Jak robić bezpieczny biznes w sieci

Pandemia COVID-19 jeszcze dobitniej pokazała rolę Internetu w rozwoju i prowadzeniu biznesu. Jeśli wcześniej uznawaliśmy ją za kluczową, to dziś z pełnym przekonaniem możemy powiedzieć, że jest ona decydująca - o być albo nie być dla przedsiębiorstwa.

Przedsiębiorcy znają potencjał biznesowy, jaki daje Internet, ale czy znają ryzyka, jakie wiążą się z funkcjonowaniem w cyberprzestrzeni? Dziś Dzień Bezpiecznego Internetu. Dobry moment, aby o to zapytać.

Skala zagrożeń

Według danych zawartych w raporcie firmy Check Point liczba cyberataków w Polsce w okresie pandemii przypadających na jedną organizację to 307 tygodniowo.  To i tak mniej niż światowy trend. Eksperci z NASDAQ światowy rynek cyberataków w 2023 r. szacują na 151 miliardów dolarów, zaś raport Accenture wskazuje, że przez najbliższe 5 lat przedsiębiorstwa na całym świecie w wyniku cyberataków stracą 5,2 biliona dolarów. Czy firmy funkcjonujące w Polsce zdają sobie sprawę ze skali zagrożenia?

Reklama

- Istnieje spora świadomość skali zagrożenia, ale ciągle jest ona mocno teoretyczna i nie zawsze przekłada się na jakąś politykę bezpieczeństwa. W tych branżach, w których prawo wymusza wyższe standardy - jak finanse czy energetyka - jest lepiej niż tam, gdzie nie ma żadnych wymogów narzuconych z góry. Tutaj dużą zmianę wprowadzi nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa, która mocno poszerzy krąg firm, które będą musiały wzmocnić swoje zabezpieczenia - mówi Marcin Maruta, partner w Kancelarii Maruta Wachta.


- Abstrahując od tematu ochrony danych osobowych trzeba powiedzieć, że "dobrą robotę" zrobiło RODO. Wejście w życie tych przepisów to w wielu firmach był moment, w którym wyraźnie wzrosły budżety działów odpowiedzialnych za cyberbezpieczeństwo i do tematu zaczęto podchodzić systemowo. Co ciekawe większość kar nałożonych do tej pory przez Prezesa Urzędu Ochrony Danych Osobowych wynikała nie z braku dokumentacji, ale właśnie z braku zabezpieczeń danych na odpowiednim poziomie. Obecnie przygotowanie firm w tym zakresie jest nieadekwatne w stosunku do skali zagrożeń. Głównym problemem jest nie tyle brak świadomości, co brak wiedzy, jak całym tym ryzykiem zarządzić. Trzeba przedsiębiorcom pomagać, wskazując konkretne rozwiązania na miarę ich potrzeb i możliwości finansowych  - dodaje partner w Kancelarii Maruta Wachta.

ABC przedsiębiorcy

Firma w kontekście cyberbezpieczeństwa ma trzy wyzwania. Pierwsze to zabezpieczyć systemy IT, drugie - zabezpieczyć dane dotyczące przedsiębiorstwa, a trzecie - zabezpieczyć dane klientów. Jeśli coś pójdzie nie tak w pierwszych dwóch przypadkach, to może stracić możliwość zarabiania i na przykład paść ofiarą szantażu. W trzecim dodatkowo może narazić się na dotkliwą karę ze strony np. Prezesa Urzędu Ochrony Danych Osobowych lub regulatorów sektorowych (np. KNF). Jednoczesny atak na systemy IT, dane firmy i dane klientów dla niejednego przedsiębiorcy może oznaczać koniec działalności. Jak więc podejść do tematu? Czy jest coś w rodzaju ABC przedsiębiorcy w kontekście cyberbezpieczeństwa?

 - Pierwsze kroki należy podzielić na dwie kategorie. Po pierwsze zabezpieczenia, czyli te klasyczne czynności: firewall, antywirus, systematyczne backupy. Po drugie kompetencje. Przedsiębiorca musi wiedzieć, na jakie ryzyko jest narażony w Internecie, musi mieć świadomość zagrożeń. Tego często brakuje. Przedsiębiorcy mówią "mam przecież informatyka, on się tym zajmie". Ale to jest człowiek od obsługi systemów IT, często traktowany jako help desk i nie zrobi oceny ryzyka w kontekście specyfiki działalności firmy. A tutaj ryzyko należy szacować ciągle, bo nowe zagrożenia pojawiają się nieustannie. Potrzebna jest mapa drogowa i plan postępowania z ryzykiem. Trzeba zacząć myśleć: "działam w Internecie, znam ryzyko, godzę się na nie i jestem przygotowany". Budżety muszą to ryzyko ujmować w postaci środków na zabezpieczenia, szkolenia, także stanowiska albo outsourcing z myślą o pozyskaniu wiedzy i usług. Ciągle na tym oszczędzamy, a kiedy dojdzie do incydentu, to na "sprzątanie" wydajemy wielokrotnie większe pieniądze. Internet daje ogromne możliwości, ale niesie ze sobą koszty utrzymania -  jak z kupnem szybkiego samochodu: skoro się na taki decydujemy, to nie możemy potem mówić, że nie stać nas na paliwo - podkreśla Marcin Białkowski, szef zespołu ryzyka i usług chmurowych w Kancelarii Maruta Wachta.

