Skutki cyberataków mogą nie być bardzo dotkliwe. Wystarczy przestrzegać kilku zasad

• W 2022 r. ataku ransomware doświadczyło aż 8 na 10 firm z Europy Środkowo-Wschodniej (raport Veeam)
• Aż 36 proc. firm atakowano 2-3 razy, a 22 proc. cztery lub więcej
• Cyberataki są główną przyczyną dotkliwych przestojów w firmach
• W wyniku incydentów bezpowrotnie traconych jest nawet 45 proc. danych firmy
•  Cyberataków nie da się uniknąć, ale można ograniczyć ich prawdopodobieństwo i skutki.

- Jeśli Pentagon zaatakowali hakerzy, to zapewne działali na zlecenie jakiegoś państwa. W tej sytuacji koszty nie grają roli, bo przestępcy dysponują nieograniczonym budżetem. Trudno się spodziewać, że zwykła firma stanie w obliczu aż takiego wyzwania - uspokoił w rozmowie z Interią Biznes Leszek Tasiemski, wiceprezes firmy WithSecure. 

- Pamiętajmy, że cyberprzestępcy to zwykli oportuniści, chcą zdobyć dane, ale niekoniecznie z jednej konkretnej firmy. W gruncie rzeczy chodzi więc o to, aby rodzaj i skala zabezpieczeń były wystarczające, by atakujący nas haker zmęczył się i zniechęcił, by atak kosztował go tyle czasu i sił, że z jego punktu widzenia stanie się nieopłacalny i zacznie szukać łatwiejszej ofiary - podkreślił. 

- Przestępcy atakują z sieci, a zatem im mniej mamy z nią połączeń - tym lepiej. To tak jak w domu - im mniej drzwi i okien tym trudniejsze zadanie dla złodzieja. Zresztą nawet wdarcie się do firmy nie oznacza jeszcze dostępu do jej danych, a włamanie do jej komputerów czy nawet fizyczna utrata służbowego laptopa to nie koniec, a dopiero początek obrony przed atakiem. Ważne jest to jak łatwo napastnik będzie się poruszał wewnątrz naszej sieci komputerowej - podkreśla Leszek Tasiemski. 

To tak jak z okrętem - przebicie burty nie doprowadzi do jego zatopienia, jeśli szczelnie pozamykamy grodzie wodoszczelne we wnętrzu. 

- Specjaliści nazywają to "defencing depth" - przecież nie każdy komputer w firmie musi być połączony ze wszystkimi jej zasobami danych, nie każdy pracownik musi mieć stały i pełny dostęp do kompletu informacji - nawet jej szef może prosić o dostęp tylko do określonych plików, gdy są mu potrzebne, a potem ten dostęp zamykać. Fachowo nazywamy to "łańcuchem podatności". Wciąż chodzi o to samo - by przestępca uznał, że nie ma swobody buszowania po zasobach firmy, uznał że traci za dużo czasu i po prostu odpuścił - podsumowuje ekspert. 

- Warto pamiętać, że jeśli firma nie przeznaczy potrzebnych środków na ochronę przed cyberatakami oraz odpowiednią ochronę danych, to prawdopodobnie i tak poniesie straty, płacąc okup cyberprzestępcom lub borykając się z przestojem w działalności, który generuje koszty - wskazuje z kolei Tomasz Krajewski, senior technical sales director Eastern Europe w firmie Veeam.

Wtóruje mu Niklas Enge, dyrektor sprzedaży w firmie Progress:

- Większość budżetu przeznaczanego na bezpieczeństwo pochłaniają narzędzia prewencyjne, to zrozumiałe. Niestety, gdy już taki incydent nastąpi firmy nie potrafią odpowiednio zareagować. Nie mają narzędzi, które pozwoliłyby odpowiednio wcześniej wykryć atak i zapobiec poważnym szkodom. Przedsiębiorstwa powinny wybierać technologie ochronne, które nie skupiają się tylko na zabezpieczeniu obwodu sieci (jak np. Firewalle) i punktów końcowych, ale mogą również pokryć tzw. "ślepe miejsca" między nimi - powiedział. 

- Narzędzia do monitorowania i analizy ruchu sieciowego, które mogą wykrywać incydenty i anomalie w zakresie bezpieczeństwa będą coraz ważniejsze dla wczesnego reagowania na przypadki naruszenia bezpieczeństwa i minimalizowania szkód. Zespoły ds. bezpieczeństwa coraz częściej wdrażają technologię NDR (Network Detection and Response), która wykorzystuje uczenie maszynowe i zaawansowaną analitykę do wykrywania podejrzanych zachowań w sieci. Dzięki temu jest w stanie rozpoznać nowe lub wcześniej nieznane zagrożenia, a także reagować na nie w całej infrastrukturze informatycznej firmy. Ponadto dostarcza administratorom informacje na temat możliwych do podjęcia działań i zrozumiałe informacje w obszarze nie tylko bezpieczeństwa, ale również monitorowania operacyjnego i wydajności - dodał. 

