Jak chronić firmę przed przestępcami internetowymi?

Warszawa. Jednostka administracyjna przelewa pieniądze na niewłaściwe konto, zasilając portfel oszustów, zamiast opłacić fakturę od kontrahenta – firmy sprzątającej. Tarczyn. Przedsiębiorstwo traci kilkadziesiąt tysięcy złotych. Zmanipulowana księgowa przelewa pieniądze na konto oszustów. Poznań. Firma architektoniczna ma zablokowany dostęp do każdego komputera. Hakerzy żądają okupu. Znany influencer traci kontrolę nad swoim kontem na YouTube. Konin. Przedsiębiorca stracił wszystkie oszczędności, bo uwierzył w superatrakcyjną inwestycję, która okazała się oszustwem.

Rodzaj branży i wielkość firmy mają coraz mniejsze znaczenie – zagrożenie atakami cybernetycznymi dotyczy niemalże wszystkich przedsiębiorców. Takie sytuacje zdarzają się codziennie. We współpracy z Departamentem Cyberbezpieczeństwa PKO Banku Polskiego podpowiadamy, jak zmniejszyć ryzyko i nie dać się oszukać.

Stołeczna jednostka administracyjna zapłaciła oszustowi zamiast firmie sprzątającej. Powód? Przelew został wykonany pod wpływem fałszywego e-maila z informacją o zmianie rachunku bankowego kontrahenta. Nadawca ten sam, co zwykle, całkiem normalna sytuacja biznesowa…

- Aby uniknąć takich sytuacji, warto zastosować 3 zasady bezpieczeństwa. Po pierwsze, weryfikuj adres e-mail, a nie tylko nazwę nadawcy. Po drugie, przy nietypowych informacjach i prośbach, jak np. zmiana nr rachunku bankowego, należy potwierdzać takie okoliczności z kontrahentem w inny niż mailowy sposób. Po trzecie, warto zastanowić wewnętrzną procedurę w firmach polegająca na tym, że istotne zmiany zatwierdzane są "na 2 pary oczu". Ostrożne podejście do płatności uregulowane w konkretnych zasadach może zapobiec stracie finansowej – wyjaśnia Paulina Krakowska – ekspert z Departamentu Cyberbezpieczeństwa PKO Banku Polskiego.

Bardzo często zdarza się, że oszust prosi o pilny przelew, podszywając się pod szefa, wysyłając maila lub SMS-a z prośbą o szybkie działanie, np. dokonanie przelewu.

- Aby uniknąć tego typu sytuacji warto zastosować w firmie kilkustopniową akceptację przelewów. Wystarczy, że np. księgowa zleca w bankowości elektronicznej przelew, który później akceptuje szef w aplikacji mobilnej – wyjaśnia Paulina Krakowska. - Ponadto, gdy mamy wątpliwości, czy to faktycznie "szef" prosi o przelew, warto do niego zadzwonić i o to zapytać.

Oszust, wykorzystując często podszycie się pod osobę wyższego szczebla (zazwyczaj szefa lub dyrektora), ma większe szanse na powodzenie, jeśli w firmie nie ma ustalonych procedur bezpieczeństwa odnośnie do płatności i zamówień.

Firma architektoniczna z Poznania nie tylko straciła dostęp do swojego systemu, nie odzyskała danych o klientach i projektach, ale też straciła pieniądze, które wpłaciła w bitcoinach jako okup.

Prawdopodobnie główną przyczyną ataku było nieaktualne oprogramowanie lub brak oprogramowania antywirusowego. Przestępcy wyszukują błędy w starszych programach i najczęściej rękami zmanipulowanego pracownika instalują złośliwe programy na "bezbronnych" komputerach i telefonach. Firma popełniła też błąd, wpłacając okup. Zwykle firmy, które wpłaciły okup, nie odzyskują dostępu do swoich danych.

Influencer w kilka chwil utracił dostęp do swojego konta na YouTube. Oszuści usunęli jego treści i rozpoczęli zbiórkę pieniędzy, wykorzystując wizerunek amerykańskiego miliardera. Prawdopodobnie konto było zabezpieczone tylko hasłem, które przestępcy złamali lub uzyskali w wyniku działań phishingowych.

Przy rejestracjach na różnych platformach i stronach www używamy często tego samego hasła. To ogromny błąd, gdyż w razie wycieku danych z jednej platformy – przestępcy zyskują dostęp do innych naszych kont. Najlepiej, gdy hasło jest skomplikowane, długie i unikatowe. Może nam w tym pomóc menedżer haseł.

- Aby wzmocnić ochronę, należy także stosować dwuetapowe logowanie – wszędzie, gdzie jest to możliwe, a szczególnie do poczty i serwisów społecznościowych. Ochrona dwuskładnikowa konta zdecydowanie zwiększa bezpieczeństwo. To znaczy, że logowanie prócz hasła wymaga także np. kodu SMS lub potwierdzenia w aplikacji mobilnej – dodaje Paulina Krakowska.

Magazynier nie potrzebuje zwykle listy kontrahentów, a sprzedawca – danych finansowych firmy. Należy pamiętać, że brak kontroli nad uprawnieniami użytkowników może prowadzić do wielu nadużyć i często nieświadomego narażenia własnej organizacji na niebezpieczeństwo.

Czasami zapominamy, aby komputer firmowy, do którego dostęp ma zwykły użytkownik, nie działał na uprawnieniach administratora. Wystarczy dodać zwykłe konto użytkownika i to już znacznie ogranicza możliwości przestępców. Musimy pamiętać, że firma to zazwyczaj cały ekosystem narzędzi i procedur, który musi być zgodny z wewnętrzną polityką bezpieczeństwa firmy. Kontroli powinny podlegać zarówno uprawnienia użytkowników, jak i stosowane oprogramowanie – nie tylko na komputerach czy laptopach, ale każde urządzeniach podpiętych do sieci.

Backup, czyli regularne kopie zapasowe na oddzielnych nośnikach lub w usługach chmurowych, umożliwia przywrócenie ważnych danych w przypadku ataku.

- Przy wielu atakach na firmy typu ransomware okazywało się, że pomimo istnienia kopii zapasowych, nie pozwalały one na wznowienie działania firmy, bo np. też zostały zaszyfrowane. Dlatego poza ich wykonywaniem ważne jest, aby były przechowywane z wykorzystaniem co najmniej dwóch różnych technologii (np. na dysku i w chmurze) oraz umieszczone poza lokalnym centrum danych. Nie mniej ważne jest regularne sprawdzanie i testowanie procesu odzyskiwania z backupów, aby upewnić się, że w przypadku konieczności proces przywracania danych będzie przebiegał sprawnie i bez dodatkowych komplikacji.

Skutki cyberataków wykraczają poza te bezpośrednie straty finansowe. Utrata reputacji może mieć długoterminowy wpływ na zaufanie klientów i partnerów biznesowych.

Warto więc pamiętać, że "odporność cybernetyczna" obejmuje nie tylko stosowanie odpowiednich narzędzi i technologii, ale również rozwijanie świadomości i kompetencji w zakresie cyberbezpieczeństwa wśród pracowników oraz samych właścicieli czy zarządów przedsiębiorstw.