Bezpieczeństwo IT to nie tylko oprogramowanie, ale także sprzęt

- Po pierwsze, nie można myśleć, że zabezpieczenia to tylko problem natury technicznej. To ważny problem biznesowy! Po drugie, warto wypracować politykę bezpieczeństwa związaną z ochroną danych, zarządzaniem hasłami, a także uwierzytelnianiem - tłumaczy "DGP" Richard Curran, dyrektor ds. bezpieczeństwa w regionie EMEA, Intel.

Z najnowszego badania tej firmy, przeprowadzonego w krajach Europy Środkowo-Wschodniej, wynika, że aż 40 proc. dużych przedsiębiorstw w Polsce nie ma przygotowanego scenariusza awaryjnego na wypadek cyberataku lub podobnych zdarzeń. Okazuje się, że polskie firmy troszczą się o bezpieczeństwo IT w mniejszym stopniu niż przedsiębiorstwa z pobliskich Czech czy z Węgier.

- Pamiętajmy, że bezpieczeństwo IT to nie tylko oprogramowanie, ale także sprzęt. Wiele technologii pomagających zabezpieczyć dane znajduje się w urządzeniach. Nie można sobie też pozwolić na korzystanie z przestarzałej infrastruktury i rozwiązań informatycznych. Dotyczy to komputerów, serwerów, a także sieci, oprogramowania, zapór sieciowych (firewalli) oraz innych elementów. Zaniedbania w tym obszarze mogą być bardzo kosztowne - zwraca uwagę Curran.

Badanie Intela zostało przeprowadzone w Polsce, Czechach, Rumunii i na Węgrzech wśród 250 decydentów IT z przedsiębiorstw zatrudniających co najmniej 150 osób. Z raportu wynika, że krajem, w którym firmy są najlepiej przygotowane na wypadek cyberataku, są Czechy, gdzie 84 proc. osób decyzyjnych w obszarze bezpieczeństwa IT deklaruje, że w ich przedsiębiorstwie przygotowano scenariusz awaryjny, gotowy do wdrożenia, gdyby doszło do ataku na sieć firmową. W Rumunii planem tego typu dysponuje 72 proc. firm, natomiast w Polsce i na Węgrzech - 60 proc., w związku z czym 40 proc. przedsiębiorstw w przypadku wystąpienia cyberataku lub podobnych zdarzeń reaguje na nie z opóźnieniem, narażając się na dodatkową stratę czasu, pieniędzy i danych. Niskie rozpowszechnienie planów reagowania na cyberataki wśród przedsiębiorstw w Polsce zaskakuje, gdy zestawimy je z danymi dotyczącymi naruszeń bezpieczeństwa IT w ostatnich 6 miesiącach. Do incydentów takich jak atak złośliwego oprogramowania, dostęp nieuprawnionych osób do danych firmowych, wycieki danych itp. doszło w 27 proc. dużych polskich firm (w 22 proc. 1-3-krotnie, w 5 proc. przynajmniej czterokrotnie). W krajach, które wzięły udział w badaniu, najmniej przypadków naruszenia bezpieczeństwa IT odnotowały w ostatnich miesiącach firmy z Rumunii (wystąpiły one w 18 proc. firm). Na Węgrzech i w Czechach wskaźnik ten wyniósł odpowiednio 29 proc. i 36 proc.

Curran zwraca uwagę, że cyberprzestępcy stosują podobne metody działania w różnych regionach świata. - To, co dzieje się w jakiejś części Europy, prawdopodobnie zdarzy się także w Polsce. Wiele zależy od wielkości firm i posiadanej przez nie infrastruktury. Obserwujemy przyrost zagrożeń typu ransomware o 150 proc. w skali roku, cyberprzestępcy atakują zarówno małe, jak i średnie i duże firmy. Cały czas mamy do czynienia z atakami DDoS, które skutkują przerwaniem dostarczania danych usług. Zagrożone są między innymi instytucje i organizacje dysponujące dużą ilością danych, na przykład banki czy firmy bazujące na usługach. Cyberprzestępcy chętnie stosują Spear Phishing (czyli ataki spersonalizowane) i w ten sposób uzyskują dostęp do cennych zasobów. Nikt nie jest bezpieczny. Im mniej przemyślaną strategię dotyczącą ochrony przed zagrożeniami ma firma, tym bardziej jest narażona na naruszenia bezpieczeństwa danych - ostrzega Curran. Jego zdaniem aktualnie mamy do czynienia z coraz bardziej zaawansowanymi zagrożeniami, jednocześnie coraz więcej urządzeń jest połączonych z siecią - mowa zarówno o zastosowaniach konsumenckich, jak i biznesowych.

