Autor: Sebastian Stodolak

Dziennikarz, filozof, muzyk, pracuje w Dzienniku Gazecie Prawnej.

Polskie firmy na muszce hakerów

Z cyber bezpieczeństwem jest, jak ze zdrowiem. Nie dbasz o nie, dopóki go nie stracisz - uważa dr Wojciech Kurowski, ekonomista ze Szkoły Głównej Handlowej specjalizujący się w przestępczości internetowej.
Polskie firmy na muszce hakerów

Infografika: Darek Gąszczyk

Ta lapidarna myśl odnosi się do wniosków, które płyną z najnowszej publikacji firmy analitycznej PwC: „W obronie cyfrowych granic, czyli pięć rad, jak realnie wzmocnić ochronę firmy przed CYBER ryzykiem.”

Badania PwC wykazały, że w zeszłym roku liczba incydentów związanych z bezpieczeństwem danych w Polsce wzrosła aż o 46 proc. (to więcej niż na świecie, gdzie wzrost był na poziomie 38 proc.)

Wniosek 1: Cyberzagrożenie rośnie

Żyjemy w czasach, gdy czasami nawet cała aktywność przedsiębiorstw odbywa się i jest rejestrowana na twardych dyskach komputerów. Przestępcy zrozumieli, że nie warto włamywać się do tradycyjnych sejfów. Cenniejsza jest właśnie zawartość twardego dysku.

Według PwC na jedną firmę w Polsce przypadało w zeszłym roku aż 126 cyberataków. Jakie są konsekwencje takich incydentów? Wyciek wrażliwych danych to dopiero początek problemu. W aż 33 proc. przypadków cyberataki i incydenty bezpieczeństwa przekładały się na realne straty finansowe, utratę klientów, reputacji lub spór sądowy. W raporcie czytamy, że 4 proc. polskich firm straciło z tych powodów ponad 1 mln złotych, a aż 5 proc. odnotowało przestój w działalności na 5 dni. To tym ciekawsze, że cyberataki pierwotnie nakierowane były głównie na sektor finansowy, a obecnie w związku z rosnącą kreatywnością cyberprzestępców dotykają także sektora produkcyjnego.

– Można zdalnie za pomocą jakiegoś zainfekowanego komputera zablokować całą taśmę montażową w fabryce, a potem żądać od firmy „opłaty” za jej odblokowanie – zauważa dr Kurowski.

Czy firma będzie dzwonić na policję, ryzykując olbrzymie straty, czy zapłaci, przywracając produkcję, jest pytaniem retorycznym. Oczywiście, w większości przypadków zapłaci.

Kurowski potwierdza też inny niepokojący wniosek raportu: najczęściej okienko, przez które do systemów IT włamują się hakerzy stanowią sami pracownicy atakowanych firm. W slangu informatyków pracownik to „interfejs biologiczny”, czyli najbardziej podatny na błędy element układanki.

Wniosek 2: Pracownik jako słaby punkt

Najcześciej okienko dla e-włamywaczy otwierane jest nieświadomie. Jeśli pracownik zaniedba którąś z procedur, np. udostępni osobie trzeciej hasło do komputera, albo wejdzie na niebezpieczną stronę, otworzy podejrzany załącznik, może zainstalować w swoim komputerze program, który umożliwy hakerom dostęp do całego systemu.

– Sęk w tym, że użytkownicy nie potrafią odróżnić, która strona czy wiadomość są podejrzane. A czasami wystarczy zapamiętać kilka prostych wskazówek. Jeśli na przykład wiadomość napisana jest „łamanym polskim”, możemy podejrzewać, że zawiera złośliwy kod, logując się z kolei do banków i wszędzie tam, gdzie podajemy login i hasło, powinniśmy zwrócić uwagę na tzw. kłódkę w przeglądarce, która świadczy o zaufanej witrynie – opowiada Marek Nadstawny, informatyk od 11 lat zawodowo zajmujący się sieciami, wdrażaniem polityki bezpieczeństwa i szkoleniami w tym zakresie. Niestety, chociaż problem jest poważny, to – jak podkreśla raport PwC – aż 70 proc. polskich firm nie monitoruje swoich pracowników, a 30 proc. z tych pracowników nie ma w ogóle świadomości, o czym mowa.

– Dla naszych firm i pracowników cyberbezpieczeństwo to nadal science-fiction. Często podczas rozmów z nimi słyszałem: „a po co się tym przejmować?, „nie mamy wrażliwych danych”, lub: „to dane trzeba zabezpieczać?” – rozkłada ręce Nadstawny.

Nawiasem mówiąc, problem bezpieczeństwa IT nie dotyczy wyłącznie sektora prywatnego. W grudniu 2015 r. jeden z amerykańskich informatyków, zajmujących się badaniem bezpieczeństwa danych ujawnił, że z publicznej bazy wyciekły dane personalne 191 mln wyborców (od numerów telefonu po informacje o zatrudnieniu). Winna była źle skonfigurowana baza danych. Oznacza to, że nie wystarczy wprowadzenie procedur bezpieczeństwa. W końcu nawet wprowadzający je ludzie mogą się pomylić. Potrzeba stałego nadzoru i korzystania z usług eksperta.

Z raportu PwC wynika, że z usług specjalistów od bezpieczeństwa firmy wciąż korzystają zbyt rzadko, nie mówiąc już o zatrudnianiu na stałe dyrektorów ds. bezpieczeństwa. 42 proc. firm w ogóle nie zamierza tego robić.

Wniosek 3: Polskie firmy bagatelizują sprawę

Aż 50 proc. polskich firm i organizacji przyznaje, że rocznie wydaje ok. 0,5 mln zł na bezpieczeństwo IT, a większość – 65 proc. – uważa, że ich prewencyjne działania są skuteczne. Nijak to ma się do rzeczywistości. Hakerom wystarcza przeciętnie 4 godziny na skuteczne rozpracowanie danego systemu. Część polskich firm do sprawy podchodzi minimalistycznie, ograniczając się np. do zastosowania wymogów polskiego prawa, które – w zgodnej opinii ekspertów – nie nadąża za zmieniającym się światem, a i tak aż 33 proc. firm nie robi nawet tego. Ogólnie rzecz biorąc, tylko 46 proc. firm przyjęło twarde sformializowane zasady bezpieczeństwa IT.

– To, że w Polsce nie docenia się jeszcze do końca znaczenia zagrożeń związanych z cyberbezpieczeństwem, ma swoje uzasadnienie. Nasze firmy na tle tych europejskich są wciąż rzadszym obiektem ataków. Cyberprzestępcy jeszcze aż tak bardzo nie dają się im we znaki, więc firmy pomijają dość kosztowne inwestycje w zabezpieczenia – uważa dr Kurowski. W Polsce koszt wynajęcia specjalistów od bezpieczeństwa systemów IT zawyżony jest przez ich deficyt na rynku: to osoby, które muszą łączyć dogłębne wykształcenie informatyczne z wiedzą z zakresu zarządzania ryzykiem oraz zdolnościami menedżerskimi.

Firmy, które na cyberbezpieczeństwo skąpią, wkrótce te koszty będą musiały ponieść, czy tego chcą, czy nie, bo Unia Europejska zamierza przyjąć jednolite regulacje w zakresie bezpieczeństwa danych i brak ich respektowania karać grzywnami nawet do 4 proc. globalnych dochodów.

Infografika: Darek Gąszczyk

Otwarta licencja


Tagi


Artykuły powiązane

Cyfryzacja przedsiębiorstw w czasie pandemii COVID-19

Kategoria: Trendy gospodarcze
Pandemia przyspieszyła transformację cyfrową, która stała się integralną częścią społeczeństwa oraz przetrwania europejskich i amerykańskich firm. Unia Europejska pozostaje jednak w tyle za Stanami Zjednoczonymi pod względem cyfryzacji przedsiębiorstw.
Cyfryzacja przedsiębiorstw w czasie pandemii COVID-19

Firmy-zombie podczas pandemii COVID-19

Kategoria: VoxEU
Badanie włoskich firm pokazało, że „firmy-zombie” rzadziej niż przedsiębiorstwa zdrowe otrzymywały w czasie pandemii wsparcie publiczne, co sugeruje, że środki te nie powodowały „zombifikacji” gospodarki.
Firmy-zombie podczas pandemii COVID-19

Tydzień w gospodarce

Kategoria: Trendy gospodarcze
Przegląd wydarzeń gospodarczych ubiegłego tygodnia (06–10.06.2022) – źródło: dignitynews.eu
Tydzień w gospodarce