Cyberprzestępczość, z roku na rok, rozwija się w zawrotnym tempie i jest realnym zagrożeniem dla każdej organizacji niezależnie od jej wielkości, branży czy położenia geograficznego. Pewnie każdy z nas już zna osobę lub firmę, która padła ofiarą takich przestępców i takich ofiar w naszym otoczeniu szybko przybywa. W branży mówi się:
„Właściwe pytanie jest: Nie czy będę ofiarą cyberprzestępstwa tylko kiedy”.
Są dwa główne powody dlaczego tak szybko przybywa cyberprzestępstw i stały się one praktycznie już naszą codziennością.
- Cyberprzestępczość jest bardzo dochodowa. Przy niskich nakładach można osiągać bardzo wysokie zyski. Rozwinął się cały przemysł cyberprzestępczy i można bez większego problemu na czarnym rynku (tzw. darknet) kupić złośliwe oprogramowanie (malware), kupić dostęp do organizacji, która wcześniej została zhakowana, sprzedać ukradzione dane. Można wyspecjalizować się w jednym rodzaju działalności przestępczej i świadczyć usługi w tym zakresie lub kupując usługi (programy) od poszczególnych grup (osób), składając jak przysłowiowe klocki lego, samodzielnie zorganizować atak na wybrany cel nawet nie posiadając bardzo specjalistycznej wiedzy.
- Skuteczna ochrona przed cyberzagrożeniami jest trudna, między innymi z poniższych powodów:
- Nierówność stron. My musimy ochronić się na całej powierzchni, żeby być skutecznym, a przestępca, wystarczy że znajdzie jeden słaby punkt. Cała powierzchnia to nie tylko punkty styku z internetem (urządzenia i usługi widoczne z zewnątrz organizacji) ale również wszelkiego rodzaje zdalne dostępy (praca zdalna teraz jest powszechna) i, to co najtrudniejsze, zabezpieczenia wewnątrz sieci (bo jeden klik w niewłaściwy link może wpuścić intruza do środka). Zinwentaryzowanie wszystkich zasobów IT, zasad dostępu, przepływy danych pomiędzy nimi jest już nie lada wyzwaniem, a do tego trzeba każdy z tych elementów odpowiednio zabezpieczyć.
- Przeświadczenie, że cyberbezpieczeństwo to tylko sprawa informatyka lub zespołu IT. Nie da się równie mocno zabezpieczyć całego systemu (bez wyjątków), chociażby z powodu kosztów. Dokładna inwentaryzacja wszystkich zasobów, a następnie nadanie priorytetów poszczególnym obszarom jest jednym z pierwszych działań w zakresie cyberbezpieczeństwa. Priorytety powinny być podporządkowane celom organizacji, więc odpowiednie ich przypisanie to już domena zarządzających.
- Najsłabszym elementem są ludzie. Ataki socjotechniczne, czyli tzw. hakowanie umysłów, cały czas są jednymi z najskuteczniejszych. Wykorzystują one wiedzę o naszych słabościach i wprowadzając nas w stan wysokiego pobudzenia emocjonalnego (np. strach, pośpiech) starają się nakłonić do działań nieracjonalnych. Łatwiej oszukać, nakłonić do przekazania danych lub pieniędzy. Ciągłe szkolenia personelu w tym zakresie jest z jednej strony konieczne, ale też, niestety, mało efektywne. Dużo skuteczniejsze jest stworzenie kultury bezpieczeństwa w organizacji gdzie buduje się świadomość zagrożeń i metody ich wychwytywania oraz zrozumienie dlaczego systemy informatyczne muszą być utwardzone (tzn. dużo mniej otwarte niż kiedyś). Przekonanie, że praca na uprawnieniach tylko absolutnie koniecznych jest dla pracownika korzystna, a nie odwrotnie. Tutaj, dział IT, bez zrozumienia i wsparcia zarządzających, sam sobie również nie poradzi.
- Historyczne uwarunkowania. Systemy w organizacjach były uruchamiane w różnym czasie, czasami kilka, kilkanaście lat temu, gdzie takie zagrożenia nie występowały wcale lub w dużo mniejszej skali. Tworzenie oprogramowania, architektura sieci były nastawione na uzyskanie jak największej produktywności (funkcjonalności i szybkości), co często było w jawnej sprzeczności z bezpieczeństwem. Dostosowanie takich systemów do dzisiejszych potrzeb to często duże i drogie przedsięwzięcie. Tutaj kluczowe jest ustalenie priorytetów i w tym kontekście rozpisanie planu działań i wydatków w czasie, które wymaga decyzji zarządzających.
Często skutki incydentów bezpieczeństwa są bardzo poważne, a nawet potrafią zagrozić dalszej egzystencji organizacji. Wycieki danych (poufnych, osobowych, wrażliwych), zaszyfrowanie wszystkich komputerów w firmie (co powoduje długie przestoje i duże koszty ponownego uruchomienia systemów), utrata danych łącznie z kopiami bezpieczeństwa, oszustwa wyłudzające dostępy do systemów użytkowników (np. do kont bankowych), wyłudzanie pieniędzy to tylko początek długiej listy bolesnych konsekwencji. Do tego jeszcze należy doliczyć dotkliwe kary RODO (liczone jako odsetek od wartości rocznego obrotu ofiary), w przypadku incydentów związanych danymi osobowymi.
Budowanie cyberodporności w organizacji jest zadaniem skomplikowanym i może być kosztowne. Dlatego ważne jest, żeby zabrać się do tego w sposób metodyczny, tak żeby osiągnięty wynik efekt/koszt był jak najlepszy wynik. Rekomendujemy następujące działania:
- Testowanie zabezpieczeń
- Inwentaryzacja aktywów (systemy, aplikacje, dane, procesy, itp.)
- Analiza ryzyka (w oparciu o inwentaryzację) z opracowaniem listy koniecznych zmian
- Wdrożenie zmian technicznych, w tym:
- Izolacja krytycznych danych (rozwiązania serwerowe i backupowe)
- Segmentacja sieci
- Utwardzenie stacji roboczych
- Monitorowanie podatności i zarządzanie aktualizacjami
- Zarządzanie ruchem w sieci
- Zbieranie i monitorowanie logów
- Wdrożenie zmian organizacyjnych, między innymi:
- Procedury
- Cyberhigiena obsługi urządzeń
- Szkolenia personelu
- Ciągłe sprawdzanie i poprawianie wdrożonych rozwiązań:
- Audyty i przeglądy
- Analiza incydentów
- Testowanie zabezpieczeń
