3 skuteczne sposoby, które zmniejszą ryzyko cyberataku na Twoją firmę

Rewolucja technologiczna, przyspieszona przez pandemię, dla większości organizacji i instytucji na świecie stała się jedyną nadzieją na normalne funkcjonowanie w zaburzonej rzeczywistości. Cyberświat oznacza jednak cyberzagrożenia. Także dla biznesu.

Według Stevena Morgana, redaktora naczelnego portalu Cybercrime Magazine, w 2021 roku cyberataki wyrządzą szkody na całym świecie na poziomie 6 bilionów dolarów. Morgan wyciąga wnioski na podstawie lat ubiegłych i zaznacza, że koszty takich przestępstw rosną średnio o 15% rocznie. W walce z cyberprzestępczością kluczowe są oczywiście sprawne wewnętrzne zabezpieczenia systemowe, ale doświadczenie pokazuje, że nawet te najlepsze mogą przegrać z nieświadomością i nieodpowiedzialnym zachowaniem.

Pierwsze, co przychodzi do głowy, kiedy myślimy o cyberprzestępczości, to oszustwa finansowe i wymuszenia. To najbardziej prawdopodobna motywacja hakerów, a ataki najczęściej przebiegają wówczas według dwóch scenariuszy:

• pozyskane nielegalnie dane wykorzystywane są do kradzieży tożsamości i oszustw;
• hakerzy dokonują szantażu, blokując system firmowy do momentu wpłacenia okupu.

Ale to nie jedyne powody aktywności internetowych przestępców. Czasem działają oni w zorganizowanych grupach, których celem jest zwrócenie uwagi na jakiś problem społeczny. Niektórzy, łamiąc skomplikowane zabezpieczenia światowych korporacji, szukają uznania i sławy. Inni robią to, bo mogą – ich jedynym celem jest pokazanie luk w systemach zabezpieczeń. Dotyczy to zarówno dużych korporacji, jak i średnich i małych firm. Statystyki Symantec pokazują, że 43% cyberataków jest skierowanych przeciwko małym przedsiębiorstwom. Aż 60% z tych, które tego doświadczyły, jest zmuszona zamknąć swoją działalność do pół roku od ataku.

Ryzyko ataku jest bardzo realne. Niedawno Amerykańskie Federalne Biuro Śledcze (FBI) poinformowało, że od początku pandemii liczba cyberataków wzrosła o 400%. Niestety okazuje się, że na największe niebezpieczeństwo wystawiamy się sami. Zwłaszcza w organizacjach, gdzie wsparcie zespołów IT, w tym często specjalistów ds. cyberbezpieczeństwa, daje złudne poczucie, że nic nam nie grozi.

Przykłady z pierwszych stron gazet na przestrzeni ostatnich lat pokazują, że ataki hakerskie zdarzają się największym i najbardziej chronionym instytucjom: Google, NASA, Adobe, Sony. Ostatnio głośno było o wycieku danych z firmy Tauron, jednej z największych podmiotów gospodarczych w Polsce. Ale atakowane są nawet całe państwa.

Duże ryzyko nie zwalnia jednak pracowników z odpowiedzialnego zachowania i czujności. Większość cyberataków wykorzystuje ludzkie słabości i nieuważność. A to oznacza, że przed wieloma niebezpiecznymi sytuacjami można się uchronić. Oto 3 najważniejsze zasady.

Portal DataProt podaje, że aż 90% użytkowników internetu martwi się, że ich hasła zostaną zhakowane. W parze z obawami nie idą jednak działania prewencyjne. DataProt powołuje się na badania, w których odkryto, że 71% kont jest chronionych tymi samymi hasłami. Co więcej, ponad połowa z nas używa tych samych haseł w kontach prywatnych i służbowych. A brytyjska organizacja National Cyber Security Centre ostrzega przed wykorzystywaniem hasła „123456”, które zostało użyte na ponad 23 milionach zhakowanych kont. Korzystanie ze zbyt prostych haseł i powtarzanie ich na wielu kontach, to zaproszenie do nadużyć i wykorzystania naszych danych – prywatnych i służbowych.

Czy wiesz, czym jest atak phishingowy? To niezwykle popularna metoda hakerska, polegająca na wysyłaniu złośliwych wiadomości email czy sms, które wyglądają tak, jakby pochodziły z zaufanego źródła, np. banku lub innej znanej organizacji. Nadawca zachęca odbiorcę do kliknięcia w link lub otwarcia załącznika. Niektóre źródła podają, że nawet 99% ataków jest przeprowadzana metodą typu phishing. Firmy, takie jak IBM od lat ostrzegają swoich pracowników, żeby nie klikać automatycznie w otrzymywane linki i sprawdzać adresy mailowe nadawców. Nawet, jeśli otrzymujemy email od kolegi z zespołu lub szefa.

Przeciętny pracownik nieświadomie ujawnia więcej danych wrażliwych, niż możemy sobie wyobrazić. Dotyczy to świata wirtualnego (np. komentarze i zdjęcia w mediach społecznościowych, zapisywanie haseł w przeglądarkach, włączony moduł GPS w urządzeniach mobilnych) i rzeczywistego. Bo choć hakerzy działają w sieci, to często ich ataki są sprowokowane naszymi działaniami offline. Do najczęstszych błędów należą:

• niezabezpieczanie nośników danych (laptopów, przenośnych dysków, urządzeń mobilnych) mocnymi hasłami – w przypadku kradzieży lub zaginięcia wyciek danych jest bardzo prawdopodobny;
• zapisywanie haseł w widocznych miejscach (na post-itach przyklejonych obok monitorów w pracy, w papierowych notesach itd.);
• wyrzucanie niezniszczonych dokumentów z danymi wrażliwymi.

Lista przewinień i niebezpiecznych zachowań użytkowników sieci internetowej jest długa. Mimo poważnych konsekwencji, z jakimi borykają się zaatakowane osoby, firmy i instytucje, nadal podejmujemy ryzyko. Co więcej, nawet w firmach, które padły atakiem hakerów, popełnia się po jakimś czasie te same błędy. Adam Rafajeński, Cyber Practice Director z Deloitte, w rozmowie z PAP podaje, że troska o cyberbezpieczeństwo trwa w zaatakowanych organizacjach średnio pół roku. Po tym czasie zachowania pracowników wracają na utarte tory, czyli do ryzyka, nieuważności i niedoinwestowania w systemy obronne.

Doświadczenie pokazuje, że najskuteczniejszą bronią w walce z hakerskimi atakami na organizacje jest ciągłe podnoszenie świadomości pracowników. Bo mimo powszechności cyberprzestępczości, nie jesteśmy wobec niej bezbronni. Szkolenia z zasad cyberbezpieczeństwa, budowanie i przestrzeganie wewnętrznej polityki bezpieczeństwa, robienie kopii zapasowych, kampanie informacyjne – to główne sposoby na utrzymanie ciągłej uważności i czujności pracowników.