Cyberbezpieczeństwo 2022. Jak się zabezpieczyć i stworzyć skuteczną strategię

Firmy nie doceniają ryzyka, a pracownicy często je rozumieją, ale i tak podejmują. Wyjaśniamy, jakie kroki podjąć, aby się zabezpieczyć.

Ryzyko w erze cyfrowej jest coraz większe / Fot. Javier Miranda, Unsplash.com

Ryzyko w erze cyfrowej jest coraz większe / Fot. Javier Miranda, Unsplash.com

Pracownicy w całej Europie są świadomi potencjalnych zagrożeń i problemów, które mogą powstać w wyniku ryzykownych zachowań w cyberprzestrzeni. Mimo to wielu z nich ciągle podejmuje takie ryzyko – wynika z raportu firmy Iron Mountain, zajmującej się zarządzaniem i przechowywaniem informacji.

Firma przeprowadziła badanie, w którym udział wzięło 11 000 pracowników w 10 krajach regionu EMEA. Okazało się, że jedna trzecia ankietowanych (32%) popełniła „krytyczny” błąd w pracy, a 14% podjęło ryzyko, które ostatecznie wiązało się z kosztami dla firmy. Dodatkowo trzy czwarte badanych uważa, że zarządzanie ryzykiem ma kluczowe znaczenie dla ochrony poufnych danych, ale połowa (49%) nadal twierdzi, że warto podejmować takie ryzyko w pracy. Utrata przez firmę pieniędzy i bycie ofiarą oszustwa nie zmieniają nastawienia pracowników w kwestii podejmowania ryzyka – twierdzą autorzy raportu. Mało tego, jedna trzecia pracowników (34%) używa tego samego hasła na wielu platformach, jedna czwarta (27%) wciąż zapomina zablokować komputer, gdy wstaje od biurka, a jedna piąta (18%) przechowuje hasło dostępowe na kartce znajdującej się na biurku, na widoku.

Zobacz również:

  • Jak zabezpieczać systemy OT
  • Puma ofiarą ataku ransomware. Dane pracowników trafiły do hakerów

Zagrożenia są dodatkowo potęgowane przez pracę hybrydową, a jedna trzecia pracowników (36%) przyznaje, że jest mniej świadoma kwestii bezpieczeństwa podczas pracy zdalnej. Iron Mountain zakwestionowała również skuteczność szkoleń uświadamiających w zakresie cyberbezpieczeństwa. Okazało się bowiem, że dwie trzecie menedżerów stwierdziło w badaniu, iż od 50 do 100% pracowników bierze udział w tego typu szkoleniach, podczas gdy jedna trzecia ankietowanych stwierdziła, że nigdy nie odbyła szkolenia z tej tematyki. Firmy zdecydowanie powinny poważniej podejść do budowania świadomości bezpieczeństwa cybernetycznego.

Jak zbudować świadomość z obszaru cyberbezpieczeństwa

Budowanie świadomości dotyczącej cyberzagrożeń zaczynamy od menedżerów i kadry zarządzającej. To oni tworzą odpowiednie priorytety i plany, które są następnie realizowane w organizacji. Jak podaje Ponemon Institute, obecnie 57% firm doświadcza ataków social engineering i phishingowych, natomiast firma doradcza Accenture informuje, że 68% liderów biznesowych ma wrażenie i świadomość, że ryzyka związane z cyberbezpieczeństwem stale rosną.

Kiedy stworzymy plan i zaczniemy go wdrażać w firmie, zacznijmy od tych pracowników, którzy są najbardziej narażeni na ewentualne ataki i incydenty. To tzw. grupa wysokiego ryzyka, która możliwie najszybciej powinna przejść szkolenia i otrzymać dostęp do narzędzi zabezpieczających.

W dalszej kolejności szkolenia z cyberbezpieczeństwa powinny być przeprowadzone dla wszystkich pracowników. Powinny być przewidziane także w trakcie onboardingu, czyli wdrażania nowych osób, które dopiero trafiły do firmy.

Później powinniśmy realizować odpowiednie szkolenia cyklicznie, przypominając dotychczasowe zasady, jak również informując o nowych zagrożeniach i wprowadzanych zmianach. Obecnie braki działań z tego obszaru nie mają usprawiedliwienia – nawet najmniejsze firmy, które mogą nie mieć budżetu na szkolenia, znajdą odpowiednie kursy i wiedzę w sieci, ponieważ nie brakuje bezpłatnych materiałów. Co więcej, szkolenia z cyberbezpieczeństwa powinny być obowiązkowe – i to zarówno dla pracowników przebywających w biurze, jak i tych, którzy pracują zdalnie.

Dobrą praktyką jest również przeprowadzanie symulacji i np. próba wysłania e-maili phishingowych, aby sprawdzić, jak pracownicy reagują na tego typu wiadomości i czy wiedza ze szkoleń faktycznie jest przez nich wykorzystywana.

KOMENTARZ EKSPERTA

Damian Safonow, Product Owner, Produkty Bezpieczeństwa IT

T-Mobile Polska S.A.

Cyberataki to rosnące zagrożenie dla każdej firmy. Jak się zabezpieczyć i stworzyć skuteczną strategię? Warto pamiętać o kilku zasadach.

Bezpieczeństwo danych wykorzystywanych w działalności firmy jest priorytetem prawnym, finansowym i wizerunkowym. Finalnie to właśnie wizerunek znacząco wpływa na relacje biznesowe. Tajemnice handlowe, dane klientów, własność intelektualna czy patenty stanowią zasób krytyczny, bez którego organizacja nie może prawidłowo funkcjonować. Wszyscy zgadzamy się, że należy ich strzec z wysoką starannością, ale czy zawsze wiemy, jak to zrobić?

Nowe metody cyberprzestępców mają ogromny wpływ na rynek usług cyberbezpieczeństwa, który staje się kluczowy z punktu widzenia każdego nowoczesnego biznesu. W związku z mnogością rodzajów możliwych cyberataków wiele firm szuka zintegrowanych rozwiązań, które mogą zapewnić ochronę swoich danych przy relatywnie niewielkich nakładach finansowych. „Lepiej zapobiegać, niż leczyć” – to zasada, która odnosi się także do bezpieczeństwa. Jak zatem zadbać o stabilne działanie organizacji?

Przede wszystkim należy wdrożyć odpowiednie polityki bezpieczeństwa, czyli zbiór reguł dotyczących postępowania z danymi i dostępami do systemów. Dzięki konkretnym zasadom nie dopuścimy do zaistnienia sytuacji zagrażających bezpieczeństwu danych, a także uruchomimy właściwe działania na wypadek incydentu.

Pamiętajmy, że polityki bezpieczeństwa bez przeszkolonych i poinformowanych użytkowników nie wyeliminują błędów, które mogą spowodować naruszenie bezpieczeństwa. Dlatego ważne jest szkolenie użytkowników w zakresie budowania świadomości bezpieczeństwa, uzmysłowienie im, skąd może pochodzić zagrożenie i jakich podstawowych zasad należy przestrzegać.

Programy szkoleniowe z zakresie bezpieczeństwa powinny uwzględniać bezpieczne nawyki w korzystaniu z niezabezpieczonych źródeł dostępu do internetu, szczególnie związane z pobieraniem niezaufanego lub podejrzanego oprogramowania.

Kolejnym ważnym aspektem minimalizującym możliwość naruszenia bezpieczeństwa jest odpowiednia polityka haseł i danych dostępu. Według Verizon Data breach Investigation Report z 2021 r. ponad 89% naruszeń bezpieczeństwa spowodowanych jest przez włamania brutto force lub użycie zgubionych albo skradzionych danych uwierzytelniających. Wdrożenie zasady zawieszania lub wyłączania kont po wielokrotnych próbach logowania oraz korzystanie z zasady uwierzytelnienia dwuskładnikowego – Two-factor authentication (2FA) – to skuteczne podstawy. Dodatkowo zarządzanie polityką dostępu do danych wrażliwych przez dostęp administracyjny powinno być ograniczone wyłącznie do pracowników, którym powierzono szeroki zakres uprawnień.

Należy pamiętać, aby systematycznie analizować podatności i szybko reagować na pojawiające się zagrożenia, wykorzystujące luki.

Za wykrywanie podatności, a nawet podejrzanych zachowań odpowiedzialni są eksperci od bezpieczeństwa, posiadający odpowiednie doświadczenie i narzędzia. Jednak nie każde przedsiębiorstwo może pozwolić sobie na budowanie i utrzymywanie zespołów specjalistów od bezpieczeństwa. Dlatego w świecie biznesu nastawionym na optymalizacje kluczowe staje się powierzanie opieki nad bezpieczeństwem systemów wyspecjalizowanym zespołom, tak jest np. w T-Mobile.

Informacje na temat usług bezpieczeństwa IT dostępne na stronie: biznes.t-mobile.pl

Polityka bezpieczeństwa – jak ją stworzyć

Jeśli nie mamy polityki ds. cyberbezpieczeństwa, firma będzie zdecydowanie bardziej narażona na ataki. Polityka to specjalny dokument, który określa zasoby technologiczne i informacyjne, jakie musimy chronić, zagrożenia dla tych aktywów, a także zasady i kontrole mające na celu ochronę przedsiębiorstwa i personelu. Polityka pomaga pracownikom zrozumieć ich rolę w ochronie danych i zasobów informacyjnych. Wskazuje personelowi rodzaj informacji biznesowych, które można udostępniać, a także gdzie to należy robić, dopuszczalne korzystanie z urządzeń i rozwiązań online, czy też obsługę i przechowywanie treści wrażliwych.

Dlaczego musimy zatroszczyć się o bezpieczeństwo?

Posiadanie skutecznej polityki bezpieczeństwa jest ważne dla firm i organizacji z wielu powodów. Są jednak dwa główne, które najbardziej się wyróżniają:

1. Cyberataki należą obecnie do głównych zagrożeń dla ciągłości biznesowej. W wyniku pandemii Covid-19 nastąpił szybki rozwój pracy zdalnej i przyspieszono działania związane z cyfryzacją w dziedzinach, które pozostawały w tyle. To sprawia, że cyberprzestępcy mają o wiele więcej podmiotów, które można atakować.

2. Lata 2020 i 2021 obaliły założenie, że cyberataki są wymierzone zazwyczaj w duże firmy, a małe nie cieszą się zainteresowaniem cyberprzestępców. Obecnie już 43% cyberataków dotyczy małych i średnich firm, a 30% małych firm twierdzi, że najczęściej mają do czynienia z phishingiem.

W trakcie tworzenia polityki bezpieczeństwa cybernetycznego powinniśmy wziąć pod uwagę podjęcie kilku kroków. Pierwszy jest bardzo prosty i dotyczy haseł oraz bezpieczeństwa poczty elektronicznej. Polityka powinna precyzyjnie wyjaśniać wymagania dotyczące tworzenia silnych haseł i tego, jak poprawnie je przechowywać, jak często należy je aktualizować, oraz jakie jest znaczenie posiadania unikalnych haseł dla różnych loginów. Jeśli zaś chodzi o pocztę elektroniczną, wytyczne powinny obejmować takie kwestie, jak: udostępnianie służbowego adresu e-mail (kiedy to robić, a kiedy nie), otwieranie załączników tylko od zaufanych kontaktów i firm, blokowanie wiadomości-śmieci i identyfikowanie oszustw, a także usuwanie i zgłaszanie podejrzanie wyglądających wiadomości.

Drugi krok przy tworzeniu polityki cyberbezpieczeństwa to wyjaśnienia dotyczące tego, jak obchodzić się z danymi wrażliwymi. Powinniśmy nakreślić, kiedy personel może udostępniać wrażliwe dane innym osobom, poinformować, jak należy przechowywać fizyczne pliki z danymi wrażliwymi, podać sposoby prawidłowej identyfikacji danych wrażliwych, jak również sposoby na niszczenie danych wrażliwych, gdy te nie są już potrzebne.

Dalej mamy krok trzeci – zasady dotyczące obsługi rozwiązań technologicznych i urządzeń. Zasady te powinny obejmować: gdzie pracownicy mogą uzyskać dostęp do swoich urządzeń, takich jak laptop służbowy, z dala od miejsca pracy; jak przechowywać urządzenia służbowe, gdy nie są one używane; jak zgłosić kradzież lub utratę urządzenia do pracy. Oprócz tego polityka powinna określać sposób aktualizowania systemu operacyjnego, w tym poprawki IT i aktualizacje filtrów antyspamowych, a także to, kiedy fizycznie wyłączać komputery i urządzenia mobilne, gdy z nich nie korzystamy, a kiedy stosować blokowanie ekranów, gdy urządzenia pozostają bez nadzoru. Choć obecnie coraz mniej osób wykorzystuje pamięci USB, zasady chronienia i obchodzenia się z danymi na pendrive'ach nadal powinny trafić do polityki bezpieczeństwa. Tutaj m.in. wskazana jest konieczność skanowania wszystkich urządzeń wymiennych w poszukiwaniu wirusów, zanim te będzie można podłączyć do systemów biznesowych.

