Dziennie na całym świecie dochodzi nawet do 50 mln incydentów bezpieczeństwa. Nic dziwnego, że rosną wydatki na ochronę IT – według Gartnera tym roku globalnie wyniosą one 124 mld i wzrosną o 10 mld w stosunku do roku poprzedniego. Problem w tym, że cyberbezpieczeństwo to proces, którego nie da się kupić – ale można go wypracować.
Zabezpieczenia nie wystarczą
Według Gartnera trzy najważniejsze czynniki wpływające na wzrost wydatków to: zagrożenia, potrzeby biznesowe oraz zmiany branżowe. W wyniku tego rośnie zainteresowanie firm rozwiązaniami zabezpieczającymi infrastrukturę IT, jednak to już nie wystarcza. Stale ewoluujący krajobraz zagrożeń oraz regulacje w zakresie ochrony danych sprawiają, że firmy muszą zacząć przygotowywać się na wykrywanie incydentów, inwestować w narzędzia szybkiej reakcji na ukierunkowane ataki oraz nieustannie edukować swoich pracowników.
Powszechne niegdyś (i błędne) założenie, że dana organizacja nie jest interesującym celem ustępuje bardziej racjonalnemu przekonaniu, że każdy cel jest atrakcyjny. Z doświadczeń analityków F-Secure wynika jednak, że około 50% środków inwestowanych przez firmy w poprawę bezpieczeństwa jest wykorzystywane nieodpowiednio lub nieskutecznie. Niestety większość przedsiębiorstw nie wie, które elementy są istotne w rzeczywistym poprawianiu poziomu ochrony. Dlatego poza środkami finansowymi i technologią ważna jest edukacja – poznanie swoich słabych punktów oraz możliwych zagrożeń – wskazuje Piotr Pietras, Presales engineer w firmie F-Secure.
Hakerzy celują w pracowników
Najsłabszym ogniwem w łańcuchu cyberbezpieczeństwa firm są…pracownicy. W zeszłym roku odpowiadali za niemal co drugi przypadek wycieku danych. Ich nieostrożność i niewiedza są chętnie wykorzystywane przez hakerów, aby dostać się do firmowej sieci. Nic dziwnego, że aż 80,6% przedsiębiorców deklaruje chęć szkolenia swoich zespołów z zakresu cyberbezpieczeństwa, a 45% z nich zwiększy swoje wydatki w tym zakresie.
Praca u podstaw
Jednym ze sposobów edukacji pracowników są szkolenia stacjonarne i audyty. Zajmują się tym m.in. serwisy poświęcone tematyce bezpieczeństwa jak np. Niebezpiecznik i Zaufana Trzecia Strona. Inną metodą są webinary – z reguły bezpłatne szkolenia online prowadzone m.in. w ramach platformy e-Bezpieczna Polska zainicjowanej przez firmę Xopero. Pozyskuje ona do współpracy kolejnych partnerów – najnowszym jest F-Secure – jeden z liderów na rynku rozwiązań z zakresu cyberbezpieczeństwa. Firma dysponuje specjalnym Centrum Cyberbezpieczeństwa, które opracowuje narzędzia do przeciwdziałania i wykrywania ataków. Zapisy na webinar z procesu budowania bezpieczeństwa IT dostępne są tutaj.
Działanie “pod przykrywką”
Jednym ze sposobów ochrony są również testy penetracyjne, a więc kontrolowane ataki, które mają na celu poprawienie poziomu bezpieczeństwa w firmie. Mogą one obejmować wysłanie anonimowego specjalisty, który wchodzi do firmy w przebraniu elektryka lub dziennikarza, podrzucanie zainfekowanych pendrive’ów, próby zdobycia hasła do sieci od recepcjonistki, forsowanie zamków czy szukanie wydruków maili w koszach na śmieci – wszystko po to, aby pokazać klientom jak łatwo zdobyć poufne informacje oraz wejść do firmowej sieci.
Przedsiębiorcy, którzy chcą poznać szczegóły ataków z ostatnich miesięcy, przygotować firmę i pracowników na zaawansowane ataki oraz dowiedzieć się jak wypracować cyberbezpieczeństwo powinni rozważyć udział w darmowych webinarach e-Bezpiecznej Polski – zapisy dostępne są na oficjalnej stronie internetowej projektu – tutaj.