W obliczu ostatnich globalnych wydarzeń, tradycyjne firmy musiały uciekać się do technologii, takich jak kody QR czy ecommerce, z których nigdy wcześniej nie korzystały. Chociaż MŚP zwróciły się ku nowym technologiom, aby utrzymać swoją działalność, często nie udało im się zwiększyć bezpieczeństwa w odniesieniu do tych nowych systemów. Badania i doświadczenia pokazują, że dobrze przygotowane przedsiębiorstwa radzą sobie z incydentami cybernetycznymi w znacznie bardziej efektywny sposób niż te, które nie planują lub nie mają możliwości prawidłowego reagowania na cyberzagrożenia.
Częstym błędem, jaki popełniają właściciele małych firm to wiara w poczucie, że są odporni na ataki ze względu na ich niewielki rozmiar. Niestety, cyberataki mogą przydarzyć się firmom każdej wielkości. Mimo to, wielu właścicieli firm uważa, że skala ich działalności jest wystarczająca, by trzymać ich z dala od radaru cyberprzestępców. Rzeczywistość jednak pokazuje, że taka postawa czyni je bardziej podatnymi na cyberataki z powodu braku ochrony.
Statystyka również jest okrutna. W 2021 roku 58% strat cybernetycznych dotyczyło małych i średnich firm, w dodatku 80% ofiar zostało zaatakowane po raz drugi.
Dlaczego cyberprzestępcy atakują osoby samozatrudnione i MŚP?
Jednym z czynników jest brak odpowiednich środków bezpieczeństwa, w które duże firmy muszą inwestować. MŚP i osoby samozatrudnione, które staną się celem cyberataku, mogą ponieść konsekwencje finansowe i operacyjne, przez które mogą już nigdy nie „stanąć na nogi”.
Jednak w miarę przyspieszania procesu korzystania z narzędzi cyfrowych, wiele mniejszych firm oferuje hakerom nowe możliwości. Duże, cyfrowe firmy z wyrafinowanymi, dostosowanymi do potrzeb zabezpieczeniami są trudniejsze i bardziej kosztowne do złamania, podczas gdy wiele MŚP może paść ofiarą tanich, replikowanych ataków. Co więcej, cyberprzestępczość jest teraz w zasięgu amatorów, którzy kupują oprogramowanie ransomware, aby wyłudzić mniejsze kwoty od MŚP o niższym ryzyku.
Bardziej wysublimowani hakerzy odkrywają, że MŚP mogą zapewnić drogę tylnym wejściem do większych firm, jako słabe węzły w ich łańcuchach dostaw.
W jaki sposób dochodzi do ataków?
Według najnowszych badań, najczęstsze ataki cyberbezpieczeństwa kierowane do sektora MŚP były związane ze złośliwym oprogramowaniem (24%), a następnie naruszeniem danych (16%) i atakiem typu phishing (15%).
Przede wszystkim 50-70% wszystkich ataków ransomware jest wymierzonych w małe i średnie firmy, co polega na wykorzystaniu przez cyberprzestępców szkodliwego oprogramowania do przejęcia i zaszyfrowania plików oraz danych ofiary, przetrzymywania danych jako zakładników, dopóki nie otrzymają zapłaty za ich udostępnienie. Zwłaszcza w obliczu nowej ery pracy zdalnej, która staje się bardziej powszechna niż kiedykolwiek, daje to hakerom więcej możliwości korzystania z przestarzałych sieci VPN i niezabezpieczonych sieci domowych.
Z raportu cyberbezpieczeństwa dla sektora MŚP, wydawanego przez ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa) wynika, że największe wyzwania stanowią:
– Niska świadomość zagrożeń cybernetycznych;
– Nieodpowiednia ochrona informacji krytycznych i wrażliwych;
– Brak budżetu na pokrycie kosztów poniesionych na wdrożenie środków cyberbezpieczeństwa;
– Brak odpowiednich wytycznych dostosowanych do sektora MŚP.
Jak IT może zwiększyć bezpieczeństwo?
Badania pokazują, że 88% firm stosuje co najmniej jedną formę cyberbezpieczeństwa (tj. antywirus, zapory ogniowe lub uwierzytelnianie wieloskładnikowe) i czuje się dość pewnie lub bardzo pewnie w swoich ustaleniach dotyczących cyberbezpieczeństwa.
Jaki jest powód bagatelizowania sprawy? Spośród respondentów, którzy nie wdrożyli cyberbezpieczeństwa, głównym powodem tego były koszty, a 11% respondentów stwierdziło, że nie wydałoby nic na ochronę.
Sektor MŚP w małym stopniu decyduje się na wdrożenie oprogramowania i sprzętu zabezpieczającego, projektowaniu bezpiecznych sieci i infrastruktury IT oraz nie przestrzegają najlepszych praktyk w zakresie bezpieczeństwa np. bezpiecznych konfiguracji. W dodatku nie wdrażają programu reagowania na incydenty oraz nie tworzą zespołów do analizy zagrożeń.
Firmy nie posiadają planu działania na wypadek wystąpienia cyberataku, który obejmowałby powiadamianie pracowników i klientów. Zazwyczaj nie mają wiedzy, gdzie znajdują się wszystkie kopie zapasowe systemu (jeśli takie wykonują).
Nieco ponad połowa (56 %) organizacji twierdzi, że polega na chmurze w przypadku niektórych lub wszystkich potrzeb związanych z przechowywaniem danych. Jednak tylko 5% ankietowanych stwierdziło, że tworzy kopie zapasowe swoich danych w czasie rzeczywistym, podczas gdy 72% zgłosiły, że ich częstotliwość tworzenia kopii zapasowych danych to raz w tygodniu lub mniej.
Nie zawsze skuteczna ochrona cyberbezpieczeństwa musi być skomplikowana lub droga. Należy o niej myśleć tak samo, jak o dbaniu o bezpieczeństwo swojego domu czy miejsca pracy: grunt to czujność, zabezpieczenie przed nieuprawnionym dostępem i zapewnienie, że wszyscy członkowie zespołu wiedzą, jak mają postępować i czego nie wolno im robić. Dlatego ważna jest zatrudnienie w firmie przeszkolonej osoby z zakresu bezpieczeństwa IT.
Warto zainwestować w zaawansowane oprogramowanie antywirusowe/do ochrony środowiska biznesowego i zainstalowanie go na wszystkich urządzeniach firmy. Zapewnia ono całodobową ochronę przed zagrożeniami z zewnątrz, takimi jak oprogramowanie żądające okupu, phishing/pharming czy ataki botów/wirusów, co znacząco zwiększa bezpieczeństwo przedsiębiorstwa.
Jedną z najlepszych praktyk zminimalizowania ryzyka zostania ofiarą cyberprzestępców jest symulacja cyberataku, co pomoże właścicielom firm i pracownikom dowiedzieć się, co robić w przypadku prawdziwego zdarzenia. Można to zweryfikować za pośrednictwem podmiotów, które zajmują się wykonywaniem audytów bezpieczeństwa. Testy penetracyjne i Red Teaming przeprowadzone przez wykwalifikowanych specjalistów pozwalają znaleźć najbardziej nieoczywiste luki w zabezpieczeniach oraz zweryfikować poziom technicznych takich aspektów związanych z bezpieczeństwem sieci, antywirusem, szyfrowaniem, monitorowaniem bezpieczeństwa, bezpieczeństwem fizycznym. zabezpieczeniem kopii zapasowych, a nawet podatność pracowników na ataki socjotechniczne.