Pracownicy są „prawdopodobnie największym zagrożeniem dla bezpieczeństwa firm” – wynika z badania Wombat Security Technologies. Aż 31 proc. najgorszych naruszeń bezpieczeństwa firm w 2015 r. było ich „zasługą”. Incydenty dotyczyły nie tylko takich zdarzeń jak pobieranie zawierających złośliwy kod załączników do poczty elektronicznej, odwiedzanie ze służbowych komputerów niebezpiecznych witryn internetowych czy ciągłe używanie tych samych, słabych haseł do logowania się do firmowej sieci. Równie niebezpieczne były sytuacje, gdy pracownicy zatajali incydenty bezpieczeństwa, które sami wywołali, uniemożliwiając w ten sposób firmom odpowiednią reakcję na zagrożenie.

Skala zagrożeń dla cyberbezpieczeństwa, stwarzanych codziennie przez pracowników, jest większa, niż mogłoby się wydawać. Z badań firmy Ipswitch wynika, że aż 84 proc. pracowników na świecie wykorzystuje prywatne e-maile do wysyłania i odbierania poufnych plików służbowych. Ponad 50 proc. naraża firmy na ataki, wgrywając pliki i dokumenty na prywatne konta usług w chmurze, takich jak Dropbox czy WeTransfer. Nie robią tego celowo – po prostu większość z nich nie rozumie, jak działają przestępcy w internecie.

Problem z każdym rokiem jest coraz większy, w miarę rozpowszechniania się technologii mobilnych, outsourcingu i pracy zdalnej. Według raportu Ponemon Institute najpoważniejsze naruszenia cyberbezpieczeństwa firm wynikają najczęściej z błędów pracowników (42 proc.), używania przez nich w pracy prywatnych urządzeń (29 proc.) i korzystania do celów służbowych z domowej lub publicznej sieci (21 proc.).

Plaga zatajania informacji

40 proc. firm na całym świecie zetknęło się z problemem zatajania przez pracowników incydentów związanych z naruszeniami bezpieczeństwa IT – wynika z badania przeprowadzonego przez firmy Kaspersky Lab i B2B International. Taka sytuacja może prowadzić do dramatycznych konsekwencji, zwiększając wywołane już szkody. Szczególnie ważne jest to w kontekście wejścia w życie rozporządzenia RODO.

W 2017 r. portal Zaufana Trzecia Strona ujawnił, że dane osobowe klientów Netii są ogólnodostępne w internecie z powodu błędu w konfiguracji oprogramowania dla serwisantów. Obowiązujące od 25 maja 2018 r. na terenie Unii Europejskiej Rozporządzenie o Ochronie Danych Osobowych (RODO) zakłada dotkliwe kary za incydenty związane z wyciekami danych osobowych. Artykuł 32. dotyczący bezpieczeństwa przetwarzania danych przewiduje sięgające 10 mln euro kary za uchybienia zasadom cyberbezpieczeństwa w firmie, która takie dane posiada. Jednocześnie rozporządzenie nie przewiduje wyjątków dotyczących wielkości firmy: nie ma więc znaczenia, czy za wyciek odpowiada międzynarodowa korporacja, czy ktoś prowadzący jednoosobową działalność gospodarczą.

-------------------------------------------------------------------------------------------------------------------

Do liderów sporo nam jeszcze brakuje

Według raportu ITU Global Cybersecurity Index Polska zajmowała w 2017 r. 33. miejsce na świecie pod względem rozwoju cyberbezpieczeństwa z wynikiem 0,622 pkt. Liderem jest Singapur, który uzyskał 0,925 punktu (maksymalny poziom – 1 pkt). Zaraz za zanim plasują się Stany Zjednoczone. W Europie Polska zajmuje 16. miejsce, za Włochami i przed Danią. Liderami na naszym kontynencie są Estonia, Francja i Norwegia. Wskaźnik GCI ilustruje stopień przygotowania poszczególnych krajów do wyzwań związanych z cyberbezpieczeństwem. Bierze pod uwagę takie aspekty, jak: prawo, technologia, organizacja, zdolność do budowy kompetencji oraz kooperacji z innymi krajami w ramach ustalonych działań.

Nagłośnione wiosną br. przez media konsekwencje, wynikające z niestosowania się do rozporządzenia RODO, zwiększyły w dużym stopniu zainteresowanie kwestiami cyberbezpieczeństwa danych. Jednak często pracownicy wolą narazić organizację na ryzyko strat niż zgłosić problem. Powodem jest to, że niektóre firmy obarczyły zatrudnionych dodatkową odpowiedzialnością za kwestie bezpieczeństwa danych. W efekcie tuszują oni cyberincydenty, gdyż obawiają się kary lub ujawnienia braku kompetencji. Wyjściem z takiej sytuacji może być budowanie w firmach odpowiedniej kultury bezpieczeństwa, m.in. poprzez szkolenia zwiększające wiedzę pracowników na temat cyberzagrożeń, a także działania kierownictwa zachęcające podwładnych do czujności i współpracy.

