Eksperci ds. bezpieczeństwa dzielą firmy na dwie grupy: "te, które padły ofiarą hakerów i wiedzą o tym, oraz te, które także zostały zhakowane, ale jeszcze o tym nie wiedzą".
W 2017 r. w wyniku cyberataków straty finansowe poniosło 44 proc. polskich przedsiębiorstw, a 62 proc. odnotowało zakłócenia i przestoje w funkcjonowaniu – wynika z analizy PwC.
Co więcej, 65 proc. wykryło różnego rodzaju incydenty. Ich najczęstszym źródłem byli pracownicy (33 proc.), hakerzy (28 proc.) i osoby już w firmie niepracujące (13 proc.).
Niemal co druga firma liczy straty
Skutki powyższych ataków były wyjątkowo dotkliwe. 44 proc. przedsiębiorców deklarowało, że ponieśli straty finansowe. Odsetek ten może być wyższy, biorąc pod uwagę, że aż 62 proc. firm odnotowało zakłócenia i przerwy w funkcjonowaniu, w tym co czwarta takie, które trwały więcej niż jeden dzień roboczy.
W co piątej firmie, gdzie systemy zostały zainfekowane złośliwym oprogramowaniem, przedsiębiorcy tracili przy okazji ważne dane. W co 10 na zewnątrz wyciekły również kluczowe informacje o klientach.
Niepokojące informacje zawiera również raport "Internet Security Threat Report" przygotowany przez firmę Symantec. W 2017 roku najwięcej ataków typu malware zanotowały małe i średnie firmy. To w nich 1 na 95 otrzymanych e-maili zawierał złośliwe oprogramowanie. W skali globalnej w 2018 roku dochodził do ponad 1000 ataków na godzinę na firmową infrastrukturę. Oczywiście nie wszystkie próby są skuteczne, jednak ich liczba cały czas rośnie.
Uczymy się na błędach? Niekoniecznie
Zgodnie z deklaracjami, firmy przeznaczają ok. 3 proc. budżetu IT na działania związane z ochroną przed cyberatakami.
Tyle że – jak wynika z danych PwC – aż 20 proc. dużych i średnich przedsiębiorstw w Polsce nie posiada żadnego specjalisty od cyberbezpieczeństwa, a co drugie nie stworzyło procedur jak reagować, gdy dojdzie do ataku.
Chcąc skutecznie chronić się przed cyberatakami, trzeba zacząć od odpowiedzi na pytanie, które dane są dla firmy wrażliwe i wymagają ograniczonego dostępu. To na pewno numery kart płatniczych, kont bankowych, informacje o klientach, partnerach, dostawcach, pracownikach czy wszelkiego rodzaju dane dostępowe. Bezpiecznym rozwiązaniem jest przechowywanie ich nie tylko na firmowych dyskach, lecz także w internetowej i dobrze zabezpieczonej chmurze. Z rozwiązania tego korzysta coraz więcej przedsiębiorców. W 2014 r. było to 55 proc. firm z sektora MŚP, a trzy lata później już 70 proc.
Ze względu na awaryjność elektroniki, trzeba też zadbać o wykonywanie kopii zapasowych (backupu), ważnych danych, a chmura ten problem częściowo rozwiązuje.
Smartfon to kopalnia firmowych danych
Zabezpieczenie firmowych komputerów to jedno, ale dziś równie ważne jest zabezpieczenie urządzeń mobilnych: tabletów i telefonów. To na nich mamy dostęp do firmowej poczty e-mail, kluczowych dokumentów, zdjęć (także z umowami) czy kontaktów do najważniejszych klientów.
Stąd ważne w urządzeniach mobilnych jest aktualizowanie systemu operacyjnego. Smartfony muszą być również zabezpieczone za pomocą hasła, kodu PIN, a jeśli to możliwe – także z wykorzystaniem czytnika linii papilarnych, czy systemu rozpoznawania twarzy.
Całościową ochronę firmowych danych zapewniają swoim klientom operatorzy telefonii komórkowej. Takie rozwiązanie proponuje m.in. Orange.
CyberTarcza – bo tak nazywa się usługa – blokuje próby ataku na nasze urządzenie z zewnątrz (phising, ransomware i malware), unieszkodliwia je, gdy do niego dojdzie i wysyła raport o stanie bezpieczeństwa naszych urządzeń mobilnych.
Uzupełnieniem CyberTarczy jest antywirus, który chroni urządzenie, gdy pobierzemy na nie zainfekowany program.
Z poziomu usługi można również kontrolować czas korzystania z sieci na smartfonach, np. blokując dostęp do portali społecznościowych w godzinach pracy. Ten sam program można wykorzystać również w domu, by zablokować dostęp dzieci do niebezpiecznych dla nich stron internetowych.
Więcej informacji o usłudze, która chroni nasze smartfony i tablety, można znaleźć na stronie internetowej Orange.
Człowiek: najsłabsze ogniwo
Nawet najlepsze zabezpieczenia nie pomogą ochronić firmowych danych, jeśli nie przeszkolimy siebie i swoich pracowników w kwestii bezpieczeństwa pracy w sieci. Jak szacują eksperci, aż 3/4 ataków hakerskich i wycieku danych spowodowane jest błędem ludzkim. Dlatego też:
- to pracodawca powinien wskazać pracownikom, z jakich programów mogą korzystać, a z jakich nie;
- musi uczulić ich, by nigdy nie łączyli się z nieznaną siecią Wi-Fi;
- nie otwierali podejrzanych załączników otrzymanych mailem;
- musi nauczyć pracowników, jak tworzyć inteligentne hasła i jak często je zmieniać.
Takie szkolenie jest szczególnie ważne, jeśli pracujemy także na telefonach czy komputerach, które do firmy nie należą, a które nie podlegają już żadnej kontroli.
Antywirus to za mało
Globalna firma analityczna IDC prognozuje, że do końca 2020 roku blisko 3/4 firm na świecie wykorzysta cyfrową transformację. Kluczowy będzie rozwój rozwiązań chmurowych i big data, Internet rzeczy, robotyzacja i automatyzacja oraz komunikacja sieciowa społeczeństwa.
Inwestycje firm w tym zakresie szacuje się na blisko bilion dolarów i jest to czterokrotnie więcej niż obecnie.
Tymczasem z badania Polskiego Instytutu Cyberbezpieczeństwa wynika, że o konieczności wdrożenia odpowiednich zabezpieczeń czy ewentualnych problemach związanych z cyberbezpieczeństwem myśli w Polsce jedynie 21 proc. pytanych.