Jak biznes moze przechytrzyc hakera

Anonimowość i nieograniczone możliwości internetu tworzą doskonałe warunki nie tylko dla rozwoju technologii, ale także dla przestępczości. Skala oszustw, kłamstw, fałszerstw, wyłudzeń i kradzieży – od pieniędzy przez towary po dane i tożsamość – osiągnęła niespotykane dotychczas rozmiary. Co więcej, wykrywanie takich incydentów staje się coraz trudniejsze, ponieważ cyberprzestępcy operują z rosnącą precyzją i profesjonalizmem. Nic dziwnego, że czują się coraz bardziej bezkarni, co prowadzi do intensyfikacji ich działań. Raport Check Point Research za 2023 r. wskazuje na zatrważający wzrost liczby cyberataków na świecie – aż o 38 proc. w porównaniu z rokiem poprzednim. A co z Polską? Kto myśli, że ten problem nas omija, jest w błędzie. Badania nie pozostawiają złudzeń: również w naszym kraju przybywa incydentów, takich jak naruszenia danych czy ataki ransomware. – Bezpieczeństwo IT zawsze było niezwykle istotne, a teraz, w obliczu wojny hybrydowej prowadzonej przez Federację Rosyjską, jego znaczenie rośnie. Ryzyko cyberataków na polskie przedsiębiorstwa jest z każdym kwartałem i rokiem większe, co potwierdzają statystyki – mówi Zygmunt Rafał Trzaskowski, szef Hertz New Technologies (HNT). Maciej Trybuchowski, prezes KDPW i KDPW_CCP, nie ma wątpliwości, że szczególnie narażony na cyberzagrożenia jest sektor finansowy, a dodatkowo ciąży na nim podwójna odpowiedzialność, bo banki i inne instytucje finansowe muszą zapewnić bezpieczeństwo nie tylko swoich aktywów, ale także środków klientów. – Dlatego zagadnienia z obszaru cyberbezpieczeństwa, zapewniającego niezawodność, ciągłość i poprawność realizowanych procesów powinny znajdować odzwierciedlenie w strategii. Tak jest w przypadku Grupy KDPW, która tworzy i zarządza infrastrukturą post transakcyjną na rynku kapitałowym – tłumaczy Maciej Trybuchowski. Żadna instytucja prywatna czy publiczna, a nawet gospodarstwo domowe nie może pozwolić sobie na poczucie beztroskiej pewności. Cyberzagrożenia stały się namacalną rzeczywistością, która dotyka wszystkich, niezależnie od charakteru funkcjonowania i skali działalności. Jak reaguje na to świat biznesu? Prezes HNT ocenia poziom cyberochrony w polskich firmach dwoma słowami: bardzo zróżnicowany. Według jego obserwacji zarówno korporacje, jak i organizacje z branży finansowej doskonale zdają sobie sprawę z zagrożeń i wdrażają odpowiednie narzędzia oraz procedury. Natomiast małe i średnie przedsiębiorstwa często zaniedbują tę dziedzinę z powodu braku odpowiednich kompetencji w zespole bądź ograniczonych zasobów. W rezultacie wiele krajowych przedsiębiorstw jest niestety łatwym celem dla hakerów. – Pod względem bezpieczeństwa IT Polska jest przeciętniakiem na tle Unii Europejskiej i wypada wyraźnie słabiej od USA. Jedno nie ulega kwestii: musimy zwiększać cyfrową odporność państwa i gospodarki. Dużo do nadrobienia ma szczególnie sektor MŚP – zaznacza menedżer spółki Hertz. Tymczasem Jacek Zieliński, dyrektor zarządzający Diligo Solutions Poland, uważa, że mniejsze organizacje coraz lepiej sobie radzą z tym wyzwaniem, choć często inwestują w zabezpieczenia nie z własnej inicjatywy, a pod naciskiem większych partnerów biznesowych. – Współczesny świat biznesu to system naczyń połączonych, gdzie współpraca i wzajemne zaufanie są podstawą sukcesu. W efekcie dostosowanie się do korporacyjnych wymagań dotyczących bezpieczeństwa staje się nie tyle wyborem, ile koniecznością – zwraca uwagę Jacek Zieliński. – Bolączką w Polsce pozostaje brak standaryzacji, a także niedostateczne inwestycje w narzędzia i szkolenia. Możemy natomiast być dumni z pracy zespołów CERT, które