Cyberbezpieczeństwo dla przedsiębiorców: Nowa era zagrożeń

19.03.2018 AUTORZY: Dawid Bałut, Konrad Budek,

Badanie przeprowadzone przez Deloitte wskazuje, że 50 procent polskich przedsiębiorstw deklaruje wysokie zainteresowanie nowoczesnymi technologiami. Jedynie 10 proc. stwierdziło, że interesują ich one w znikomym stopniu.

Wdrażanie nowoczesnych technologii jest dla firm znacznym ułatwieniem w prowadzeniu codziennej działalności. Dla 39 proc. polskich organizacji główną przyczyną zmian są korzyści finansowe a dla 19 proc krótszy czas realizacji działań biznesowych. Z kolei 14 proc. liczy na poprawę satysfakcji klientów a 11 proc. zamierza zwiększyć elastyczność swojego biznesu.

Mimo wszystkich swoich zalet, cyfryzacja niesie ze sobą ryzyko znacznie większej podatności na ataki cyberprzestępców. Raport firmy Symantec, producenta oprogramowania antywirusowego, wskazuje, że w 2017 roku ofiarami cyberprzestępców padło 978 milionów ludzi w 20 krajach świata. Sumarycznie ataki spowodowały straty na poziomie 172 miliardów dolarów, średnio po 142 dolary od osoby.

Tak wysokie straty są możliwe dzięki coraz sprytniejszym technikom wykorzystywanym przez internetowych przestępców. Zdaniem Interpolu internetowa przestępczość jest w tej chwili bardziej dochodowym zajęciem niż handel narkotykami a w niektórych państwach przychody z tego typu działalności przekraczają 1 proc. PKB. Dla porównania, Polska na utrzymanie armii wydaje około 1,95 proc. swojego PKB.

Odpowiedzią na rosnące zagrożenie ze strony cyberprzestępców są coraz intensywniejsze działania w zakresie cyberbezpieczeństwa.

Czym jest cyberbezpieczeństwo?

Cyberbezpieczeństwo jest pojęciem znacznie szerszym niż same zabezpieczenia technologiczne. W ramach polityki zapewniającej firmie bezpieczeństwo informacyjne powinny się znajdować także zalecenia dla personelu, dotyczące takich kwestii jak ochrona informacji, zarządzanie hasłami czy świadomość zagrożeń płynących z internetu.

Raport przygotowany przez firmę Cisco wskazuje, że w 2018 roku firmy będą musiały się przygotować na cyberataki o znacznie większej skali niż wcześniej. Jednym z najczęściej wybieranych celów ataku nie są finanse, lecz informacje. Przestępcy wykradają dane klientów lub partnerów handlowych, aby później sprzedawać je w internecie, na przykład spamerom albo oszustom wyłudzającym kredyty na fałszywe dane osobowe.

Według portalu BreachlevelIndex prowadzonego przez firmę Gemalto, co sekundę wycieka 60 rekordów (wpisów) z bazy. Dla każdej organizacji, której informacje wyciekły, jest to ogromny cios zarówno finansowy, jak i wizerunkowy.

Cyberbezpieczeństwo a prawo w zakresie IT

Konieczność ochrony informacji dostrzegli prawodawcy na poziomie unijnym. Od 25 maja 2018 roku najważniejszym aktem prawnym regulującym ochronę danych osobowych na terenie Unii Europejskiej będzie Rozporządzenie o Ochronie Danych Osobowych (RODO). Akt prawny zakłada m.in. dotkliwe kary za wycieki i incydenty związane z danymi osobowymi, w wysokości nawet 20 milionów Euro lub 4 proc, światowego obrotu firmy, w zależności od tego, która wartość jest wyższa.

Jednocześnie sam akt prawny nie przewiduje wyjątków dotyczących wielkości firmy czy segmentu rynku, w jakim działa. Nie ma więc znaczenia, czy za wyciekiem stoi międzynarodowa korporacja, czy jednoosobowa działalność, kara będzie nieunikniona.

Potrzebę dostosowania prawa do ochrony obywateli przed cyberatakami dostrzegają również polscy prawodawcy. Jednym z przykładów działań ze strony państwa jest zaproponowany przez Ministerstwo Cyfryzacji projekt ustawy o krajowym systemie cyberbezpieczeństwa, w ramach którego zapewniona zostanie ochrona cyberprzestrzeni na poziomie krajowym dzięki powołaniu zespołów ekspertów.

