Wyzwania współczesnych przedsiębiorstw w zakresie cyberbezpieczeństwa

Krzysztof Mizerski
Ekspert współpracujący z Platformą Przemysłu Przyszłości

Zarządzanie obszarem cyberbezpieczeństwa i zapewnienie ochrony przed cyberzagrożeniami jest w obecnych czasach ogromnym wyzwaniem dla przedsiębiorstw, ponieważ wymaga podjęcia skoordynowanych i wielowymiarowych działań. Mamy tu na myśli wdrożenie systemów IT, OT, zabezpieczenie sieci komunikacyjnych, przeprowadzenie audytów organizacyjnych i teleinformatycznych, dopracowanie aspektów prawnych, zarządzanie danymi oraz ich backup, wykonywanie testów penetracyjnych, reagowanie na incydenty bezpieczeństwa, jak również zapobieganie różnorodnym formom ataków.

Należy mieć świadomość, iż cyberataki są obecnie zjawiskiem powszechnym na całym świecie. Według danych z 2017 r., ponad 82 proc. polskich przedsiębiorstw odnotowało przynajmniej jeden cyberincydent w ciągu roku [1]. Co istotne, ta druga wartość wydaje się szczególnie niepokojąca, gdyż generuje podejrzenie, iż nie były to przypadkowe, nieistotne incydenty, a raczej przemyślane, skoordynowane próby zawłaszczenia zasobów lub danych.

Bardzo istotną kwestią dla każdej firmy powinno być zatem szkolenie pracowników w zakresie podstawowych zasad zapewnienia cyberbezpieczeństwa oraz przekazywanie wiedzy dotyczącej możliwych zagrożeń. Kolejnym, ważnym wyzwaniem dla organizacji powinno być zapewnienie odpowiednich szkoleń skierowanych do osób z wyższych struktur zarządzających. To właśnie od osób decyzyjnych zależy, czy dokumenty firmowe są odpowiednio zabezpieczone, dane firmowe nie wyciekają na zewnątrz, a pracownicy stosują się do odpowiednich polityk i zasad bezpieczeństwa.

W kontekście zapewnienia ochrony, w ramach kluczowych obszarów działalności przedsiębiorstw, najważniejszym zadaniem wydaje się zachowanie ciągłości procesów, które przynoszą danej organizacji wymierne zyski materialne. Do kluczowych procesów można zaliczyć: produkcję, sprzedaż, świadczenie usług, lub inne istotne działania, zależne od charakteru danej instytucji. Zarządzanie strategiczne w przedsiębiorstwie zwykle uwzględnia wiele czynników zapewniających ciągłości funkcjonowania. Jednak zbyt często proces wdrożenia rozwiązań zapewniających cyberbezpieczeństwo zostaje pominięty lub bywa nieprawidłowo przeprowadzony. Jednym z powodów takiego stanu rzeczy jest fakt, iż firmy postrzegają cyberbezpieczeństwo jako zbędny, niepotrzebny koszt. W szczególności małe i średnie przedsiębiorstwa, które dysponują ograniczonymi zasobami, mogą ulegać przekonaniu, iż w danym momencie inwestycje w bezpieczeństwo są zbędne. Konieczność angażowania kapitału i czynnika ludzkiego do celów realizacji procesów, które nie przynoszą żadnych korzyści finansowych jest dla nich trudną decyzją.

Dodatkowo, efekty przeprowadzenia działań w celu zapewnienia cyberbezpieczeństwa ciężko poddać miarodajnej ocenie. Może się także okazać, iż niechęć do wdrażania rozwiązań zapewniających bezpieczeństwo wynika z braku doświadczeń i wiedzy z zakresu zagrożeń. Wiele firm nie podejmuje się wdrożenia nawet podstawowych systemów bezpieczeństwa takich jak antywirus czy firewall. W efekcie stacje robocze pracowników nie są chronione przed wirusami a brak systemu firewall naraża ich na zagrożenia z sieci Internet.

Zmiana podejścia do rozwiązań związanych z cyberbezpieczeństwam najczęściej następuje na skutek negatywnych doświadczeń, płynących z udanego ataku na daną firmę, zaburzenia lub przerwania kluczowych procesów w przedsiębiorstwie (np. procesu produkcji) lub wycieku danych (mogą to być dane osobowe, jak i dane będące zasobem lub tajemnicą przedsiębiorstwa np. patenty, dane kontrahentów, dokumentacja techniczna, logi i hasła dostępowe). W tym momencie najczęściej dochodzi do zmiany podejścia do cyberbezpieczeństwa, znajdują się fundusze i chęci do zmian. Jednak konsekwencje ataku lub wycieku danych dla przedsiębiorstwa mogą być długofalowe. Straty materialne mogą wynikać z konieczności poniesienia kosztów naprawy uszkodzeń infrastruktury. Mogą być też następstwem kar materialnych, nałożonych przez Urząd Ochrony Danych Osobowych w wyniku wycieku danych osobowych (20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego obrotu). Kary nakładane przez Urząd Ochrony Danych Osobowych w przypadku wycieku danych, mogą wynikać także z przetwarzania danych osobowych niezgodnego z zasadami RODO, tzn. niedotrzymania warunku wyrażenia zgody na przetwarzanie danych, niestosowania się do zasad przetwarzania szczególnych kategorii danych osobowych, tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej, niedopełnienia obowiązku informacyjnego, czy też braku udzielenia prawa do sprostowania. Oprócz dotkliwych strat materialnych przedsiębiorstwo i jego kierownictwo musi liczyć się z zaistnieniem wielu dotkliwych konsekwencji wizerunkowych oraz prawnych. Wyciek danych wynikający z braku zabezpieczeń dotyczących cyberbezpieczeństwa może narazić spółkę na kary administracyjne i roszczenia cywilne. Z kolei osoby decyzyjne, w tym członkowie zarządu mogą być pociągnięci do odpowiedzialności za brak należytej staranności pełnienia swojej funkcji. W Kodeksie Karnym grozi za to kara do 10 lat pozbawienia wolności (art. 296 Ustawy z 6 czerwca 1997 r. Kodeks Karny (Dz. U. Nr 88, poz. 553 z późn. zm.)).

O konsekwencjach i nieuchronności kar za nieprzestrzeganie zasad bezpieczeństwa przekonał się jeden z dużych polskich serwisów internetowych, działający w obszarze handlu elektroniką i sprzętem komputerowym. Urząd Ochrony Danych Osobowych nałożył na tę firmę, najwyższą jak dotąd w historii karę, w wysokości prawie 3 mln złotych. Konsekwencje finansowe były następstwem nieodpowiedniego zarządzania firmą i brakiem odpowiedniej polityki bezpieczeństwa.

Jednorazowy atak hakera doprowadził do wykradzenia danych osobowych ponad 2 milionów klientów tego sklepu internetowego. Cyberprzestępcy poinformowali firmę o swoich celowych działaniach i zażądali okupu w wysokości 15 bitcoinów (około 230 tys. zł). Po negocjacjach wyrażono zgodę na tradycyjny przelew, jednak zażądano już dwukrotnej kwoty (500 tys. zł). W ostatecznym rozrachunku firma nie zdecydowała się na zapłacenie okupu a skradziona baza zawierająca imię, nazwisko, adres pocztowy, hash i numery kont klientów zostały opublikowane w Internecie.

W listopadzie 2018 roku rozpoczęły się zmasowane ataki na klientów tego serwisu. W czasie zakupów klienci sklepu otrzymywali wiadomość SMS informującą o konieczności dopłaty do przed momentem złożonego zamówienia w wysokości 1 złotego. Okres przedświąteczny i niewielka kwota uśpiły czujność wielu osób, które bez większego zastanowienia logowały się poprzez podmienioną przez oszustów stronę do płatności DotPay. W ten sposób hakerzy wyłudzali login i hasło do bankowości internetowych i bez większych trudności czyścili konta swoich ofiar. Serwis internetowy, który padł ofiarą ataku dopiero 6 grudnia wystosował stosowny komunikat o możliwości wycieku danych i konieczności zmiany haseł dostępowych. Do tego momentu firma zaprzeczała o możliwości posiadania jakiegokolwiek związku z SMS-ami przesyłanymi do swoich klientów.

