Firmy same narażają się na cyberataki

Materiał powstał we współpracy z DAGMA Bezpieczeństwo IT i ESET

W najnowszym raporcie „Cyberportret polskiego biznesu” pokazujecie na przykład, że aż 41 proc. polskich firm nie używa oprogramowania zabezpieczającego ich systemów IT. To przerażające.

Ta informacja zaskoczyła również  nas, dlatego dopytywałem osoby odpowiedzialne za dobór próby badawczej czy na pewno tak wyszło i kto takich odpowiedzi udzielał. Dwa razy to weryfikowaliśmy i tak, to jest prawdziwy odsetek tej próby. Zapytane osoby, które odpowiadają za cyberbezpieczeństwo  firm twierdziły, że nie mają oprogramowania zabezpieczającego ich stacje końcowe.

Raport zawiera również inne dane, które robią wrażenie. Na przykład połowa pracowników w firmach nie przeszło żadnego szkolenia, jeżeli chodzi o kwestie cyberbezpieczeństwa. Ale najbardziej zainteresowało mnie to, że 66 proc., czyli dwie trzecie pracowników używa sprzętu służbowego dla celów prywatnych. Jakie to może mieć konsekwencje dla firmy?

Niesie to dodatkowe ryzyka. Pracownik w czasie wolnym na przykład realizuje swoje prywatne zainteresowania, hobby. Odwiedza pewnie inne strony niż w pracy. Czyli pojawia się dodatkowe ryzyko, że na sprzęt używany normalnie do pracy może zostać pobrane złośliwe oprogramowanie, a następnie kontrola nad tym sprzętem może zostać przejęta przez cyberprzestępców.

Jaka jest na to recepta?

Urządzenia służbowego używamy tylko do pracy. A innego sprzętu – do celów prywatnych.

Mówi pan o rozwiązaniu idealnym. Jeżeli pracownik dostaje służbowy laptop, to istnieje bardzo duże prawdopodobieństwo, że jednak będzie również korzystał z niego do celów prywatnych.

Współcześnie bezpieczeństwo w zakresie IT to jest proces. Nieustanny proces poprawy zabezpieczeń technicznych, nawyków pracowników, procesów i procedur zarządczych. I tak naprawdę żadna osoba odpowiedzialna za cyberbezpieczeństwo w dużej firmie nigdy nie może mieć pewności, że zostało osiągnięte 100 proc. bezpieczeństwa. Jeżeli więc możemy poprawić bezpieczeństwo właśnie w ten sposób, żeby nie wchodzić na żadne ryzykowne strony ze sprzętu służbowego, to warto się do tego przyczynić.

Wróćmy do raportu, do tej puli pracowników, która wykorzystuje sprzęt służbowy do celów prywatnych. Najczęściej korzystają z mediów społecznościowych. Jakie powoduje to ryzyka?

Bardzo częstym i popularnym mechanizmem jest przejmowanie kont w mediach społecznościowych. W sieci spotykamy się z jakąś sensacyjną informacją, która budzi nasze emocje i próbujemy przeczytać resztę tekstu. Ale okazuje się, że wymaga to dodatkowego zalogowania, na przykład do Facebooka. Problem polega na tym, że wielu pracowników nie sprawdza dokładnie, gdzie się loguje. To może być moment, w którym to hasło podajemy zupełnie na innej stronie niż Facebook. I w tym momencie jest przejmowany dostęp do naszego konta. A potem za pośrednictwem naszego konta ktoś się podszywa pod nasze działania, na przykład w mediach społecznościowych. Co więcej, może przejąć kontrolę nad komputerem i wejść już do czysto służbowych danych.

Mamy numer dwa jeżeli chodzi o korzystanie przez pracowników ze sprzętu służbowego do celów prywatnych. To zakupy online. Tutaj chyba jest bardziej bezpiecznie?

Oczywiście wszystko zależy od tego, gdzie kupujemy i jak kupujemy. Ale generalna zasada jest taka: musimy być świadomi, że jest to jednak sprzęt należący do firmy. Wchodząc na jakąś podejrzaną witrynę, ryzykuję nie tylko swoim bezpieczeństwem, ale bezpieczeństwem mojej firmy. Potem z mojego sprzętu takie zagrożenie może się rozprzestrzenić na inne komputery w sieci firmowej. Myślę po prostu, że powinniśmy odpowiadać za to, co należy do firmy.

Ale czy rozwiązania stosowane przez firmy na ich sprzęcie, rozwiązania typu VPN, nie wystarczają, żeby uniknąć tych ryzyk?

Nawet najlepsze zabezpieczenia techniczne nie wystarczą, jeżeli za tym nie pójdzie kultura i pewne nawyki bezpieczeństwa wdrożone przez szeregowych pracowników, a potem procedury kontrolne wykonywane przez specjalistów do spraw cyberbezpieczeństwa. A nasz raport pokazał, że blisko połowa pracowników nie była szkolona w żadnym zakresie, jeśli chodzi o cyberbezpieczeństwo w ostatnich trzech latach.

Jak wdrożyć tę kulturę, o której pan wspomniał?

W raporcie mamy jeszcze jedną szokującą informację: co piąty pracownik twierdzi, że reguły bezpieczeństwa obowiązujące w jego firmie utrudniają mu pracę. A co czwarta osoba jest w zasadzie zachęcana do tego, żeby te reguły łamać. Bo tak jest łatwiej, bo szybciej wykonuje swoją pracę. To pokazuje, że sami specjaliści do spraw cyberbezpieczeństwa mają jeszcze dużo pracy. Być może nie potrafimy wystarczająco dobrze tłumaczyć tych zasad. Albo te zasady należy jeszcze przejrzeć - na ile rzeczywiście uniemożliwiają wygodną pracę.

Czyli to się układa w co najmniej dwa nurty działań. Po pierwsze audyt tego, co się dzieje w firmie pod kątem bezpieczeństwa IT, a z drugiej strony wymóg pracy edukacyjnej wśród pracowników.

Dodałbym jeszcze, że potrzebujemy teraz osób mających świetne umiejętności komunikacyjne, również wśród specjalistów cyberbezpieczeństwa. Od tego, w jaki sposób wytłumaczą oni pracownikom reguły bezpieczeństwa zależy, czy te reguły zostaną w ogóle przyjęte i czy będą stosowane na co dzień.

Rozmawiamy o sytuacji, kiedy pracownik korzysta ze sprzętu służbowego do celów prywatnych. A jeżeli mamy do czynienia z działaniem odwrotnym, czyli prywatny sprzęt do celów służbowych - jakie to może budzić ryzyka?

Szczególnie w mniejszych firmach mniejszych możemy spotkać się z takim standardem, że ktoś wykonując zadania dla organizacji pracuje na swoim sprzęcie. To jest sytuacja, której ludzie od cyberbezpieczeństwa bardzo nie lubią. Nie mają kontroli nad urządzeniem końcowym osoby, która przetwarza dane poufne. A tego po prostu powinniśmy unikać. To są dodatkowe ryzyka.