Polska jest krajem, który dość dobrze radzi sobie z cyfryzacją społeczeństwa oraz odpowiadaniem na wyzwania związane z nowymi technologiami, czego dowodem może być choćby bardzo rozbudowane prawodawstwo dotyczące ochrony danych osobowych  zanim jeszcze Unia Europejska zdecydowała się na RODO. Polski kodeks karny określa hacking jako nieuprawniony dostęp do systemu informatycznego. Zgodnie z polskim prawem „kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenia, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

W tym przypadku mowa jednak o samym uzyskaniu dostępu do informacji. Przestępcy, którzy wykradają informacje aby później je sprzedać lub wykorzystać przy oszustwach, mogą odpowiadać również z tytułu innych paragrafów, na przykład nakłaniania do niekorzystnego rozporządzania mieniem.

 

Cyberbezpieczeństwo poznaj rodzaje cyberataków

Malware – nazwa malware to skrót od malicious software, co oznacza złośliwe oprogramowanie. Istnieje wiele odmian takich programów, o różnych zastosowaniach. Ich wspólną cechą jest fakt, że wykonują działania na komputerze użytkownika bez jego zgody i wiedzy, na korzyść osoby trzeciej. Jakiego typu są to działania – to już zależy od samego programu. Czasem jest to dołączenie maszyny do sieci komputerów zombie służących do ataków na instytucje rządowe, pozyskiwanie wirtualnych walut lub kradzież danych osobowych i informacji niezbędnych do logowania do bankowości elektronicznej.

Jak się bronić – najskuteczniejszą obroną przed malware jest dobry system antywirusowy oraz regularnie aktualizowane oprogramowanie.

Man in the Middle – inaczej „człowiek pośrodku”, jest to typ ataku w ramach którego w transakcji lub korespondencji między dwoma podmiotami (na przykład sklepem internetowym i klientem) uczestniczy ktoś jeszcze. Ataki tego rodzaju mają na celu przechwycenie informacji lub środków pieniężnych. Man in the middle może mieć na celu zarówno podsłuchanie poufnych informacji, jak i ich modyfikację. Przykładem podsłuchu może być przejęcie danych niezbędnych do logowania do bankowości elektronicznej a modyfikacji – podmiana formatki płatnościowej w sklepie internetowym na specjalną, przygotowaną przez przestępców

Jak się bronić – właściciel strony, który chce ochronić swoich klientów przed atakami tego typu, powinien dbać o certyfikaty bezpieczeństwa i szyfrowanie transmisji danych. Najlepszym pomysłem jest certyfikat SSS i szyfrowanie kluczem 2048-bitowym.

Cross site scripting – taki atak polega na osadzeniu na stronie internetowej specjalnego kodu, który może skłonić ich do wykonania czynności, której nie planowali. Przykładem może być umieszczenie własnej treści na stronie internetowej. W przypadku sklepu internetowego może to być ramka przekierowująca kupujących do konkurencji. W jednym ze znanych przypadków dowcipniś umieścił w ten sposób fałszywą informację na portalach CBS News oraz BBC.

Jak się bronić – jedynym sposobem obrony przed atakami tego rodzaju jest korzystanie ze sprawdzonego, zaufanego oprogramowania oraz dobrego antywirusa.

Phishing – nazwa ataku pochodzi od słów Password (hasło) oraz fishing (wędkowanie). Jego istotą jest próba pozyskania haseł użytkownika służących do logowania się na portale społecznościowe lub do wybranych serwisów. Uzyskawszy taki dostęp, cyberprzestępca może wykradać dane osobowe i w tym celu dokonywać oszustw.

Jak się bronić – w tym przypadku najważniejsze jest budowanie świadomości wśród użytkowników oraz edukacja. Ataki phishingowe najczęściej wymagają interakcji ze strony człowieka – potwierdzenia logowania lub odebrania maila. Jeśli pracownicy będą wyczuleni na takie próby, firma będzie bezpieczniejsza.

DDoS – distributed denial of service (rozproszona odmowa usługi) jest to atak polegający na jednoczesnym logowaniu się na stronę internetową wielu użytkowników, w celu jej zablokowania. Jest to powszechnie wykorzystywane w walce politycznej, jednak atak tego typu może mieć również zastosowanie w e-commerce, gdy w czasie szczególnie atrakcyjnej promocji konkurencja wzmacnia sztucznym ruchem naturalne zainteresowanie użytkowników, by w ten sposób unieszkodliwić sklep.

Jak się bronić – przed atakami DDoS brakuje skutecznych narzędzi ochrony, wyjąwszy filtrowanie ruchu dzięki dobrze skonfigurowanemu firewallowi u dostawcy usług internetowych.

