Logo strony
Obserwuj nas
Logo strony

Cybersecurity in business (+pl)
Opublikowano: 3 września 2015

POLSKA WERSJA

Cyberbezpieczeństwo w biznesie

Dążenie do powszechnej dostępności, łatwości obsługi i wygody oraz szybko rosnące ilości przetwarzanych informacji sprawiają, że nowoczesne technologie są nieustannie rozwijane i coraz szerzej wspierają kluczowe procesy biznesowe. Nieodłącznym elementem takiego stanu rzeczy jest rozwój cyberzagrożeń, które w ostatnim okresie budzą wiele emocji i narażają organizacje na utratę wizerunku i realne straty finansowe.Laptop tied with chain and a padlock

Kierunek cyberzagrożeń

Zagrożenia cybernetyczne zostały ujęte w wielu statystykach. Porównując raporty CERT (ang. Computer Emergency Response Team) o stanie bezpieczeństwa cyberprzestrzeni RP w roku 2013 i 2014 można dostrzec, że liczba incydentów związanych z włamaniem do systemów informatycznych w roku 2014 zmniejszyła się w porównaniu do roku ubiegłego, natomiast liczba ataków z wykorzystaniem inżynierii społecznej i socjotechnik zwiększyła się i to ponad pięciokrotnie. Z takiego stanu rzeczy należy wyciągnąć wnioski i diametralnie zmienić podejście do zabezpieczeń przed cyberzagrożeniami i poza inwestowaniem w ochronę sieci i systemów, zwrócić uwagę na uświadamianie pracowników i budowanie odporności na cyberzagrożenia zarówno na warstwie technicznej jak i ludzkiej.

Informacje o incydentach związanych z cyberatakami, w których wykorzystywany jest brak świadomości pracowników pojawiają się w mediach coraz częściej. Chociażby w maju tego roku słyszeliśmy o tym jak jednostka administracji publicznej straciła 4 mln zł po tym jak pod dostawcę usług podszyli się oszuści, na których konta trafiła rata przelewu za wykonane usługi. Urzędnik wprowadzony w błąd został zwolniony dyscyplinarnie. Podobne zdarzenia miały miejsce w wielu innych jednostkach finansów publicznych np. włamanie hakerów do systemu informatycznego w magistracie jednego z urzędów miejskich, w czasie którego zdefraudowano ponad 940 tys. złotych. Niezmiennie rośnie też liczba incydentów związanych z cyberzagrożeniami w przedsiębiorstwach prywatnych, takich jak przedsiębiorstwa księgowe, czy kancelarie prawne, gdzie kradzione są ogromne ilości danych wrażliwych. Skala ostatnich wydarzeń potwierdza tezę, że ludzie są najsłabszym ogniwem w całym systemie bezpieczeństwa.

wykresy cyberbezpiekaCo nam grozi?

Problem dotyczy wszystkich organizacji, które gromadzą, przetwarzają i przesyłają dane. Każda organizacja, która zarządza danymi w formie elektronicznej musi się mierzyć z cyberzagrożeniami, bez względu na rodzaj jednostki, złożoność systemów i aplikacji, z których korzysta, czy liczbę zatrudnianych osób. Pracownicy, którzy są przeciętnymi użytkownikami cyfrowego świata, nie są świadomi istniejących niebezpieczeństw, co często pomaga włamywaczom przeprowadzić skuteczny atak.

Jednym z rodzajów ataków na pracownika może być phishing, polegający na kradzieży tożsamości użytkownika, podczas którego ofiara może stać się narzędziem w ręku rzeczywistych sprawców i nieświadomie powodować zagrożenia dla bezpieczeństwa całej jednostki. Czasem na pozór błahe sprawy mogą rodzić wielkie konsekwencje. Jeden nieprzemyślany ruch, otwarcie niezaufanej wiadomości email, kliknięcie spreparowanego linku, zgubiony nośnik pamięci mogą prowadzić do ogromnych szkód, które nie są łatwo odwracalne a często są wręcz nieodwracalne. Jednorazowy wyciek informacji poufnych lub kradzież wartości intelektualnej mogą skutkować zwolnieniami dyscyplinarnymi, utratą wiarygodności w oczach interesantów bądź utratą pozycji konkurencyjnej, a w konsekwencji nawet bankructwem organizacji, która nie jest w stanie odbudować zaufania na rynku.  Często wiąże się to z próbą ukrycia przed kierownictwem jednostki i rynkiem informacji o incydencie, co rodzi jeszcze bardziej katastrofalne skutki, bo osoby decyzyjne nie mogą zadziałać na czas, co tylko pogłębia i tak złą sytuację jednostki organizacyjnej.

Jak się chronić przed cyberatakiem?

Doskonałe zabezpieczenia nie istnieją, tak jak nie istnieje 100% pewność, że nie staniemy się celem ataku. Bardzo trudno jest monitorować i eliminować wewnętrzne i zewnętrzne zagrożenia, które ciągle ewoluują i stają się bardziej złożone. Jednakowoż brak działania, podejście bierne, opierające się na wyparciu ryzyka prędzej czy później doprowadza do powstania skutków, które trudno zniwelować.

W celu zabezpieczania przed zagrożeniami w cyberświecie konieczne są czynności podejmowane w całej organizacji. Odpowiedzialność za ochronę informacji leży w rękach wszystkich pracowników. Żeby jednak ta odpowiedzialność była jasna i niedomniemana kierownictwo jednostki powinno przeprowadzić analizę zagrożeń i określić sposób postępowania ze zidentyfikowanym ryzykiem, wskazując, którym ryzykom będziemy zapobiegać, które akceptować, a którymi się dzielić np. z ubezpieczycielem. Równie ważny jest proces identyfikacji i zarządzania incydentami, w którym należy zwrócić szczególną uwagę na czas zgłaszania zdarzeń jak i szybkość reakcji na incydenty. Poleganie wyłącznie na administratorach systemów informatycznych i informatykach z natury rzeczy jest filozofią skazaną na porażkę. Fundamentalnym elementem procesu zarządzania jest niezależny nadzór i kontrola. Bez tego jedyną opcją zarządzających jest ślepe zaufanie i liczenie na to, że nic się nie zdarzy. Jeszcze gorszym podejściem jest wiara, że problem nas nie dotyczy. Dotyczy wszystkich, bez wyjątku.

Obok technicznych systemów zabezpieczeń, ciągłe podnoszenie wiedzy oraz świadomości pracowników powinno być nieodłącznym elementem procesu zarządzania jednostkami organizacyjnymi. Skuteczność tradycyjnych metod ochrony, takich jak zabezpieczenia infrastruktury informatycznej za pomocą systemów antywirusowych, zapór sieciowych jest ograniczona w przypadku gdy pracownicy nie posiadają wiedzy na temat tego jakie niebezpieczeństwa czyhają w cyberświecie. Należy wdrożyć zasady zarządzania, ochrony i przekazywania danych oparte na polityce bezpieczeństwa informacji, poprzedzone szkoleniami personelu, tak żeby pracownicy rozumieli i przestrzegali zasad bezpieczeństwa, a kierownictwo mogło egzekwować przestrzegania tych zasad. Warto podkreślić, że dobry przykład powinien płynąć od samego kierownictwa, którego osobiste zaangażowanie ma podstawowy wpływ na zapewnienie skuteczności programów podnoszenia świadomości wśród pracowników.

Kluczowe elementy dotyczące zarządzania cyberbezpieczeństwem:

  • Wdrożona i zakomunikowana pracownikom Polityka bezpieczeństwa informacji
  • Analiza ryzyka związana z cyberzagrożeniami i plan postępowania z ryzykiem
  • Rozwinięty i skuteczny proces zgłaszania i zarządzania incydentami bezpieczeństwa
  • Cykliczne szkolenia i uświadamianie pracowników
  • Regularne audyty bezpieczeństwa, których wyniki adresowane są do najwyższego kierownictwa

 

Wioleta Bartczak

Specjalista ds. audytu bezpieczeństwa w Spółce IMMUSEC

Certyfikowany audytor systemu zarządzania bezpieczeństwem informacji

 

Tagi:

Udostępnij ten post:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


Powiązane treści

Armin Strom – Cognac Watch (+pl)...

(polska wersja - str. 2) Armin Strom C...

Technology locked within a classic (+pl)...

(polska wersja – str. 2) Elegance and good taste can most o...

Polish revolution in wind energy...

Vertical axis turbines - the invention of a Polish engineer W. Piskorz...