Cyberbezpieczeństwo – co powinieneś wiedzieć by skutecznie chronić swoją firmę przed cyberatakami

Cyberbezpieczeństwo – co powinieneś wiedzieć by skutecznie chronić swoją firmę przed cyberatakami

97% korporacji z listy Fortune 500 co najmniej raz ucierpiało z powodu naruszenia bezpieczeństwa IT! Straty firm spowodowane atakami w cyberprzestrzeni sięgają miliardów dolarów rocznie! Czy masz pewność, że Twoja firma jest bezpieczna?

Zachęcamy do skorzystania z bezpłatnej prenumeraty
elektronicznej magazynu Computerworld!

Wysokość strat, a także skala ryzyka, wywołanego potencjalnym naruszeniem cyberbezpieczeństwa powodują, że dziedzina ta już dawno przestała być domeną działów informatyki i jest dyskutowana na zarządach i w radach nadzorczych firm. Popularna statystyka mówi, że 70% menadżerów najwyższego szczebla, podejmuje decyzje związane z bezpieczeństwem IT. Jest to odpowiedzialność, od której nie da się dziś uciec. Dlatego warto zawczasu przygotować się do dyskusji na temat bezpieczeństwa IT.

Poniżej przedstawiamy kilka podstawowych i niezmiennych prawd, z którymi powinieneś się zapoznać chcąc maksymalnie zwiększyć bezpieczeństwo systemów IT w Twojej firmie.

Zobacz również:

1. Poważne naruszenie bezpieczeństwa systemów IT w firmie to tylko kwestia czasu

Statystyka jest nieubłagana: prędzej czy później każda firma ucierpi w wyniku włamania lub awarii spowodowanej naruszeniem bezpieczeństwa. Pełne zabezpieczenie firmy jest więc niemożliwe. Chodzi o to, by oddalić w czasie ten moment i świadomie zminimalizować straty wywołane incydentem. Można ten cel osiągnąć przede wszystkim poprzez przygotowanie i wdrożenie planów na wypadek awarii lub włamania. Działania tego rodzaju można podjąć na własną rękę budując wewnętrzny dział bezpieczeństwa lub skorzystać z usług wyspecjalizowanych dostawców. Oferta dużych firm IT jest w tej chwili bardzo szeroka. Obejmuje zarówno proste usługi automatycznego przygotowania kopii zapasowych, jak i skomplikowane zabezpieczenia w modelu outsourcingu, z dostarczonym „pod klucz” zapasowym centrum danych. Warto też wspomnieć o rozwiązaniach chroniących aplikacje, strony czy sklepy internetowe przed skutkami ataku DDoS powodującego paraliż serwerów.

2. Bezpieczeństwo IT nie ogranicza się do ochrony technologicznej

Wiąże się ściśle z fizycznym bezpieczeństwem organizacji, zarządzaniem zasobami ludzkimi, kulturą panującą w firmie. Dlatego kwestie związane z cyberbezpieczeństwem nie mogą być rozpatrywane w oderwaniu od strategii i procesów biznesowych firmy. Coraz częściej muszą obejmować także kwestie komunikacji i relacji międzyludzkich. Najsłynniejszy haker świata, Kevin Mitnick, już 20 lat temu stwierdził, że najlepszym sposobem na pokonanie zabezpieczeń w firmie jest zastosowanie mniej lub bardziej wyrafinowanych socjotechnik. Najczęściej polega to na wytypowaniu i nakłonieniu pracownika do wykonania czynności, które ujawnią informacje o hasłach do systemów i procedurach bezpieczeństwa. Cyberprzestępcy wykorzystują zainfekowane załączniki, fałszywe strony www i wiadomości e-mail, łudząco podobne do prawdziwych.