SQL Injection – atak tego rodzaju polega na uzyskaniu nieuprawnionego dostępu do bazy danych poprzez lukę w zabezpieczeniach aplikacji, na przykład systemu do obsługi handlu internetowego. Dzięki takim działaniom przestępca może wykradać informacje od firmy, na przykład listę klientów oraz ich danych kontaktowych.

Jak się bronić – w tym przypadku pełną odpowiedzialność za odporność strony  internetowej na tego typu ataki ponosi administrator, który przygotuje odpowiednie zabezpieczenia na poziomie bazy danych.

Ransomware – jest to jeden z najpopularniejszych typów ataku w ostatnich latach. Jego celem jest zaszyfrowanie danych użytkownika, a następnie ponowne ich udostępnienie w zamian za opłatę. Tym samym za informacje wypłacany jest „okup” (ransom). Taki atak jest groźny dla absolutnie wszystkich, wliczając w to zarówno osoby fizyczne, jak i przedsiębiorców, niezależnie od skali ich działania czy obrotu.

Jak się bronić – przed ransomware należy bronić się tak samo, jak przed innego typu malware, czyli poprzez stosowanie aktualnego oprogramowania antywirusowego oraz regularne aktualizacje wykorzystywanych systemów. 

Malvertising – jest to szczególnie złośliwy typ ataku, gdyż pozwala dotrzeć do użytkowników przeglądających jedynie zaufane, „czyste” strony internetowe. Ich nośnikiem są reklamy internetowe wyświetlane poprzez sieci takie jak Google Adwords. Dzięki reklamom, za których treść wydawca nie odpowiada, na komputerach użytkowników może być instalowane złośliwe oprogramowanie. Zdarza się również, że tego typu oprogramowanie wykorzystywane jest do wydobywania kryptowalut poprzez urządzenia przeglądających.

Jak się bronić – użytkownik może bronić się przed malvertisingiem poprzez stosowanie filtrów blokujących reklamy. Strona internetowa z kolei może chronić swoich użytkowników poprzez współpracę z zaufanymi dostawcami usług, jednak nawet to nie daje 100 proc. pewności.

Najbardziej znane cyberataki

Ataki cybernetyczne to w tej chwili coraz powszechniejsze zagrożenie. Mimo to od czasu do czasu trafiają się incydenty o prawdziwie imponującej skali i niszczycielskim potencjale, niespotykanym wcześniej.

1. WannaCry

WannaCry to nazwa oprogramowania typu ransomare, które zainfekowało ponad 200 tysięcy komputerów w 150 krajach świata. Atak skierowany był w stronę niezaktualizowanych  systemów operacyjnych Microsoft Windows. W zamian za odblokowanie komputera, użytkownik musiał zapłacić okup w wysokości 300 dolarów w bitcoinach.

Wśród ofiar WannaCry znalazł się między innymi NHS (brytyjski odpowiednik NFZ), rosyjskie Ministerstwo Spraw Wewnętrznych, producent samochodów Renault oraz dworzec we Frankfurcie. WannaCry zaatakował w 2017 roku.

2. Yahoo

Z bazy danych Yahoo, wyciekło ponad miliard rekordów. Hakerzy uzyskali dostęp nie tylko do samych adresów e-mail, ale również i numerów kart kredytowych, haseł oraz innych informacji, jakie ludzie przechowywali w swoich mailach. Atak miał miejsce w 2013 roku.

3. Sony PlayStation

Przestępcy uzyskali dostęp do 77 milionów kont użytkowników zarejestrowanych w ramach PlayStation Network. Wśród danych znajdowały się między innymi numery kart płatniczych używanych do kupowania dodatkowej zawartości i nowych gier. Przestępcy uzyskali dostęp do zasobów informacyjnych w 2011 roku.

4. Target

Target to popularna w USA sieć dyskontów. W 2013 i 2014 roku przeprowadzone zostały dwa ataki na sieć, których celem była kradzież danych kart kredytowych używanych przez klientów. Sumarycznie w dwóch falach wyciekło 110 milionów kont zawierających takie informacje jak imię i nazwisko, adres email, numer telefonu czy numer karty kredytowej.

5. JPMorgan Chase

Wyciek z jednego z najpopularniejszych banków w USA dotknął nawet 76 milionów gospodarstw domowych w USA. Przestępcy uzyskali dostęp przede wszystkim do danych osobowych a bank podkreślał, że  nie ma dowodów, że dokonano oszustw przy użyciu wykradzionych informacji. Atak miał miejsce w 2014 roku.

