Lemlock Lemlock logo

WannaCry, Petya, afera z Kaspersky, wyciek danych z Cloudbleed, działalność grupy Shadow Brokers - to tylko niektóre cyberafer 2017 roku. W związku z tym, coraz częściej kluczowym pytaniem w kontekście bezpieczeństwa zasobów cyfrowych przedsiębiorstwa nie jest to, czy dojdzie do ataku, ale kiedy to się stanie i na ile firma jest przygotowana?

Z tego artykułu dowiesz się:

  • jak ważna jest świadomość bezpieczeństwa w świecie pełnym cyfrowych danych,
  • dlaczego należy mieć ograniczone zaufanie do własnych zabezpieczeń,
  • w jakie dodatkowe zabezpieczenia można zainwestować.

Świadomość na temat bezpieczeństwa cyfrowego

Dla przykładu, według 2017 Data Breach Investigations Report 10th Edition, 81% incydentów naruszenia danych było spowodowanych skradzionym i/lub słabym hasłem. Jednocześnie raport na zlecenie Intela Bezpieczeństwo IT w dużych firmach w Polsce 2016, pokazuje, że wciąż aż 62% polskich firm do uwierzytelniania wykorzystuje jedynie hasło. Wiadomo, że w 62% przypadków, incydent naruszenia danych powodowany był “hackingiem” czyli uzyskaniem nieautoryzowanego dostępu do danych użytkownika (2017 DBIR), a jednocześnie 40% polskich firm nie ma przygotowanego scenariusza na taki wypadek (Bezpieczeństwo IT…).

Dosyć statystyk! Wyobraź sobie, że przytrafia się to Twojej firmie. Pewnego dnia, rano orientujesz się, że Twoja strona internetowa została zaatakowana i przestępcy uzyskali dostęp do danych, które dzięki niej gromadzisz. Nie jest to niestety historia z gatunku science fiction. Wielce prawdopodobne, że już Ci się to przytrafiło, albo znasz kogoś, kto tego doświadczył. Naruszenie bezpieczeństwa zasobów cyfrowych, wbrew pozorom wcale nie jest takie trudne. W sieci roi się od poradników i kursów dla początkujących, a przedsiębiorcy niestety zbyt często zapominają, że są odpowiedzialni za swoją stronę i za bezpieczeństwo IT jej użytkowników. Poza uszczerbkiem na reputacji, w przypadku udanego ataku szkody mogą być o wiele większe:

  • włamywacze mogą działać na szkodę użytkowników Twojej strony np. poprzez phishing,
  • mogą zbierać dane poufne poprzez formularze dostępne na Twojej stronie,
  • mogą uruchamiać skrypty w przeglądarkach użytkowników wykorzystując moc obliczeniową ich komputerów, np. w celu “wydobywania” kryptowalut,
  • mogą zainstalować na stronie oprogramowanie atakujące dziurawe przeglądarki użytkowników, tak by przejmować ich komputery, (np. atak na KNF),
  • mogą zablokować Twoją aplikację żądając pieniędzy…

…scenariuszy jest dużo, a część z nich zakłada, że możesz przez długi czas nawet nie wiedzieć o tym, że do takiego incydentu doszło i niebezpieczeństwo grozi wszystkim, którzy odwiedzają Twoją stronę!

Nie ufaj własnym zabezpieczeniom

Na tego typu incydenty narażamy się jako przedsiębiorcy, ignorując kwestie bezpieczeństwa podczas tworzenia i udostępniania naszych aplikacji webowych i mobilnych. Na szczęście, dobrym standardem staje się już weryfikowanie ich bezpieczeństwa zasobów cyfrowych poprzez testy penetracyjne i audyty bezpieczeństwa. Przypominają one prawdziwy atak hakerski, ale polegają na odnalezieniu wszystkich istniejących podatności, a nie wykorzystaniu pierwszej możliwej. Po takim teście/audycie zyskujemy raport o znalezionych lukach, poziomie zagrożenia, potencjalnych możliwościach ich wykorzystania oraz o sposobach ich załatania. Test penetracyjny i audyt bezpieczeństwa to przede wszystkim świadomość własnych podatności czyli podstawowa wiedza pozwalająca minimalizować ryzyko.

