Artykuły Branżowe:

08 July 2022

KAŻDA firma jest zagrożona cyberatakiem

Cyberataki już dawno przestały być filmową fikcją, tylko codziennością, która dotyka także małe i średnie przedsiębiorstwa. Nieustannie rozwija się skala zagrożeń, bo hakerzy wymyślają coraz więcej sposobów, żeby wykraść cenne zasoby firm. Warto więc zadbać o podstawowe filary bezpieczeństwa, zanim będzie trzeba zmierzyć się z przykrymi konsekwencjami wycieku danych.

Codzienność biznesowa firm opiera się na systemach informatycznych a przechowywanie danych w formie drukowanej już dawno odeszło do lamusa. Nowoczesne środowisko biznesowe oraz wartość jaką mają przechowywane dziś dane, otworzyło szerokie pole do działań przestępczych. - Technologia zmienia się bardzo dynamicznie i wraz z nią zmieniają się zagrożenia i możliwości, jakimi dysponują hakerzy. – mówi Rafał Stępniewski, prezes zarządu Rzetelnej Grupy sp. z o.o., redaktor naczelny “Security Magazine” i serwisu politykabezpieczenstwa.pl - Sztuczna inteligencja z jednej strony pomaga w prowadzeniu biznesu, a także jest wykorzystywana w zakresie cyberbezpieczeństwa, ale korzystają z niej również hakerzy, tworząc złośliwe oprogramowanie typu malware. Kierunków ataku jest wiele: zaczynając od szeregu odmian phishingu, malware, spyware, trojanów i keyloggerów, przez luki w oprogramowaniu na komputerach osobistych czy też serwerach, na których działają systemy firmowe. Nie bez znaczenia są również zagrożenia wewnątrz firmy, które może stworzyć nieświadomie lub z premedytacją jej pracownik. – dodaje Rafał Stępniewski.

Jeśli rozważamy zagrożenia z perspektywy zasobów firmowych to dość często spotykamy się z nieupoważnionym dostępem oraz utratą danych. O ile sama utrata danych jest zjawiskiem łatwo identyfikowalnym i zwykle dość szybko zauważalnym, to utrata nadzoru nad poufnością informacji niestety taką nie jest. - Trzeba mieć głęboką świadomość technologii, w których poruszamy się na co dzień, co, gdzie i z czym synchronizujemy, jak efektywnie zarządzamy uprawnieniami, jak często analizujemy ich zasadność i czy ogólnie dbamy o ochronę naszych danych nie tylko przed intruzami ale także przed naszą własną nieuwagą lub nawet lekkomyślnością. – mówi Bartosz Kozłowski z firmy Sagenso - Warto być świadomym tego, że nieautoryzowany dostęp do danych to kategoria zagrożeń właściwa nie tylko dla hakerów. Jest to zagrożenie, które w niemniejszym stopniu dotyczy także pracowników, którzy świadomie lub nieświadomie tworzą kategorię zagrożeń insider-threat. – dodaje Kozłowski.

 Hakerzy nie interesują się małymi firmami?

To jest mit. Małe i średnie firmy są łatwym łupem dla cyberprzestępców, ponieważ często mają mniejszą świadomość zagrożeń i słabsze zabezpieczenia. - Cele hakerów są niezmienne od lat - albo okraść ofiarę bezpośrednio, np. włamując się na konto bankowe, albo wykorzystać jej dane lub infrastrukturę do innych działań, które finalnie mają dać im zarobić, np. przez sprzedaż danych albo szantaż. – mówi Rafał Stępniewski - Małe i średnie firmy, są szczególnie narażone, ponieważ często nie mają świadomości w zakresie zagrożeń i sposobów, jak się przed nimi zabezpieczyć. Dodatkowo firm tego typu jest bardzo dużo, więc haker może osiągnąć efekt skali. Przykładowo zamiast próbować wyłudzić okup w kwocie 10 mln od korporacji można żądać po 10 tys. od 1 tys. firm, np. za odszyfrowanie danych - pamiętając cały czas o automatyzacji całego procederu. Koszt w stosunku do efektu może być nawet lepszy z punktu widzenia hakera. – przestrzega Stępniewski.

Jak podkreśla Aleksandra Samek z firmy Marken (główny dystrybutor Bitdefender), zgodnie z ubiegłorocznym raportem US National Cyber Security Alliance, aż 62 procent cyberataków bierze na cel małe lub średnie firmy. - Musimy mieć świadomość, że są to dziesiątki tysięcy ataków dziennie. – mówi Aleksandra Samek - Cyberprzestępcy specjalizują się w psychologii behawioralnej i wykorzystują to, że pracownicy małych przedsiębiorstw czują się bezpieczni i podczas pracy popełniają błędy natury ludzkiej. Właśnie dlatego każde przedsiębiorstwo potrzebuje skutecznego oprogramowania antywirusowego oraz jasnego i czytelnego planu na wypadek wystąpienia cyberzagrożenia. – dodaje specjalistka z firmy Marken.

Zacznij od świadomości zagrożenia

Tocząca się na Ukrainie wojna, która równolegle trwa w cybeprzestrzeni, otworzyła wielu przedsiębiorcom oczy na to, jakimi instrumentami dysponują dziś hakerzy. Ta świadomość staje się powoli czynnikiem zmian w otoczeniu biznesowym i wdrażaniu odpowiednich zabezpieczeń. Od czego zacząć ten proces? - 3 x świadomość. Świadomość kierownictwa tego, jaki wpływ ma i może mieć cyberbezpieczeństwo na ich organizacje i jaka jest w tym rola zarządu. Świadomość pracowników tego, jak identyfikować i jak przeciwstawiać się zagrożeniom. I wreszcie świadomość naszych partnerów biznesowych w oczekiwaniach, jakie powinni spełniać, abyśmy mogli bezpiecznie powierzać im nasze zasoby. To jest absolutny fundament, na którym dopiero można budować nie tylko skuteczny, ale naprawdę wartościowy system ochrony naszej organizacji.  – mówi Bartosz Kozłowski.

Jak twierdzą nasi eksperci, w kontekście bezpieczeństwa danych, uogólniając, możemy mówić o bezpieczeństwie fizycznym, informatycznym, biznesowym i prawnym. Najważniejsze i najbardziej newralgiczne jest bezpieczeństwo informatyczne. - Należy je postrzegać całościowo tj. zwracać uwagę na każde urządzenie i oprogramowanie, z którego korzystamy (telefon, laptop, drukarka, urządzenia sieciowe, serwery, aplikacje własne, czy też chmurowe). Każdy element systemu jest oprogramowaniem lub ma swoją konfigurację, możliwości dostępu i jest podatny na atak z wielu stron. Poprawna konfiguracja oraz aktualizacja oprogramowania jest podstawą. – mówi Rafał Stępniewski.

Postaw na zaawansowane zabezpieczenia

Rynek rozwiązań antywirusowych rozwija się dynamicznie i większość z nich opiera się już na bardzo skutecznych technologiach, które jeszcze do niedawna były przeznaczone głównie dla jednostek SOC (Security Operation Center). - Technologie takie jak EDR/XEDR/XDR czy Sandboxing na stałe weszły do oferty niektórych producentów – mówi Karol Mondry, Security Product Manager w firmie Senetic – Objaśniając chociażby pierwszy z nich - EDR - to system monitoringu oraz głębokiej analizy systemu i procesów (np. w pamięci stacji końcowej). W odróżnieniu od innych systemów detekcji, nie pozwala on na łatwe przeoczenie zagrożenia. Dzięki temu możemy łatwo ustalić wektor ataku, metodę i czas oraz otrzymać od razu możliwości adekwatnej reakcji, czy natychmiastowego załatania potencjalnej luki w zabezpieczeniach. Zatem w skrócie, EDR to szybkie wykrycie i reakcja (w tym poprzez analizę wzorców MITRE Attack). I choćby dlatego taka ochrona jest wskazana w kontekście obecnego poziomu cyberzagrożenia. – tłumaczy Karol Mondry.

Pierwszym, zdecydowanie najniebezpieczniejszym zagrożeniem jest zainfekowanie systemu złośliwym oprogramowaniem typu ransomware. - Ransomware to oprogramowanie szyfrujące, które po uruchomieniu przez użytkownika, szyfruje zasoby firmy oraz uniemożliwia do nich dostęp. Rozszyfrowanie zainfekowanych danych bez deszyfratora jest praktycznie nie możliwe, dlatego ofiara tego cyberprzestępstwa otrzymuje od przestępcy ofertę jego kupna. Zagrożenie w tym wypadku polega na tym, że firma bardzo często jest zmuszona do tego, aby wykupić dostęp do swoich krytycznych danych, bez których nie może funkcjonować i nie ma gwarancji, że po uiszczeniu opłaty faktycznie otrzyma deszyfrator. – tłumaczy Aleksandra Samek z firmy Marken. Najlepszym rozwiązaniem jest regularne robienie backupów oraz posiadanie oprogramowania antywirusowego, które uniemożliwia infekcję komputera oprogramowaniem typu ransomware, albo chociaż łagodzi jego skutki.

Oprócz systemów antywłamaniowych warto pomyśleć o absolutnej podstawie bezpieczeństwa, jaką stanowi obligatoryjny już dziś backup. Stosowanie backupu ochroni firmę przed paraliżem w przypadku udanego ataku hakerskiego. - Sprawne odzyskanie danych jest kluczowe w przywróceniu ciągłości pracy firmy, dlatego bardzo istotne jest wybranie sprawdzonego i niezawodnego rozwiązania oraz stosowanie się do zaleceń dotyczących przechowywania kopii zapasowych. – mówi Maciej Ścigała, Business Unit Manager w firmie Senetic - Jedną z uniwersalnych reguł dotyczących kopii zapasowych, która zapewnia ratunek niezależnie od rodzaju awarii jest reguła 3-2-1. Mówi ona o tym, gdzie i ile kopii zapasowych przechowywać. W skrócie, zasada 3-2-1 oznacza, że należy: mieć co najmniej trzy egzemplarze danych; przechowywać kopie na dwóch różnych nośnikach; przechowywać jedną kopię zapasową na zewnątrz firmy (off site). – radzi Maciej Ścigała.

 

Jednorazowe wdrożenie odpowiednich środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania danych jest niewystarczające. - Dbanie o ochronę danych jest procesem ciągłym. Zmieniają się technologie, z których korzystają cyberprzestępcy, powstają nowe zagrożenia, rośnie ich skala. – mówi Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych - Dlatego RODO wymaga, by administratorzy regularnie testowali, mierzyli i oceniali skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. – dodaje Sanocki.

Co w przypadku wycieku danych?

Czasami nawet pomimo staranności ze strony firm dochodzi do wycieku danych. W takiej sytuacji należy zacząć od zbadania sytuacji, określenia zakresu i skali wycieku danych oraz oceny ryzyka. - Jeżeli w związku z naruszeniem istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na osoby, których dane dotyczą, to wówczas należy zawiadomić organ nadzorczy, na co administrator ma 72 godziny. – tłumaczy rzecznik prasowy Urzędu Ochrony Danych Osobowych - Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Jeżeli natomiast istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych, administrator o sytuacji poinformował również osoby, których te dane dotyczą. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu, adres. – dodaje Sanocki.

Celem zgłaszania naruszeń Prezesowi UODO w ciągu 72 godzin jest m.in. dokonanie przez organ nadzorczy oceny, czy administrator prawidłowo wypełnił obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą, o ile faktycznie wystąpiła sytuacja, w której ma obowiązek to zrobić, czy podjął też odpowiednie działania w celu zminimalizowania ryzyka wystąpienia podobnego naruszenia w przyszłości.  - W przypadku poważnych naruszeń bardzo ważny jest czas reakcji. Dlatego, gdyby okazało się np., że administrator powinien powiadomić nie tylko UODO, ale także osoby, których dotyczy dane zdarzenie, a tego nie zrobił, to wówczas można szybko wskazać mu taką konieczność. Bardzo ważne jest bowiem, by osoby, których dane zostały np. ujawnione czy skradzione albo w inny sposób naruszone, mogły po takim powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami.

Osoby, których dane zostały skradzione, powinny założyć konto w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej oraz zachowywać jeszcze większą ostrożności podczas podawania danych przez Internet lub telefon, by np. osoby o nieuczciwych zamiarach nie uzyskały dodatkowych danych, które ułatwia im np. tzw. kradzież tożsamości.

Konsekwencje wycieku danych zawsze są nieprzyjemne dla firmy. Mogą wiązać się z paraliżem funkcjonowania przedsiębiorstwa, czy koniecznością powiadomienia o incydencie klientów, co może wpłynąć na ich zaufanie do firmy. W czasach, kiedy cenne aktywa przechowywane są w postaci cyfrowej, warto zadbać o zabezpieczenia, niezależnie od tego czy prowadzimy małe czy większe przedsiębiorstwo.

 

Joanna Muszyńska - Artykuł Gazeta PIAP 22/2022

 

powrót do listy