Raport cyberbezpieczeństwo. Cyberzagrożenia to realne niebezpieczeństwo

Robert Grabowski, szef CERT Orange Polska
Robert Grabowski, szef CERT Orange Polska
W większości przypadków niebezpieczeństwem interesujemy się dopiero po ataku, wtedy gdy jest już za późno – mówi Robert Grabowski, szef CERT Orange Polska.
ARTYKUŁ BEZPŁATNY

z miesięcznika „My Company Polska”, wydanie 7/2021 (70)

Zyskaj dostęp do bazy artykułów z „My Company Polska” Zamów teraz!

Wszelkie dane wskazują, że pandemia o co najmniej dekadę przyspieszyła transformację cyfrową firm, co odbywa się na wielu płaszczyznach – choćby w postaci cyfrowego obiegu dokumentów czy migracji procesów biznesowych do chmury. Ale czy fakt, że robimy to szybko, oznacza, że robimy to dobrze?

Przy tego typu procesach w większości przypadków zawsze coś umyka, zwłaszcza że to często działania nowe dla wielu przedsiębiorców. Specjalistyczne audyty udowodniają, że choć ciągłość procesów biznesowych jest zachowana, to już niekoniecznie dba się o bezpieczeństwo.

Dyskusja wokół cyberbezpieczeństwa brzmi tak, jakby jeszcze kilka lat temu firmy w ogóle nie były narażone na ataki hakerów.

Obserwuję ogromny wzrost zainteresowania cyberbezpieczeństwem – informacje przedostają się nawet do mainstreamowych kanałów – ale nadal popularne jest niestety zjawisko, że bezpieczeństwem interesujemy się dopiero po ataku, gdy jest już za późno. Chociażby ataki ransomware są jednymi z najfatalniejszych w skutkach, dlatego trzeba wszędzie i głośno mówić o ich konsekwencjach. W ciężkich dla przedsiębiorców czasach – a takim okresem jest pandemia i problemy z płynnością finansową – cyberbezpieczeństwo nie zawsze ma odpowiednio wysoki priorytet wydatków firmy. Dominuje myślenie: „może uda nam się uniknąć problemu”.

Co przedsiębiorcom sprawia największy problem w dbaniu o cyberbezpieczeństwo?

Przede wszystkim określenie potrzeb. Często zdarza się, że właściciele firm z góry zakładają pewne działania, które chcą wykonać, ale one niekoniecznie wynikają z realnych potrzeb i prawidłowej analizy. Konieczny jest szeroki audyt i spojrzenie na wszystkie złe scenariusze, jakie mogą dotknąć firmę chociażby w związku z wykorzystywaną technologią.

Jak powinien wyglądać taki audyt?

Należy przeanalizować wykorzystywane kanały i miejsca przetwarzania danych. Często jest tak, że osoby, które nie znają się na przeprowadzaniu takich audytów, pomijają istotne kwestie. Innym problemem jest przeprowadzanie audytu tylko po to, żeby uzyskać zaświadczenie, że został wykonany. No i często zdarza się, że firma wdraża jakieś rozwiązanie, sądzi, że jest bezpieczna, a później w ogóle nie dba o rozwój i aktualizację danego rozwiązania. Formy ataku co chwilę się zmieniają, dynamika jest znacząca. Bezpieczeństwo to ciągły proces.

Chyba zgodzisz się, że najsłabszym ogniwem zawsze jest człowiek. Jak uświadamiać pracowników o cyberzagrożeniach?

Jestem zwolennikiem szkoleń i tzw. kontrolowanych ataków pozwalających sprawdzić świadomość zagrożeń wśród pracowników i to, czy potrafią odpowiednio zareagować. Dla nich jest to z pewnością stres, ale dzięki temu lepiej zapamiętają pewne procesy. Nie jestem zwolennikiem karania załogi za „nabranie się” na taki atak – trzeba za to regularnie przypominać i wyjaśniać, na co zwracać uwagę w przyszłości. Nie pamiętam żadnego testu, podczas którego nie znalazłaby się choćby jedna osoba, która nie dała się zwieść. Z drugiej strony obserwuję zwiększenie czujności. Ludzie często podsyłają nam bezpieczne linki, które wydały im się niebezpieczne.

Możesz wyjaśnić krok po kroku jak wygląda taki kontrolowany atak?

Dobrym punktem wyjścia jest określenie najlepszego scenariusza, poznanie sposobu firmowej komunikacji, także w kontekście konkretnych działań wykorzystywanych domen pocztowych itd. Przeprowadzający taki atak powinni dobrać sposób jego wykonania właśnie do specyfiki firmy, bo w taki sposób często działają atakujący w rzeczywistości. W konsekwencji pracownik dostaje np. wiadomość z fikcyjnego service desku o potrzebie potwierdzenia jakiejś zmiany, może przyznania nowego komputera? Świetnie sprawdzają się również wszelkie finansowe tematy jak listy podwyżkowe czy premie. Choć zdarza się, że równie skuteczny jest atak generyczny, np. dodanie znajomego z pracy do kontaktów na LinkedIn.