6. Ashley Madison

Portal Ashley Madison był witryną społecznościowo-randkową, która skupiała ludzi szukających partnera do zdrady małżeńskiej. Wyciek danych, oprócz całkowitej kompromitacji portalu, doprowadził zapewne do wielu dramatów. Samobójstwo popełniły przynajmniej trzy osoby

W Polsce do najgłośniejszych wycieków należą:

1. Netia

W 2017 roku jeden z czytelników portalu Zaufana Trzecia Strona ujawnił, że dane osobowe klientów sieci Netia są ogólnodostępne w internecie z powodu błędu w konfiguracji oprogramowania dla serwisantów.

2. Szpital w Kole

Również w 2017 roku wyciekły dane 50 tys. pacjentów i pracowników szpitala w Kole. Na niezabezpieczonym i publicznie dostępnym serwerze znajdowały się takie informacje jak numer PESEL, adres zamieszkania, grupa krwi, numer ubezpieczenia oraz niektóre dane medyczne, takie jak wyniki niektórych badań. Co więcej, na serwerze można było znaleźć także wiele innych informacji, na przykład pełne kopie zapasowe zawartości skrzynek mailowych pracowników.

Cyberbezpieczeństwo w Polsce

Według danych pozyskanych przez firmę KPMG w 2017 roku 82 proc przedsiębiorstw w Polsce odnotowało przynajmniej jeden incydent bezpieczeństwa teleinformatycznego. Jednocześnie nie więcej niż 10 proc. firm zatrudnia specjalistę od bezpieczeństwa informacji.

Zdaniem polskich przedsiębiorców największym zagrożeniem są zorganizowane grupy przestępcze (62 proc. wskazań) oraz samotnie działający hakerzy (61 proc. wskazań). Dopiero na trzecim miejscu znaleźli się pracownicy firmy kierujący się złymi intencjami, którzy z punktu widzenia globalnych statystyk są najczęstszym źródłem incydentów.

Według 13 proc. polskich organizacji liczba incydentów związanych z cyberbezpieczeństwem znacząco wzrosła w 2017 w porównaniu do 2016 roku. Z kolei 24 proc. odnotowało wzrost a 51 proc. uważa, że poziom ataków pozostał niezmieniony. Jedynie 18 proc polskich firm nie odnotowało w 2017 żadnego cyberataku.

Cyberbezpieczeństwo na świecie

Raport International Telecommunications Union klasyfikuje polski rynek jako „dojrzewający” i ustawia w grupie państw takich jak Meksyk, Belgia, Grecja czy Luksemburg. Wśród liderów wymienia między innymi Australię, Kanadę, Estonię, Francję, Oman oraz Federację Rosyjską.

Obecnie 50 proc krajów deklaruje, że nie posiada żadnej strategii związanej z cyberbezpieczeństwem. Co więcej 57 proc. krajów na świecie nie szkoli swoich urzędników i przedstawicieli do wykonywania zadań związanych z cyberbezpieczeństwem. Jednocześnie jedynie w 32 proc. krajów na świecie istnieją krajowe firmy świadczące usługi z zakresu cyberbezpieczeństwa.

Według ITU Polska zajmuje 33 miejsce na świecie pod względem rozwoju cyberbezpieczeństwa z wynikiem 0,622 pkt. Liderem jest Singapur, który uzyskał punktację na poziomie 0,925. Wskaźnik ten ma za zadanie zilustrować stopień przygotowania poszczególnych krajów do wyzwań związanych z cyberbezpieczeństwem pod takimi względami jak prawo, technologia, organizacja, zdolność do budowy kompetencji oraz do kooperacji w ramach ustalonych działań.

Haktywizm

W kontekście cyberbezpieczeństwa, warto jest wspomnieć o zjawisku haktywizmu. Nazwa powstała z połączenia słów aktywizm oraz hacking. Jest to wykorzystywanie komputerów oraz internetu do walki o wolność słowa oraz prawa człowieka. Oprócz samej aktywności sieciowej, hacktywiści często zajmują się organizowaniem protestów oraz zajmują się działaniami społecznymi i politycznymi.

Kontrowersyjną grupą hacktywistów są Anonymous, zdecentralizowana grupa, której symbolem jest maska Guya Fawkesa, spopularyzowana przez film V jak Vendetta. Grupa znana jest ze swoich głośnych akcji, między innymi przeciwko Kościołowi Scjentologicznemu, ACTA czy internetowym społecznościom neonazistów. Jednocześnie wielu członków grupy jest poszukiwanych przez Interpol jako przestępcy.