- Nigdy nie dość podkreślania roli ludzi w ochronie firmy. Ataki są bardziej wyrafinowane niż kiedykolwiek wcześniej, wykorzystują m.in. pogłębiający się niedobór specjalistów ds. cyberbezpieczeństwa. Nowoczesne narzędzia ochronne muszą zapewniać wysoki poziom autonomii, aby eliminować te zagrożenia i odciążyć zespoły IT. Ważne jest też regularne szkolenie wszystkich pracowników w zakresie znajomości podstawowych zasad dotyczących cyberbezpieczeństwa - podkreśla Niklas Enge.

- Oczywiście większe przedsiębiorstwa dysponują większymi budżetami na IT, ale mniejsze też mogą utrudnić przestępcom działanie, wdrażając podstawowe mechanizmy, jak np. politykę dotyczącą haseł, wieloskładnikowe uwierzytelnianie dostępu do zasobów (MFA), programy edukacyjne pracowników, a także tworząc kompleksową strategię ochrony danych i plan przywracania działalności - dodał Tomasz Krajewski. 

- Konsekwencje udanego ataku ransomware zależą m.in. od tego, jakie rozwiązanie do tworzenia kopii zapasowych firma wdrożyła i jakie środki naprawcze określiła. Posiadanie infrastruktury zapasowej znacznie zwiększa odporność na zagrożenia. Strategia tworzenia kopii zapasowych powinna być zgodna z zasadą 3-2-1-1-0. Zaleca się, aby istniały co najmniej trzy kopie ważnych danych na dwóch różnych rodzajach nośników, przy czym przynajmniej jedna z nich powinna się znajdować w trybie offline, poza siedzibą firmy i być odizolowana od sieci lub niezmienialna. Ważne jest także testowanie procedury odzyskiwania danych, aby upewnić się, że kopie zapasowe zostały wykonane bezbłędnie i gdy będą potrzebne, będą mogły być szybko użyte.  Przed ponownym podłączeniem systemów trzeba się też upewnić, że zagrożenie zostało całkowicie zniwelowane - zaznaczył ekspert firmy Veeam.

- Nigdy nie należy wpadać w panikę i płacić okupu cyberprzestępcom. Nie ma gwarancji, że zasoby uda się odzyskać, a hakerzy nie zaatakują ponownie. Jest jeszcze kwestia odpowiedzialności prawnej - warto pamiętać, że za bezpieczeństwo danych przechowywanych w chmurze odpowiada sama firma, a nie dostawca usługi. Wiele mniejszych organizacji nie ma świadomości, że platformy chmurowe działają na bazie tzw. modelu współdzielonej odpowiedzialności (shared responsibility). To znaczy, że gdy zasoby zostaną utracone, to po stronie właściciela danych leży odpowiedzialność za ich odzyskanie - podkreślił Tomasz Krajewski.

- Zagrożenie atakami hakerskimi kształtuje także rynek ubezpieczeń, który pod tym kątem dynamicznie się rozwija. Ubezpieczyciele dążą do jak największego ujednolicenia warunków ubezpieczenia od ryzyk cybernetycznych, z roku na rok zwiększa się świadomość zagrożenia po stronie klientów, którzy w celu zwiększenia bezpieczeństwa danych, rozbudowują polityki oraz inwestują w specjalistów i technologie zwiększające bezpieczeństwo. Widać, że firmy są tego coraz bardziej świadome, że nawet najlepsze systemy i procedury, choć bardzo potrzebne, nie dają 100 proc. gwarancji bezpieczeństwa. Dlatego właśnie poszukują dodatkowych rozwiązań. Dlatego w mojej opinii to jedna z ciekawszych gałęzi ubezpieczeń, ponieważ sposób w jaki mogą powstać szkody, ewoluuje praktycznie codziennie - komentuje Kacper Mleczak, ekspert w zakresie ubezpieczeń i wiceprezes zarządu exito Broker. 

- Głównym przedmiotem ataków i ubezpieczeń są oczywiście dane. Jednak z uwagi na rosnące ryzyko ataków, pozyskanie polisy jest drobiazgowo weryfikowane przez ubezpieczycieli. Sprawdzane są m.in. posiadane zabezpieczenia (np. antywirusy i uwierzytelnianie wieloskładnikowe), plan zarządzania incydentem, sposób reagowania działów IT wewnętrznych i zewnętrznych oraz wiele innych. Ważna jest także wielkość firmy, rodzaj prowadzonej działalności i przede wszystkim branża. Przykładem są infrastruktura krytyczna, data center, hurtownie danych czy firmy rządowe, gdzie ryzyka są większe, a to jest odzwierciedlone w ofertach ubezpieczycieli - podsumował nasz rozmówca. 

Wojciech Szeląg