Każda firma – nieważne, czy jest to średniej wielkości przedsiębiorstwo, duża korporacja czy jednoosobowa działalność – jest w posiadaniu wrażliwych i poufnych informacji. Know-how, wyniki finansowe, plany sprzedażowe czy nawet faktury z danymi klientów są narażone na ataki ze strony cyberprzestępców. Furtkę dla nich coraz częściej stanowią urządzenia mobilne, których pracownicy używają na co dzień do wykonywania służbowych obowiązków. Największym zagrożeniem dla danych jest jednak brak wiedzy o podstawowych zasadach bezpieczeństwa.
W czasach, kiedy ataki hakerów są coraz bardziej wysublimowane, a praca zdalna jest na porządku dziennym, firmowe zasoby informacyjne narażone są na coraz większe niebezpieczeństwo. Zatrudnieni stale sprawdzają służbowe maile na urządzeniach mobilnych oraz przesyłają wiadomości, nie korzystając z rekomendowanych przez firmę komunikatorów, stając się tym samym łatwym celem dla przestępców.
Pośpiech – zły doradca
Dane to jeden z najcenniejszych zasobów w przedsiębiorstwie. Dzięki zmianom technologicznym każdy pracownik ma do nich dostęp właściwie zawsze i wszędzie.
– To dziś dla wszystkich duża wygoda, ponieważ możemy swobodnie wykonywać obowiązki służbowe z dowolnego miejsca na ziemi – mówi Grzegorz Mamorski, Senior Account Manager z Innergo Systems. – Wystarczy internet, aby dostać się do firmowych systemów, poczty elektronicznej czy repozytoriów dokumentów, dlatego dla coraz większej liczby osób to właśnie urządzenia mobilne stają się głównym narzędziem pracy. Te niestety, podczas pracy zdalnej czy wyjazdów służbowych, mogą mieć dostęp do niezabezpieczonych sieci WiFi – na przykład na dworcach czy lotniskach. A to pierwszy krok do otworzenia cyberprzestępcom drogi do firmowych zasobów. Zwłaszcza gdy urządzenia nie są dostatecznie zabezpieczone, a pracownikom brakuje odpowiednich kompetencji – dodaje.
Praca na przenośnych urządzeniach, w miejscach często zatłoczonych i hałaśliwych, nie sprzyja koncentracji. Pracownicy w pośpiechu i na małym ekranie mogą nawet przez przypadek kliknąć w niebezpieczny link czy pobrać zainfekowany załącznik, dając tym samym dostęp hakerom do wrażliwych danych firmowych. Zwłaszcza że zdarzają się sytuacje, w których urządzenia służbowe wykorzystywane są też do celów prywatnych. Pierwszą zasadą, dzięki której mogą uniknąć wielu niebezpieczeństw, jest zainstalowanie odpowiedniego oprogramowania zabezpieczającego. Drugą – poznanie zagrożeń i sposobu działania cyberprzestępców.
Stworzone na mobile
Jak podaje McAfee, rocznie cyberprzestępcy tworzą i rozpowszechniają ponad 6 milionów nowych programów zaprojektowanych właśnie do ataków na urządzenia mobilne. Wiele z nich to zagrożenia typu spear, które wykorzystują słabiej zabezpieczone niż komputery PC smartfony czy tablety do tego, by uzyskać dostęp do sieci korporacyjnych. Spear phishing stanowi też według Europejskiego Centrum ds. Cyberprzestępczości (EC3) największe zagrożenie cybernetyczne dla organizacji w Unii Europejskiej. Na takich ukierunkowanych atakach, w których przestępcy podszywają się pod osoby zarządzające lub innych członków zespołu, aby skłonić pracownika lub kontrahenta do wykonania przelewu pieniężnego, ujawnienia poufnych informacji czy kliknięcia w przesłany link, cyberprzestępcy zarobili w minionym roku aż 1,7 mld dolarów!
– To wyjątkowo trudne ataki, ponieważ często wykorzystują na przykład wiadomości e-mail niezawierające żadnych załączników. Nie wszystkie systemy zabezpieczające więc je zauważą. Trafiają zatem bez przeszkód do odbiorców, którzy widząc w ich treści odniesienia do znanych sobie faktów i osób, ulegają takiej socjotechnice i postępują według zawartych w nich wskazówek – tłumaczy Grzegorz Mamorski.
