Polska jest w czołówce krajów najbardziej zagrożonych cyberterroryzmem, a zgodnie z ostatnim raportem genewskim – jest jednoznacznie najczęstszym celem dla atakujących. Równolegle według danych firmy ESET aż 59 proc. małych i średnich przedsiębiorstw w naszym kraju było celem cyberataku w 2022 r.
Ostatnie wydarzenia na świecie, a szczególnie za naszą wschodnią granicą, powinny dodatkowo zachęcać przedsiębiorców do maksymalnej dbałości o cyfrowe bezpieczeństwo.
W Polsce obowiązuje obecnie 3 stopień CRP Charlie, który wprowadza się w przypadku realnego zagrożenia cyberatakiem m.in. o charakterze terrorystycznym. Polskie firmy nigdy nie były więc tak bardzo narażone na potencjalne zagrożenia, jak ma to miejsce w 2023 roku.
Największe zagrożenia dla biznesu
Chociaż może się wydawać, że przedsiębiorcy muszą liczyć się z zupełnie innymi problemami bezpieczeństwa niż typowi użytkownicy internetu, jest to tylko częściowo prawdą. Głównym wyzwaniem nadal pozostaje bowiem phishing polegający na wyłudzaniu danych, ransomware, czyli oprogramowanie szyfrujące pliki wykorzystywane w cyfrowych szantażach oraz szeroka gama problemów generowanych przez powszechność pracy hybrydowej i zdalnej.
Stąd tak ważne jest wyszkolenie pracowników niezależnie od tego czy pracują zdalnie, czy w biurach oraz zabezpieczenie ich sprzętu wykorzystywanego do łączenia się z firmowymi zasobami.
Infekcja firmowej sieci jest najczęściej wynikiem ludzkiego błędu i nadmiernego zaufania przez osoby bez doświadczenia lub dysponujące nieodpowiednimi zabezpieczeniami w komputerach.
Największym problemem pozostają wszelkiej maści ataki realizowane głównie przez pocztę elektroniczną. Firmowe skrzynki są codziennie zalewane dziesiątkami e-maili, z których tylko niektóre należy uznać za bezpieczne i autentyczne. Niestety atakujący wymyślają coraz bardziej kreatywne historie, nakłaniając użytkowników do klikania linków, pobierania zainfekowanych załączników lub podawania danych dostępowych do firmowych systemów. Potrafią też doskonale podszywać się pod służbowe adresy, zamieniając w nich czasami tylko jedną literę, co w pośpiechu trudno wyłapać.
Bez oprogramowania antywirusowego w ten sposób można w kilka chwil nieświadomie zainstalować oprogramowanie szpiegujące lub szyfrujące dane, co dla firmy oznacza najczęściej duży problem na wielu polach – z wizerunkowym i finansowym włącznie. Głośne i dotkliwe w skutkach przykłady z ostatnich miesięcy, to atak na samorządową spółkę z południa Polski i prestiżowego producenta luksusowych aut. W tym drugim przypadku hakerzy weszli w posiadanie m.in. nazwisk i adresów klientów firmy, a za ich nieujawnianie zażądali okupu!
Antywirus w firmie to za mało
Antywirusy znane z komputerów prywatnych od dawna są filarem bezpieczeństwa firm, jednak skala zagrożeń wobec biznesu jest zdecydowanie większa. Dlatego, aby oprogramowanie zabezpieczające było w pełni skuteczne, musi działać razem z innymi narzędziami do wielowarstwowej ochrony zarówno komputerów, jak i urządzeń mobilnych. Wykorzystanie sztucznej inteligencji, skanowanie poczty czy szyfrowanie danych to dodatkowe rozwiązania, które wspólnie z antywirusem tworzą cyberochronę dla firmowego sprzętu.
Marka ESET proponuje przeniesienie zarządzania elementami cyberbezpieczeństwa do chmury. Dla przedsiębiorcy to niższy koszt usługi, ponieważ nie musi utrzymywać serwerowni i drogiego sprzętu. Rozwiązania chmurowe są dziś powszechnie stosowane w firmach w wielu kontekstach. Skalowalność pozwala na bieżąco przypisywać na dane potrzeby dodatkowe zasoby, a odseparowanie infrastruktury od siedziby firmy to dodatkowe zabezpieczenie choćby w przypadku pożaru.
Przedsiębiorca decydujący się na usługę w chmurze ma do niej dostęp z dowolnego miejsca na świecie bez konieczności samodzielnego inwestowania w mechanizmy, które takie połączenie umożliwiają. Odpada też konieczność poświęcenia czasu i środków na kadry, które musiałyby obsłużyć całą infrastrukturę w przypadku budowania jej w danym przedsiębiorstwie. Trudno się zatem dziwić, że "ucieczka do chmury" to typowy trend w 2023 roku, a oprogramowanie ESET nie pozostaje wyjątkiem.
Bezpieczeństwo w firmie będzie jednak zagwarantowane tylko wtedy, gdy pracownicy będą na bieżąco szkoleni i będą dysponowali wszelkimi potrzebnymi narzędziami, które nie wpływają negatywnie na ich codzienną pracę. Polecanym przykładem może być wdrożenie szyfrowania danych, narzędzi do uwierzytelniania dwuetapowego i oprogramowania, które działa skutecznie w tle, chroniąc firmę, nie spowalniając przy tym sprzętu – ESET zapewnia dokładnie takie rozwiązania.
Naturalnie ostatecznym kluczem do sukcesu jest regularne aktualizowanie aplikacji i systemu operacyjnego. Luki w oprogramowaniu są bowiem często wykorzystywane przez atakujących, a użytkownicy zwlekający z instalacją poprawionych wersji programów sami proszą się o kłopoty i otwierają furtkę do ataków na infrastrukturę.
Atak socjotechniczny – jak "nie dać się nabrać"?
By zadbać o bezpieczeństwo w firmie, warto zacząć od szkolenia personelu pod kątem potencjalnych ataków socjotechnicznych. Kluczowe jest szybkie rozpoznawanie zagrożenia i opanowanie emocji oraz odpowiedzialne posługiwanie się zasobami Internetu. O czym szczególnie trzeba przypominać pracownikom?
· Korzystaniu ze zweryfikowanych, powszechnie uznanych źródeł informacji, oprogramowania i plików.
· Bacznym przyglądaniu się adresom internetowym, które mogą być sfałszowane i prowadzić do spreparowanych stron atakujących. Jeden inny znak w adresie URL może być początkiem poważnych kłopotów, jeśli pracownik zdecyduje się uzupełnić formularz na stronie docelowej.
· Weryfikacji rozmówcy w przypadku kontaktu telefonicznego. Częstą formą phishingu jest bowiem spoofing, w ramach którego dzwoniący podszywają się pod instytucje powszechnego zaufania, z ich numerem telefonu włącznie.
· Sceptycznym podejściu do zaskakująco atrakcyjnych ofert i wiadomości wzywających do podjęcia szybkiej akcji celem eliminacji jakiegoś problemu. Takie komunikaty można spotkać zarówno w formie SMS-ów, jak i spreparowanych e-maili. Niezależnie od formy atak prowadzi do przejęcia danych lub pieniędzy z kont bankowych po nieświadomym podaniu ich przez ofiarę atakującemu.
Płatna współpraca z marką ESET