Polskie firmy a cyberbezpieczeństwo – jak walczyć z cyberzagrożeniami? Wywiad z Martą Siekacz z Perceptus 

Polskie firmy coraz częściej stają przed wyzwaniem, jak skutecznie chronić się przed cyberzagrożeniami. W obliczu rosnącej liczby ataków ransomware i naruszeń danych, świadomość zagrożeń w przestrzeni cyfrowej powoli rośnie, jednak raporty wciąż pokazują liczne zaniedbania. W rozmowie z nami Marta Siekacz z Perceptus (firmy specjalizującej się w budowaniu odporności cyfrowej klientów) analizuje aktualny poziom zabezpieczeń w polskich firmach, wskazuje najczęstsze błędy i podpowiada, jakie działania mogą zwiększyć cyberbezpieczeństwo. Wywiad przeprowadził Wojciech Samborski, redaktor naczelny serwisu aboutMarketing.pl. 

Jak ocenia Pani obecny poziom świadomości wśród polskich firm na temat cyberbezpieczeństwa i cyberzagrożeń? 

Na to pytanie trudno odpowiedzieć jednoznacznie. Z jednej strony trwają prace nad nową ustawą o Krajowym Systemie Cyberbezpieczeństwa, a w związku z tym obserwujemy intensywne działania komunikacyjne ze strony NASK, Ministerstwa Cyfryzacji i firm zajmujących się wdrażaniem rozwiązań z obszaru cyberbezpieczeństwa, które działają również w obszarze edukacji klientów. Trwają kampanie w mediach – tematy związane z cyberzagrożeniami poruszane są już nie tylko w specjalistycznych audycjach, ale też w porannych pasmach. Nie ma tygodnia by media nie informowały o kolejnych skutecznych atakach cyberprzestępców, więc świadomość istnienia zagrożeń w przestrzeni cyfrowej z pewnością rośnie.  

 Z drugiej strony raport „Cyberportret polskiego biznesu”, opracowany przez firmy ESET i DAGMA, pokazuje, że zaniedbania w obszarze obrony przed nimi są nadal ogromne. Ponad 1/3 polskich przedsiębiorstw zaniedbuje pierwszą, podstawową linię ochrony przed cyberzagrożeniami, jaką jest oprogramowanie antywirusowe. Z zebranych danych wynika, że najsłabszą świadomość wagi oprogramowania antywirusowego mają firmy średniej wielkości, zatrudniające 250-500 pracowników (w tej grupie stosowanie go deklaruje zaledwie 42% badanych). 

Zaniedbywana jest także kluczowa dla cyberbezpieczeństwa kwestia edukacji. Z danych zebranych we wspomnianym raporcie wynika, że aż 52% pracowników nie przeszło w ciągu ostatnich 5 lat ani jednego szkolenia z zakresu cyberbezpieczeństwa w miejscu pracy. Mniej niż co trzecia firma (32%) przeprowadza także regularne testy bezpieczeństwa teleinformatycznego. A w efekcie znowu słyszymy o kolejnych zaszyfrowanych instytucjach i dostajemy maile z kolejnych sklepów internetowych o tym, że nasze dane wyciekły. 

Jakie są najczęstsze cyberzagrożenia, z którymi borykają się dziś firmy w Polsce? 

Większość skutecznych ataków, o których dziś słyszymy to ataki typu ransomware, czyli przeniknięcie do ekosystemu IT firmy złośliwego oprogramowania, zaszyfrowanie zasobów i żądanie okupu. Potwierdzają to statystyki. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa, ENISA w swoim ostatnim raporcie „ENISA THREAT LANDSCAPE 2024”, informuje, że w drugiej połowie 2023 r. i pierwszej połowie 2024 r. Trwające konflikty regionalne pozostają istotnym czynnikiem kształtującym krajobraz cyberbezpieczeństwa. Główne zagrożenia związane z cyberbezpieczeństwem to:  

• oprogramowanie wymuszające okup (ransomware), 

• złośliwe oprogramowanie (malware),  

• inżynieria społeczna, 

• naruszenie danych lub ich wyciek, 

• zagrożenia dla dostępności do systemów i danych, 

• manipulacja informacją. 

  
Czy istnieją specyficzne zagrożenia dla poszczególnych sektorów biznesu? Które sektory są najbardziej narażone? 

Metody ataku są uniwersalne. Nie ma technologii zarezerwowanych dla poszczególnych branż. Wszystkie systemy IT łączą się ze światem zewnętrznym w podobny sposób i te obszary stanowią wektory ataku. Reszta zależy już od pomysłowości atakujących, którzy wykorzystują informacje o podatnościach i tworzą nowe ścieżki, którymi dostają się do wewnętrznych sieci organizacji. Motywacje atakujących mogą być bardzo różne. Są grupy działające typowo dla pieniędzy, inne realizują cele związane z napięciami geopolitycznymi. Z tego powodu narażona jest tak naprawdę każda organizacja. Małe i średnie firmy nie są bezpieczne, co pokazuje m.in. ilość zaszyfrowanych biur rachunkowych i zaatakowanych sklepów internetowych, które często działają w w oparciu o małe, kilku- kilkunastoosobowe zespoły.  

