć się technologią. O każdym narzędziu trzeba zebrać rzetelne informacje, by wiedzieć jak z niego bezpiecznie i wydajnie korzystać – ponadto należy oczywiście przeszkolić pracowników. Niezbędne będzie również wypracowanie skutecznych mechanizmów ochronnych. Warto skorzystać z wiedzy partnera zewnętrznego, który posiada odpowiednie doświadczenie w tym zakresie i może zaprojektować najlepsze rozwiązania chroniące zarówno infrastrukturę firmy, jak i jej pracowników.