robią wiele, by utrudnić życie złoczyńcom. Cieszy też to, że rośnie liczba specjalistów od cybersecurity. Kolejnym powodem do zadowolenia są regulacje prawne, choćby ustawa o krajowym systemie cyberbezpieczeństwa – wymienia prezes Trzaskowski. Cyberprzestępcy stosują różnorodne metody, aby uzyskać dostęp do firmowych sieci. Gdy im się to uda, skrupulatnie analizują strukturę systemu, by skierować atak na jego najbardziej podatne elementy. Co znamienne, najczęściej uderzają w weekendy, kiedy działy IT w wielu firmach są nieaktywne. – Na celowniku hakerów znalazły się systemy operacyjne, urządzenia sieciowe, takie jak routery i modemy, a także oprogramowanie obsługujące strony internetowe. Równie chętnie cyberprzestępcy wykorzystują błędy ludzkie – nieodpowiednie przechowywanie haseł, które często znajdują się wprost na pulpitach prywatnych komputerów pracowników – opisuje Zygmunt Rafał Trzaskowski. Od czego zacząć ochronę przed cyberzagrożeniami? Pierwszym krokiem powinna być gruntowna analiza istniejących systemów zabezpieczeń, a następnie opracowanie strategii wdrożenia bardziej efektywnych rozwiązań. – Dotychczasowe mechanizmy cybersecurity mogą okazać się niewystarczające, nieadekwatne do nowych realiów, a czasem po prostu wadliwe. Niektóre z nich trzeba będzie zastąpić również z powodów etycznych lub prawnych, bo naruszają granice prywatności zarówno konsumentów, jak i pracowników – akcentuje Jacek Zieliński. Ważne zastrzeżenie: nawet najlepsze systemy zabezpieczeń mogą być bezużyteczne, jeśli przedsiębiorstwa traktują bezpieczeństwo IT po macoszemu. A tylko 7 proc. polskich firm uznaje cyfrową ochronę za swój priorytet. To dużo poniżej średniej w UE, która wynosi 32 proc. – wynika z danych Agencji Unii Europejskiej ds. Cyberbezpieczeństwa. Odpowiedzialnością nie grzeszą również pracownicy. Badanie Akademii Leona Koźmińskiego ujawnia, że ponad połowa zatrudnionych (52 proc.) nie zachowuje należytej ostrożności w sieci podczas wykonywania pracy w modelu zdalnym lub hybrydowym. Przejawia się to m.in. w klikaniu w podejrzane linki czy odkładaniu aktualizacji oprogramowania. Jedną z grup wzbudzająca niepokój tworzą świadomie poszukujący ryzyka, To niemal co piąty badany (19 proc.). Najliczniejszą kategorię stanowią jednak nieostrożni (33 proc.) – nieświadomi cyberzagrożeń i nieczujący odpowiedzialności za dane. Wśród aktywnych zawodowo wyróżnia się również dwa inne segmenty: pracownicy, którzy rozsądnie korzystają z internetu (32 proc.), a także ci, którzy mimo ostrożności pozostają nieświadomi istniejących ryzyk (16 proc.). Zdaniem naukowców z ALK to zróżnicowanie pokazuje, jak ważna jest edukacja i rozwijanie wiedzy na temat cyberbezpieczeństwa. – Niestety, człowiek wciąż pozostaje najsłabszym ogniwem w łańcuchu bezpieczeństwa, podatnym na manipulacje emocjonalne i łatwo wpadającym w pułapki przemyślnie skonstruowanych sztuczek – uświadamia mec. Szymon Witkowski, główny legislator Pracodawców RP. Sytuacja może ulec poprawie wraz z wejściem w życie unijnej dyrektywy NIS2, która zaostrza wymogi dotyczące zgłaszania incydentów oraz zwiększa sankcje za ich nieprzestrzeganie. Eksperci rynku podkreślają jednak, że kluczową rolę odgrywa edukacja – świadomość odpowiedzialności firm za ochronę danych klientów musi stać się powszechna i oczywista. Warto jednak pamiętać, że wdrożenie nowych standardów będzie procesem zarówno czasochłonnym, jak i kosztownym. – Opóźnienia w tej dziedzinie mogą wystawić przedsiębiorstwa na poważne ryzyko. Dlatego istotne jest, aby już teraz rozpocząć przygotowania i dostosowywanie do nadchodzących regulacji – zaznacza Jacek Zieliński. Przygotowania i