Oczywiście są takie sektory naszego życia, które dla ciągłości działania całego państwa mają szczególne znaczenie. Zostały one wyodrębnione jako sektory kluczowe i ważne w Dyrektywie NIS2, która jest obecnie implementowana do polskiego porządku prawnego. Są to m. in. energetyka, ochrona zdrowia, produkcja w tym produkcja farmaceutyczna, dostawcy wody pitnej i inne. Te sektory ustawowo będą zobowiązane do wzmocnienia swojej odporności na ataki.  

Jakie technologie i rozwiązania są niezwykle ważne w walce z cyberzagrożeniami? 

Bezpieczeństwo w organizacji, bez względu na jej wielkość, należy budować warstwowo. Nie wystarczy zainstalować zaawansowanych systemów, by zapewnić bezpieczeństwo danych. Budowa cyberodporności to proces, który się nie kończy. Elementy, na które należy zwracać uwagę to edukacja w dziedzinie cyberbezpieczeństwa skierowana do osób na każdym poziomie firmy – od recepcjonisty po zarząd. Świadomość zagrożeń powoduje, że bardziej zwracamy uwagę na to, co robimy. Kolejnym ważnym elementem jest testowanie – jeśli zespół przeszedł szkolenia, to warto weryfikować, w jakim stopniu wdrożono dostarczone podczas nich informacje. Ważne jest także zapewnienie systemowych i sprzętowych zabezpieczeń, które zmniejszają podatność na ataki, jak zabezpieczenie sieci, zabezpieczenie urządzeń końcowych (end-point), systemy DLP, PAM czy urządzenia HSM szyfrujące bazy danych w spoczynku. Są też zespoły świadczące usługi Security Operations Center, które realizują można powiedzieć kolejny krok, po wdrożeniu systemów. To specjaliści, którzy potrafią analizować dane spływające z tych systemów, identyfikować anomalie i na ich podstawie decydować o najlepszych możliwych sposobach reakcji.  

 
A w jaki sposób małe i średnie firmy mogą efektywnie chronić się przed cyberzagrożeniami przy bardziej ograniczonym budżecie? 

Podstawą doboru zabezpieczeń i  rozwiązań technologicznych nie powinna być wielkość organizacji, a ryzyko, jakie niesie ze sobą utrata danych lub wtargnięcie adwersarza do wewnętrznej infrastruktury. Nowa dyrektywa unijna nt. cyberbezpieczeństwa wyodrębnia cały katalog podmiotów kluczowych i ważnych, wobec których wymagania zapewnienia cyberbezpieczeństwa w całym łańcuchu dostaw, a więc nie tylko w swojej organizacji, ale też u producentów półproduktów, dostawców, firm transportowych i innych uczestników łańcucha – są wyjątkowo restrykcyjne. W przypadku większości branż kluczowych i ważnych pułap zaczyna się od statusu średniej firmy, czyli ponad 50 osób, ale są takie branże, jak np. dostawcy usług z zakresu cyberbezpieczeństwa, które nie mają tego progu. Firmy w tym sektorze najprawdopodobniej będą uznane za podmioty kluczowe nawet jeśli zatrudniają tylko kilka osób. Pewność będziemy mieli, kiedy nowa ustawa o KSC zostanie uchwalona.  

Podstawą bezpieczeństwa jest świadomość zespołu, a tej nie zbuduje się bez szkoleń. Myśląc o nakładach na cyberbezpieczeństwo należy uwzględniać zarówno techniczne środki zabezpieczające jak też szkolenia i motywacje do zachowania tzw. higieny cyfrowej. Niektóre zabezpieczenia, zwłaszcza w małych organizacjach, są niedrogie. Wykorzystanie menedżera haseł, który weryfikuje nie tylko siłę haseł, ale też to, czy nie wyciekły one w atakach z innych kont i nie są materiałem do testów dla botów realizujących ataki siłowe – to sposób na wzmocnienie odporności małym kosztem. Taką funkcję posiada perc.pass – pierwszy polski menedżer haseł (https://percpass.com ) 

Czy może Pani opowiedzieć o roli audytów bezpieczeństwa w identyfikacji słabych i podatnych punktów w firmach? 

Audytor bezpieczeństwa informacji weryfikuje wdrożenie polityki bezpieczeństwa informacji w życie. A więc sprawdza, jak plan zabezpieczenia firmy przed atakami został przełożony na faktyczne procedury. Taki specjalista nie działa sam, powinien pracować z zespołem rozumiejących poszczególne obszary infrastruktury IT. Weryfikacji dokonuje na podstawie analizy materiału próbkowego, czyli np. w organizacji zatrudniającej 100 osób pracujących przy komputerach sprawdza 3-5 jednostek i na tej podstawie potrafi ocenić niezgodności i podatności. Audyt techniczny, który jest częścią audytu bezpieczeństwa informacji bada poprawność instalacji urządzeń, zabezpieczenia serwerów, ustawienia w konsolach systemowych. To rozwiązanie dla firm, które posiadają ważne dla siebie dane i chcą być pewne tego, że są one właściwie zabezpieczone. Kierując się logiką, powinno być to ważne dla każdej organizacji. Choć do audytów będą zobowiązane podmioty kluczowe objęte nową ustawą KSC  to dobrą praktyką jest, by takie audyty bezpieczeństwa informacji przeprowadzać w każdej organizacji raz na jakiś czas. Pozwoli to znaleźć luki w środowisku zarówno IT jak i prawno-organizacyjnym czy fizycznym. Podczas audytów u klientów często spotykamy się z sytuacją, kiedy osoby przebywające długo w jakimś otoczeniu (pracownicy) przestają dostrzegać pewne niuanse, które dostrzeże osoba niezależna, z zewnątrz organizacji.  

