Sektor MSP obawia się cyberprzestępczości, której pada ofiarą. Ale nie ma pieniędzy na obronę przed nią.
Polskie firmy wiedzą, że cyberprzestępczość to poważny problem, który może narazić je na straty finansowe i wizerunkowe. To jedyny pozytywny wniosek z raportu „Cyberzagrożenia według polskich firm” przeprowadzonego przez Integrated Solutions, firmę zajmującą się cyberbezpieczeństwem.
W zdecydowanej większości (88 proc.) polskich małych i średnich firm cyberbezpieczeństwem zajmuje się dział IT. Jak zauważa Andrzej Różański, wiceprezes Integrated Solutions, problem w tym, iż zwykle to działy składające się zaledwie z kilku osób, które oprócz tego mają na głowie inne zadania – od wsparcia użytkowników w obsłudze sprzętu po utrzymanie systemów informatycznych. – Aktywna ochrona przed cyberzagrożeniami wymaga bycia na posterunku 24 godziny na dobę i stałego rozwijania kompetencji w tym obszarze – mówi.
– Ignorowanie cyberzagrożeń to proszenie się o biznesową tragedię – ostrzega Rafał Wiszniewski, ekspert ds. bezpieczeństwa w Orange Polska. – Nie mam na myśli wyłącznie celowych ataków skierowanych na wybraną wcześniej ofiarę. Włamywacze po prostu skanują sieć regularnie, w sposób automatyczny, szukając luk w zabezpieczeniach – dodaje. Jego zdaniem kluczowym pytaniem dla właścicieli firm nie jest „czy lub kiedy mnie zaatakują”, lecz „kiedy mnie zaatakowano”.
Jak wynika z badania, aż 72 proc. firm w ciągu roku było atakowanych kilka razy. Do kilku ataków w miesiącu przyznało się 10 proc. firm. Trzy procent ma ten problem kilka razy w tygodniu lub kilka razy dziennie.
Jakie są przyczyny ataków? Małe i średnie firmy najczęściej (45 proc.) wskazywały celowe działania hakerów. Ale nie tylko, bo istotną rolę odgrywa tu czynnik ludzki. Nieumyślne błędy pracowników lub nieprzestrzeganie przez nich procedur bezpieczeństwa wskazywało odpowiednio 44 proc. i 45 proc. badanych firm. Zdaniem Rafała Wiszniewskiego pracodawcy powinni uczulać swoich pracowników na podstawowe próby ataków. Pierwszym punktem takiego pracowniczego elementarza jest nieklikanie w załączniki do e-maili niewiadomego pochodzenia.
Zdaniem ekspertów sytuacja będzie tylko się pogarszać. Dzieje się tak dlatego, że hakerzy stają się w coraz większym stopniu „usługodawcami”. Nie trzeba dziś być programistą, by zaatakować firmę. Bazy danych są do kupienia w sieci, najczęściej na zamkniętych forach lub w tzw. ukrytej sieci. Atak można zamówić, wypełniając stosowny formularz co do oczekiwań, jakie zlecający z nim wiąże. – Cyberprzestępczy czarny rynek niewiele różni się od tradycyjnego. Znalezienie usług hakerskich nie jest proste, ale niestety jest możliwe – mówi Rafał Wiszniewski. Bez odpowiednich znajomości i wiedzy o sieci trudno będzie znaleźć kogoś, kto podejmie się kompleksowego ataku. Ale już – zdaniem Wiszniewskiego – relatywnie łatwo kupić zainfekowany plik, np. DDoS, służący do ataków mających przeciążyć infrastrukturę informatyczną ofiary. Jego zdaniem świadczy o tym wzrost zgłoszeń dotyczących zagrożeń DDoS w zeszłym roku aż o 40 proc. – Trudno oszacować wartość takich transakcji, ale jedno jest pewne: ruch w tym cyberinteresie nie słabnie. Można śmiało mówić o nadpodaży w przypadku sprzedawanych przez przestępców informacji i usług – mówi Rafał Wiszniewski.
Hakerom sprzyja to, że firmy zwykle nie mają pieniędzy na cyberbezpieczeństwo. Solidna platforma chroniąca przed złośliwym oprogramowaniem to wydatek rzędu 500 tys. zł i więcej. Potem trzeba ją jeszcze utrzymać, co też kosztuje. Tymczasem większość małych i średnich podmiotów przewiduje budżety w wysokości do 100 tys. zł. Co piąta nawet mniej. Cztery procent badanych nie ma w ogóle zamiaru inwestować w cyberbezpieczeństwo.
Firmy często wahają się przed zwiększaniem budżetów. Inwestycja w cyberbezpieczeństwo jest jak chuchanie na zimne. Dużo kosztuje, może się przydać, ale nie musi. Z drugiej strony, straty spowodowane ewentualnym zaniedbaniem tej kwestii mogą znacząco przewyższać wydatki. Dlatego firmy zajmujące się cyberbezpieczeństwem coraz częściej oferują ochronę w oparciu o chmurę obliczeniową. Przedsiębiorca zleca ochronę zewnętrznemu konsultantowi, płacąc miesięczny abonament od kilkuset do kilku tysięcy złotych.
Trudno oszacować straty finansowe z tytułu działalności hakerów, bo firmy nie zawsze chcą się przyznać do tego, że zostały okradzione. Z tegorocznego raportu PwC wynika, że co dziesiąta firma straciła na ataku od 150 tys. zł do 15 mln zł.
W Polsce jednym z najbardziej doniosłych ataków zeszłego roku było złamanie zabezpieczeń Plus Banku przez „Polsilvera”, najsłynniejszego polskiego hakera. W październiku został złapany przez policję, usłyszał 17 zarzutów, grozi mu do 10 lat więzienia. Głośnym echem odbił się przypadek urzędu miasta w Jaworznie, któremu w październiku trzej studenci, nie wychodząc z domu, ukradli prawie milion złotych.