Jak przedsiębiorca powinien się zachować, jeśli już dojdzie do ataku?

Zamiatanie pod dywan takich ataków zawsze kończy się bardzo źle. Trzeba uczciwie stawiać sprawę, przyznać, że do nich doszło – zwłaszcza jeśli sprawa dotyczy klientów. Należy skorzystać z pomocy specjalistów, którzy fachowym okiem ocenią rzeczywiste straty, a także to, od jak dawna przestępcy mają dostęp do infrastruktury firmy, bo często zdarza się, że to bardzo długi czas. Nie wolno jednocześnie ograniczać się do doraźnej naprawy błędów – konieczne są również działania zaradcze, które pomogą zapobiec kolejnym atakom.

-----------------------------------------------

Obecna sytuacja nie może zatrzymywać biznesu

Mariusz Włodarczyk, dyrektor zarządzający Santander Leasing S.A.

Bierzemy odpowiedzialność za nasz biznes oraz codzienne funkcjonowanie klientów i partnerów biznesowych. Od kilku lat mocno wdrażamy możliwość zdalnego realizowania wielu zadań, a także wykorzystujemy dostępną technologię i dynamiczny rozwój e-usług, które wspierają cyfrową transformację firm. W ostatnich miesiącach jednym z naszych priorytetów było zdigitalizowanie i uproszczenie procesu podpisywania umów leasingowych. Tego typu rozwiązania są bardzo istotne zwłaszcza teraz, gdyż zwiększają bezpieczeństwo nie tylko naszych klientów, ale także pracowników. Obecna sytuacja nie może zatrzymywać biznesu! Nasi klienci stale się rozwijają, a dzięki cyfryzacji procesów leasingowych możemy im to ułatwiać.

-----------------------------------------------

Jakie kary grożą firmom przy wycieku danych

Paweł Skuza, radca prawny, kancelaria KTW.Legal

W zależności od charakteru naruszonych praw i obowiązków wynikających z RODO – jak i wagi tego naruszenia – przedsiębiorcy może zostać wymierzona kara pieniężna w wysokości do 10 mln euro lub 2 proc. całkowitego światowego obrotu czy nawet do 20 mln euro lub 4 proc. światowego obrotu (przy czym przy wyborze kary opisanej kwotowo lub w uzależnieniu od obrotu decydującym kryterium jest to, która z tych kwot jest wyższa). 

 Jak należy postępować, jeśli już dojdzie do naruszenia ochrony danych, przykładowo  wycieku tych danych do podmiotów nieuprawnionych? Przede wszystkim pierwszą czynnością wymaganą przez przepisy jest zgłoszenie naruszenia organowi nadzorczemu – w tym przypadku Prezesowi Urzędu Ochrony Danych Osobowych – w terminie 72 godzin od jego stwierdzenia. W dalszej kolejności należy rozważyć, czy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jeśli odpowiedź jest twierdząca, należy również zawiadomić te osoby o incydencie. Istnieje natomiast „furtka”, która przewiduje, że tego zawiadomienia dokonywać nie trzeba, jeśli podjęliśmy adekwatne środki ochronne minimalizujące ryzyko dla tych osób. W dalszej kolejności należy oczywiście wdrożyć odpowiednie środki, aby uniknąć tego typu sytuacji w przyszłości, a katalog takich środków jest dziś właściwie nieograniczony. Można powiedzieć, że ograniczają nas, jak zawsze, nasza wyobraźnia i niestety – posiadane środki.

Zwróćmy przy tym uwagę, że kwestie raportowania czy kary za naruszenia – dotyczące danych osobowych – są wdrożone systemowo i wynikają z przepisów rozporządzenia. Musimy natomiast pamiętać, że nie są to w naszej praktyce jedyne informacje chronione. Prawie każdy przedsiębiorca na rynku przetwarza informacje – nawet jeśli nie są to dane osobowe – i mają one niejednokrotnie wymierną wartość. Obecnie niemal każdy spotkał się chociażby z klauzulami NDA czy odrębnymi umowami o zachowaniu poufności. Również naruszenie takich zobowiązań może rodzić odpowiedzialność z naszej strony wynikającą nie tylko z zawartych umów, ale także z ogólnych zasad odpowiedzialności, przewidzianych chociażby przez Kodeks cywilny.

My Company Polska wydanie 7/2021 (70)

Więcej możesz przeczytać w 7/2021 (70) wydaniu miesięcznika „My Company Polska”.


Zamów w prenumeracie

ZOBACZ RÓWNIEŻ