Jak często firmy powinny przeprowadzać takie audyty? 

Częstotliwość audytów w sektorach kluczowych i ważnych będzie uregulowana ustawą. W pozostałych branżach pozostaje dowolność. Widać rosnące zainteresowanie tematem zabezpieczenia danych w firmach, dlatego z czasem możliwość wykazania pozytywnej oceny audytu bezpieczeństwa informacji będzie z pewnością elementem przewagi konkurencyjnej.  

Jakie są najczęstsze błędy popełniane przez firmy w zakresie cyberbezpieczeństwa i jak można ich unikać?  

Najczęstszym i podstawowym błędem, który powtarza się w wielu organizacjach, jest brak szeroko zakrojonej analizy ryzyka dla informacji i aktywów, które posiada organizacja. Często przez jej brak organizacja nie identyfikuje zagrożeń, nawet podstawowych, które zapewne by odnotowała, jeśli odpowiednio dobrany zespół pochyliłby się nad tym tematem. Nieznajomość ryzyka uniemożliwia skuteczną obronę.  

Drugim błędem jest traktowanie cyberzabezpieczeń jako „zła koniecznego”, a nie strategicznej inwestycji w zapewnienie stabilnych warunków działania. Niedofinansowana infrastruktura i zespół, któremu brakuje wiedzy i możliwości działania nie zapewnią spokoju i odporności na cyfrowe ataki.  

 
Jakie są Pani rekomendacje dla firm, które chcą rozpocząć budowę strategii cyberbezpieczeństwa? Od czego powinny zacząć i na co zwrócić szczególną uwagę? 

Odporność buduje się holistycznie. Podstawą jest zapewnienie odpowiedniego poziomu wiedzy. Znając zagrożenia związane z bezpieczeństwem informacji, takie jak phishing, malware, czy nieuprawnione udostępnianie danych, wszyscy pracownicy mogą skuteczniej się przed nimi chronić i szybciej je identyfikują. Świadomość wzmaga czujność i podejrzana korespondencja jest szybko przekazywana odpowiednim specjalistom, dzięki czemu wiedza o ataku pozwala szybko reagować i kontrolować zagrożenie.  

Znajomość zewnętrznych zagrożeń to jednak nie wszystko. Dobrze zabezpieczona organizacja tworzy procedury, które chronią ją przed tymi zjawiskami, ale też przed szeregiem innych zdarzeń, których pojedynczy pracownik niezaangażowany w obszar cybersecurity może nie rozumieć. Nie musi, wystarczy by stosował się do procedur. By się stosować musi je znać i rozumieć. Tu również konieczny jest system wewnętrznych szkoleń.  

Celowo piszę o systemie, ponieważ w cyberbezpieczeństwie chodzi w dużej mierze o dobre nawyki zachowania wysokiego poziomu higieny cyfrowej. A ich nie można wykształcić podczas jednego szkolenia. To tak jak z nauką jazdy. Na kursie dowiemy się, że zatrzymując się na czerwonym świetle warto wrzucić jedynkę, aby potem płynnie ruszyć. Po kilku lekcjach z instruktorem zaczynamy o tym pamiętać, ale dopiero po kilku miesiącach samodzielnej jazdy robimy to automatycznie. Tak też jest z procedurami, o których należy pamiętać działając w ramach organizacji. Nie wystarczy raz przeprowadzić szkolenia, należy je powtarzać w różnych formach, wprowadzać mechanizmy przypominające, korzystać z różnych wewnętrznych kanałów komunikacji, by wyrobić w zespole odpowiednie nawyki. Przy czym należy pamiętać, że przedmiotem tych szkoleń nie powinny być jedynie zagrożenia, ale również sposób działania, kiedy przysłowiowe mleko się rozleje. Skutki incydentu bezpieczeństwa mogą zostać znacznie ograniczone, jeśli pracownicy wiedzą, jak na niego zareagować i jakie działania zaradcze wdrożyć niezwłocznie. 

Jeśli firma ma już opracowane i wdrożone polityki bezpieczeństwa, to warto zbadać przynajmniej raz na jakiś czas czy są one zgodne z przyjętymi standardami. A przy okazji sprawdzić, czy dokumentacja ma swoje odzwierciedlenie w organizacyjnej codzienności, czy może mijają się w dużym stopniu.