Cyberbezpieczeństwo podsumowanie

Cyberbezpieczeństwo jest w tej chwili jednym z największych wyzwań dla przedsiębiorstw. Ze względu na powszechny dostęp do internetu oraz możliwości jakie on niesie, coraz więcej firm decyduje się sięgnąć po szanse oferowane przez dostęp do światowej sieci. Warto jednak w takiej sytuacji odpowiednio się zabezpieczyć. Nieumiejętne podejście do kwestii bezpieczeństwa może skończyć się nawet zamknięciem przedsiębiorstwa i dotkliwymi karami.

Cyberbezpieczeństwo a nakłady finansowe

Cyberbezpieczeństwo z pewnością wymaga od firm sporych nakładów. Nawet jeśli mówimy o czasie, to wiadomo, że niesie on za sobą koszt finansowy, bo praca programistów i innych pracowników kosztuje firmę konkretną ilość pieniędzy. Nadmierna koncentracja na security może także zmniejszać produktywność pracowników i spowalniać rozwój firmy – ten problem dotyczy najczęściej przedsiębiorstw, które nie posiadają wystarczająco kompetentnych specjalistów, którzy potrafiliby integrować procesy bezpieczeństwa z istniejącymi procesami bez negatywnego wpływu na całą firmę, wszystko sprowadza się więc do umiejętnego balansu priorytetami i współpracy z doświadczonymi ekspertami. 

Jednak to nie koszt cyberbezpieczeństwa jest czymś co spędza sen z powiek założycielom firm i warto skupić się na tym jakie inne koszty niesie za sobą lekceważenie inwestycji w to ogniwo działalności. W przypadku zbyt niskich nakładów na większość z pozostałych sektorów firmy, narażamy się na mniej dotkliwe konsekwencje. Na przykład: przy niedostatecznych inwestycjach w rozwój wewnętrznych specjalistów, możemy doprowadzić do utraty świetnych pracowników, przez co tempo rozwoju firmy spadnie. Jednak da się w takiej sytuacji zareagować rozsądnym zarządzaniem, zmieniając priorytety w przedsiębiorstwie, zatrudniając doświadczonych ekspertów i stosunkowo szybko wrócić znowu do gry.

Jeśli firma zajmuje się tworzeniem oprogramowania i pominie ona implementację i testowanie zabezpieczeń podczas każdego, nawet najwcześniejszego etapu prac nad projektem, to niemal gwarantowane jest, że przy, lub nawet po, deadlinie “wypłyną” braki, których naprawa będzie bardzo kosztowna. Statystycznie im później wykrywa się błędy (w tym luki w zabezpieczeniach), tym droższe jest ich łatanie.

Przy bagatelizowaniu nakładów na zabezpieczenia, może dojść do realnych strat, a nawet bankructwa firmy. Po choćby jednym potknięciu i wystawieniu się na atak hakerski, można już nigdy się nie podnieść. Oprócz technologicznych problemów w firmie spowodowanych atakiem, jak na przykład zaszyfrowanie instrastruktury złośliwym oprogramowaniem typu ransomware, trzeba też brać pod uwagę utratę reputacji firmy. Taki uszczerbek szczególnie trudno naprawić, a większość małych firm i startupów nie może sobie pozwolić na utratę wiarygodności, bo jeszcze nawet nie zdążyły ugruntować dobrze swojej pozycji na rynku, ani zdobyć zaufania klienta. Aby znacznie zmniejszyć ryzyko bardzo niskim kosztem, wystarczy poświęcić chwilę na zadbanie o to, aby oprogramowanie, którego używamy zawsze miało zainstalowane najnowsze aktualizacje, a na każdym komputerze zainstalowany był program antywirusowy, choćby darmowy. Uniemożliwi to hakerowi skorzystanie ze znanych od dawna (i już załatanych) luk, a znaczna część potencjalnych agresorów po napotkaniu takich przeszkód po prostu poszuka sobie innego celu. Jeszcze prostsze jest zwyczajne uczulenie pracowników na istniejące zagrożenia i socjotechniczne techniki działania hakerów – bo przecież najsłabszym ogniwem każdego systemu zabezpieczeń jest właśnie człowiek. Niewielkim nakładem środków można wykupić dla swojej załogi profesjonalne szkolenie w firmie specjalizującej się w cybersecurity i dowiedzieć się (oraz oczywiście nauczyć swoich pracowników) jakimi zachowaniami wystawiają się na atak oraz jakich procedur przestrzegać, aby zminimalizować ryzyko.

