Prędzej czy później zaatakują i ciebie

Patryk Gęborys, dyrektor w zespole bezpieczeństwa biznesu PwC Polska

Wielu przedsiębiorców przekonało się, że nie ma znaczenia, jakiej skali biznes prowadzą, bo cyberataki nie są tylko domeną szpiegostwa przemysłowego. Według niektórych szacunków przychody tylko z okupów z zaszyfrowanych komputerów wyniosły w 2017 r. 2 mld dol. i był do dwukrotny wzrost w stosunku do 2016 r. Niestety według badania stanu bezpieczeństwa informacji przeprowadzonego w 2018 r. przez PwC Polska („Cyber-ruletka po polsku”) kwestie te są nadal niedoceniane. Aż w 20 proc. średnich i dużych polskich firm nie ma osób odpowiedzialnych za ten obszar, a prawie połowa nie ma żadnych procedur reakcji na incydenty dotyczące bezpieczeństwa. Tylko 3 proc. budżetu IT jest przeznaczane na bezpieczeństwo teleinformatyczne, podczas gdy na świecie jest to średnio ok. 9 proc. Dopiero po zaistnieniu incydentu pojawia się strumień pieniędzy, który często jest doraźnie pożytkowany na dosyć przypadkowe działania. Doświadczenie dojrzałych organizacji pokazuje, że opracowanie strategii działania i wcześniejsze przygotowanie się na taki incydent pozwala zaoszczędzić czas i pieniądze oraz uniknąć przestojów i bezpowrotnej utraty danych.

Jakie są kluczowe elementy przygotowania na ataki?

Przede wszystkim trzeba określić krytyczne zasoby, tzw. „klejnoty koronne”. Pozwoli to na skoncentrowanie środków na ochronie najważniejszych danych i systemów. Po tym kroku działania powinny objąć: prewencję, detekcję, odpowiedź na incydent i odtworzenie po incydencie.

Co do zasady należy niestety założyć, że incydent wcześniej, czy później się wydarzy – czyli nie czy będziemy ofiarą, ale kiedy. Mając analizę czynników ryzyka oraz wymagań regulacyjnych firmy mogą zdecydować, jakie mechanizmy powinny zastosować, żeby uzyskać odpowiedni dla ich biznesu i apetytu na ryzyko poziom bezpieczeństwa. Nie oznacza to automatycznie wielkich nakładów, bo wiele ryzyk można wyeliminować poprzez odpowiednią organizację lub wykorzystanie istniejących już mechanizmów. Osobiście rekomendowałbym zwrócenie szczególnej uwagi na wykrywanie incydentów, ich obsługę oraz przywrócenie do pracy po incydencie.

Jak przekonać przedsiębiorców, że to konieczne?

Uczmy się na błędach innych, nie własnych. Mamy wystarczająco dużo przykładów ze świata, ale także z naszego podwórka, gdzie zlekceważenie tych kwestii spowodowało wielodniowe przestoje oraz nadszarpnięcie wizerunku firm. To są konkretne straty finansowe, a władze też będą ten obszar coraz bardziej regulować – czyli dojdą także kary administracyjne oraz roszczenia klientów za niedopełnienie staranności przy ochronie danych.

Czy chmura jest zabezpieczeniem?

Umiejscowienie danych w chmurze może być dobrym rozwiązaniem, szczególnie, jeśli firma nie chce inwestować we własne rozwiązania IT. Należy jednak pamiętać, że taka decyzja powinna być poprzedzona analizą i świadomym określeniem ryzyka, jakie się z tym wiąże. W tym kontekście przygotowanie strategii cyberobrony jest tym bardziej istotne, aby właściwie określić, jakie wymagania w zakresie ochrony danych powinien spełnić dostawca rozwiązania chmurowego. Przeniesienie danych do chmury nie zwalnia nas jako przedsiębiorców z odpowiedzialności za nie. ADP

Patryk Gęborys będzie prelegentem na konferencji pt. „Zarządzanie zasobami IT a cyberbezpieczeństwo”, która odbędzie się 13 listopada w Warszawie.

Partner