Polityka a reagowanie na incydenty

W polityce powinniśmy umieścić również informacje dotyczące korzystania z serwisów społecznościowych i dostępu do internetu. Standardy dotyczące social mediów mogą obejmować: jakie informacje biznesowe należy udostępniać w kanałach mediów społecznościowych; w jaki sposób pracownicy mogą reagować na treści w social mediach, gdy korzystają z firmowych kont; wytyczne dotyczące korzystania z social mediów i tego, w jakich godzinach najlepiej wykazywać się aktywnością (w godzinach pracy).

Odrębnym elementem polityki bezpieczeństwa jest z kolei przygotowywanie się do incydentów i reakcja na nie. Jeśli dojdzie do jakiegoś problemu lub cyberataku, należy zminimalizować jego wpływ i jak najszybciej zapewnić warunki do pracy. Pod uwagę musimy wziąć trzy kwestie: jak zareagować na incydent, jakie działania podjąć, oraz jakie są role personelu i obowiązki związane z radzeniem sobie z cyberatakiem.

Jak radzić sobie z incydentem – trzy kluczowe kroki

1. Zidentyfikuj i oceń

  • Znajdź początkową przyczynę incydentu i oceń jego skutki, aby nad nim zapanować
  • Określ potencjalny wpływ incydentu na firmę (co może się stać)
  • Określ realny wpływ incydentu na aktywa i firmę (co stało się w rzeczywistości)

2. Reagowanie

  • Ogranicz dalsze szkody związane z incydentem cybernetycznym, izolując systemy, których dotyczy problem. W razie potrzeby odłącz się od sieci i wyłącz komputer, aby powstrzymać rozprzestrzenianie się zagrożenia
  • Usuń zagrożenie
  • Pozbądź się incydentu, naprawiając i przywracając swoje systemy do normalnego działania

3. Ocena

  • Sprawdź czy jakiekolwiek systemy i procesy wymagają poprawy i wprowadź zmiany, jeśli to konieczne
  • Oceń incydent przed i po, oraz wszelkie wyciągnięte wnioski
  • Zaktualizuj swój plan reagowania na incydenty związane z cyberbezpieczeństwem na podstawie wyciągniętych wniosków, aby poprawić swoją reakcję w przyszłości

Konieczne jest przygotowanie planu reagowania na incydenty związane z bezpieczeństwem cybernetycznym. Co warto wziąć pod uwagę? Po pierwsze kwestię przygotowania się i zapobiegania atakom. Pracownicy powinni zostać przeszkoleni i wiedzieć, jak się zachować, gdy wykryją atak lub wyda im się, że coś jest nie tak. Potrzebne są zasady i jasne procedury, aby pracownik wiedział, jak identyfikować potencjalne incydenty i jak im zapobiegać. Warto zidentyfikować zasoby, które są bardzo ważne dla firmy, np. zasoby finansowe, informacyjne i technologiczne, a także związane z nimi zagrożenia oraz kroki, jakie należy podjąć, aby ograniczać skutki incydentu. Stwórzmy też role i obowiązki, aby wszyscy wiedzieli, do kogo należy się zgłosić w przypadku wystąpienia problemów i co robić dalej.

I po drugie kwestię sprawdzania i wykrywania ataków. Personel powinien wiedzieć, jak sprawdzać i identyfikować wszelkie nietypowe działania, które mogą narazić firmę na problemy i straty. Nietypowe aktywności mogą obejmować: konta sieciowe, niedziałające hasła, brakujące dane lub zmienione dane, brakujące miejsce na dyskach, zawieszanie się komputera i niestabilną pracę, zgłoszenia klientów, którzy twierdzą, że otrzymują spam z naszego konta firmowego, pojawiające się w systemie wyskakujące okienka (np. reklamowe). Pracownik powinien wiedzieć, jak rozpoznać, że coś niewłaściwego dzieje się ze sprzętem lub z usługami online.

Tego typu procedury i informacje pozwolą na stworzenie skutecznej polityki cyberbezpieczeństwa. Pamiętajmy tylko, aby później regularnie ją przeglądać, recenzować i wprowadzać odpowiednie aktualizacje.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200