Bezpieczeństwo może być świetnym narzędziem marketingowym i PRowym, i nie stawiając go na równi z innymi aspektami, nie można pokazać klientom w jaki sposób dba się o ich dane i w jaki sposób wyróżnia się na tle konkurencji. Ignorując zagadnienie obronności, podnosimy nie tylko ryzyko operacyjne prowadzenia biznesu, ale także obniżamy swoją konkurencyjność na rynku, a tym samym nasze szanse na osiągnięcie sukcesu. Security jest obecnie jednym z głównych wymagań stawianych przez klientów korporacyjnych i uznaje się je za nieodłączny element wysokiej jakości oprogramowania, szczególnie w dzisiejszych czasach, gdy informacja jest najcenniejszym dobrem. Gdy nie przykładamy wystarczającej wagi do procesów bezpieczeństwa, nie dajemy klientowi komfortu i poczucia zaufania, ponieważ jeśli nasze zabezpieczenia są na niskim poziomie, to najprawdopodobniej reszta procesów w naszej firmie też jest dysfunkcjonalna i nasze produkty/usługi nie mogą prezentować wysokiej jakości, a my nie jesteśmy godni nawiązania współpracy. Żaden szanujący się CEO nie byłby też zadowolony, gdyby dane dotyczące finansów spółki i posiadanych przez nią patentów zostały upublicznione w sieci lub wykorzystane przez oszustów.

 

Jeśli mowa o potencjalnych kosztach wynikających z zaniedbań cyberbezpieczeństwa, to nie można nie wspomnieć o karach grożących za nieprzystosowanie procedur firmy do RODO, przepisów wchodzących w życie już w maju. Artykuł 32, dotyczący bezpieczeństwa przetwarzania danych przewiduje ogromne, sięgające maksymalnie 10 milionów euro kary, za uchybienia w cybersecurity. Dość oczywiste więc, że warto się dobrze przed taką sytuacją zabezpieczyć.

Nakłady poniesione na cyberbezpieczeństwo są w każdym przypadku uzasadnione, w myśl, że lepiej zapobiegać niż leczyć. Tak samo, jak warto uważać na własne zdrowie, bo konsekwencje nieodpowiedzialnych zachowań mogą ciągnąć się za nami latami i kosztować krocie, w biznesie warto kierować się tą samą logiką.

Jakie zabezpieczenia wprowadzić w swojej firmie?

Typy zabezpieczeń różnią się w zależności od profilu działalności firmy.  Przedsiębiorstwa używające systemów komputerowych do wspierania klasycznych metod zarabiania pieniędzy mają oczywiście inne potrzeby, od tych które produkują oprogramowanie.
Jest jednak kilka wspólnych rzeczy, które każda firma może zrobić żeby tanio i łatwo poprawić bezpieczeństwo swoje i swoich klientów.

Tworzenie technologicznych systemów bezpieczeństwa od zera jest bardzo drogie nie tylko z powodu pensji wypłacanych programistom, ale także przez sam koszt utrzymania go w należytym stanie. Warto więc na poważnie rozważyć outsourcing tego zadania do firm, które specjalizują się w bezpieczeństwie informacji i są w tym świetne.

Jeśli zaś chodzi o kwestie personalne, to należy bezwzględnie dbać o jak najwyższy poziom świadomości na temat kwestii bezpieczeństwa danych wśród wszystkich pracowników firmy – najsłabszym ogniwem każdego systemu jest zawsze człowiek. Warto zatem uświadomić naszych podwładnych o niebezpieczeństwach, przy pomocy odpowiednich szkoleń, bo żadne firewalle i antywirusy nie pomogą, gdy haker do przeprowadzenia ataku użyje swojej charyzmy, pewności siebie i przebiegłości, a dane, na których mu zależy (jak na przykład hasło do systemu) zdobędzie podczas rozmowy telefonicznej z jednym z twoich pracowników. Tego typu zagrywki socjotechniczne wskazuje jako najgroźniejsze i najbardziej rozpowszechnione wśród najgroźniejszych cyberprzestępców sam Kevin Mitnick, najsłynniejszy haker świata.