3. Potencjalnych strat nie da się przeliczyć na pieniądze

Raporty największych firm doradczych pełne są szacunków dotyczących strat wywołanych naruszeniem bezpieczeństwa. Prawda jest jednak taka, że na pieniądze można przeliczyć tylko część dodatkowych kosztów wynikających z naruszeń bezpieczeństwa IT. Straty wizerunkowe, masowa ucieczka klientów, kompromitacja w oczach obiecujących kandydatów do pracy to czynniki które, choć trudno przeliczalne na pieniądze, potrafią dać się we znaki nawet największej firmie na świecie. O tym, jak mogą być dotkliwe najlepiej świadczy przypadek Sony 1. W kwietniu 2011 roku atakujący włamali się na serwery firmy, skąd pobrali dane personalne posiadaczy 77 mln kont w sieci Playstation, umożliwiającej rozgrywki online. Playstation Network była niedostępna niemal przez miesiąc. Dlaczego zaatakowano Sony? Najwyraźniej był to odwet za to, że firma pozwała do sądu hakerów, którzy złamali zabezpieczenia konsoli PlayStation 3 i udostępnili te informacje w internecie. Wybrane witryny blokowano atakiem DDoS, a do włamania wykorzystano lukę podatną na atak o nazwie SQL Injection. To bardzo popularny błąd programistyczny, a atak z jego wykorzystaniem nie jest bardzo skomplikowany. Dość powiedzieć, że koszt zabezpieczenia to mniej niż 10 tys. dolarów. Tymczasem w wyniku ataku straty koncernu ocenione zostały na dziesiątki a nawet setki milionów dolarów –spadek przychodów i zysku, rekompensaty, koszty niedostępności usług, nowe inwestycje. Szkód wizerunkowych poniesionych przez firmę działającą na bardzo konkurencyjnym rynku rozrywki elektronicznej nikt nawet nie próbuje oszacować. Sprawców ataku nie wykryto do dziś.

4. Jest jeden winny naruszeń bezpieczeństwa: to Ty!

Jednym z powodów lekceważącego stosunku menedżerów wyższego szczebla do kwestii bezpieczeństwa jest nieznajomość prawa. Gdyby było inaczej najprawdopodobniej największe polskie firmy ubezpieczeniowe czekałby rok łatwych zysków, dostarczonych im przez członków zarządów średnich i dużych firm działających na polskim rynku. Niestety wciąż niewielu menedżerów zdaje sobie sprawę z tego, że odpowiedzialność za większość naruszeń cyberbezpieczeństwa, obojętnie umyślnych, czy nieumyślnych, spada na zarząd firmy i poszczególnych jej członków.

5. Nie da się zabezpieczyć całej organizacji w równie szczelny sposób

Efektywna ochrona przed naruszeniami bezpieczeństwa jest zawsze następstwem pewnych kompromisów. Dlatego pracując nad systemem zabezpieczeń najpierw trzeba odpowiedzieć sobie na pytanie: które elementy infrastruktury IT są najważniejsze. Warto przy tym poświęcić chwilę czasu na analizę badań, opisujących priorytety firm w zakresie bezpieczeństwa IT. Zdaniem specjalistów ds. ochrony danych, lista podstawowych zagrożeń zawiera kwestie związane ze stosowaniem urządzeń mobilnych (45%), niekontrolowanym używaniem mediów społecznościowych (32%), przetwarzaniem danych w chmurze (cloud computing) i nieświadomymi lub niedbałym działaniami pracowników.

Co możesz zrobić?

Prowadząc firmę nie możesz ignorować zagrożeń wynikających z naruszeń cyberbezpieczeństwa. Powinieneś być na nie przygotowany i stale analizować potencjalne zagrożenia. Choć nigdy nie możesz sobie pozwolić na luksus rezygnacji z kontroli i nadzoru to jednak zrozumienie kilku podstawowych zasad rządzących bezpieczeństwem IT może dać ci komfort efektywnej pracy, na co dzień.

1https://en.wikipedia.org/wiki/2011_PlayStation_Network_outage (dostęp 17.06.2015)
http://thehackernews.com/2011/05/infographic-sony-playstation-hack.html (dostęp 17.06.2015)
http://krebsonsecurity.com/tag/playstation-hack/ (dostęp 17.06.2015)

Czytaj więcej na ten temat.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.