--------------------------------------------------------------------------------------------------------------

10 przykazań cyberbezpieczeństwa dla pracowników

• Stosuj długie i zróżnicowane hasła do logowania w różnych miejscach firmowej sieci i internetu.

• Nie zostawiaj zapisanych haseł na biurku.

• Regularnie zmieniaj hasła w najważniejszych miejscach.

• Nie zostawiaj swoich danych osobowych w nieznanych lub niesprawdzonych serwisach.

• Regularnie aktualizuj oprogramowanie, w tym smartfonów i innych urządzeń mobilnych.

• Nie otwieraj podejrzanych e-maili i załączników.

• Nie klikaj w podejrzane reklamy i nie wchodź na strony, które nie mają zielonej kłódki widocznej na pasku adresu.

• Zgłaszaj przełożonym zauważone incydenty bezpieczeństwa, a także własne błędy i niedopatrzenia, np. utratę pendrive’a z firmowymi danymi.

• Jeśli musisz wykorzystywać prywatną pocztę elektroniczną lub usługi w chmurze do przesyłania firmowych plików, upewnij się, że są one zabezpieczone silnymi hasłami.

• Używaj funkcji szyfrowania dysku w laptopie, który często zabierasz w podróże służbowe.

Czego brakuje pracownikom?

O kwestiach cyberbezpieczeństwa trzeba rozmawiać na wszystkich szczeblach firmy. Czasem potrzebne jest zwyczajne uczulenie pracowników na możliwe zagrożenia i stosowane przez hakerów socjotechniczne tricki. Kolejnym krokiem może być zorganizowanie szkoleń i wdrożenie odpowiednich procedur. Oto kilka przykładowych tematów.

• Hasła i loginy. Są pierwszą linią obrony systemu teleinformatycznego firmy. Żadne wyrafinowane zabezpieczenia nie pomogą, jeśli hasła są słabe i atakujący odgadnie je i podszyje się pod prawdziwego użytkownika. Wewnętrzne systemy monitoringu bezpieczeństwa sieci nie wykryją takiego ataku. Silne hasła i używanie menedżerów haseł może znacznie utrudnić działanie cyberprzestępcom.

• Uwierzytelnianie dwuskładnikowe. Włączając je, dokładamy kolejną warstwę zabezpieczeń w postaci telefonu, na którą przychodzi SMS z kodem weryfikującym próbę logowania.

• Programy antywirusowe. Umożliwiają rozpoznawanie podstawowych typów ataków i ostrzegają przed nimi. Warunkiem jest jednak regularna aktualizacja takiego oprogramowania – codziennie odkrywane są nowe rodzaje złośliwych kodów, które firmy produkujące antywirusy muszą dodać do ich „listy zagrożeń”, aby nadal były skuteczne.

• Regularna aktualizacja oprogramowania. Każdego dnia firmy zajmujące się cyberbezpieczeństwem, a także twórcy oprogramowania, znajdują luki i błędy w systemach operacyjnych lub przeglądarkach internetowych. Do sieci wypuszczane są wówczas „łatki”, likwidujące niebezpieczne „dziury”. Niestety, z wiedzy tej korzystają też hakerzy, którzy natychmiast próbują dostać się do cudzych komputerów przez nowo odkryte luki. W taki właśnie sposób, przez wykorzystanie luki w systemie Windows, został przeprowadzony atak typu ransomware za pomocą złośliwego kodu WannaCry wiosną ub. roku. Chociaż poprawka eliminująca lukę bezpieczeństwa została wydana przez Microsoft już 14 marca 2017 r., 300 tys. komputerów na całym świecie zostało zainfekowanych ze względu na opóźnienia ich użytkowników w instalacji aktualizacji zabezpieczeń.

• Używanie legalnego oprogramowania. Złośliwy kod może ukrywać się także w pirackich wersjach komercyjnych programów. Zainstalowanie takiej kopii na firmowym komputerze umożliwia cyberprzestępcom otwarcie od wewnątrz drzwi do firmowej sieci i przejęcie nad nią kontroli.

• Szyfrowanie dysków na komputerach przenośnych. Czasem cyberprzestępcy działają w konwencjonalnych sposób – po prostu wchodzą do firmy i kradną sprzęt bądź zabierają go np. ze służbowego samochodu pracownika. Nawet zwykły złodziej może doprowadzić do wycieku firmowych danych, które znalazł na skradzionym urządzeniu. Szyfrowanie dysków to funkcja wbudowana w każdy nowoczesny system operacyjny. Pomaga także zabezpieczyć się w sytuacji, kiedy trzeba oddać sprzęt do serwisu, gdzie firmowe dane firmy również mogłyby wpaść w niepowołane ręce.

• Pluginy zabezpieczające do przeglądarek. Ataki przez sieć to najczęściej stosowana przez cyberprzestępców metoda. Używanie pluginów typu AdBlocker pomaga nie tylko chronić się przed niechcianymi reklamami, ale także przed tymi, które mogą przekierowywać pracowników na strony wyłudzające dane lub zarażone złośliwym kodem.