Ponieważ w tym wypadku trudno polegać tylko na oprogramowaniu, niezmiernie ważna jest edukacja pracowników i szerzenie świadomości o nowych, coraz bardziej wysublimowanych zagrożeniach. Istotne dla bezpieczeństwa danych firmowych jest wypracowanie u zatrudnionych odpowiednich nawyków, które utrudnią przestępcom ataki.
– Oczywiście w takich przypadkach kluczem jest zdrowy rozsądek. Kiedy tylko sytuacja czy prośba jest choć trochę nietypowa, każdy powinien zastosować dodatkową weryfikację – dodaje specjalista. – Należy zawsze skontaktować się choćby telefonicznie z adresatem maila i taką drogą potwierdzić jego prośbę o podanie danych poufnych. Nigdy też nie klikajmy automatycznie w przesłany mailem link – nawet jeśli nadawcą wiadomości jest nasz przełożony lub kolega z działu – podkreśla Grzegorz Mamorski.
Niewiedza szkodzi
Świadomość istnienia tego typu cyberzagrożeń wśród pracowników, ale również wśród pracodawców jest niestety niewielka, czego konsekwencją może być brak odpowiedniego działania. A problem z roku na rok staje się coraz większy. Jak wskazują wyniki raportu Vecto „Cyberbezpieczeństwo w polskich firmach 2020″, prawie połowa polskich firm (46%) doświadczyła cyberataku. Jest to wynik o 6% gorszy od zeszłorocznego, co jest dowodem na to, że przedsiębiorstwa wciąż za mało dbają o skuteczną ochronę przed cyberprzestępcami.
Ponad połowa firm nie jest prawidłowo zabezpieczona, a 46% nie korzysta z usług specjalistów odpowiadających za bezpieczeństwo danych i systemów IT, mniej też firm niż rok temu współpracuje w tym zakresie z ekspertami zewnętrznymi (24% vs 21% w tym roku).
– To bardzo niepokojąca tendencja, zwłaszcza że firmy przyznają otwarcie, iż nie są przygotowane na ataki cybernetyczne na urządzenia mobilne, a z drugiej strony coraz więcej pracowników deklaruje, że często korzysta ze służbowych narzędzi w celach prywatnych – dodaje Grzegorz Mamorski.
Pierwsze kroki do poprawy
Straty firm z tytułu działań cyberprzestępców są ogromne. Według FBI incydenty zgłoszone w 2019 roku do departamentu odpowiedzialnego za cyberbezpieczeństwo kosztowały przedsiębiorstwa w sumie 3,5 miliarda USD.
Jak więc odpowiednio dbać o bezpieczeństwo danych firmowych, które codziennie narażane są na wyciek, kradzież lub dostanie się w niepowołane ręce?
- Przeprowadź analizę ryzyka i przyjrzyj się infrastrukturze, systemom do zarządzania, urządzeniom oraz aktualizacjom.
- Opracuj politykę określającą dokładnie zasady korzystania z urządzeń mobilnych podczas wykonywania służbowych obowiązków – nawet jeśli jesteś małą firmą.
- Stwórz zespół, który będzie miał pod opieką urządzenia mobilne, dbając o ich ochronę i monitorując je.
- Ustal hierarchię danych i określ, kto powinien mieć do nich dostęp. Nadaj go tylko uprawnionym osobom. Wybierz też właściwy system zabezpieczeń, dopasowany do charakteru przedsiębiorstwa.
- Zablokuj możliwość pobierania na urządzenia mobilne nieautoryzowanych aplikacji.
- Jeśli możesz, skorzystaj w tym zakresie z usług firm zewnętrznych, które mają duże doświadczenie i znają realia konkretnych branż.
Powyższy zbiór zawiera tylko kilka najważniejszych pozycji. Lista jest długa, jednak jej przestrzeganie nigdy nie zastąpi edukacji i uświadamiania pracowników. Trzeba pamiętać, że nawet najbardziej zaawansowane systemy nie wystarczą, jeśli pracownikom zabraknie właściwych kompetencji.