prewencja to podstawa, ale co zrobić, gdy atak hakerski już się wydarzy? – Przede wszystkim należy jak najszybciej powiadomić policję, a dokładniej Centralne Biuro Zwalczania Cyberprzestępczości. Drugim krokiem jest skontaktowanie się z prezesem Urzędu Ochrony Danych Osobowych – radzi Zygmunt Rafał Trzaskowski. Jak widać, Polska ma przed sobą wyzwanie budowania cyfrowej odporności i nadrobienia zaległości, co szczególnie dotyczy sektora MŚP. Jednak dynamicznie rosnąca liczba specjalistów i regulacje są solidnym fundamentem do dalszych działań. Tylu respondentów przyznało, że padło ofiarą cyberataku na swoim prywatnym sprzęcie. To szczególnie niepokojące, ponieważ dwie trzecie pracowników korzysta ze służbowych urządzeń do prywatnych celów – wynika z badania ESET i DAGMA Bezpieczeństwo IT. Ostatnie lata stały pod znakiem znaczącego wzrostu incydentów z zakresu cyberbezpieczeństwa zarówno na świecie, jak i nad Wisłą. Przykładowo CERT Polska w swoim raporcie wskazuje, że liczba ataków ransomware w skali roku wzrosła dwukrotnie. Firmy stają się obiektami ataków nie tylko grup przestępczych, które czerpią zyski ze swojego procederu, ale także jednostek wojskowych i grup mających na celu głównie cele polityczne, chociaż również z ich strony są wysuwane żądania okupu. Ofiarami są przedsiębiorstwa z praktycznie każdego segmentu gospodarki – od energetyki i branży finansowej po hurtownie i producentów żywności. Oczywiście im mocniej dana organizacja zależy od rozwiązań IT lub automatyki przemysłowej, tym bardziej odczuje skutki takiego ataku, a także poniesie bardziej dotkliwe straty finansowe i wizerunkowe. Unia Europejska oraz jej ramię ds. cyberbezpieczeństwa – ENISA – od dawna z niepokojem przypatrują się temu trendowi. Efektem jest szereg regulacji wprowadzających nowe obowiązki w tym zakresie do kolejnych gałęzi gospodarki. Bardzo dobrym przykładem jest sektor finansowy, który został objęty Rozporządzeniem o Operacyjnej Odporności Cyfrowej DORA. Szczegółowo reguluje ono wymagania w zakresie zarządzania ryzykiem, raportowania incydentów, testowania odporności cyfrowej czy nadzoru nad dostawcami usług IT. Warto również wskazać dyrektywę NIS2, która wprowadza lub rozszerza obowiązki dla przedsiębiorstw świadczących usługi kluczowe dla funkcjonowania państwa lub społeczeństwa. Oznacza to, że nawet mniejsze firmy muszą spełniać określone wymagania dotyczące zarządzania ryzykiem cybernetycznym, raportowania incydentów oraz wdrażania środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa swoich systemów informatycznych. Nowy zakres tej regulacji jest bardzo szeroki, obejmuje dodatkowo m.in. producentów i dystrybutorów żywności, producentów i dystrybutorów chemikaliów, wyrobów medycznych, maszyn i urządzeń, części samochodów – a to tylko część dotkniętych sektorów. Szacuje się, że podlegać będzie co najmniej kilka-kilkanaście tysięcy podmiotów. Należy jednak zwrócić uwagę, że firma będzie musiała sama określić, czy podlega pod tę regulację i dokonać samodzielnie rejestracji jako podmiot kluczowy lub ważny. W efekcie organizacje, które do tej pory nie podlegały pod żadne regulacje w zakresie cyberbezpieczeństwa, powinny już teraz to przeanalizować i podjąć działania, które pozwolą im na co najmniej zabezpieczenie budżetu na dostosowanie i wdrożenie odpowiednich mechanizmów w okresie przejściowym. Należy spodziewać się, że polska ustawa wdrażająca NIS2 pojawi się na początku 2025 roku w związku z objęciem przez Polskę prezydencji w Unii Europejskiej, gdzie temat szeroko rozumianego bezpieczeństwa może być jednym z wiodących wątków, a wymagania mogą zacząć obowiązywać już nawet w połowie roku.