Podstawowe działania, zmierzające do zapewnienia bezpieczeństwa teleinformatycznego współczesnych przedsiębiorstw

Zasadniczym zadaniem struktur zarządzających daną firmą jest sprawna i szybka ocena, czy dana organizacja jest wystarczająco przygotowana na atak oraz jest w stanie skutecznie neutralizować ewentualne skutki incydentów cyberbezpieczeństwa. Niestety, nie jest możliwe sprecyzowanie teorii lub schematu działania, adekwatnego dla każdego przedsiębiorstwa. Odpowiedni dobór narzędzi zapewnienia cyberbezpieczeństwa zależy bowiem od charakterystyki działalności danej firmy. Działania zapewniające bezpieczeństwo teleinformatyczne zależą od wielkości organizacji, liczby powiązanych ośrodków oraz pracowników, profilu działalności czy dostępności i poziomu funduszy przeznaczonych na cyberbezpieczeństwo (w tym na edukację pracowników, budowę infrastruktury, opracowanie odpowiednich procedur, polityk wewnętrznych  regulujących kwestie związane z zasadami i odpowiedzialnością w zakresie bezpieczeństwa). Należy zwrócić uwagę na to, czy procedury wewnętrzne nie są zbyt długie i zawiłe w zrozumieniu, ponieważ mogą przynieść efekt odwrotny od zamierzonego:

  • zbyt skomplikowane procedury mogą zniechęcić pracowników do realizacji założeń polityki bezpieczeństwa,
  • zbyt długie dokumenty mogą nie zostać potraktowane poważnie, lub zdecydowana większość może je odrzucić ze względu na czasochłonność ich analizowania.

Procedury te powinny być przygotowane w sposób jak najbardziej treściwy i możliwie krótki, aby były zrozumiane i stosowane przez wszystkich pracowników organizacji. Jeśli w firmie nie ma kompetentnej osoby do opracowania takich dokumentów lub ich weryfikacji, warto wspomóc się zewnętrznymi konsultantami, którzy po przeprowadzeniu niezależnego audytu będą mogli wskazać te obszary, które wymagają stosownych działań  zapewniających cyberbezpieczeństwo.

Audytor zewnętrzny jest w stanie także wskazać kierunek i charakter kluczowych inwestycji w zakresie systemów IT/OT, które mogą przynieść najlepsze efekty. Należy jednak pamiętać, iż technologie i systemy IT/OT to tylko jeden z obszarów zapewnienia cyberbezpieczeństwa w przedsiębiorstwie; jest wiele innych, równie ważnych obszarów. Bez względu na charakterystykę działalności danej firmy, zawsze najsłabszym ogniwem w kontekście zapewnienia cyberbezpieczeństwa jest człowiek. To właśnie od postawy pracowników wszystkich szczebli, od personelu pomocniczego po najwyższe kierownictwo, zależy powodzenie procesu zapewnienia bezpieczeństwa teleinformatycznego w danej organizacji.

Doświadczenie pokazuje wiele znaczących przykładów dla zobrazowania tej prawidłowości, chociażby najprostszy przypadek niezadowolonego z pensji handlowca, który kopiuje bazę danych klientów firmy i sprzedaje ją konkurencji. W tym przypadku przyczyną wycieku danych jest brak nadzoru nad pracownikami, brak systemu utrudniającego wyciek danych DLP oraz blokady portów USB na stacjach pracowników. Kolejnym, typowym przykładem zaniedbania zasad bezpieczeństwa jest sytuacja, w której prezes firmy zleca swoim informatykom skonfigurowanie prostego, nieszyfrowanego dostępu RDP (ang. Remote Desktop Protocol) z prywatnego, domowego komputera do komputera w pracy. Jeśli komputer domowy nie ma żadnych zabezpieczeń, a często korzystają z niego inni domownicy, mogą oni nieświadomie zawirusowaną stację. W konsekwencji takiego stanu rzeczy, hakerzy włamując się na komputer prywatny prezesa firmy, przejmują także kontrolę nad jego stacją firmową oraz zyskują możliwość kopiowania a także kasowania danych firmowych. Tego typu przypadki są obecnie powszechne na całym świecie.

