Autor: Sebastian Stodolak

Dziennikarz, filozof, muzyk, pracuje w Dzienniku Gazecie Prawnej.

Polskie firmy na muszce hakerów

Z cyber bezpieczeństwem jest, jak ze zdrowiem. Nie dbasz o nie, dopóki go nie stracisz - uważa dr Wojciech Kurowski, ekonomista ze Szkoły Głównej Handlowej specjalizujący się w przestępczości internetowej.
Polskie firmy na muszce hakerów

Infografika: Darek Gąszczyk

Ta lapidarna myśl odnosi się do wniosków, które płyną z najnowszej publikacji firmy analitycznej PwC: „W obronie cyfrowych granic, czyli pięć rad, jak realnie wzmocnić ochronę firmy przed CYBER ryzykiem.”

Badania PwC wykazały, że w zeszłym roku liczba incydentów związanych z bezpieczeństwem danych w Polsce wzrosła aż o 46 proc. (to więcej niż na świecie, gdzie wzrost był na poziomie 38 proc.)

Wniosek 1: Cyberzagrożenie rośnie

Żyjemy w czasach, gdy czasami nawet cała aktywność przedsiębiorstw odbywa się i jest rejestrowana na twardych dyskach komputerów. Przestępcy zrozumieli, że nie warto włamywać się do tradycyjnych sejfów. Cenniejsza jest właśnie zawartość twardego dysku.

Według PwC na jedną firmę w Polsce przypadało w zeszłym roku aż 126 cyberataków. Jakie są konsekwencje takich incydentów? Wyciek wrażliwych danych to dopiero początek problemu. W aż 33 proc. przypadków cyberataki i incydenty bezpieczeństwa przekładały się na realne straty finansowe, utratę klientów, reputacji lub spór sądowy. W raporcie czytamy, że 4 proc. polskich firm straciło z tych powodów ponad 1 mln złotych, a aż 5 proc. odnotowało przestój w działalności na 5 dni. To tym ciekawsze, że cyberataki pierwotnie nakierowane były głównie na sektor finansowy, a obecnie w związku z rosnącą kreatywnością cyberprzestępców dotykają także sektora produkcyjnego.

– Można zdalnie za pomocą jakiegoś zainfekowanego komputera zablokować całą taśmę montażową w fabryce, a potem żądać od firmy „opłaty” za jej odblokowanie – zauważa dr Kurowski.

Czy firma będzie dzwonić na policję, ryzykując olbrzymie straty, czy zapłaci, przywracając produkcję, jest pytaniem retorycznym. Oczywiście, w większości przypadków zapłaci.

Kurowski potwierdza też inny niepokojący wniosek raportu: najczęściej okienko, przez które do systemów IT włamują się hakerzy stanowią sami pracownicy atakowanych firm. W slangu informatyków pracownik to „interfejs biologiczny”, czyli najbardziej podatny na błędy element układanki.

Wniosek 2: Pracownik jako słaby punkt

Najcześciej okienko dla e-włamywaczy otwierane jest nieświadomie. Jeśli pracownik zaniedba którąś z procedur, np. udostępni osobie trzeciej hasło do komputera, albo wejdzie na niebezpieczną stronę, otworzy podejrzany załącznik, może zainstalować w swoim komputerze program, który umożliwy hakerom dostęp do całego systemu.

– Sęk w tym, że użytkownicy nie potrafią odróżnić, która strona czy wiadomość są podejrzane. A czasami wystarczy zapamiętać kilka prostych wskazówek. Jeśli na przykład wiadomość napisana jest „łamanym polskim”, możemy podejrzewać, że zawiera złośliwy kod, logując się z kolei do banków i wszędzie tam, gdzie podajemy login i hasło, powinniśmy zwrócić uwagę na tzw. kłódkę w przeglądarce, która świadczy o zaufanej witrynie – opowiada Marek Nadstawny, informatyk od 11 lat zawodowo zajmujący się sieciami, wdrażaniem polityki bezpieczeństwa i szkoleniami w tym zakresie. Niestety, chociaż problem jest poważny, to – jak podkreśla raport PwC – aż 70 proc. polskich firm nie monitoruje swoich pracowników, a 30 proc. z tych pracowników nie ma w ogóle świadomości, o czym mowa.

