Małe i średnie firmy to dobry cel dla cyberprzestępców

Materiał powstał we współpracy z firmą ESET

Czy Polska jest istotnym celem cyberataków, czy pozostajemy nieco na uboczu?

Absolutnie nie można powiedzieć, że jesteśmy na uboczu. Szczególnie w ostatnich latach, kiedy do „zwykłej” cyberprzestępczości dołączyła cyberprzestępczość uwarunkowana przez geopolitykę, przez konflikt w Ukrainie. Cyberataki zdarzają się regularnie. Firma ESET, jeden z ważnych dostawców rozwiązań ochronnych dla branży IT, przeprowadziła ostatnio badania, z których wynika, że prawie 2/3 polskich małych i średnich firm miało w 2022 roku jakiś incydent dotyczący cyberbezpieczeństwa. Czyli bardzo dużo.

Stereotypowe wyobrażenia mówią, że cyberataki dotyczą raczej dużych firm. Jak to jest w przypadku biznesu małego i średniego?

O atakach na duże podmioty zwykle jest głośno. Kiedy ataki dotyczą firmy małej czy średniej, z niewielkiej miejscowości, media raczej o tym nie wspominają. Co nie zmienia faktu, że dla takiej firmy zatrzymanie działalności na kilka dni może być gigantycznym kłopotem. Chciałbym też zwrócić uwagę na różną naturę tych ataków. Duża firma zwykle jest konkretnym celem konkretnego ataku. Natomiast małe i średnie podmioty stają się ofiarami nieukierunkowanych działań na masową skalę, uderzających w tysiące firm i osób. W przypadku najczęstszych ataków phishingowych przestępcy liczą, że ten jeden z tysięcy rozesłanych fałszywych maili zostanie otwarty i ofiara ataku kliknie w link.

Co się dzieje w takiej małej firmie, kiedy staje się ofiarą cyberataku?

Małe firmy z reguły nie mają wyspecjalizowanych zespołów bezpieczeństwa. Jeżeli na przykład dochodzi do ataku typu ransomware i zostają zaszyfrowane komputery, to często przedsiębiorca musi zatrzymać działalność na kilka dni. I w tym czasie szukać specjalisty. Takie przypadki nie są rzadkie – odcięcie od wszelkich danych, unieruchomienie komputerów i zatrzymanie działalności organizacji.

Co małe i średnie firmy mogą zrobić, żeby nie dopuścić do takiej sytuacji?

Ta materia bardzo się skomplikowała w ostatnich latach. Jeszcze pięć–¬dziesięć lat temu wymieniało się katalog rozwiązań poprawiających bezpieczeństwo. Teraz taka prosta lista nie wystarcza. Nawet małym przedsiębiorcom polecałbym znalezienie partnera, wyspecjalizowanej firmy, z którą będą się zajmować bezpieczeństwem IT. To wcale nie muszą być wielkie korporacje, często to małe lokalne firmy, które mogą przeprowadzić przedsiębiorcę przez meandry specjalistycznych wyborów i doradzić mu najlepsze rozwiązania dla jego biznesu. Nie należy po prostu kupować „jakichś” rozwiązań, trzeba dostosować je do specyfiki działalności danej firmy.

O powodzeniu cyberataku często decyduje błąd ludzki. Czy można sobie z tym jakoś poradzić?

Największym wyzwaniem jest właściwe zbalansowanie w organizacji zabezpieczeń technicznych z dobrymi praktykami i normami postępowania. Na przykład: nie używamy tych samych haseł w różnych serwisach czy autoryzujemy dostęp do pewnych miejsc. Wtedy mamy szansę utrzymania wysokiego poziomu bezpieczeństwa i równowagi między rozwiązaniami a pracownikami.

Znowu odwołam się do stereotypu: generalnie w firmie bezpieczeństwem informatycznym mają się zajmować informatycy, a pracownicy mają zupełnie inne zadania.

Tak się mówiło dziesięć lat temu. Teraz informatycy dbają o zabezpieczenia techniczne, ale one będą nieskuteczne bez zaangażowania i wiedzy pracowników. Tego nie da się skutecznie wdrożyć, jeżeli menedżerowie w tych przedsiębiorstwach nie mają świadomości problemu.

Jakie są sposoby, żeby pracownicy przestali używać haseł typu „12345”?

Edukacja, edukacja, edukacja. Do tego dodatkowe zabezpieczenia. Hasło jest zresztą dość niewygodnym w użyciu narzędziem. W IT mamy lepsze sposoby, mamy dwuetapowe uwierzytelnianie, kiedy oprócz hasła trzeba podać na przykład odcisk palca albo token, czyli jednorazowy kod w telefonie. Mamy też biometrię, skan tęczówki.

Dużym zainteresowaniem cieszą się rozwiązania, które pozwalają zmotywować pracowników. To są na przykład narzędzia do tak zwanego symulowania phishingu. Przy pomocy partnera IT firma może rozsyłać do pracowników maile, które będą kierowały na taką niby fałszywą stronę. Wówczas można zidentyfikować, kto jest naprawdę ostrożny w podawaniu haseł i klikaniu w linki. To bardzo wyostrza uwagę, menedżerowie wiedzą, kto dał się złapać w pułapkę. Tę wiedzę można później wykorzystać w klasycznych szkoleniach. My zalecamy, żeby tego rodzaju treningi robić cyklicznie.

A jakimi czysto informatycznymi rozwiązaniami powinny dysponować małe i średnie firmy, żeby nie być narażone na cyberataki?

Tam, gdzie nie mamy wydzielonego zespołu cyberbezpieczeństwa, najlepiej związać się ze stałym partnerem, który doradzi nam w sposób kompleksowy. W zakresie infrastruktury IT, ale też pod kątem przeglądu procesów i szkoleń pracowników. Zawsze podstawą jest zabezpieczanie urządzeń końcowych, czyli laptopów czy telefonów, które pracują w naszej organizacji. Przy obecnym poziomie komplikacji ataków nie wystarczy jakikolwiek antywirus. Potrzebujemy złożonych rozwiązań ochronnych, najlepiej wybranych w porozumieniu z partnerem, żeby mieć pewność, że jest to dobrej jakości rozwiązanie uznanego dostawcy. Oprócz tego trzeba spojrzeć, gdzie i jakie dane przetwarzamy, czyli pomyśleć o tym, czy nie dojdzie do ich wycieku. Oczywiście niezwykle istotne zagadnienie to odseparowanie naszej sieci firmowej od internetu, czyli firewalle. Szyfrowanie danych to kolejna sprawa. Te kategorie mógłbym wymieniać długo. Tak naprawdę trzeba usiąść z partnerem, który zapyta: jak prowadzicie biznes, co jest dla was najważniejsze? Co może sparaliżować firmę? Utrata jakich danych sprawi, że stracicie klientów? Co się wydarzy, jeżeli do danych z tego komputera miałyby dostęp osoby trzecie? Zawsze trzeba przeanalizować, jak ten biznes działa, a potem znaleźć najlepsze rozwiązania.

Materiał powstał we współpracy z firmą ESET