Cyber Computer Attack Email Malware Isometric Detailed Vector

Cyberbezpieczeństwo: zagrożenia i wyzwania dla firm

Cyberbezpieczeństwo w dzisiejszych czasach to priorytet – firma, niezależnie od sektora działalności, opiera się na systemie informatycznym, który musi być chroniony za pomocą określonych środków.

Wraz z rosnącą liczbą cyberataków, wiele mówi się o cyberbezpieczeństwie, a przedsiębiorstwa dokładają wszelkich starań, aby zabezpieczyć swoje systemy informatyczne. Jednak sam fakt zastosowania zapory sieciowej (firewall) lub skorzystania z połączenia VPN w celu uzyskania dostępu do systemu informatycznego nie wystarczy, poza tym muszą one zostać prawidłowo zainstalowane i skonfigurowane przez specjalistów od cyberbezpieczeństwa. Nie należy pomijać ani lekceważyć wdrożonych środków przeciwko atakom cybernetycznym i cyberprzestępcom.

Często słyszymy: Nie muszę kontrolować ani wzmacniać systemu informatycznego, kto by zaatakował moją firmę? Nie mam wrogów i nie obsługuję żadnych poufnych danych.

Być może nie posiadasz wrogów i nie obsługujesz danych wrażliwych. Mimo tego twoja firma może być pośrednikiem w drodze do prawdziwego celu, a hakerzy będą starali się dotrzeć do każdej wystarczająco blisko związanej osoby. Jako kancelaria prawna możesz być idealnym celem dla hakerów, ponieważ poprzez system informatyczny twojej firmy mogą oni uzyskać dostęp do poufnych danych dotyczących twoich klientów. Co więcej, nawet jeśli nie jesteś ich ostatecznym celem, hakerzy są chciwi i jeżeli ich test odporności systemu zakończy się sukcesem, równie dobrze mogą zainfekować twoją sieć oprogramowaniem typu ransomware i żądać zapłaty, gdy będziesz chciał odzyskać dane. Oczywiście spełnianie tych żądań nie jest zalecane: 53% firm, które zapłaciły okup nie odzyskały swoich danych. Sukces ostatnich ataków znanych jako „Not Petya” czy „WannaCry” dowodzi, że przedsiębiorstwa nie poświęcają wystarczająco dużo uwagi na ulepszanie swoich systemów bezpieczeństwa cybernetycznego.[1]

Oto kilka przykładów: 55% francuskich przedsiębiorstw zadeklarowało, że w 2016 roku padło ofiarą cyberataków. Połowa z nich twierdzi, że cyberatak miał istotny wpływ na ich wydajność. 23% oświadcza, że ma problemy z utrzymaniem swojej reputacji po ataku. 60% małych firm, które były zaatakowane zamknięto w ciągu 6 miesięcy od ataku cybernetyczego.[2]

Cyberbezpieczeństwo

Cyberbezpieczeństwo: jak się chronić?

Ochrona twojej firmy przed cybernetycznymi zagrożeniami zmusza do formalizowania procedur, identyfikacji wrażliwych danych i obszarów w systemie informatycznym oraz do wzmocnienia ich poprzez wdrożenie środków bezpieczeństwa cybernetycznego, takich jak firewalle, hasła, obowiązkowe pełne szyfrowanie dysku (FDE) itp. Nie należy lekceważyć faktu, że formalizowanie procedur i wzmacnianie bezpieczeństwa cybernetycznego staje się niezbędne dla istnienia firmy. Obecnie zarządzanie cybernetycznym bezpieczeństwem wydaje się być zarezerwowane dla przedsiębiorstw obsługujących wrażliwe dane, podczas gdy powinno być częścią cyklu życia każdego przedsiębiorstwa.

Atakujący może łatwo narazić niezabezpieczony system informatyczny poprzez wysłanie do całej firmy e-maili z zainfekowanymi załącznikami. Nazywa się to phishingiem. Ataki typu phishing skierowane do osób fizycznych są próbą kradzieży konta w mediach społecznościowych lub danych konta bankowego. Natomiast w przypadku firmy wystarczy wysłać załącznik, który po zainfekowaniu jednego komputera rozprzestrzeni się w całej sieci niczym wirus. Phishing jest zazwyczaj połączony z atakami ransomware. Ilość e-maili typu phishing zawierających formę okupu wzrosła do 97,25% w trzecim kwartale 2016 roku z 92% w pierwszym kwartale. [3] Struktura takiego e-maila jest bardzo realistyczna (kopia adresu e-mail / kopia formatu, np. fałszywej „faktury za energię”…).

Siła bezpieczeństwa jest oceniana według najsłabszego elementu w systemie informatycznym.

Hakerzy bardzo dobrze zrozumieli tę ideę i dlatego rośnie liczba ataków phishingowych. Jeden błąd pracownika, taki jak otwarcie niewłaściwego pliku, podłączenie pamięci USB znalezionej na parkingu z nazwą konkurenta itd. wystarczy, aby najbardziej wyszukane zabezpieczenia czy najnowocześniejszy system ochronny z silnymi ograniczeniami dla strumieni sieciowych nie były w stanie zabezpieczyć twojego systemu.

Specjaliści od bezpieczeństwa cybernetycznego mogą przeprowadzać kontrolę w twojej firmie, która polega na robieniu zdjęć systemu informatycznego, analizowaniu go poprzez przegląd kodów, architektury i konfiguracji i tym samym potwierdzić, że jest on dobrze chroniony oraz zgodny ze znanymi standardami bezpieczeństwa cybernetycznego.

Testy odporności systemu są również bardzo przydatne. Polegają one na sprawdzaniu bezpieczeństwa systemu informatycznego firmy w warunkach rzeczywistych. Wtedy do siedziby firmy przychodzi audytor, który zachowuje się jak pracownik próbujący jej zaszkodzić – oczywiście nie robiąc niczego, co mogłoby wpłynąć na wydajność, chyba że ma na to zgodę firmy.

Efektem audytu i testu odporności systemu jest raport zawierający wszystkie wykryte słabości oraz związane z nimi zalecenia.

Trening świadomości jest również ważny, ponieważ nie można ,,skonfigurować” człowieka tak, jak to się robi z komputerem. Pracownicy powinni czuć się odpowiedzialni za cyberbezpieczeństwo w firmie i w związku z tym proste gesty, takie jak zablokowanie komputera podczas nieobecności (nawet trwającej trzy minuty), użycie skomplikowanych haseł lub menedżera haseł w celu uzyskania dostępu do zawodowych wewnętrznych usług internetowych, przyczyniają się do wzmocnienia bezpieczeństwa cybernetycznego firmy.

Przygotowanie do RODO

Parlament Europejski zamierza wzmocnić ochronę danych wszystkich osób fizycznych w Unii Europejskiej za pomocą ogólnego rozporządzenia o ochronie danych (RODO lub rozporządzenie, w tym artykule), które zacznie obowiązywać w maju 2018 roku.

Jeżeli przedsiębiorstwo nie spełnia wymogów określonych w RODO, może ono otrzymać grzywnę w wysokości 20 000 000 euro lub 4% rocznego ogólnoświatowego obrotu przedsiębiorstwa (w zależności od tego, która z tych kwot jest wyższa). 52% firm uważa, że zostanie ukarane grzywną za nieprzestrzeganie przepisów (art. 83 RODO)[4].

Celem RODO jest ochrona następujących danych osobowych i obowiązuje wszystkie firmy:
  • nazwisko, adres zamieszkania i numer dowodu ,
  • lokalizacja, adres IP, dane z plików cookie i znaczniki RFID,
  • dane biometryczne,
  • dane dot. rasy lub pochodzenia etnicznego,
  • poglądy polityczne,
  • dane genetyczne i dot. zdrowia,
  • orientacja seksualna.

Rozporządzenie określa na przykład, że przedsiębiorstwo musi być w stanie zlokalizować i dostarczyć na żądanie wszystkie dane osobowe, które zgromadziło na temat danej osoby. Jeżeli firma nie jest w stanie spełnić tego żądania, a osoba fizyczna zdecyduje się na złożenie skargi, firma może zostać ukarana grzywną.

Firma działa zgodnie z RODO, jeżeli:
  • stworzyła procesy na tyle świadomie, aby móc zlokalizować i chronić wszystkie przechowywane dane osobowe;
  • może określić, która aplikacja wykorzystuje te dane;
  • może zidentyfikować, kto ma do nich dostęp.

Ważną zasadą RODO jest „odpowiedzialność”. Jeśli hakerowi uda się ukraść dane osobowe jednego z partnerów firmy, to sama firma jest uważana za tak samo odpowiedzialną za ten wyciek jak partner, a więc nawet jeśli firma działa zgodnie z RODO. Jest to główny powód, dla którego bycie przygotowanym do RODO to zobowiązanie możliwości powierzenia zaufania. Oznacza to, że działanie zgodne z RODO może rzeczywiście stać się przewagą konkurencyjną lub przynajmniej niezbędnym środkiem do współpracy z innymi przedsiębiorstwami.

Przejście przez proces zgodności z RODO pomaga każdej firmie nie tylko chronić dane osobowe swoich pracowników i osób, której dane są przez firmę zbierane, ale także wzmocnić cyberbezpieczeństwo firmy (ochrona firewall, szyfrowanie danych, zasada jak najmniejszych uprawnień…) oraz wdrożyć podstawowe środki bezpieczeństwa tak, aby nie narażać danych osobowych na wyciek oraz zablokować do nich dostęp osobom nieupoważnionym.

Podsumowując:
  • Wszystkie firmy będą atakowane pośrednio lub bezpośrednio. To kwestia czasu.
  • Cyberbezpieczeństwo jest więc uniwersalnym tematem:
    • dla firm i ich klientów,
    • dla małego i średniego biznesu.
  • Każda firma przetwarzająca dane osobowe obywateli Unii Europejskiej będzie musiała stosować się do RODO.

 

CYBERBEZPIECZEŃSTWO I OGÓLNE ROZPORZĄDZENIE O OCHRONIE DANYCH (RODO)

 

Christophe Szwedo Christophe Szwedo – CYLRESC     Laurent Le Pajolec Laurent Le Pajolec, EXCO A2A Polska – INSOL PL

[1] https://www.orange-business.com/fr/blogs/securite/actualites/infographie-barometre-cybersecurite-2017-ou-en-est-l-industrie-francaise-

[2] https://www.inc.com/thomas-koulopoulos/the-biggest-risk-to-your-business-cant-be-eliminated-heres-how-you-can-survive-i.html

[3] http://cofense.com/wp-content/uploads/2017/10/PhishMe_Malware_Review_2016_Q3.pdf

[4] http://www.privacy-regulation.eu/en/article-83-general-conditions-for-imposing-administrative-fines-GDPR.htm