• Segregacja dostępu do danych. Pozwala uniknąć sytuacji, w której haker, przejmując kontrolę nad jednym komputerem z firmowej sieci, zyskuje od razu dostęp do wszystkich danych firmy. Aby tego uniknąć, komputery różnych działów (bp. HR, sprzedaż, księgowość) powinny być oddzielone od siebie za pomocą wewnętrznych firewalli.

• Stosowanie rozwiązań VPN w pracy zdalnej. VPN, czyli Virtual Private Network – wirtualna sieć prywatna, umożliwia szyfrowanie połączeń internetowych między firmą a słabo zabezpieczonymi komputerami pracowników zdalnych lub znajdujących się na przykład w podróży służbowej. VPN stosowana jest często w sieciach korporacyjnych firm, których użytkownicy pracują ze swoich domów. Rozwiązanie to sprawdza się także w firmach, których pracownicy często podróżują.

• Zabezpieczenie biura i dokumentacji. Żadne technologiczne zabezpieczenia nie pomogą, jeśli do firmy może wejść osoba nieupoważniona i ukraść np. laptopy, telefony, pendrive’y czy karty pamięci z biurek lub szuflad. Zabezpieczenie fizyczne biur to często ignorowany aspekt cyberbezpieczeństwa. To samo dotyczy dokumentacji. Często hakerzy chcący zebrać jak najwięcej informacji o firmie, którą zamierzają zaatakować, wyciągają po prostu jej dokumenty z kontenerów na śmieci. Posiadanie i używanie niszczarek jest więc tak samo ważne, jak kodów zabezpieczających do drzwi wejściowych oraz mocnych haseł i loginów do komputerów i zasobów firmowej sieci.

Ataki za pomocą komputerów będą się nasilać

Czy polskie firmy mają świadomość wartości danych, które przechowują na swoich serwerach?

Przedsiębiorcy podchodzą do tego tematu w sposób wybiórczy. Często nie biorą pod uwagę liczby danych przechowywanych w sieci firmowej. Szczególnym przykładem są tu firmy małe, ale przetwarzające dużo danych osobowych; agencje pośrednictwa pracy, firmy organizujące konkursy czy rekrutacje. Gdyby z ich baz wyciekły wszystkie zebrane informacje, to w konsekwencji mogłoby to spowodować duże kary finansowe, przekraczające możliwości przedsiębiorcy. Rozporządzenie RODO w pewnym stopniu uczuliło Polaków na ten problem, jednak i w tym przypadku firmy skupiły się tylko na części danych. Pomijając na przykład lepsze zabezpieczenie informacji o kontrahentach, których przechwycenie może oznaczać przejęcie klientów firmowych.

Na ile firmy same edukują swoich klientów w zakresie cyberbezpieczeństwa?

Niektóre firmy prowadzą działania edukacyjne. Prym w tym wiodą banki. Wiedzą, że jeśli ich klient padnie ofiarą ataku hakerskiego i w efekcie ktoś przejmie jego konto lub zleci elektroniczną płatność, to odpowiedzialność ostatecznie i tak spadnie na bank. Dlatego banki wskazują ryzyko, informują o konieczności aktualizacji oprogramowania czy stosowania mocnych haseł oraz częstej ich zmiany. W ten sposób minimalizują ryzyko kolejnego cyberincydentu. Uważam, że większą rolę mogłyby w tej sprawie odegrać instytucje państwowe. W sytuacji, gdy połowa Polaków korzysta z internetu w sposób ciągły, niezbędna jest taka sama profilaktyka cyberzagrożeń, jak w przypadku profilaktyki chorób czy używek.

Dlaczego cyberbezpieczeństwo należy traktować jak długoterminową inwestycję?

Wraz z postępem technologicznym ataki za pomocą komputerów będą się nasilać. Cały biznes zmierza w stronę cyfryzacji. Pewnego dnia obudzimy się w świecie, w którym wszystko będzie podłączone do sieci. Dziś nie jesteśmy w stanie wyobrazić sobie życia ani produkcji bez prądu, chociaż jeszcze 50 lat temu było to możliwe. Podobnie będzie z internetem. Niedługo jego brak będzie tak samo dużym zagrożeniem, jak dziś brak prądu. Firmy, które nie zainwestują w odpowiednim momencie w cyberbezpieczeństwo, po prostu znikną z rynku.

Czy ubezpieczenie pomaga chronić się przed takim scenariuszem?

Kupując ubezpieczenie od cyberzagrożeń, firmy nie tylko chronią się przed odpowiedzialnością cywilną czy konsekwencjami utraty danych, ale kupują też zaufanie klientów. Ostatecznie wielu z nas zwraca uwagę, jakiej firmie przekazuje swoje dane, na przykład z karty kredytowej. Jeśli dowiadujemy się, że taka firma miała problemy, raczej jej nie zaufamy. A w miarę postępu technologicznego wymagania wobec standardów cyberbezpieczeństwa będą rosły.