Kolejnym fundamentalnym błędem popełnianym przez przedsiębiorców jest pomijanie aspektów dynamiki bezpieczeństwa. Bieżąca działalność firmy niemal zawsze wiąże się ze zmianami, które wpływają na poziom bezpieczeństwa zasobów IT. Mogą to być np.:

  • nowi i opuszczający firmę pracownicy,
  • zmiany w dostępach poszczególnych osób do zasobów,
  • zmiany w sposobie korzystania z określonych urządzeń,
  • pojawiające się luki w używanym lub instalowanym oprogramowaniu,
  • nowe wersje złośliwego oprogramowania,
  • nowe techniki i taktyki ataków.

Oprogramowanie to często element krytyczny bezpieczeństwa IT w firmie. Pracownicy korzystają z oprogramowania na firmowym sprzęcie, często nie mając świadomości z zagrożeń z tym związanych. Na przeciętnym komputerze zainstalowanych jest przeważnie kilkadziesiąt różnych aplikacji. Najpopularniejsze z nich w przypadku odnalezienia luki, otrzymują poprawki w tym samym dniu. Nie wszystkie programy powiadamiają jednak o nowych aktualizacjach. Ważne jest zatem bieżące dbanie o aktualizacje (odinstalowywanie nieużywanych aplikacji oraz sprawdzanie dostępnych aktualizacji). Zagrożenia czyhają również na użytkowników, którzy pobierają aktualizacje. Znana jest choćby historia aktualizacji zaufanego programu CCleaner, przy pobieraniu której użytkownicy infekowali swój system.

Jak dodatkowo zabezpieczyć swoje zasoby

W związku z powyższym, bezpieczeństwo zasobów cyfrowych firmy zawsze powinno być traktowane jako proces a nie jako stan i ten stan powinien być na bieżąco monitorowany. Zrozumienie tego faktu pozwala bowiem na wprowadzenie adekwatnych środków prewencyjnych, takich jak aktywny monitoring bezpieczeństwa czyli regularnie wykonywane skany podatności na zagrożenia, weryfikacja integralności strony, stanu usług czy sprawdzanie aktualności komponentów oprogramowania. Aktywny monitoring to rodzaj stałej ochrony nad bezpieczeństwem zasobów, nawet w obliczu dużych zmian w firmie.

W związku z tak dużą dynamiką, osiągnięcie stanu zupełnego bezpieczeństwa nie jest możliwe. Najlepszym przykładem są udane ataki na firmy zajmujące się profesjonalnie bezpieczeństwem IT (o takim incydencie na swoim blogu pisało choćby FoxIT). Jednocześnie tylko 60% dużych przedsiębiorstw w Polsce ma scenariusz awaryjny na wypadek cyberataku lub podobnych zdarzeń (raport na zlecenie Intela). W takich przypadkach często korzysta się z usług ekspertów, którzy nie tylko pomogą dopełnić odpowiednich procedur, ale pomogą “opanować sytuację”, zebrać dowody i naprawić szkody.

Powyższe zagrożenia i dotyczą już w zasadzie wszystkich przedsiębiorców, bez względu na wielkość prowadzonej działalności. Z biznesowego punktu widzenia, poziom ryzyka wzrósł do takiego stopnia, że nie uda się go już ignorować. Stoimy teraz przed wyzwaniami zapewnienia ciągłości bezpieczeństwa zasobów i krytycznych informacji oraz zapewnienia sobie scenariusza na wypadek incydentów naruszenia danych. Całe szczęście, że nasza świadomość w tym zakresie wzrasta (połowa dużych firm w Polsce planuje w najbliższych dwóch latach zwiększyć inwestycje w obszarze bezpieczeństwa informatycznego - wg raportu Intela). Pozostaje wierzyć, że trendy związane z rozwojem narzędzi i usług bezpieczeństwa oraz świadomość przedsiębiorców w zakresie aktualnych zagrożeń utrzymają się i pozwolą na sprawne prowadzenie biznesów.