Jak wynika z raportu, opracowanego przez Center for Strategic and International Studies i McAfee w 2018 roku [2], straty spowodowane przez nielegalną działalność w cyberprzestrzeni osiągnęły rekordowy poziom 445–608 mld dolarów, co stanowiło 0,59–0,80% światowego produktu krajowego brutto. Według ekspertów to istotny wzrost w porównaniu z danymi z 2014 roku (345–445 mld dolarów). W chwili obecnej do najszybciej rozwijających się zagrożeń w Internecie można zaliczyć ataki wykorzystujące szkodliwe oprogramowanie do szyfrowania danych ransomware. Takie oprogramowanie blokuje dostęp do systemu informatycznego, a atakujący za odszyfrowanie żąda zapłaty okupu.    Kolejnym dużym zagrożeniem jest wykorzystywanie form socjotechniki i manipulacji społecznej, przed którymi nie chronią użytkowników standardowe zabezpieczenia informatyczne. Przykładem mogą być spreparowane maile phishingowe, nakłaniające do kliknięcia w dany załącznik; po jego otwarciu następuje atak, zawirusowanie stacji, lub podsyłanie maili z potencjalnie zaufanych źródeł z fikcyjnymi fakturami do zapłaty.

Podsumowanie

Wynika z tego wniosek, iż kluczowym zadaniem wymaganym do celów zapewnienia cyberbezpieczeństwa jest zachowanie zdrowego rozsądku i przestrzeganie stosunkowo prostych zasad bezpieczeństwa. Tylko tyle wystarczy, aby uniknąć dużej części incydentów. Niestety, wielu pracowników i przedstawicieli kierownictwa nie dostrzega potrzeby dbania o swoje bezpieczeństwo w cyberprzestrzeni. W związku z tym, wszelkie prace związane z zapewnieniem cyberbezpieczeństwa danej firmy, należy zacząć od szkoleń; zarówno pracowników, jak i osób należących do wyższych szczebli zarządzania, gdyż to od ich decyzji i działań zależy przyszłość całej organizacji. Nawet, jeśli dana firma nie posiada wystarczających funduszy na zakup rozwiązań związanych z bezpieczeństwem, zawsze może rozważyć wdrożenie danych rozwiązań w trybie usługowym. W praktyce takie rozwiązanie pozwala na wdrożenie określonego rozwiązania związanego z bezpieczeństwem, np. antywirusa, systemu DLP, firewalla w danej organizacji w trybie natychmiastowym; uiszczanie opłat jest natomiast rozłożone w czasie i odbywa się kwartalnie/miesięcznie. Rozwiązanie, które pozwala na rozłożenie opłat w czasie, jak również wliczenie opłat w koszty działalności może być dużym ułatwieniem dla małych i średnich przedsiębiorstw, które dysponują ograniczonymi zasobami finansowymi.


[1] Kurek M., Radziwon K. (2018), Barometr cyberbezpieczeństwa. Cyberatak zjawiskiem powszechnym, Raport KPMG, Międzynarodowa Grupa Sprawozdawczości Finansowej KPMG (ang. International Financial Reporting Group), https://assets.kpmg/content/dam/kpmg/pl/pdf/2018/01/pl-Barometr-cyberbezpieczenstwa-cyberatak-zjawiskiem-powszechnym.PDF, data dostępu: 18.10.2020

[2] Lewis J. (2018). McAfee – Economic impact of cybercrime. [w:] https://www.academia.edu/38817793/Economic_Impact_of_Cybercrime_No_Slowing_Down, data dostępu: 18.10.2020.

Podobne artykuły

Zwinne podejście do planowania wdrożenia w Przemyśle 4.0

Jarosław Rubin :: Wdrożenie w przedsiębiorstwie koncepcji Przemysłu 4.0 i poszczególnych jego rozwiązań jest zmianą organizacyjną. Metodyką, która może zwiększyć bezpieczeństwo wdrożenia i prawdopodobieństwo sukcesu, jest zwinne podejście do zarządzania zmianą, a pomocnym narzędziem – strategiczna kanwa przedsięwzięcia.