Materiał powstał we współpracy z Orange Polska
Jakie wyzwania stoją aktualnie przed firmami w zakresie cyberbezpieczeństwa?
Cyberbezpieczeństwo to spore wyzwanie dla firm – niezależnie od wielkości czy branży. Wynika to z faktu, że technologia jest wszędzie i wszyscy jako: użytkownicy, mieszkańcy, klienci, przedsiębiorcy coraz bardziej się cyfryzujemy. Wyzwaniem staje się zapewnienie bezpieczeństwa na różnych poziomach. Pierwszy obszar związany jest właśnie z technologią, czyli zabezpieczeniem urządzeń, którymi posługujemy się na co dzień: telefonów komórkowych, laptopów, czytników czy przenośnych drukarek. Mówimy o rozwiązaniach sieciowych, przez które transmitujemy dane, ale też o rozwiązaniach infrastrukturalnych, gdzie je zbieramy i przetwarzamy, i wreszcie o aplikacjach, gdzie dane są udostępniane użytkownikowi, wykorzystywane do podejmowania decyzji czy do sterowania procesami produkcyjnymi.
Drugim obszarem jesteśmy my sami. To właśnie ludzie – jako użytkownicy, pracownicy, klienci – są głównym wektorem ataków. Łatwiej nas oszukać, niż przełamać technologiczne bariery zabezpieczające. Patrząc więc kompleksowo na temat cyberbezpieczeństwa, to jest on wszechobecny na każdym etapie i polu naszej działalności. Robiąc biznes w świecie cyfrowym, od samego początku musimy myśleć nie tylko o tym, jakie funkcjonalności zaoferujemy, ale także jak je dostarczyć bezpiecznie.
Producenci tak myślą?
Coraz bardziej tak. Jeszcze dziesięć lat temu projektowano rozwiązania, które miały swą funkcjonalność i wydajność, ale cyberbezpieczeństwo było brane pod uwagę na zasadzie „zabezpieczmy to, ale później”. Przy obecnym poziomie digitalizacji, jeśli poważnie myślimy o biznesie, powinniśmy to robić wcześniej. Zgodnie z ideą „security by design” trzeba zająć się bezpieczeństwem od początku. Jeśli o to nie zadbamy, to naprawa lub późniejsze zabezpieczanie jest dużo bardziej kosztowne.
Rozumiem, że są cyberzagrożenia, które dotykają biznes niezależnie od wielkości i branży, a czy są takie, które dotykają konkretnych branż, np. firm przemysłowych?
Duża część zagrożeń jest rzeczywiście wspólna dla ogółu firm. Są jednak specyficzne branże, które muszą podejść do tematu nieco inaczej, stosując np. zabezpieczenia dodatkowe. Przykładem są firmy produkcyjne. Produkcja jest coraz bardziej zautomatyzowana, nasycona technologią. Złamanie systemu bezpieczeństwa oznacza tu nie tylko wyciek danych, ale też przerwanie produkcji, straty materialne, awarię urządzeń produkcyjnych, a nawet zagrożenie dla zdrowia i życia. Same przerwy w produkcji, a więc i dostawach, to już duże wymierne straty.
Specyficzna jest też branża finansowa, która obraca naszymi pieniędzmi. Oznacza to inne standardy regulacyjne i płatnościowe umożliwiające np. bezpieczne płacenie telefonem albo zabezpieczenie kont. Osobna grupa to firmy kluczowe dla państwa. Chodzi o infrastrukturę krytyczną, nie tylko o obiekty wojskowe, ale też o porty lotnicze, przedsiębiorstwa dostarczające energię, wodę, ogrzewanie. Tu też są bardzo specyficzne wymagania, gdyż atak w tym obszarze może przynieść negatywne skutki dla dużej grupy ludzi na znacznym terytorium.
A firmy telekomunikacyjne?
Telekomy też są obszarem infrastruktury krytycznej. Obsługujemy miliony użytkowników. Zabezpieczamy więc naszą firmę, ale mając wiedzę, bo przypomnę, że przez Orange przechodzi duża część ruchu internetowego w Polsce, świadczymy też usługi dla innych firm. Widzimy, co się dzieje u klientów, możemy ich ostrzec, zablokować ataki albo też doradzić, jak skutecznie się zabezpieczyć. Nasze kompetencje w tym zakresie zostały docenione przez przedsiębiorców w niezależnym badaniu przeprowadzonym przez Kantar. Otrzymaliśmy tytuł Marka Godna Zaufania – firma, która oferuje najlepszy pakiet rozwiązań dbających o cyberbezpieczeństwo firmy.
Czy i jak firmy mogą sprawdzić, na jakie zagrożenia są najbardziej narażone?
Zalecam audyt. Z jednej strony zewnętrzny, podczas którego oprócz testów technicznych przeprowadzany jest m.in. symulowany atak socjotechniczny, aby sprawdzić podatność firmy i jej pracowników. Czynnik ludzki jest bardzo często najsłabszym ogniwem w systemie cyberbezpieczeństwa firmy. Nie jest to jednak w żadnej mierze specyfika Polski. To trend światowy. Z kolei audyt wewnętrzny sprawdza, czy firma nie jest już zhakowana. Bywa, że jak ktoś włamie się do naszego systemu, to nie od razu o tym wiemy. Często jest to bardzo długo ukryte, miesiącami, a nawet latami.
Kolejny element to ustawienie polityk w zakresie bezpieczeństwa, wdrożenie podstawowych rozwiązań, które z jednej strony pozwolą nam się zabezpieczyć, a z drugiej monitorować zagrożenia, w miarę możliwości w trybie 24/7. Umożliwi to wyłapanie ataków, jednak 100 proc. pewności nie ma nigdy. Niwelujemy szanse zhakowania bądź czynimy atak nieopłacalnym.
Czy najnowsze technologie, takie jak internet rzeczy, stwarzają także nowe zagrożenia?
Zdecydowanie. O ile w informatyce są już wypracowane standardy, to w IoT – które tworzy się praktycznie z dnia na dzień, dopiero definiowane jest podejście do zabezpieczeń – nie tylko od strony technologicznej czy biznesowej, ale też ustawodawczej. Uczymy się tego jako rynek i użytkownicy. W Orange Polska zainwestowaliśmy w tym obszarze między innymi w specjalne laboratorium do rozwiązań przemysłowych czy internetu rzeczy, gdzie możemy je przetestować pod kątem bezpieczeństwa.
Jak wdrażać rozwiązania cyberbezpieczeństwa?
Przede wszystkim rozsądnie. Na zabezpieczenia można wydać dowolne sumy, ale firmy są po to, by zarabiać i koncentrować się na kluczowej działalności. Dlatego warto skorzystać z usług profesjonalnych firm, które z jednej strony pomogą zidentyfikować zagrożenia, a z drugiej optymalnie dostosować rozwiązania do dostępnego budżetu.
Materiał powstał we współpracy z Orange Polska