Lemlock ebook. Poradnik ekspercki: Trzy podejścia do cyberbezpieczeństwa
Interesuje Cię kompleksowe rozwiązanie,
związane z bezpieczeństwem gromadzonych przez Ciebie danych?
Zgoda na  przetwarzanie danych w celu kontaktu
Potwierdzam, że zapoznałem/am się z  klauzulą informacyjną Sagiton Sp. z o.o.

Niniejszym wyrażam zgodę na przetwarzanie moich danych osobowych przez Administratora Danych Osobowych (dalej: „ADO”) – Sagiton Sp. z o.o. ul. Fabryczna 19, 53-609 Wrocław, w zakresie: imię i nazwisko, adres email lub telefon, w celach sprzedaży produktów i usług Sagiton Sp. z o.o. oraz w celu przesłania do mnie informacji zwrotnej i nawiązania ze mną kontaktu przez Sagiton Sp. z o.o.

Jednocześnie przyjmuję do wiadomości, że: w każdej chwili mogę zażądać usunięcia moich danych osobowych z bazy ADO Sagiton Sp. z o.o., poprzez wysłanie na adres poczty elektronicznej grzegorz.makosa@lemlock.com. lub na piśmie, na adres Sagiton Sp. z o.o., ul. Fabryczna 19, 53-609 Wrocław, oświadczenia zawierającego stosowne żądanie co skutkować będzie usunięciem moich danych osobowych z bazy danych ADO Sagiton Sp. z o.o.; mam prawo dostępu do treści swoich danych; podanie moich danych jest dobrowolne, aczkolwiek odmowa ich podania jest równoznaczna z nieotrzymywaniem informacji dotyczących sprzedaży produktów i usług Sagiton Sp. z o.o., a także z nieotrzymaniem informacji zwrotnej i nawiązaniem ze mną kontaktu przez Sagiton Sp. z o.o.

Zgodnie z art. 13 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r., (RODO), informujemy, iż administratorem Pana/Pani danych osobowych jest Sagiton Sp. z o.o. z siedzibą przy ul. Fabrycznej 19, 53-609 Wrocław, e-mail: grzegorz.makosa@lemlock.com.

Pana/Pani dane osobowe przetwarzane będą w zakresie imię i nazwisko, adres email i/lub numer telefonu w celu odpowiedzi na Pana/Pani zapytanie/prośbę o kontakt i wystosowanie informacji zwrotnej– na podstawie art. 6 ust. 1 lit a RODO tj. zgody na przetwarzanie danych osobowych.

Administrator danych informuje, że Pana/Pani dane osobowe nie będą udostępniane podmiotom trzecim.

Pana/Pani dane nie będą przekazywane poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych.

Pana/Pani dane osobowe będą przetwarzane do wycofania przez Pana/Panią zgody na przetwarzanie danych a także w przypadku ustania celów przetwarzania tych danych.

Ma Pan/Pani prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia oraz prawo do wniesienia sprzeciwu.

W przypadku wyrażenia zgody ma Pan/Pani prawo wycofania zgody w dowolnym momencie. Skorzystanie z prawa do wycofania zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.

Przysługuje Panu/Pani prawo do wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

Podanie przez Pana/Panią danych osobowych jest warunkiem nawiązania z Panem/Panią kontaktu przez Sagiton Sp. z o.o. z siedziba przy ul. Fabrycznej 19, 53-609 Wrocław. W przypadku niepodania danych osobowych, Sagiton Sp. z o.o., nie będzie w stanie nawiązać z Panem/Panią kontaktu.

Administrator Danych Sagiton Sp. z o.o. informuje, iż nie będzie wykorzystywał Pana/Pani danych osobowych do zautomatyzowanego podejmowania decyzji, które opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Pana/Pani skutki prawne lub w podobny sposób istotnie na Pana/Panią wpływa.

Pozostańmy w kontakcie: