Jak chronić swoją firmę?

• Jan Wróblewski
• /
• 20 kwietnia 2021

Edukacja pracowników

W dzisiejszych czasach większość organizacji przeznacza duże sumy pieniędzy na starannie zaprojektowaną infrastrukturę bezpieczeństwa, o którą dba rzesza ekspertów ds. Bezpieczeństwa. Nie zmienia to jednak faktu, iż nadal stosunkowo niewielka część budżetu na cyberbezpieczeństwo jest wykorzystywana na element, który jest wręcz podstawą naszego bezpieczeństwa, czyli edukację pracowników. Co prawda, większość przedsiębiorców ma świadomość, że tak naprawdę jednym z łatwiejszych sposobów na zaatakowanie naszej firmę jest udany phishing, czy kradzież danych uwierzytelniających. Nie zmienia to jednak faktu, że wspomniane wektory nadal nie przyciągają dostatecznej uwagi i często są po prostu lekceważone.

Warto pamiętać, że zatrudniony przez nas zespół ds. bezpieczeństwa może tak naprawdę poświęcać nawet setki godzin i zasobów na wzmocnienie zabezpieczeń, a i tak cała nasze bezpieczeństwo legnie w gruzach przez zastosowanie domyślnego hasła przez jednego z pracowników, lub prosty błąd popełniony przez kogoś z działu HR. Nie miejmy złudzeń, cyberprzestępcy zawsze znajdą słabe punkty w naszych zabezpieczeniach, dlatego też należy pamiętać, że w przypadku większości organizacji to właśnie ludzie są najsłabszym ogniwem w całej linii obrony.

Czy hakerzy mają przewagę nad programistami?

Musimy mieć świadomość, że w dzisiejszych czasach liczba hakerów, którzy w każdej chwili mogą chcieć zaatakować naszą organizację, jest ogromna. Nie tylko zorganizowane gangi cyberprzestępców, ale również szpiedzy korporacyjni, czy nawet różnego rodzaju najemnicy mogą w tej chwili dążyć do przełamania naszej obrony. Nie zmienia to jednak faktu, iż nadal znaczna część osób bardziej boi się hakerów, niż ufa programistom. Z badań przeprowadzonych przez RSM, wynika, że nawet 60% członków zarządów największych firm wśród liderów biznesu na świecie, jest zdania, iż ​​hakerzy są bardziej wyrafinowani niż programiści. Z tych samych badań, wynika również, że 60% uważa, że do znacznej części ataków, mogło dojść bez ich wiedzy.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Jaka jest przyczyna takiego stanu rzeczy?

Przyczyną, takiej sytuacji, może być to, że zarówno świat, jak i sami ludzie biznesu nie potrafią ze sobą współpracować tak skutecznie, jak robią to zorganizowane grupy, lub międzynarodowe syndykaty przestępcze. Nie od dziś wiadomo, że kwestie związane z bezpieczeństwem nie przyciągają należytej uwagi ze strony zarządu. Duża część osób nie potrafi docenić bezpieczeństwa, dopóki nie zostanie zaatakowana.

Trudno pozbyć się wrażenia, że obecnie zbyt wiele organizacji koncentruje się na kwestiach związanych z produktywnością, i chęcią zarobienia bez ponoszenia wysokich kosztów, zapominając o tym co tak naprawdę stanowi fundament dla udanego biznesu. Zarządy często nie zdają sobie sprawy z tego, jak istotną rolę, w realizacji celów biznesowych odgrywa właśnie bezpieczeństwo. Co więcej, wiele firm wręcz zaostrza incydenty związane z bezpieczeństwem, poprzez brak należytego zainteresowania tematem i bierność w zwalczaniu i przeciwdziałaniu atakom.

Czy firmy pozorują bezpieczeństwo?

Warto zwrócić uwagę na tendencję, która została odnotowana przez specjalistów i tym samym zwróciła uwagę badaczy. Zgodnie z nią w ciągu ostatnich kilku lat organizacje na całym świecie odnotowały niepokojący wzrost liczby naruszeń, jednak zgodnie z analizą HackNotice zgłoszoną przez Security Week, oficjalne powiadomienia o naruszeniach spadły o około 25%. To z kolei może wskazywać na to, że niektóre organizacje starają się oszukać przepisy dotyczące zgłoszeń wycieków na skutek ataków, chcąc tym samym uniknąć potencjalnej utraty zaufania ze strony klientów.

Pamiętajmy, że skradzione przez hakerów dane i raporty o lukach w zabezpieczeniach są zazwyczaj ujawniane w tzw. darknecie, do którego dostęp są w stanie uzyskać jedynie zaawansowani użytkownicy. Prowadzi do sytuacji, w której wiele firm stara się złagodzić skutki ataku, zanim oficjalnie zgłosi incydent. Dzięki temu są w stanie (przynajmniej częściowo) zminimalizować wpływ na działalność organizacji. Jednym z przykładów takiego działania, jest stosowanie strategii polegającej na przekonywaniu przez firmę, że nic nie wskazuje na wyciek danych, podczas gdy w rzeczywistości doszło do naruszenia. Jest to jednak bardzo ryzykowne rozwiązanie, ponieważ w żadnym stopniu nie gwarantuje firmie, że poufne dane nie zostaną nagle rozpowszechnione, pomimo spełnienia żądań przedstawionych przez hakerów.

Jak budować świadomość wśród pracowników?

Na przestrzeni lat, hakerzy zdążyli przetestować najróżniejsze sposoby, i strategie ataków. Okazuje się, że w przypadku, gdy dana organizacja posiada solidną i szczelną ochronę sieci, to najłatwiejszym sposobem na atak dla hakerów, pozostaje przekonanie kogoś, kto ma dostęp, aby wpuścił ich do środka. Dzięki temu, zamiast próbować zburzyć grube ściany, wystarczy w łatwy (często sprawdzony) sposób oszukać osobę, która posiada dostęp do cennych informacji. 

Jedynym sposobem na skuteczne przeciwdziałanie tej strategii jest ciągłe budowanie świadomości bezpieczeństwa wśród pracowników. Oznacza to, że bezpieczeństwo nie powinno pozostawać wyłącznie domeną zespołu ds. bezpieczeństwa, ale powinno również stanowić fundament dla wszystkich innych pracowników i ich działań. 

Zarówno formy, jak i rodzaje ataków nieustannie ewoluują, a hakerzy dosyć chętnie dzielą się informacjami na temat nowo odkrytych luk w bezpieczeństwie. To z kolei sprawia, że organizacje potrzebują sprawnego i aktualnego systemu edukacji, który będzie w stanie zachęcić pracowników do zwiększania przez nich świadomości na temat ewentualnych zagrożeń. Szkolenia odnośnie procedur bezpieczeństwa oraz sposobów wykrywania prób oszustwa muszą być nie tylko regularne, ale powinny również zostać poparte przykładami z życia codziennego. 

Jak zadbać o odporność?

Pamiętajmy, że budowanie silnej kultury bezpieczeństwa, znacząco zmniejsza ryzyko ewentualnych naruszeń i pomaga nie tylko w szybkim i skutecznym identyfikowaniu incydentów, ale również reagowaniu na nie. Chcąc zbudować odporność na zagrożenia wśród pracowników, zadbajmy o to, by mieli oni zarówno wysoką świadomość potencjalnych zagrożeń, jak i jasny, przejrzysty obraz tego, jak reagować na podejrzane incydenty i dbać o wartość biznesową, jaka wynika z bezpieczeństwa.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.