Jeśli nasi programiści już wiedzą, jak tworzyć bezpieczne produkty, to nie musimy zatrudniać dodatkowych specjalistów, a oprogramowanie, które tworzą będzie (teoretycznie) bezpieczne od samego początku – to powszechny mit. Inwestycja w dodatkową edukację programistów nie eliminuje bowiem całkowicie potrzeby profesjonalnych testów i audytów bezpieczeństwa, jednak z pewnością zmniejsza nakłady potrzebne na zabezpieczenie oprogramowania. Trzymając się sprawdzonych procedur i implementując odpowiednie rozwiązania i przeprowadzając testy na odpowiednio wczesnych etapach prac zminimalizujemy ryzyko przeoczenia luk i błędów, których naprawa byłaby ekstremalnie kosztowna później.

Odpowiednia edukacja jest więc na pewno inwestycją o bardzo wysokiej stopie zwrotu, bo wręcz gwarantuje ograniczenie późniejszych wydatków, czy to finansowych (łatanie błędów na ostatnią chwilę, okup dla hakera, który wykradł nasze dane, naprawa wyrządzonych przez hakera szkód), czy czasowych (utrata gromadzonych długo danych, wstrzymanie działania firmy), a nawet wizerunkowych (spadek renomy firmy na skutek skandalu, jaki wybucha często po wycieku wrażliwych danych), a sama w sobie nie jest dużym wydatkiem.

Jeśli zaś chodzi o środki techniczne, to każda firma, która na poważnie podchodzi do kwestii bezpieczeństwa swoich danych, a przede wszystkim danych swoich klientów, powinna zainteresować następującymi środkami ochrony:

Silne hasła

Hasła są pierwszą linia obrony każdego systemu IT. Jeśli aplikacja/system posiada słabe hasła, to żadne inne wyrafinowane zabezpieczenia nie mają sensu, bo atakujący, który odgadnie lub zdobędzie w jakiś  sposób hasło, może z łatwością podszyć się pod prawdziwego użytkownika w taki sposób, że systemy monitoringu nawet nie wykryją ataku. Upewnij się że pracownicy tworzą silne hasła i używają managerów haseł, by utrudnić hakerom pracę i nie otwierać im dodatkowo drzwi.

Uwierzytelnianie dwuskładnikowe

Hasła wyciekają i zdarzają się sytuacje gdy haker uzyska dostęp do hasła użytkownika, o czym mowa była wcześniej. Dlatego że dane tego typu podróżują przez sieć, jest też wiele punktów w których może dojść do wycieku. Włączając uwierzytelnianie dwuskładnikowe, dokładamy warstwę zabezpieczeń, która sprawia ze haker oprocz hasla, musi uzyskac dostęp do telefonu ofiary, na którą przychodzi token SMS z kodem weryfikującym próbę logowania.

Zaszyfrowane dyski na laptopach

Kradzieże sprzętu elektronicznego zdarzają się częściej niż byśmy się tego spodziewali i choć nie zawsze dokonywane są one przez wyrafinowanych hakerów celujących w daną organizację, to zawsze są bardzo niebezpieczne i potencjalnie wielokrotnie bardziej kosztowne, niż sam zakup nowego laptopa. Czasem zwykły złodziej, zdobywając dostęp do laptopa czy telefonu może być ciekaw sprawdzenia jakie dane prywatne znajdują się na urządzeniu, doprowadzając w efekcie do wycieku danych firmowych które znalazł na urządzeniu. Szyfrowanie dysków urządzeń praktycznie nic nie kosztuje i jest to funkcja wbudowana w każdy nowoczesny system operacyjny, a może zaoszczędzić ogromną ilość stresu i kosztów, wynikających z utraconego sprzętu. Szyfrowanie dysków pomaga zabezpieczyć się też w sytuacji w której chcemy zutylizować dysk twardy, bądź oddać sprzęt do serwisu, gdzie dane firmy również mogłyby wpaść w niepowolane rece.

Używanie tylko legalnego oprogramowania szanowanych firm

Pomoże nam to nie tylko unikać złośliwego kodu ukrywanego pirackich wersjach komercyjnych programów, który może otworzyć drzwi atakującemu “od wewnątrz” i przejąć kontrolę nad naszą firmą. Używanie legalnego oprogramowania zabezpiecza nas przed kłopotami natury prawnej, a także daje większy komfort bezpieczeństwa – gdy korzystamy z oprogramowania tworzonego przez duże i szanowane firmy, niejako “podpinamy” się pod ich dobry wizerunek.