Eksperci nie mają wątpliwości, że szefowie firm oraz producenci muszą dbać o stan wiedzy swoich pracowników i klientów - bo to właśnie dobra intuicja i świadomość zagrożeń pozwalają ustrzec się przed większością najgroźniejszych ataków. A zagrożenie rośnie. Badacze McAfee Labs analizują cyberprzestrzeń i w kwartalnych raportach ostrzegają o nowych zagrożeniach, które pojawiają się w tempie nawet 327 na minutę.

- Budujemy zabezpieczenia na oślep, a one powinny być systemowe. Z cyberbezpieczeństwem jest jak z łańcuchem, zabezpieczenia są tak silne, jak najsłabsze ogniwo tego łańcucha. Ochronę firmowego systemu powierza się informatykom, wierząc, że oni zabezpieczą to, co trzeba. Sęk w tym, że informatycy nie mają pełnej wiedzy, patrzą na firmę tylko z perspektywy systemów informatycznych - mówi Krzysztof Bączkiewicz, ekspert w dziedzinie systemów zarządzania infrastrukturą informatyczną z TranspectIt. Efekty bywają różne. Podaje jako przykład telewizję TV5 Monde, która została zaatakowana przez cyberterrorystów - przestępcy wyłączyli aż 11 kanałów. - A niedługo potem telewizja nadała reportaż, w którym jeden z dziennikarzy wypowiadał się na tle ściany, na której wisiały hasła. Cytując najbardziej znanego hakera na świecie, Kevina Mitnicka: "Łamałem ludzi, nie hasła" - mówi Bączkiewicz. Jego zdaniem aby zabezpieczyć firmę przed zagrożeniami, jakie czyhają na nią w e-świecie, najpierw należy zbadać infrastrukturę informatyczną, określić, gdzie i w jaki sposób przetwarzane są dane, i czego potrzebujemy. - Dopiero na tej podstawie budujmy fortece. Jeśli nie będziemy wiedzieć, co mamy chronić, nie zrobimy tego skutecznie - tłumaczy Bączkiewicz. Swego rodzaju check-listę - co należy sprawdzić, by zbudować dobry system - zawiera norma ISO/IEC 19770-1. To zbiór praktyk związanych z zarządzaniem posiadanym majątkiem informatycznym. - Znajdziemy tam zarówno kwestie organizacyjne, jak i procesy, które są konieczne, mechanizmy, weryfikacji danych, by zapewnić bezpieczeństwo informacji o infrastrukturze - mówi Bączkiewicz. Ile to wszystko kosztuje? - Poziom inwestycji niezbędnych do zapewnienia bezpieczeństwa informatycznego firm jest trudny do oszacowania i w dużym stopniu zależeć będzie od branży, w której dana firma prowadzi swoją działalność. Inaczej powinien zabezpieczać się zakład ślusarski, inaczej magazyn logistyczny, a jeszcze inaczej firma komputerowa. Na świecie firmy wydają na bezpieczeństwo średnio 20 proc. budżetu na technologie teleinformatyczne, polskie - ok. 10 proc. Dopiero incydenty i kryzysy weryfikują plany w zakresie ochrony przed cyberprzestępczością, a wtedy zazwyczaj potrzeba niemałych pieniędzy na zabezpieczenie firmy przed podobnymi zdarzeniami w przyszłości - tłumaczy Rafał Jaczyński, lider zespołu ds. cyberbezpieczeństwa w PwC, i obrazowo podsumowuje, że przeciwdziałanie chorobom jest tańsze niż leczenie.

@RY1@i02/2016/197/i02.2016.197.00000070c.801.jpg@RY2@

@RY1@i02/2016/197/i02.2016.197.00000070c.802.jpg@RY2@

@RY1@i02/2016/197/i02.2016.197.00000070c.803.jpg@RY2@