Trzymajmy się procedur!
Korzystanie z legalnego oprogramowania czy używanie firmowych aplikacji opisane jest tzw. kodem dobrych praktyk – producent czy dostawca zaleca „kroki" bezpieczeństwa czy unikanie ryzykownych zachowań, mogących narazić nas nawet na przypadkową utratę danych, ponieważ złodziej bez mrugnięcia okiem skorzysta z samo nadarzającej się okazji. Jako klienci banków internetowych jesteśmy co chwila ostrzegani, by nie udostępniać nikomu swoich kodów i haseł, czy nie otwierać podejrzanych wiadomości mailowych, zazwyczaj przychodzących z adresów łudząco podobnych do oficjalnych, ale w treści wymagających od nas nietypowego czy wręcz dziwnego zachowania.
Przytłaczająca większość współczesnych przedsiębiorstw w codziennej działalności używa sprzętu komputerowego i oprogramowania, duża ich część stosuje w kontaktach wewnętrznych i z klientami urządzeń mobilnych. Coraz popularniejsze staje się tzw. drukowanie w sieci, gdzie ważna dokumentacja przesyłana jest siecią wi-fi, czy korzystanie z terminali, czyli używanie różnych urządzeń, w tym przenośnych, do logowania się do pożądanego programu i czasowej pracy na nim. Wszechobecne stają się aplikacje mobilne, na smartfony czy tablety, mające dostęp do danych naszych, firmowych, czy klientów, będące łatwą i wygodną formą komunikowania, realizowania usług czy kolejnymi kanałami sprzedaży.
ZOBACZ TEŻ: Uważaj na strony www z ikoną kłódki. Oszuści podszywają się pod banki
W każdym z tych wypadków jesteśmy narażeni na działania cyfrowych przestępców. Jednakże eksperci zwracają uwagę, że wyciek danych jest o wiele częściej skutkiem zadziałania tzw. "czynnika ludzkiego", niż efektem skoordynowanej akcji bandy hakerów. To może wynikać z kilku źródeł: z nieznajomości procedur, bądź ich lekceważenia, czyli:
- omijania instrukcji bezpieczeństwa producenta sprzętu i oprogramowania, z których korzystamy;
- niestosowania się do wewnątrz-firmowych reguł, choćby z pośpiechu;
albo przez celowe ich łamanie:
- nagminnie kopiowanie danych, by popracować w domu;
- korzystanie w pracy z własnego komputera i telefonu, które są w naszym mniemaniu "lepsze" niż korporacyjne;
- logowanie się w miejscach, do których nie mamy uprawnień lub umożliwianie dostępu osobom nieupoważnionym.
W takich wypadkach nie jest konieczny żaden skomplikowany atak, bo sami podajemy przestępcom nasze wrażliwe i kosztowne dobra na tacy i wystarczy je sobie po prostu wziąć. W świetle danych, zgromadzonych przez firmę VMWare, zajmującą się bezpieczeństwem w sieci, wynika, że przeważająca część personelu, mimo iż teoretycznie powinna być świadoma niebezpieczeństw wynikających z cyberprzestępczości i jest nawet w tym celu przeszkolona, to dziwnym trafem uważają, że ich ten problem nie dotyczy. Analiza wyników badania pokazuje, że 7 na 10 pracowników nie wierzy w pełną skuteczność firmowych zabezpieczeń! Równocześnie aż trzy czwarte przyznaje, że naruszyłoby procedury bezpieczeństwa danych, jeśli miałoby to podnieść skuteczność wykonywanych zadań.
Po drugie – nie utrudniać
Nie unikniemy zagrożeń, jeśli nie wykorzenimy złych nawyków u pracowników. Z drugiej strony bardzo istotne, a czasami równie trudne jest uświadomienie zagrożeń zarządowi spółki i osobom decyzyjnym średniego szczebla. Dopiero za tym idzie stosowanie zabezpieczeń software'owych i hardware'owych w różnych konfiguracjach i stopniach skomplikowania i zaawansowania.