Można tanio?

Pokutuje przeświadczenie, że cyberataki to problem dotyczący głównie dużych firm. Natomiast według raportu firmy VMware Carbon Black liczba ataków na małe i średnie firmy podczas pandemii wzrosła na świecie o 61 proc. Agencja ubezpieczeniowa HISCOX podaje, że w 2019 r. aż 47 proc. małych i średnich firm, które padły ofiarą udanego cyberataku w ciągu 6 miesięcy od niego ogłosiło upadłość.

Co oczywiste MŚP nie mają takich możliwości finansowych, jak duże firmy, a nie ma co zaprzeczać - cyberbezpieczeństwo oznacza określone koszty, ciągle dla wielu przedsiębiorców zbyt duże. Wygląda jednak na to, że zamiast mówić "mojej firmy nie stać na cyberbezpieczeństwo", należy zacząć myśleć: "nie stać mnie na brak cyberbezpieczeństwa". Jakie są więc możliwości w miarę taniego chronienia firmy?

- Często okazuje się, że zbudowanie własnych zabezpieczeń od początku do końca jest nierealne zarówno cenowo, jak i organizacyjne. Dlatego myśląc o dobrych i racjonalnych cenowo zabezpieczeniach, należy zwrócić się w stronę rozwiązań chmurowych. Wiele firm nigdy nie będzie w stanie zbudować własnej infrastruktury i chmura jest właśnie dla nich. Nigdy nie jest też tak, że w 100 proc. jesteśmy w stanie zabezpieczyć firmę przed cyberatakiem, bo to się może zdarzyć. Kluczowe, aby mieć rozwiązania, które zminimalizują szkody i pozwolą po ataku wrócić do w miarę normalnej działalności - uważa Marcin Maruta.



- Chmura daje możliwość odzyskania stanu sprzed kilku dni. Daje też aktualność zabezpieczeń, co w świecie nieustannie ewoluujących zagrożeń jest czymś bardzo ważnym. Inna kwestia, że żaden system i żadne rozwiązanie technologiczne nie uchronią nas przed cyberatakiem, jeśli pracownicy nie będą mieli minimum wiedzy, świadomości i czujności w zakresie cyberbezpieczeństwa. Dlatego tak ważna jest edukacja. Pracownicy muszą wiedzieć podstawowe rzeczy, jak chociażby to, żeby nie klikać w podejrzane linki w mailach, zabezpieczać telefony i laptopy, czy wdrażać procedury zwiększające bezpieczeństwo. Są szkolenia, webinary, poradniki, kursy online - wiele z tych rzeczy w Internecie jest darmowych. Dla bezpieczeństwa firmy świadomy i czujny pracownik ma znaczenie fundamentalne - dodaje Maruta.

Nowe prawo

Nowe zagrożenia to nowe prawo, więc nie ma się co dziwić, że powstaje coraz więcej regulacji dotyczących cyberprzestrzeni. Na horyzoncie są duże zmiany w ustawie o Krajowym Systemie Cyberbezpieczeństwa, z którymi przedsiębiorcy powinni się zapoznać. Narzędzia w tym zakresie ma także Komisja Nadzoru Finansowego czy inne organy nadzoru. Prawa będzie przybywało. W związku z tym firmy niedługo - chcąc nie chcąc - będą musiały zapoznać się z nowymi przepisami i zastanowić, w jakim zakresie dotyczą one ich działalności.

- Obecna ustawa o Krajowym Systemie Cyberbezpieczeństwa dotyczy raczej dużych podmiotów oraz podmiotów publicznych. To się zmieni w nowelizacji. Nowymi przepisami zostaną objęte w pewnym zakresie wszystkie firmy, które dostarczają rozwiązania ICT, a więc związane z przetwarzaniem danych w systemach informatycznych. Konkretnie nowością, która jednocześnie budzi duże kontrowersje branży, jest możliwość uznania jakiegoś dostawcy sprzętu lub oprogramowania za dostawcę "wysokiego ryzyka".  Nie ma żadnych ograniczeń co do wielkości takiego dostawcy i w praktyce może to dotyczyć także MŚP - zauważa Małgorzata Kurowska z Kancelarii Maruta Wachta.

- Konsekwencją takiej decyzji będzie obowiązek  wycofania przez podmioty wskazane w ustawie (zwłaszcza tzw. operatorów usług kluczowych oraz podmioty publiczne - a więc obecnych lub potencjalnych klientów takiego dostawcy) produktów lub usług uznanych za ryzykowne. W razie odmowy istnieje możliwość nałożenia kary do 3 proc. globalnego obrotu firmy. Problem w tym, że nie do końca wiadomo, jakie będą kryteria, bo główne kryterium ustawy jest mocno uznaniowe i nieostre - mówi, że o nadaniu statusu "wysokiego ryzyka" będzie decydowała m.in. ocena wpływu, jaki obce państwo może mieć na daną firmę i wynikające stąd zagrożenie dla "bezpieczeństwa narodowego". Inną istotną nowością - tym razem mogącą stanowić ciekawą szansę, również dla MŚP - są określone w nowelizacji mechanizmy certyfikacji cyberbezpieczeństwa. Taki certyfikat na produkt lub usługę może stanowić o ich większej atrakcyjności w porównaniu z konkurentami. Na pewno prawa przybywa i nawet mali i średni przedsiębiorcy muszą być w tym zakresie na bieżąco - dodaje Kurowska.

Kluczowi ludzie

Ktoś kiedy powiedział, że firmy dzielą się na te, które zostały zhackowane i na te, które dopiero zostaną. Albo na te, które robią kopie zapasowe swoich danych i na te, które zaczną robić. Przykładem dla bezwzględności cyberprzestępców niech będzie fakt, że w szczycie pandemii we Włoszech tamtejsze instytucje medyczne atakował ransomware, który blokował dostęp do danych. Twórcami wirusa mieli być... Włosi.

- Ten wyścig trwa od wieków. Jaskiniowiec, gdy pierwszy raz został okradziony to zbudował ogrodzenie, gdy tamto przestało wystarczać, to zaczął je ulepszać. Dzisiaj mamy drzwi antywłamaniowe w domach, kamery, czujniki i alarmy, a ciągle do wielu kradzieży dochodzi dlatego, że złodziej zapukał, przedstawił się jako listonosz, a my bez weryfikacji wpuściliśmy go do domu. Dlatego podkreślam rolę tzw. czynnika ludzkiego w kwestii cyberbezpieczeństwa firmy. To będzie duże wyzwanie przyszłości - wskazuje Marcin Maruta.

- Dzisiaj mamy wyścig  zabezpieczeń cyfrowych i on będzie trwał. Ryzyka, jakie mamy, są coraz poważniejsze, jak chociażby te związane z oszustwami wyborczymi czy szpiegostwem. Państwa i organizacje będą inwestować w ten wyścig coraz większe pieniądze, a co ciekawe beneficjentami możemy być my wszyscy. Bo "mimochodem" będziemy korzystać z coraz lepiej zabezpieczonych produktów i do dyspozycji będziemy mieć coraz bardziej zaawansowane rozwiązania. Przedsiębiorców czeka na pewno fala legislacji i regulacji branżowych, a cyberbezpieczeństwo coraz rzadziej będzie wyborem, stając się nakazem. Jedna z teorii mówi o tym, że są gry skończone i nieskończone. Ten wyścig to gra nieskończona. Nie zostanie rozstrzygnięta w taki sposób, że cyberprzestępczość zniknie. Można ją "wygrać" systematycznie zwiększając bezpieczeństwo - dodaje Maruta.

Nie ma firmy, która nie zabezpiecza swojego biura, czy punktu usługowego.  Nie ma przedsiębiorcy, który nie widzi sensu w zainwestowaniu w drzwi antywłamaniowe albo alarm w swoim sklepie. Ciągle jednak wiele firm w taki sposób działa w Internecie, myśląc, że cyberatak to zagrożenie abstrakcyjne. Dzień Bezpiecznego Internetu w zamyśle Komisji Europejskiej jest dniem, w którym w całej Europie powinniśmy rozmawiać na temat zagrożeń czyhających w Internecie na dzieci i młodzież. Nic nie stoi jednak na przeszkodzie, aby tę refleksję w przyszłości rozszerzyć także na przedsiębiorców.

Jakub Płodzich

Dyrektor Instytutu Lema

INTERIA.PL
Dowiedz się więcej na temat: cyberbezpieczeństwo | W Sieci | internet
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »