Wyciek danych to nie tylko utrata pieniędzy. Jak zapewnić firmie bezpieczeństwo IT?

Czasy, w których program antywirusowy wystarczył do ochrony firmowej sieci przed zagrożeniami już dawno minęły. Cyberprzestępcy nie ustają w wymyślaniu coraz to nowych sposobów na łamanie zabezpieczeń IT i z roku na rok atakują częściej. Ataki hakerskie stanowią realne zagrożenie zarówno dla dużych, jak i małych firm. Jak się przed nimi chronić?

Bezpieczeństwo IT jest dziś sprawą fundamentalną, dającą gwarancję płynności danego biznesu. Przesada? Nic bardziej mylnego. Bo co jest najcenniejszym dobrem każdej firmy w XXI wieku? Dane. Bez względu na to czy mówimy o dużym przedsiębiorstwie, czy mniejszym biznesie - informacje o klientach, zarobkach, stratach, umowach czy planach strategicznych to niezwykle ważna rzecz. Brak kontroli nad takimi danymi - wskutek na przykład ataku hakerskiego - może nieść za sobą nieodwracalne konsekwencje. I nie chodzi tu wyłącznie o straty finansowe, ale przede wszystkim utratę wiarygodności, odejście klientów, a w konsekwencji nawet upadek danego biznesu.

Bez odpowiedniej ochrony IT narażamy się nie tylko na wyciek danych, ale też szereg innych zagrożeń. Popularne w ostatnim czasie są ataki typu ransomware. Polegają m.in. na tym, że ktoś blokuje nam dostęp do systemu, by potem domagać się okupu za jego odblokowanie. Nierzadko słychać też o podszywaniu się pod domeny konkretnych firm (spoofing domen internetowych) i - na przykład - wysyłaniu do ich klientów e-maili zachęcających do kliknięcia w dany link, który potem pozwoli zdobyć dostęp do urządzenia odbiorcy.

Według ostatniego raportu bezpieczeństwa ESET Threat Report T1 2022 - zagrożenia związane z pocztą e-mail odnotowały wzrost na poziomie niemal 40 proc. w pierwszych czterech miesiącach bieżącego roku, w porównaniu do czterech ostatnich miesięcy 2021 roku.

Mniejszych to też dotyczy

Właściciele mniejszych firm często myślą, że ich sprawa nie dotyczy. Uważają, że hakerzy wolą wziąć na celownik duże przedsiębiorstwa, bo te chętniej poddają się szantażom i są w stanie zapłacić więcej za odzyskanie swoich danych. Nic bardziej mylnego. W małych i średnich prywatnych firmach ataki hakerskie także są realnym zagrożeniem. Podmioty te są bowiem stosunkowo łatwym łupem dla cyberprzestępców, bo często nie inwestują w drogie zabezpieczenia.

Blisko 70 proc. firm z branży przemysłowej w Polsce w 2021 roku doświadczyło cyberataku. To pokazuje skalę problemu, niezależnie od branży. Nie powinniśmy zapominać też, że w naszym kraju wciąż obowiązuje 3. stopień alertu CRP Charlie, który wprowadzany jest w przypadku wystąpienia zdarzenia potwierdzającego prawdopodobny atak o charakterze terrorystycznym w cyberprzestrzeni lub uzyskania wiarygodnych informacji o planowanym zdarzeniu.

Jak czytamy w raporcie KPMG, pt. "Barometr cyberbezpieczeństwa. Ochrona cyfrowej tożsamości", w ubiegłym roku aż 69 proc. firm w naszym kraju odnotowało przynajmniej jeden incydent polegający na naruszeniu bezpieczeństwa. To więcej o pięć punktów procentowych w porównaniu do roku 2020. Największym cyberzagrożeniem są wycieki danych za pośrednictwem złośliwego oprogramowania (malware) oraz phishing, czyli wyłudzenia danych uwierzytelniających.

Ciekawe dane publikuje także w jednym z raportów o cyberzagrożeniach ESET (ESET Threat Report T3 2021). Otóż okazuje się, że w ubiegłym roku Polska znalazła się na 5. miejscu pod względem prób łamania haseł do zdalnych komputerów. Na całym świecie liczba ataków tego typu wzrosła do poziomu 288 mld, co stanowi prawie 900-procentowy wzrost względem 2020. Według ESET , które doświadczyły największej liczby takich ataków w 2021 roku to Hiszpania (51 mld), Włochy (25 mld), Francja (21 mld), Niemcy (19 mld) i właśnie Polska (18 mld). Zdaniem ekspertów takie ataki mogą się zdarzać jeszcze częściej, dlatego też jest potrzeba przejrzenia kompleksowego stanu bezpieczeństwa cyfrowego organizacji.

Jak się chronić?

Czasy, w których program antywirusowy wystarczał do ochrony przed atakiem na system informatyczny dawno minęły. Nie oznacza to jednak, że o antywirusach można już zapomnieć. Technologie zapewniające skuteczną ochronę przed różnego rodzaju zagrożeniami to podstawa i należy dbać o świadomość pracowników firmy w tym zakresie (o czym więcej w dalszej części artykułu).

Co ważne - współczesne technologie antywirusowe chronią już nie tylko przed wirusami, programami szpiegującymi czy innymi złośliwymi oprogramowaniami. Gwarantują często wielopoziomową ochronę różnych sprzętów używanych w ramach danego przedsiębiorstwa (komputery, smartfony, maszyny wirtualne), dbają o bezpieczeństwo danych przechodzących przez serwery, chronią pocztę elektroniczną, aplikacje w chmurze i mają wiele innych funkcji.

Potwierdź swoją tożsamość

Oprócz antywirusa jednym z podstawowych narzędzi do ochrony systemów i kont jest dwuskładnikowe uwierzytelnianie (2FA). O co w nim chodzi? Przy tradycyjnym uwierzytelnianiu użytkownik - by wejść do danego systemu czy też zalogować się na daną stronę - musi podać jedynie login i hasło. Jest to o tyle niebezpieczne, że nawet najbardziej wymyślny szyfr może, prędzej czy później, zostać odgadnięty. Uwierzytelnianie dwuskładnikowe polega z kolei na tym, by - chcąc się gdzieś zalogować - oprócz poprawnie wpisanego hasła, potwierdzić swoją tożsamość także za pomocą drugiego urządzenia. Może to być na przykład specjalny (jednorazowy) kod, który dostaniemy przez SMS. Popularne są także aplikacje na smartfonie, w których tożsamość potwierdzić można za pomocą odcisku palca albo opcji Face ID.

Mając ustawione dwuskładnikowe uwierzytelnianie - nawet, jeśli hasło wycieknie, dany użytkownik wciąż będzie zabezpieczony przez ten drugi czynnik. To prosta funkcja, która zdecydowanie poprawia ochronę naszego konta. Co ważne - mechanizm podwójnej autoryzacji może być też jeszcze bardziej złożony. Ustawić można konkretny czas na potwierdzenie tożsamości (np. 20 sekund) albo zażądać podania dodatkowych informacji autoryzujących.

Chroń się kompleksowo

Kolejnym sposobem na poprawę bezpieczeństwa IT w firmie są narzędzia XDR - chodzi o rozszerzone wykrywanie i reagowanie (ang. eXtended Detection and Response). Jest to jedna z nowocześniejszych technologii, która ma jak najbardziej kompleksowo podejść do przeciwdziałania cyberatakom. W skład XDR wchodzą różne funkcje umożliwiające identyfikację zagrożeń w firmowej sieci, ocenę ryzyka i odpowiednie reagowanie. To bardzo ważne, wszak firmy powinny nie tylko wykrywać fakt, że doszło do jakiegoś zagrożenia, ale też je zidentyfikować i wyeliminować przyczynę.

Dzięki narzędziom XDR każdy uruchomiony alarm zawiera jednocześnie propozycje kolejnych działań, które należy wykonać w celu złagodzenia skutków zdarzenia.

Obecnie platformy XDR dostępne są w wersji chmurowej, co zwiększa komfort pracy użytkowników. Ci nie muszą bowiem tracić czasu na wdrożenia czy aktualizację odpowiedniej infrastruktury, a jednocześnie mają dostęp do najnowszej wersji i funkcji oprogramowania.

Dobre praktyki

Pierwszym krokiem w kierunku zapewnienia lepszej ochrony IT w przedsiębiorstwie jest wykonanie kompleksowego audytu bezpieczeństwa (można to zadanie zlecić profesjonalnej firmie informatycznej). Takie badanie pozwoli skontrolować systemy i zabezpieczenia, wskazać ich słabe strony i zarekomendować odpowiednie działania naprawcze. Co ważne - takie audyty warto wykonywać regularnie. Cyberprzestępcy nieustannie pracują bowiem nad wymyślaniem coraz to nowych sposobów na złamanie zabezpieczeń. Dlatego powinno się dbać o to, by zawsze być ten krok do przodu - i w celu ochrony przed cyberatakami korzystać z najnowszych, najlepszych i rzetelnych narzędzi.

Podniesienie poziomu bezpieczeństwa IT w firmie to też szereg innych praktyk, które warto wdrożyć. Wśród nich między innymi blokowanie dostępu do podejrzanych stron, które mogą stanowić potencjalne zagrożenie, szyfrowanie ważnych plików czy haseł, a także regularne tworzenie kopii zapasowych. Dzięki temu ostatniemu możliwe jest odzyskanie utraconych danych. Niestety, eksperci z branży IT często zwracają uwagę, że kwestia ta jest zaniedbywana przez użytkowników, którzy o robieniu tzw. backupu przypominają sobie dopiero wtedy, gdy dojdzie do awarii.

Wśród dobrych praktyk wymienia się również rozsądne, zorganizowane i ewidencjonowane nadawanie uprawnień w systemach informatycznych. Często zdarza się bowiem, że dostępy do różnych systemów nadawane są nawet tym pracownikom, którzy niespecjalnie ich potrzebują. Niekiedy nie są też odbierane w przypadku zakończenia współpracy.

Warto też zwrócić uwagę na pocztę e-mail. Jak wspominaliśmy na początku, z raportu bezpieczeństwa ESET Threat Report T1 2022 wynika, że zagrożeń z nią związanych jest coraz więcej. Warto zatem korzystać z rozwiązania antyspamowego, zachwywać ostrożność podczas wypełniania formularzy internetowych i zwracać szczególną uwagę na opcje typu: "Tak, chcę otrzymywać informacje dotyczące...". Dobrą praktyką jest także używanie "wyspecjalizowanych" adresów e-mail, np. innego w pracy, a innego do komunikacji prywatnej.

Regularne szkolenia

Kluczową sprawą są także regularne szkolenie pracowników z zakresu bezpieczeństwa IT w firmie. Bo nawet najlepsze narzędzie nie ustrzeże nas przed zagrożeniem, jeśli człowiek sam na tak zwaną minę wejdzie. Bardzo często pracownicy danych firm narażają je na niebezpieczeństwo nieświadomie. W pośpiechu otworzą wiadomość i klikną w podejrzany link, ściągną z sieci nieznany program, nie zmienią hasła lub zapomną się wylogować.

Powodem kłopotów może być także pomyłka w adresie e-mail osoby, do której ktoś chce wysłać służbową wiadomość. Bo co, jeśli znajdują się w niej jakieś ważne, poufne informacje na temat klienta albo umowy? Niby błaha sprawa - ot, zwykła literówka - ale konsekwencje "wycieku" mogą być ogromne, o czym wspominaliśmy w pierwszej części tekstu.

W ten sposób łatwo można paść ofiarą ataku socjotechnicznego. To rodzaj zagrożenia, w którym wcale nie potrzeba wielkich technicznych czy hakerskich umiejętności. Chodzi właśnie o wykorzystanie nieuwagi, roztargnienia czy braku wiedzy drugiej strony, np. pracownika danej organizacji. W ostatnim raporcie bezpieczeństwa ESET Threat Report T1 2022 znajdziemy szereg praktycznych porad, jak nie dać się takim właśnie atakom socjotechnicznym. Należy przede wszystkim korzystać zawsze z zaufanych źródeł (stron czy linków) i nie dawać dostępu do swojego komputera nieznajomym osobom, np. podającym się za firmowych administratorów czy firmę IT wykonującą zlecenie. W przypadku kontaktu telefonicznego takiej osoby - jeśli nie jesteśmy jej pewni - również nie należy przekazywać żadnych informacji, ale w pierwszej kolejności postarać się zweryfikować tożsamość rozmówcy.

Zawsze warto też zwracać szczególną uwagę na wszystkie treści, gdzie wymagane jest logowanie lub konieczne jest wykonanie jakiegokolwiek przelewu, być czujnym w przypadku niecodziennych wiadomości, jakie dostajemy na swoją skrzynkę i zawsze weryfikować nadawcę e-maili, zwracając uwagę nie tylko na osobę, ale także na domenę.

Aby te wszystkie zasady znać i stosować - niezbędna jest edukacja IT pracowników każdej organizacji. Szkolenia w tym zakresie mogą znacznie zwiększyć poziom bezpieczeństwa przedsiębiorstwa.  Powinny się odbywać regularnie - nie tylko dlatego, że co jakiś czas w każdej firmie pojawiają się nowe osoby, ale też dlatego, by przypominać (także starszym stażem pracownikom), z jakim ryzykiem wiązać się może niestosowanie się do wyznaczonych procedur bezpieczeństwa lub zwyczajny brak uważności w tej sferze.

Lepiej zapobiegać niż leczyć

Eksperci apelują do przedsiębiorców, by nie oszczędzali na zabezpieczeniach IT w swoich firmach. Wydatki te są konieczne, jeśli utrzymać stabilność swojego biznesu. Nie można już odkładać ich na później, szczególnie wobec nowych wyzwań związanych z przejściem na pracę zdalną i hybrydową. Przy coraz większej liczbie cyberataków środki włożone w ochronę IT warto traktować jako inwestycję. Jeśli bowiem dojdzie do jakiejś niebezpiecznej sytuacji - wycieku danych albo blokady dostępu do systemu - koszty poniesione na odszkodowania i odbudowę wizerunku danej firmy będą znacznie wyższe niż te, które można było wcześniej włożyć w zabezpieczenia i edukację. Trochę w myśl zasady: lepiej zapobiegać niż leczyć.

DOSTĘP PREMIUM