Masowe przejście na pracę zdalną okazało się czynnikiem, który wpłynął na cyberbezpieczeństwo polskich firm. Prawie co piąta z nich odnotowała w ubiegłym roku wzrost liczby ataków hakerskich. Ich celem, będącym zarazem najsłabszym ogniwem całego systemu cyberbezpieczeństwa, najczęściej są pracownicy i ich skrzynki mailowe. W przypadku ataku phishingowego mogą posłużyć hakerom jako punkt wejścia do organizacji. Jednak sami pracownicy też często wykazują się niefrasobliwością, np. przesyłając służbową korespondencję na swoje prywatne, słabo chronione skrzynki mailowe. Dlatego – jak podkreślają eksperci ING Tech Poland – pierwszą linią obrony firm przed cyberatakami jest podnoszenie świadomości pracowników. W drugim kroku potrzebne są zabezpieczenia techniczne.
– Czynnik ludzki pozostaje niezmiennie jednym z głównych zagrożeń dla cyberbezpieczeństwa, który w dodatku najtrudniej jest kontrolować. Mimo tego, że inwestujemy duże środki i wysiłek w to, żeby szkolić, pracować nad odpowiednią świadomością, często wystarczy, że tylko jedna osoba popełni błąd, zamyśli się albo zapomni, a taki błąd może być bardzo brzemienny w skutkach dla całej organizacji – mówi agencji Newseria Biznes Przemysław Wolek, dyrektor Pionu Bezpieczeństwa IT w ING Tech Poland.
Z ostatniego „Barometru Cyberbezpieczeństwa 2021” firmy doradczej KPMG wynika, że w ocenie 55 proc. polskich firm pandemia COVID-19 przyczyniła się do wzrostu ryzyka wystąpienia cyberataków. W ubiegłym roku 19 proc. zaobserwowało nasilenie takich incydentów, a 64 proc. przedsiębiorstw odnotowało przynajmniej jeden taki atak. To wzrost o 10 punktów procentowych r/r.
83 proc. przedsiębiorstw ankietowanych przez KPMG w czasie pandemii COVID-19 wdrożyło pracę zdalną, niemal w pełni w klasycznym modelu – z wykorzystaniem służbowych laptopów i szyfrowanych połączeń (VPN). Jednocześnie 51 proc. firm przyznało, że przejście pracowników na home office okazało się wyzwaniem w kontekście zapewnienia bezpieczeństwa, ponieważ praca w modelu zdalnym zwiększyła ryzyko nieautoryzowanych działań i podatność na cyberataki. Co czwarty przyznaje, że zmniejszyła się skuteczność operacji bezpieczeństwa.
– Możemy zorganizować liczne sesje awarenessowe dla użytkowników. Mimo tego, że oni będą się super zachowywać podczas tych sesji, ostatecznie nie wiemy, jak zareagują przy prawdziwym ataku – mówi Łukasz Miedziński, dyrektor Departamentu Cyber w ING Tech Poland. – Najczęściej popełniane błędy przez pracowników to przede wszystkim niestosowanie się do polityk, które są jasno zdefiniowane w firmie, łamanie zasad, których powinni przestrzegać.
Jak podkreśla, słabym ogniwem często są zwykłe skrzynki mailowe pracowników, które np. w przypadku ataku phishingowego służą hakerom jako punkt wejścia do organizacji. Dane KPMG wskazują, że ataki oparte na socjotechnice wiążą się z dużymi obawami przedsiębiorców.
– Pierwszą fazą takiego ataku jest weryfikacja pracownika i jego zainteresowań. Poprzez social media cyberprzestępca może sprawdzić, czym on się zajmuje na co dzień, czym się interesuje, a następnie stworzyć maila w taki sposób, żeby pracownik bez zastanowienia zainteresował się jego treścią i kliknął w link, który został dla niego przygotowany. Po takiej akcji oczywiście infekcja jest gotowa – mówi Łukasz Miedziński.
Szkolenia pracowników z zakresu cyberbezpieczeństwa obejmują również socjotechnikę. Firmy uczulają swój personel, w jaki sposób przestępcy mogą wykorzystywać dane na jego temat i czym grozi kliknięcie na zainfekowany link. Symulują przykładowe ataki i obserwują reakcję pracowników, szukając słabego ogniwa. Podnoszenie tzw. security awerness wśród pracowników to pierwsza linia obrony firmy przed cyberatakami, ale nigdy nie daje ona 100 proc. gwarancji bezpieczeństwa. Dlatego drugi krok to zabezpieczenia stricte techniczne, które przedsiębiorstwo powinno wdrożyć, żeby zminimalizować ryzyko.
– Zaczynając od tzw. preventive controls, czyli zabezpieczeń, które blokują pewne zachowania pracowników, szyfrowanie czy uwierzytelnianie dwuskładnikowe. Chyba najważniejszy element to ograniczenie dostępu do skrzynek z różnych miejsc. Ważne jest, żeby skrzynki jednak były zawsze obsługiwane z wewnątrz organizacji bądź przez szyfrowane połączenia typu VPN. W dalszej kolejności możemy skoncentrować się na zabezpieczeniach typu detective, czyli monitorujemy pracowników, jak reagują w określonych sytuacjach – wymienia dyrektor Departamentu Cyber w ING Tech Poland.
– Korespondencję służbową możemy zabezpieczać na wiele sposobów. Jednym z nich jest klasyfikacja danych, które funkcjonują w firmie, i dbanie o to, aby dane sklasyfikowane wysoko nie mogły opuszczać organizacji. Innym sposobem jest skanowanie contentu wiadomości w taki sposób, żeby przechwytywać wiadomości, które zawierają treści niepożądane, również przeciwdziałając opuszczeniu organizacji – wyjaśnia Przemysław Wolek.
O tym, jakie mogą być tego konsekwencje, świadczy tzw. afera mailowa na szczytach władzy. Od czerwca w internecie pojawiają się szczegóły korespondencji między najważniejszymi politykami w państwie. Rząd nie komentuje sprawy, kwestionując prawdziwość maili.
– Trudno jest odnosić się do tego bardzo specyficznie, dlatego że nie wiemy, co dokładnie się wydarzyło – mówi dyrektor Pionu Bezpieczeństwa IT w ING Tech Poland. – W naszej firmie nie wyobrażamy sobie, żeby korespondencja służbowa przetwarzana była na kontach prywatnych i w taki sposób wykorzystywana. To nie powinno mieć miejsca.
Przesyłanie służbowych danych na prywatne skrzynki lub noszenie ich na urządzeniach mobilnych, np. pendrive’ach, oznacza, że organizacja traci kontrolę nad danymi i nie jest w stanie ich dłużej kontrolować. Te praktyki – uważane przez firmy i ekspertów za bardzo niebezpieczne – są jednak bardzo powszechne wśród pracowników.
– Firmowe skrzynki mailowe organizacji są chronione poprzez zaawansowane techniki i zabezpieczenia security. Natomiast skrzynki prywatne już tak dobrze chronione nie są, więc w takim przypadku korespondencja może zostać po prostu przejęta – dodaje Łukasz Miedziński.
Komentarze