Z bezpieczeństwem w firmach nie jest najlepiej. Cyberprzestępcy łowią każdego dnia miliony USD. Wiele korporacyjnych komputerów jest infekowanych złośliwym oprogramowaniem, a sieci firmowe raz za razem trafiają w ręce hakerów. To prawda - wina leży często po stronie użytkowników, czasami (rzadziej) po stronie administratorów. Prawie nikt jej nie szuka po stronie zarządzających firmą. A szkoda...

Niejeden szef Działu IT wie z jakim oporem potrafią się spotkać propozycje inwestycji w podniesienie poziomu bezpieczeństwa. Roger Grimes od ponad 20 lat zajmuje się audytami bezpieczeństwa i od samego początku spotyka się z takimi właśnie narzekaniami ze strony specjalistów IT kontrolowanych przezeń firm.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Cyberobrona? Mamy w planach

W wielu firmach króluje staroświeckie podejście do kalkulacji opłacalności inwestycji. Nie ponosi się wydatku, jeśli zwrot z niego nie przewyższy wydanej kwoty. Na przykład wydatek 1 mln na oprogramowanie antywirusowe nie zostanie zaakcepowany jeśli potencjalne szkody, których w ten sposób się uniknie nie są większe niż ten milion. Decyzja odnośnie bezpieczeństwa każdego komputera wymaga takich właśnie kalkulacji.

Problem polega na tym, że przez wiele lat z rachunków takich wynikało, że dobre bezpieczeństwo komputerów nie jest warte poniesionych kosztów. Kiedy cyberprzestępcy włamywali się do sieci firmy, niezależnie od tego jak wiele złego czynili, nie miało to wpływu na kursy giełdowe spółek, nie było więc powodem do zmartwień zarządów.

Tak właśnie było przez długi czas - zarówno złośliwe oprogramowanie jak i sami hakerzy nie czynili zbyt wiele szkód, problemy przez nich generowane były bardziej uciążliwością niż zagrożeniem dla biznesu. Niestety sytuacja się zmieniła. Zarówno zlośliwe oprogramowanie jak i działania hakerów nie są już rozrywką - mają czysto kryminalne podłoże. Włamania przeprowadzone są po to by kraść, kod złośliwy jest narzędziem pozwalającym zawładnąć komputerem (i danymi ofiary) a także wykorzystać go do ataku na inne maszyny.

W ostatnich miesiącach dość często słyszeliśmy o udanych atakach na duże znane firmy (jak np. Sony czy RSA), wywołujących straty sięgające setek milionów USD. Hakerzy (np. WikiLeaks) upublicznili wiele tajnych informacji.

Działania cyberprzestępców mogą być dla firm potężnym zagrożeniem. Jeden zakończony sukcesem atak może zrujnować dobre imię firmy czy nawet zmieść ją z rynku. Przykładem tego może być DigiNotar (choć tu nieco winy leży też po stronie samej firmy i zarządzania przez nią kryzysem), która po usunięciu jej CA z listy zaufanych centrów autoryzacyjnych wszystkich liczących się przeglądarek interenetowych de facto nie ma szans na dalsze istnienie w branży. Cyberzagrożenia stały się istotnym dla biznesu problemem i, niestety, tak już raczej pozostanie.

Menedżerowie muszą zrozumieć, że stara szkoła liczenia kosztów i korzyści nie ma tu już zastosowania - bezpieczeństwo zaczyna mieć wagę złota.

Co robić? Zarządy powinny zwrócić się do działów związanych z bezpieczeńswem IT o listę zmian które należy wdrożyć. Roger Grimes radzi by oszacować ryzyko związane z poszczególnymi słabymi punktami zabezpieczeń i przystąpić do ich łatania począwszy od tych obarczonych największym ryzykiem. Zamiast inwestować w egzotyczne superzaawansowane rozwiązania, ekspert radzi by zacząć od podstaw takich jak lepsza edukacja użytkowników końcowych, staranniejsze aktualizowanie zabezpieczeń, lepsze projektowanie oprogramowania i stosowanie kryptografii jako standard. Warto też zdaniem specjalisty zastanowić się czy poziom uprawnień użytkowników (ale też np. usług) nie jest niepotrzebnie wysoki względem rzeczywistych potrzeb.

Wiemy co należy zrobić (chyba nie ma specjalisty, który by nie wiedział) - musimy tylko zacząć to wdrażać i mieć do tego wsparcie szefów. Koszty pozostawienia rzeczy samych sobie mogą być naprawdę duże.