W prezentacji "Za mali na bezpieczeństwo? Rzecz o sektorze SMB" przedstawionej na konferencji SEMAFOR 2018 Klaudiusz Kosidło, Ekspert Ochrony Danych Osobowych, Audytor ISO 27001 oraz członek warszawskiego oddziału ISACA stwierdza, że każda firma ma nie tylko możliwość, ale i obowiązek zbudowania strategii ochrony IT. Wszystkie podmioty działające na rynku to system naczyń połączonych. Beztroskie podejście małych firm do zagadnień bezpieczeństwa nie tylko jest zagrożeniem dla nich samych, ale stwarza niebezpieczne furtki w systemach security dużych firm, w których mniejsze podmioty są podwykonawcami. - Spotkałem wielkie firmy, które współpracują z mikrofirmami np. programistami, czy z innymi małymi przedsiębiorstwami oferującymi usługi B2B. Czasem ta współpraca bywa dla dużej organizacji problemem - segment MŚP potrafi pomieszać im szyki w ochronie danych - powiedział podczas swojej prezentacji Klaudiusz Kosidło.

Zagrożenia IT są demokratyczne - dotyczą wszystkich i przychodzą z różnych kierunków: może to być dostęp osób nieuprawnionych, utrata sprzętu, awaria, modyfikacja danych przez osoby nieuprawnione, przypadkowe ich usunięcie czy udostępnianie z naruszeniem przepisów. Wycieki danych zdarzają się niestety często i są dużym problemem dla organizacji, zwłaszcza jeśli ich skala jest ogromna. Przykładowo w 2016 roku wyciekły z Yahoo dane 1 mld użytkowników, z MySpace – 427 mln użytkowników, z Ubera w Polsce– 70 tys. użytkowników. W 2017 w EquiFax skradziono dane 143 mln Amerykanów, a w 2018 dane 0,8 mln klientów Swisscom. Konsekwencje naruszeń są wielorakie: obejmują odpowiedzialność cywilno/administracyjną, karną, zawodową i służbowa oraz mogą prowadzić do utraty reputacji.

Zobacz również:

• Jak cyfryzuje się sektor MŚP?
• Bez ludzi nie ma sukcesu

Aby wycieki nie miały miejsca należy zapewnić organizacji bezpieczeństwo na trzech poziomach:

• prawnym - zgodność z przepisami prawa, gwarancje kontraktowe przy świadczeniu i zakupie usług (SLA), precyzyjnie określony zakres odpowiedzialności (w tym ograniczenia odpowiedzialności) oraz tzn. ograniczenie ryzyka związanego z możliwością wystąpienia osób o naruszenie własności intelektualnej;

• ekonomicznym - stabilność ekonomiczna, rozliczenia z klientami, dostęp do zasobów, sprawozdawczość wymagana przepisami prawa, pewność transakcji i bezpieczeństwo środków finansowych;

• organizacyjnym: zabezpieczenia, szkolenia, procedury, regulaminy, kontrola i inspekcja.

Regulacje wskazują obszary zabezpieczeń

Na wzrost poziomu bezpieczeństwa we wszystkich organizacjach duży wpływ mają ustawodawcy. Nawet w wypadku, gdy regulacje dotyczą jedynie dużych firm, mają też przełożenie na te małe. Najważniejsze regulacje Parlamentu Europejskiego i Rady (UE), które kształtują dziś polityki bezpieczeństwa to:

• e-IDAS - rozporządzenie o numerze identyfikacji w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE;

• AML4 - dyrektywa 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie nr 648/2012 i uchylająca dyrektywę 2005/60/WE oraz dyrektywę Komisji 2006/70/WE;

• PSD2 - dyrektywa 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE;

• Dyrektywa NIS - (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.

• RODO - Rozporządzenie 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Gdzie szukać wiedzy i jak tworzyć strategię bezpieczeństwa w MŚP

Gdy mała lub średnia firma buduje swój system bezpieczeństwa powinna wziąć pod uwagę następujące jego elementy: oprogramowanie i sprzęt, edukację w zakresie świadomości zagrożeń, wybór dostawcy usług, standardy oceny "podwykonawców", podstawowe założenia dotyczące ciągłości (redundancja i backup, czyli co robimy w przypadku braku Internetu, utraty lub awarii sprzętu), konwergencję rozwiązań chmurowych, politykę wobec BYOD. Wiedzę i dobre praktyki w zakresie bezpieczeństwa można czerpać z norm branżowych (np. ISO/IEC 27001,27002, 27005, 31000), ale także od regulatorów rynku (rekomendacje (KNF, kodeksy dobrych praktyk) i stowarzyszeń ( np.: ISACA – Cobit5).

Małym firmom łatwiej być w zgodzie z bezpieczeństwem również dzięki rozwiązaniom systemowym stosowanym przez operatorów i dostawców (np. operatorzy telekomunikacyjni oferują usługi ochrony sieci, monitorowanie szkodliwych aktywności).

Bardzo ważne jest, by tworząc swoje systemy ochrony przed zagrożeniami małe firmy brały pod uwagę cykl życia oprogramowania i sprzętu. Starszy sprzęt może ulec awarii (pomijając kosztowny serwis), starsze oprogramowanie natomiast może zawierać luki, które ułatwiają ataki (w małych firmach niestety są jeszcze aplikacje już nie są wspierane przez producentów jak np. Office 2011 for Mac czy Windows Vista). Z badania Lenovo Polska wynika, że w sektorze MŚP wymiana sprzętu komputerów stacjonarnych następuje średnio raz na 3,8 lat, natomiast laptopów co 2,1. W przypadku oprogramowania dobrym rozwiązaniem jest zakup rozwiązań chmurowych, gdzie razem z aplikacją kupuje się też infrastrukturę i wszelkie aktualizacje i zabezpieczenia.

Organizatorzy: Partner główny: Mecenasi: Partnerzy merytoryczni: Wystawcy: Patroni medialni: