Światowe Forum Ekonomiczne uznaje cyberataki za bardziej bezpośrednie zagrożenie dla biznesu niż choroby zakaźne. Jedynie poprzez aktywny wysiłek możemy uniknąć obydwu. Dlaczego wciąż ignorujemy cyberprzestępczość gdy nie ignorujemy koronawirusa?
Od wykrycia COVID-19 pod koniec grudnia 2019 pandemia rozniosła się do 114 krajów z nieczystego targu żywych zwierząt w chińskim Wuhan. Tamtejsi handlarze musieli mieć chociażby minimalną wiedzę o unikaniu zakażeń gdzie myjemy ręce i jedzenie do obrobienia. Jednak takimi zasadami się nie przejmowali. Jest to przejaw tej samej ignorancji, która kosztuje firmy w sieci tysiące jak nie miliony złotych za naprawę szkód po ataku hakerskim. W tym momencie zależy nam na powstrzymaniu koronawirusa ale zdaje się nam nie zależeć na uchronieniu firmy przed napływem cyberprzestępczości, która jest aktywnym zagrożeniem od lat.
Grafika 1: Wynik ankiety Światowego Forum Ekonomicznego z 2019, która sprawdzała zagrożenia dla biznesu na następne 10 lat. Oś Y reprezentuje “wpływ” a oś X “prawdopodobieństwo”. W kole nr. 1 zaznaczone są choroby zakaźne, w 2 są ataki hakerskie a w 3 oszustwa informacyjne lub kradzież danych.
Szanse ataku wirusa cyberprzestępczości na Twój biznes zależy od ilości przechowywanych danych, jednak ryzyko jest wszechobecne. Globalny raport Ponemon Institute z 2019 roku wykazał, że 66% z 2391 ankietowanych profesjonalistów IT z małych i średnich firm przyznało, że ich organizacja była hakowana na przełomie roku. Czy istnieje poważne ryzyko ataku cyberprzestępców na Twoją firmę? Tak jeśli spojrzymy na ostatnie przypadki utraty danych:
- W styczniu 2020 Microsoft stracił 250 milionów wpisów z działu obsługi klienta i profili użytkowników od czasu 2005 roku
- Z grudniem 2019 Facebook stracił 267 milionów wpisów, jednak firma nie odkryłaby wycieku gdyby nie informacja od zewnętrznego analityka Boba Diachenko
- Również w grudniu 2019 Virgin Mobile Polska poinformowała o ataku na 12% wszystkich użytkowników prepaid, którym wykradziono PESELe i numery dowodów osobistych
- We wrześniu 2019 Urząd Ochrony Danych Osobowych ukarał Morele.net kwotą 2.8 milionów złotych za stratę 2.2 miliona danych klientów
Cyberprzestępstwo da się powstrzymać – działaniem
Więc jak wygląda higiena cyberbezpieczeństwa w Twojej firmie? Weź pod uwagę pytania, które kieruję do każdego potencjalnego klienta:
- Czy współpracujesz z administratorem, żeby każdy komponent strony internetowej pozostał zabezpieczony?
- Czy Twoja firma sprawdza poziom zabezpieczeń strony przynajmniej raz w miesiącu?
- Czy Twoja strona obsługuje uwierzytelnianie wielopoziomowe?
Strony internetowe wymagają należytej ochrony, ponieważ służą jako wirtualne biuro. Z mojego doświadczenia widzę, że przedsiębiorstwa mają jakiegoś administratora systemu, który o cyberbezpieczeństwie wie nie wiadomo co. Członkowie zarządu spoza działu IT nie są w stanie wytłumaczyć, jak często ta osoba weryfikuje stan zabezpieczeń cyfrowych. Co więcej, zarząd lubi sobie wyobrażać, że firmowa strona jest bezpieczna, bo mówili że ma być, a panel admina jest przecież ukryty z danymi do logowania schowanymi głęboko w szafie. Trzymamy się zasady, żeby nie ściskać dłoni na terenach infekcji COVID-19 nawet gdy ludzie wyglądają dosyć zdrowo. Jednocześnie nawet gdy strona wygląda na bezpieczną, naszą zasadą powinno być ciągłe pilnowanie jej stanu bezpieczeństwa. Objawy zakażenia pojawiają się po 2 tygodniach natomiast potrzeba od 5 dni do miesiąca, żeby wykryć wyciek danych w firmie, która cyberbezpieczeństwo traktuje poważnie. Już w kilka dni można sprzedać skradzione bazy na czarnym rynku odkładając na wcześniejszą emeryturę. Te wnioski powinny nakłonić każdego przedsiębiorcę lub też jego znajomego, żeby przemyśleć co dalej:
- Zleć audyt cyberbezpieczeństwa strony internetowej, żeby sprawdzić ryzyko włamania. Pamiętaj, że kwalifikujesz się pod atak jeśli przechowujesz pokaźne ilości danych użytkowników.
- Serwisy hostingowe nie chronią stron przed hakowaniem a hosting samodzielny nie jest zbytnio bezpieczniejszy bez zarządzania 24/7. Rozwiązania platformowe w dziedzinie cyberbezpieczeństwa takie jak Titans24 przechowają Twoją stronę, aplikacje i dane w cyfrowym sejfie z monitoringiem i prewencją w czasie rzeczywistym w rozsądnej cenie.
- Bezpieczeństwo wspomnianych zasobów cyfrowych powinno być sprawdzane przynajmniej raz w miesiącu przez osobę z pierwszorzędną wiedzą. Można też ten proces zautomatyzować jeśli korzytasz z platformy hostingowo-ochronnej.
Biznes potrzebuje przestrzegać higieny cyberbezpieczeństwa
Strach przed utratą pieniędzy zdaje się przemawiać do większości firm. Można się jej spodziewać w jednym z trzech obszarów – są kary RODO, koszty naprawcze jak i koszty odszkodowań. Pewnie zastanawiasz się, dlaczego wspominamy o kosztach prawnych. Obecnie przedsiębiorstwa zamykają biura, żeby jeden zarażony pracownik nie wyciął połowy firmy. Twoja strona jako takie wirtualne biuro może roznosić złośliwe oprogramowanie przez miesiące pod Twoim nosem. Przykładowo, cyberprzestępcy wykradają informacje płatnicze użytkowników poprzez dodawanie szkodliwego kodu do odpowiedniego formularza na stronie (“formjacking”). British Airways było ofiarą takiego ataku w październiku 2019. Linia lotnicza nie tylko otrzymała karę za wyciek danych w wysokości 183.4 miliona funtów ale też Sąd Najwyższy Wielkiej Brytanii zaakceptował pozew zbiorowy grupy 500,000 osób przeciwko przewoźnikowi, gdzie każdy poszkodowany może wywalczyć od 6 do 16 tysięcy funtów. Chociaż jedynie mega korporacje mierzą się z tak wysokimi karami, każda firma może zostać pozwana przez klienta za utratę jego danych przy odpowiedniej argumentacji szkód. Chroniąc swoją stronę internetową cały rok chronisz swoich klientów.
Cyberprzestępczość jest epidemią, która przyniesie firmą straty w wysokości 6 bilionów dolarów do 2021 roku (Cybersecurity Ventures). Powstrzymamy COVID-19 sumiennie przestrzegając zaleceń Światowej Organizacji Zdrowia i lokalnych władz. Z taką samą sumiennością powinniśmy spojrzeć na sprawę przestępczości w sieci, ponieważ nie da się od niej zdystansować. To ona ściga nas.
Zadbaj o swoje bezpieczeństwo w czasie epidemii COVID-19 dzięki poradom na stronie gov.pl/web/koronawirus