Aktualizuj oprogramowanie regularnie

Regularnie aktualizując oprogramowanie, dajemy sobie szansę na rozpoznanie potencjalnych ataków i dajemy sobie możliwość uniknięcia ich. Każdego dnia znajdowane są błędy bezpieczeństwa w oprogramowaniu którego używamy na co dzień, na przykład przeglądarkach internetowych. W wyniku tego twórcy oprogramowania często wypuszczają łatki poprawiające zabezpieczenia. Ignorując je i nie aktualizując oprogramowania, wystawiamy się na ogromne ryzyko: wystarczy, że jeden z pracowników, choćby przypadkowo, odwiedzi złośliwą stronę internetową, żeby haker przejął całkowitą kontrolę nad naszym systemem operacyjnym, wykorzystują niedawno odkryty i znano powszechnie i załatany w najnowszej wersji programu błąd.

Pluginy do przeglądarek chroniące użytkowników

Ataki webowe są bardzo popularne i istnieją metody pomagające nam się przed nimi chronić. Używanie pluginów typu AdBlocker pomoże nam uchronić się przed złośliwymi reklamami, które mogą nie tylko przekierowywać pracowników na strony phishingowe(wyłudzające dane), ale także bezpośrednio atakować system użytkownika.

Antywirus i ochrona przed ransomware

W obecnych czasach bardzo popularne jest wykorzystywanie dostępu do systemu komputerowego celem monetyzacji. Oprócz destrukcyjnych skutków infekcji wirusowej, mamy też coraz częściej do czynienia z atakami typu ransomware, podczas których hakerzy infekują komputer oprogramowaniem szyfrującym wszystkie dane. Jedynym sposobem na odzyskanie dostępu do plików jest zapłacenie wysokiego okupu, a i to zazwyczaj są pieniądze wyrzucone w błoto. Najważniejszą barierą ochronną jest oczywiście w tym przypadku zdrowy rozsądek użytkownika, który nie powinien ścigać, ani otwierać podejrzanych i nieznanych plików, które mogą potencjalnie doprowadzić do infekcji. Jednak w natłoku pracy potrzebny jest ktoś kto będzie trzymał rękę na pulsie i pomagał unikać zagrożeń. Idealnie sprawuje się w tej roli antywirus potrafiący rozpoznawać podstawowe typy ataków i zapobiegać ich kosztownym konsekwencjom.

Firewall i segregacja dostępu do danych

Ważne, żeby odseparować dostęp do różnych zasobów firmowych w celu minimalizacji konsekwencji ataku hakerskiego. Weźmy za przykład sytuację w której zhakowany zostaje komputer HR managera, w wyniku czego dochodzi do wycieku wrażliwych danych. Natomiast żeby zminimalizować koszty cyberataku, komputer działu HR powinien być odizolowany od reszty infrastruktury informatycznej, tak aby nie pozwalał na eskalacje uprawnień bądź atakowanie innych zasobów. Np, z komputera pracownika HR, atakujący nie powinien być w stanie przeskoczyć na wewnetrzne serwery IT, zawierające bazy danych użytkowników produktu sprzedawanego przez firmę.

Fizyczne zabezpieczenie biura

Technologiczne zabezpieczenia technologii są niesamowicie ważne, jednak wszystko blednie w sytuacji gdy całe nasze biuro jest nieodpowiednio zabezpieczone, i byle dostawca pizzy może ukraść laptopy leżące na biurkach. Zabezpieczenie fizyczne biur to często ignorowany aspekt cyberbezpieczeństwa, a jest on wręcz podstawową kwestią. Jeśli ktokolwiek może swobodnie wejść do naszej firmy, to hakerzy nie muszą się nawet wysilać na skomplikowane ataki techniczne. Wystarczy przyjść i zabrać komputery pracowników, aby uzyskać dostęp do wszystkich tajnych danych.

Niszczarka do poufnych dokumentów

Większość firm każdego dnia generuje stosy dokumentów zawierających informacje wrażliwe. W świecie bezpieczeństwa istnieje pojęcie “dumpster diving”, czyli dosłownie “nurkowania w śmieciach”. Hakerzy chcący zebrać jak najwięcej informacji o firmie, którą chcą zaatakować po prostu wskakują do jej kontenerów na śmieci, w poszukiwaniu dokumentów zawierających użyteczne dla nich informacje. Używanie niszczarki jest krytycznym etapem obiegu dokumentów w firmie.


Tekst powstał we współpracy z TestArmy. Kliknij i dowiedz się więcej!

Do góry!

Polecane artykuły

Zapisz się do naszego newslettera

Wyślij mi newsletter (Możesz się wypisać w każdej chwili).

email marketing powered by FreshMail
 

Subscribe to our newsletter

Send me your newsletter (you can unsubscribe at any time).

email marketing powered by FreshMail
 

Subscribe to our newsletter

email marketing powered by FreshMail