Firmowe komputery nie są bezpieczne

Zabezpieczenia przed wirusami stały się normą, podobnie jak programy chroniące przed spamem. Firmy chronią się przed zjawiskami, które na co dzień są uciążliwe. Niespecjalnie widzą natomiast sens, by szyfrować dane czy inwestować w programy chroniące przed wyciekiem danych.

Taką diagnozę przedstawiła firma Symantec, która w październiku i listopadzie 2010 r. metodą ankietową przeprowadziła badanie wśród 200 polskich firm z sektora MSP. Wynika z niego, że najpopularniejsze sposoby ochrony danych w polskich przedsiębiorstwach to program antywirusowy (97 proc.) i zapora ogniowa (82 proc.) oraz tworzenie kopii zapasowych (85 proc.). Firmy dość powszechnie starają się też walczyć ze spamem - 7 na 10 ankietowanych firm zaopatruje się w rozwiązania chroniące przed niechcianymi e-mailami.

Jednak zaledwie kilkanaście procent firm decyduje się na wdrożenie oprogramowania zabezpieczającego przed wyciekami danych lub szyfrującego informacje.

Tymczasem, jak wnika z raportów firm zajmujących się bezpieczeństwem na świecie, notowany jest wzrost liczby ataków grup cyberprzestępczych ukierunkowanych na przedsiębiorstwa z uwagi na potencjalne korzyści finansowe, wynikające z uzyskania dostępu do zasobów informacyjnych firm.

Hakerzy wykorzystują ogromną ilość osobistych informacji dostępnych w serwisach społecznościowych, aby przygotować ataki z zastosowaniem socjotechniki, wymierzone w kluczowe osoby w firmie. Akcje tego typu są pomyślane w taki sposób, aby pozostawały niewykryte przez długi czas, co pozwoli wydobyć jak największą ilość danych.

Sprawę ułatwia dostępność zestawu narzędzi potrzebnych do przeprowadzania ataków Jeden z takich zestawów, Zeus, który można nabyć już za 700 dol., służy do automatyzacji procesu tworzenia złośliwego oprogramowania umożliwiającego kradzież danych osobistych.

- Poprzez różnego rodzaju działania edukacyjne, np. organizację seminariów i szkoleń, staramy się wytłumaczyć przedsiębiorcom, że dzisiejszy rozmiar zagrożeń powoduje konieczność wyposażenia firmy w szerszy wachlarz narzędzi - komentuje Maciej Iwanicki z Symantec Polska.

- Martwi szczególnie pomijanie rozwiązań chroniących przed wyciekiem danych. Inne przeprowadzone dla nas badania pokazały bowiem, że prawie 60 proc. pracowników polskich firm wynosi dane z firmy bez zgody pracodawcy - dodaje Maciej Iwanicki. A przecież każde takie przenoszenie danych zawsze będzie się wiązać z narażeniem ich na niebezpieczeństwo utraty lub kradzieży.

Co czwarty polski pracownik przyznaje się do tego, że korzysta w pracy z serwisów społecznościowych, mimo że pracodawca wyraźnie tego zabrania. A jak ostrzegają od dłuższego czasu specjaliści od bezpieczeństwa, media społecznościowe są miejscem, gdzie cyberprzestępcy zbierają wiele informacji o przyszłych ofiarach.

Zdaniem Iwanickiego wiele polskich firm błędnie zakłada, że program antywirusowy to wszystko, czego potrzebują. Tymczasem obecnie przedsiębiorstwa muszą stawić czoła bardziej złożonym zagrożeniom - począwszy od hakerów, którzy usiłują wykraść dane kart kredytowych, poprzez pracowników, którzy przypadkowo tracą poufne dane, do klęsk żywiołowych, które mogą uszkodzić serwery z zapisanymi informacjami o klientach. - Wielopoziomowe podejście do zagadnień bezpieczeństwa jest niezwykle ważne - podkreśla Iwanicki.

W badaniu Symanteca przedstawiciele firm często zresztą przyznawali, że padli ofiarą ataków lub awarii. Najczęściej kończyły się one spadkami produktywności (wstrzymana praca systemu lub pracowników - 66 proc.) lub utratą informacji (37 proc.). Jedna firma na dziesięć nie ukrywa, że wskutek awarii lub ataku straciła zaufanie klientów.

Co warte uwagi, jako najczęstsze powody awarii wymieniane są błędy pracowników (37 proc.), a następnie błędy w systemach operacyjnych (26 proc.) oraz wpływ destrukcyjnego kodu (wirusy, robaki, trojany, 24 proc.). Jednocześnie aż 7 na 10 respondentów utrzymuje, że nowi pracownicy otrzymują informacje dotyczące zasad bezpieczeństwa w firmie lub wręcz są z nich szkoleni.

@RY1@i02/2011/028/i02.2011.028.130.004a.001.jpg@RY2@

Bezpieczeństwo środowiska informatycznego

Marek Jaślan