Wiadomośći

Żadna firma nie jest odporna na incydenty cybernetyczne, ale ryzyko można ograniczyć

Arminas Grigonis, dyrektor ds. technologii

Wiadomośći

Każda firma może stać się ofiarą kosztownego incydentu cybernetycznego. Firmy stale balansują pomiędzy bezpieczeństwem, szybkością, jakością i satysfakcją klienta, a liczba incydentów cybernetycznych rośnie. Dlatego staje się to tylko kwestią czasu, zanim firma doświadczy cyberataku lub padnie ofiarą błędu ludzkiego, który jest przyczyną nawet połowy wszystkich incydentów cybernetycznych.

Kierownik IT EBV Finance Arminas Grigonis twierdzi, że w ciągu ostatniego roku liczba incydentów cybernetycznych podwoiła się, dlatego, nawet jeśli podejmujesz zalecane działania prewencyjne, największym błędem jest sądzić, że Twoja firma jest wystarczająco bezpieczna i nic Ci nie grozi.

„Taka iluzja ogranicza czujność, ostrożność i prowadzi do różnych błędów w organizacji pracy i błędów technicznych” – zapewnia ekspert.

Cyberprzestępczość to przede wszystkim biznes

Zdaniem A. Grigonisa, uwagę przestępców najbardziej przyciągają „najdroższe” dane, które mają największą wartość handlową, reputacyjną czy osobową. Cyberprzestępczość to biznes, którego priorytetem jest uzyskanie jak największych zysków przy jak najmniejszym wysiłku, poprzez wykorzystanie słabości innych biznesów.

„Cyberprzestępcy skanują całą sieć internetową w poszukiwaniu luk w zabezpieczeniach. Jeśli Twoje systemy lub strony internetowe nie są aktualizowane przez dłuższy czas, jeśli ruch w sieci nie jest ograniczony, jeśli korzystasz z niezaszyfrowanych kanałów transmisji danych, ryzykujesz, że staniesz się łatwą ofiarą, niezależnie od zawartości Twoich danych i wielkości firmy” – twierdzi A. Grigonis. Dlatego też mała firma lub firma, którą pozornie nikt nie jest zainteresowany, również nie powinna być spokojną.

Kolejnym wrażliwym punktem są ludzie. Techniczne środki bezpieczeństwa nie zawsze chronią przed pozornie „drobnymi” błędami, takimi jak otwarcie niewłaściwej wiadomości e-mail lub używanie tego samego hasła, szczególnie jeśli jest ono zapisane na kartce papieru i umieszczone w widocznym miejscu.

Cele mogą mieć także charakter niefinansowy

W celu uzyskania danych logowania i dostępu do wrażliwych danych przestępcy często wykorzystują tzw. „phishing” lub wyłudzanie danych. Termin „phishing” pochodzi od angielskich słów „passwordfishing”.

„Zazwyczaj ofiary otrzymują fałszywy e-mail, który wygląda jak prawdziwy e-mail z banku lub innej instytucji i ma na celu przekonać takie osoby do kliknięcia linku do fałszywej strony i podjęcia dodatkowych czynności, zwykle prowadzących do podania danych kont bankowych, haseł lub innych wrażliwych danych” – mówi A. Grigonis.

Inne popularne metody, zdaniem eksperta, to ataki polegające na szyfrowaniu danych firmowych i żądaniu okupu (ang. Ransomware attacks), tzw. zastrzyk SQL (ang. SQL Injection) – metoda przechwytywania stron internetowych i aplikacji współpracujących z bazami danych, polegająca na wstawieniu do zapytania specjalnego kodu SQL.

Przestępcy nie zawsze działają ze względów finansowych. Czasami działają na zlecenie państw, grup politycznych lub innych grup interesu. W takich przypadkach interesem nie jest zysk, ale zakłócenie działalności lub wykorzystanie danych do celów szpiegowskich. Na przykład, stosowane są ataki typu rozproszonej odmowy dostępu do usługi (DDoS), podczas których systemy różnych instytucji i firm są bombardowane zapytaniami z dużej liczby zainfekowanych komputerów, telefonów i innych urządzeń, przez co stają się one niedostępne dla legalnych użytkowników” – twierdzi ekspert EBV Finance.

Radzi, aby nigdy nie płacić okupu

Według A. Grigonisa ryzyko i szkody spowodowane incydentami cybernetycznymi wynikającymi z ataków i błędów ludzkich można zmniejszyć za pomocą kilku prostych środków. Po pierwsze, należy stosować przynajmniej dwuetapowe uwierzytelnianie (ang. Multifactor authentificaton), po drugie, utworzyć  kopie zapasowe systemów i danych, które byłyby technicznie oddzielone od serwerów głównych. Należy podkreślić, że zapewnieniem cyberbezpieczeństwa powinni zajmować się doświadczeni, specjalnie do tego dedykowani specjaliści, a nie pracownicy firmy pełniący inne obowiązki, którzy uczyliby się tego na stanowisku pracy.

„Koszt błędu uczącego się specjalisty jest po prostu zbyt wysoki. Szkolenia z zakresu cyberbezpieczeństwa powinny być obowiązkowe dla wszystkich pracowników firmy i obejmować regularne szkolenia i testowanie planów zarządzania kryzysowego i planów ciągłości działania ” – mówi A. Grigonis.

Specjalista zaleca również, aby nigdy nie płacić okupu za dane. Z biznesowego punktu widzenia może to być kosztowna decyzja, jednak najlepszym sposobem zapobiegania działalności przestępczej jest nie udzielanie dodatkowego finansowania.