Charakter używanych przez firmy zabezpieczeń zmienia się z roku na rok. Gwałtownie rośnie choćby liczba aplikacji używanych na co dzień przez firmy, a właśnie one są szczególnie narażone na ataki. Po pierwsze dlatego, że gromadzą szerokim gamę, często wrażliwych, danych użytkownika, a po drugie, że wiele osób nie traktuje korzystania z „apki" jako potencjalnego źródła poważnego zagrożenia.
ZOBACZ TEŻ: Ministerstwo Rozwoju idzie na odsiecz start upom
Tak więc kluczowym zadaniem konsultantów, doradzających w sprawie cyberbezpieczeństwa, oraz projektujących i wdrażających systemy zabezpieczeń, jest uświadomienie klientom, że problem wycieku danych w ich firmie jednak istnieje, a dalsze tego ignorowanie doprowadzi do poważnych strat i nieodwracalnych szkód. Z danych firmy VMWare wynika, że aż 90 procent osób odpowiedzialnych w spółkach za działy informatyczne nie informuje swoich przełożonych o incydentach związanych z bezpieczeństwem.
Mądry Polak po szkodzie?
Jeżeli dodać do tego, że kierownictwo IT w ponad jednej trzeciej firm spodziewa się, że w ciągu kilku najbliższych miesięcy zostanie zaatakowana, to malujący się obraz zagrożenia jest ogromny. Jeden jedyny wyciek danych klientów możemy zrujnować reputację firmy, budowanej przez długie lata. A często zdarza się, że spowodowany jest przez tylko i wyłącznie przez niefrasobliwość własnego pracownika. Firmy, których zadaniem jest poprawa ochrony danych u klienta, doskonale zdaje sobie sprawę, że ponad połowa zatrudnionych używa i będzie używać własnego sprzętu do pracy z służbowymi danymi. Mimo to są w stanie zaoferować rozwiązania, które będą chronić dane, nawet jeśli są gromadzone i używane na wielu różnych nośnikach. Polega to na tym, że możemy je wyświetlać, przeglądać, czy przetwarzać, ale nie jesteśmy ich w stanie kopiować, czy wysyłać w niepowołane, czy przypadkowe miejsca.
Zapewnienie bezpieczeństwa danych to w dzisiejszych czasach fundamentalny priorytet biznesowy, niezależnie od wielkości i skali działalności przedsiębiorstwa. Globalnie koszt naruszeń bezpieczeństwa sięga bez mała pół biliona dolarów rocznie i rośnie dalej, szybciej, niż wydatki na IT. Tak więc nie powinno się na nie szczędzić środków, ani czasu, zwłaszcza że zagrożeń ciągle przybywa. W miarę możliwości ochrona przed cyberatakami powinna być jak najbardziej kompleksowa - od szkoleń pracowników i wdrażania kodeksów postępowania, po zabezpieczenie sprzętu najnowocześniejszymi metodami, wliczając w to np. mikrofragmentację, która zamyka hakera tylko w tym miejscu, do którego się włamie, odcinając dostęp do pozostałych lokalizacji. Ich bardziej zaawansowany technologicznie jest sprzęt, tym nakłady rosną, niemniej i tak są niższe od ewentualnych kosztów, wynikłych z naszych zaniedbań i niedociągnięć. Mimo to specjaliści od zabezpieczeń sieci cyfrowych powtarzają aż do znudzenia, że jak nowoczesny, rozległy i złożony system zabezpieczeń by nie był, nic nie powstrzyma wycieku danych, jeśli sami nie będziemy się stosowali do procedur, a świadomość zagrożenia nie będzie sięgała wszędzie – od szeregowych pracowników po członków zarządu.
Dane pochodzą z badania wykonanego w marcu 2016 roku przez TNS Polska na zlecenie spółki VMWare.
Podcasty
Playlisty tematyczne