– Dla naszych firm i pracowników cyberbezpieczeństwo to nadal science-fiction. Często podczas rozmów z nimi słyszałem: „a po co się tym przejmować?, „nie mamy wrażliwych danych”, lub: „to dane trzeba zabezpieczać?” – rozkłada ręce Nadstawny.

Nawiasem mówiąc, problem bezpieczeństwa IT nie dotyczy wyłącznie sektora prywatnego. W grudniu 2015 r. jeden z amerykańskich informatyków, zajmujących się badaniem bezpieczeństwa danych ujawnił, że z publicznej bazy wyciekły dane personalne 191 mln wyborców (od numerów telefonu po informacje o zatrudnieniu). Winna była źle skonfigurowana baza danych. Oznacza to, że nie wystarczy wprowadzenie procedur bezpieczeństwa. W końcu nawet wprowadzający je ludzie mogą się pomylić. Potrzeba stałego nadzoru i korzystania z usług eksperta.

Z raportu PwC wynika, że z usług specjalistów od bezpieczeństwa firmy wciąż korzystają zbyt rzadko, nie mówiąc już o zatrudnianiu na stałe dyrektorów ds. bezpieczeństwa. 42 proc. firm w ogóle nie zamierza tego robić.

Wniosek 3: Polskie firmy bagatelizują sprawę

Aż 50 proc. polskich firm i organizacji przyznaje, że rocznie wydaje ok. 0,5 mln zł na bezpieczeństwo IT, a większość – 65 proc. – uważa, że ich prewencyjne działania są skuteczne. Nijak to ma się do rzeczywistości. Hakerom wystarcza przeciętnie 4 godziny na skuteczne rozpracowanie danego systemu. Część polskich firm do sprawy podchodzi minimalistycznie, ograniczając się np. do zastosowania wymogów polskiego prawa, które – w zgodnej opinii ekspertów – nie nadąża za zmieniającym się światem, a i tak aż 33 proc. firm nie robi nawet tego. Ogólnie rzecz biorąc, tylko 46 proc. firm przyjęło twarde sformializowane zasady bezpieczeństwa IT.

– To, że w Polsce nie docenia się jeszcze do końca znaczenia zagrożeń związanych z cyberbezpieczeństwem, ma swoje uzasadnienie. Nasze firmy na tle tych europejskich są wciąż rzadszym obiektem ataków. Cyberprzestępcy jeszcze aż tak bardzo nie dają się im we znaki, więc firmy pomijają dość kosztowne inwestycje w zabezpieczenia – uważa dr Kurowski. W Polsce koszt wynajęcia specjalistów od bezpieczeństwa systemów IT zawyżony jest przez ich deficyt na rynku: to osoby, które muszą łączyć dogłębne wykształcenie informatyczne z wiedzą z zakresu zarządzania ryzykiem oraz zdolnościami menedżerskimi.

Firmy, które na cyberbezpieczeństwo skąpią, wkrótce te koszty będą musiały ponieść, czy tego chcą, czy nie, bo Unia Europejska zamierza przyjąć jednolite regulacje w zakresie bezpieczeństwa danych i brak ich respektowania karać grzywnami nawet do 4 proc. globalnych dochodów.

Infografika: Darek Gąszczyk

Otwarta licencja


Tagi


Artykuły powiązane

Czarne chmury nad Wielką Czwórką

Kategoria: Instytucje finansowe
Oblicze firm audytorsko-doradczych, zwanych Wielką Czwórką, bardzo się zmieniło i nosi ślady wielu niezbyt chwalebnych zdarzeń, mimo że od dekad jest pudrowane skutecznym PR-em. Żyją obecnie w wygodnej symbiozie, ale ten okres się kończy, bo nadchodzą ich „ubery” i „amazony”.
Czarne chmury nad Wielką Czwórką

Polskie firmy muszą dbać o marże, bo z czasem wzrosną im koszty

Kategoria: Pracownicy NBP
Potencjał adaptacyjny polskich przedsiębiorstw w krótkim terminie jest duży. W średnim i dłuższym terminie ważne jest czy firmy będą potrafiły wykorzystać nowoczesne technologie lub lepsze metody zarządzania do zwiększenia marży tak, aby ta była dostatecznym buforem, chroniącym przed ciśnieniem kosztów - mówi dr Piotr Boguszewski, koordynujący w NBP szybki monitoring przedsiębiorstw.
Polskie firmy muszą dbać o marże, bo z czasem wzrosną im koszty