Mamy więc problem z zagrożeniami ataków hakerskich, przez które może być sparaliżowana działalność firmy, utrata danych, zaszyfrowanie danych lub ich upublicznienie, a na dodatkowo sankcje prawne, gdy wykaże się nam, że niedostatecznie zadbaliśmy o bezpieczeństwo infrastruktury IT.
Utrata danych, wizerunku, kary finansowe
Przy tym straty wizerunkowe firmy wydają się być najmniej bolesnym skutkiem cyberataku. Oprócz administracji publicznej to sektor finansowy i medyczny atakowany jest obecnie najczęściej. Od czasu konfliktu w Ukrainie liczba ataków hakerskich wzrosła o 78 proc. ze strony takich krajów jak Rosja, Korea Północna czy Iran, a liczba ataków na sam sektor bankowy jest liczona w tysiącach tygodniowo.
Dzisiaj coraz więcej zagranicznych kontrahentów wymaga od polskich partnerów, żeby wykazywali się odpowiednimi standardami bezpieczeństwa. Chodzi o podobne wymogi udostępniania danych w procesie interakcji biznesowych. Co z tego, że ktoś je dobrze chroni, skoro kontrahent nie daje odpowiedniej rękojmi? To taki samonapędzający się mechanizm, który służy nie tylko przedsiębiorcom, ale i konsumentom. Na zasoby informacyjne korporacji i firm składają się nasze wrażliwe dane: osobowe, finansowe, ubezpieczeniowe, medyczne.
Wymogi prawne nakazujące ich ochronę służą zatem do tego, żebyśmy wszyscy byli o nie spokojni. Przykładowo w zakresie danych osobowych są to wymogi RODO/UODO (kary mogą sięgać do 10 proc. rocznych przychodów). W przypadku danych finansowych, bankowych, ubezpieczeniowych itp. to wymóg tajemnice przedsiębiorstwa rekomendacja D - KNF. Przy danych medycznych - standardy i wymagania ISO/IEC 27001, a w przypadku operatorów usług kluczowych (telekomów, firm energetycznych energetyka itp.) - ustawa o Krajowym Systemie Cyberbezpieczeństwa.
Główny problem cyberbezpieczeństwa
To nie brak świadomości jest problemem - wbrew opinii wielu ekspertów cyberbezpieczeństwa. Przedsiębiorcy i zarządzający to ludzie zazwyczaj świadomi problemu. Braki w zarządzaniu cyberbezpieczeństwem często wynikają z nawału obowiązków oraz wielu innych wyzwań rynkowych. Firmy chcą zarabiać pieniądze, natomiast bezpieczeństwo generuje koszty. Trudno przedstawić księgowym uzasadnienie takich wydatków. To są potencjalne korzyści bądź potencjalne straty. Coś na kształt polisy ubezpieczeniowej.
Dziś nie trzeba być hakerem, aby zaatakować firmę. Koszt zaczyna się od 100 dol. Wystarczy wykupić taką usługę w dark czy deep necie. Można zamówić atak ransomware, DDoS oraz inne rodzaje np. kampanie phishingowe, w zależności od tego, czy interesują nas pewne aktywa, czy zablokowanie działalności firmy. Są też ataki nie celowane, które wykrywają najsłabsze ogniwa, takie jak niewiedza pracowników lub słabości systemów bezpieczeństwa. Bardzo trudno się przed nimi obronić bez specjalistycznych przygotowań.
Bezpieczeństwo kosztuje, ale nie chodzi tylko o pieniądze. To także dostępność ekspertów. Na rynku jest niedosyt specjalistów i firm od cyberbezpieczeństwa. Warto więc już teraz pomyśleć o podnoszeniu kompetencji wewnętrznych działów IT lub nawiązywać współpracę z firmami i specjalistami wspierającą bezpieczeństwo teleinformatyczne przedsiębiorstwa.
Inwestycje w cyberbezpieczeństwo
Nikt jednak nie weźmie za zarządzających firmami odpowiedzialności w zakresie cyberbezpieczeństwa. Jeśli mamy wątpliwości czy dostatecznie jesteśmy chronieni, należy przeprowadzić analizy ryzyka po to, aby sprawdzić, w jakim miejscu jesteśmy. Potrzebny jest audyt bezpieczeństwa, a jeżeli ktoś nie ma kompetencji, powinien do tego zatrudniać specjalistów. Dobierzmy ludzi od bezpieczeństwa. Dbajmy o nasze działy IT i szkolmy naszych pracowników.
Nierzadko informatyk jest od wszystkiego. Wyłącza systemy bezpieczeństwa, firewalle, antywirusy, bo sieć jest przeciążona. Może lepiej zainwestować w urządzenia o większej przepustowości? Sfera bezpieczeństwa uległa takiej specjalizacji, że nie każdy informatyk temu podoła. Widzimy nawet problemy z prawidłowym wykonywaniem kopii zapasowych (backup) lub aktualizowaniem systemów informatycznych i aplikacji. Tym bardziej że większość działa też na urządzeniach mobilnych. Tymczasem przestępcy dobrze wiedzą, ile mogą uzyskać od danej firmy.
Życzyłbym wszystkim, aby żaden przedsiębiorca nie musiał rozwiązywać dylematu, czy wypłacić hakerom okup? Żeby był przygotowany do zminimalizowania strat i czuł się po prostu bezpiecznie pod każdym względem.
Autorem artykułu jest Jarosław Bartniczuk - ekspert Business Centre Club oraz prezes zarządu firmy Interguard.
Artykuł powstał we współpracy merytorycznej Akademii Biznesu Money z Business Center Club.
Artykuł sponsorowany