Cyberbezpieczeństwo – błąd ludzki może słono kosztować

Cyberbezpieczeństwo: Błąd ludzki może słono kosztować

Świadomość firm odnośnie kwestii związanych z zagrożeniami cybernetycznymi stale rośnie. Pracownicy przechodzą szkolenia z zakresu cyberbezpieczeństwa, ale w praktyce nadal miewają problemy z przestrzeganiem wdrożonych zasad. Ekspert 7N wskazuje proste rozwiązania, z którymi styka się w pracy z dużymi korporacjami, dotyczące zapobiegania najczęściej spotykanym błędom.

Zainteresowanie cyberbezpieczeństwem nasiliło się wraz z pandemią i masowym przejściem na pracę zdalną.
– Bezpieczeństwo przestało być zagadnieniem niszowym i znajduje się w centrum zainteresowania zarządów firm, nie tylko tych największych – mówi Bartosz Różański, Software Security Engineer z 7N, firmy IT prowadzącej zaawansowane projekty informatyczne dla dużych organizacji, także w dziedzinie cyberbezpieczeństwa.
Nic dziwnego. Nie ma bowiem tygodnia, by media nie donosiły o wycieku danych z dużej organizacji. McDonald’s, Warner Music Group czy Garmin to tuzy biznesu, lecz nawet im zdarzają się takie sytuacje. A to tylko najświeższe przykłady.
Za błędy firmy muszą słono zapłacić. Polski Urząd Ochrony Danych Osobowych nałożył ostatnio karę sięgającą kilku milionów złotych na sklep internetowy za brak zachowania odpowiednich środków ostrożności, co skutkowało wyciekiem danych klientów. Gorzej, jeśli okup trzeba płacić hakerom. Kilka tygodni temu Garmin dokonał przelewu na konta cyberprzestępców, by urządzenia tej firmy mogły znowu normalnie działać. Istnieją przypuszczenia, że kwota mogła sięgać nawet 10 milionów dolarów.
Dlatego organizacje systematycznie zwiększają nakłady na ochronę danych. Według firmy badawczej Gartner globalnie wydatki na ten cel rosną z każdym rokiem, a w 2020 r. mają być o 2,4 proc. wyższe niż dotychczas, osiągając 123,8 mld dolarów – i to mimo cięć budżetowych związanych z pandemią.

Banki i firmy medyczne najbezpieczniejsze

Wraz ze wzrostem nakładów na bezpieczeństwo firm w sieci, idzie zmiana zachowań pracowników. Przedsiębiorstwa tworzą na własny użytek zasady bezpieczeństwa dostosowane do ich specyfiki oraz do tego, jak cenne są dane, które mają chronić.
– Rosnąca świadomość w kręgach decyzyjnych sprawia, że firmy nie ograniczają się do przeprowadzenia rutynowych szkoleń, a same zatrudniają specjalistów, którzy zajmują się nie tylko wdrażaniem polityk bezpieczeństwa, ale też autentycznie pilnują ich przestrzegania – wyjaśnia Bartosz Różański z 7N.
Najbardziej rygorystyczne regulacje obowiązują w sektorze bankowymgdzie poziom zabezpieczeń jest porównywalny z wojskiem i administracją rządową. Podobnie wymagające są przepisy wobec branży medycznej.

Najczęściej mylą się ludzie

Jednak niezależnie od branży to człowiek jest “najsłabszym ogniwem” systemów bezpieczeństwa informacji. – Wszystkich zachowań użytkownika nie jesteśmy w stanie przewidzieć. Nigdy do końca nie wiemy, jak się zachowa lub jakie polecenie wprowadzi, więc nie możemy zapobiec wszystkim sytuacjom. Możemy jednak minimalizować ryzyko przez wdrażanie odpowiednich mechanizmów ochrony – mówi Bartosz Różański z 7N.
Zalecenia specjalistów od cyberbezpieczeństwa wielu osobom wydają się banalne. Jednak ekspert wyjaśnia, że nawet najbardziej wyrafinowany system bezpieczeństwa nie będzie skuteczny, jeśli szeregowi użytkownicy nie będą na co dzień stosować podstawowych zasad cyberhigieny.

Praktyczne wskazówki

Ekspert 7N wskazuje ABC bezpieczeństwa, którego stosowanie pozwala ograniczyć ryzyko błędu ludzkiego:
  • wymuszanie przez system stosowania silnych haseł i managerów haseł,
  • unikanie praktyki “zapamiętywania” hasła przez przeglądarkę,
  • zakaz udostępniania danych logowania innym osobom,
  • dostęp do aplikacji wewnętrznych firmy tylko przez szyfrowane łącze z wykorzystaniem technologii VPN.
Dobrą praktyką jest tzw. uwierzytelnianie wieloskładnikowe:
– Tożsamość potwierdza się dodatkowym kanałem np. przez telefon z zainstalowaną aplikacją uwierzytelniającą. Jeszcze bardziej zaawansowane jest uwierzytelnianie z udziałem kluczy sprzętowych, czyli specjalnych urządzeń – na pierwszy rzut oka przypominających pendrive – które mają “zaszyte” specjalne klucze identyfikujące użytkownika. Takie sprzętowe utrudnienia dostępu znacznie zmniejszają ryzyko przypadkowego wycieku wrażliwych danych – ocenia Bartosz Różański z 7N.
Pandemia sprawiła też, że wielu użytkowników zaczęło wykorzystywać prywatne urządzenia w celach zawodowych. Ekspert zwraca uwagę, że powinny one przejść praktycznie identyczną procedurę co służbowe komputery.
– Specjaliści do spraw bezpieczeństwa odpowiednio je konfigurują, np. instalując dodatkowe oprogramowanie do kontroli ruchu sieciowego i tworząc jednocześnie listę aplikacji zakazanychnp. gier czy przeglądarek plików PDF nieznanego pochodzenia. Często uniemożliwiają też przeglądanie internetu z innych przeglądarek niż ta wybrana i również odpowiednio skonfigurowana, aby blokować dostęp do niebezpiecznych stron – objaśnia Bartosz Różański.

Ciągła nauka cyberodporności

Cyberodporność jest cechą biznesu, dzięki której firma jest w stanie przygotować się na potencjalne zagrożenie np. utraty lub wycieku danych, zamortyzować je, odpowiedzieć na nie, a finalnie usunąć jego skutki, przez cały czas funkcjonując i dostarczając swój produkt klientom
– Każdy wychwycony błąd w systemie powinien skutkować dodawaniem nowych elementów do polityk bezpieczeństwa. System musi się stale uczyć – wyjaśnia ekspert 7N.

Dodaj komentarz

%d bloggers like this: