fbpx

Świa­towe Forum Eko­no­miczne uznaje cybe­ra­taki za bar­dziej bez­po­średnie zagro­żenie dla biz­nesu niż cho­roby zakaźne. Jedynie poprzez aktywny wysiłek możemy uniknąć obydwu. Dla­czego wciąż igno­ru­jemy cyber­prze­stęp­czość gdy nie igno­ru­jemy koro­na­wi­rusa?

Od wykrycia COVID-19 pod koniec grudnia 2019 pan­demia roz­niosła się do 114 krajów z nie­czy­stego targu żywych zwie­rząt w chiń­skim Wuhan. Tam­tejsi han­dlarze musieli mieć cho­ciażby mini­malną wiedzę o uni­kaniu zakażeń gdzie myjemy ręce i jedzenie do obro­bienia. Jednak takimi zasa­dami się nie przej­mo­wali. Jest to przejaw tej samej igno­rancji, która kosz­tuje firmy w sieci tysiące jak nie miliony zło­tych za naprawę szkód po ataku haker­skim. W tym momencie zależy nam na powstrzy­maniu koro­na­wi­rusa ale zdaje się nam nie zależeć na uchro­nieniu firmy przed napływem cyber­prze­stęp­czości, która jest aktywnym zagro­że­niem od lat.

Gra­fika 1: Wynik ankiety Świa­to­wego Forum Eko­no­micz­nego z 2019, która spraw­dzała zagro­żenia dla biz­nesu na następne 10 lat. Oś Y repre­zen­tuje “wpływ” a oś X “praw­do­po­do­bień­stwo”. W kole nr. 1 zazna­czone są cho­roby zakaźne, w 2 są ataki haker­skie a w 3 oszu­stwa infor­ma­cyjne lub kra­dzież danych.

Szanse ataku wirusa cyber­prze­stęp­czości na Twój biznes zależy od ilości prze­cho­wy­wa­nych danych, jednak ryzyko jest wszech­obecne. Glo­balny raport Ponemon Insti­tute z 2019 roku wykazał, że 66% z 2391 ankie­to­wa­nych pro­fe­sjo­na­li­stów IT z małych i śred­nich firm przy­znało, że ich orga­ni­zacja była hako­wana na prze­łomie roku. Czy ist­nieje poważne ryzyko ataku cyber­prze­stępców na Twoją firmę? Tak jeśli spoj­rzymy na ostatnie przy­padki utraty danych:

  1. W styczniu 2020 Micro­soft stracił 250 milionów wpisów z działu obsługi klienta i pro­fili użyt­kow­ników od czasu 2005 roku
  2. Z grud­niem 2019 Face­book stracił 267 milionów wpisów, jednak firma nie odkry­łaby wycieku gdyby nie infor­macja od zewnętrz­nego ana­li­tyka Boba Dia­chenko
  3. Rów­nież w grudniu 2019 Virgin Mobile Polska poin­for­mo­wała o ataku na 12% wszyst­kich użyt­kow­ników pre­paid, którym wykra­dziono PESELe i numery dowodów oso­bi­stych
  4. We wrze­śniu 2019 Urząd Ochrony Danych Oso­bo­wych ukarał Morele.net kwotą 2.8 milionów zło­tych za stratę 2.2 miliona danych klientów

Cyber­prze­stęp­stwo da się powstrzymać – dzia­ła­niem

Więc jak wygląda higiena cyber­bez­pie­czeń­stwa w Twojej firmie? Weź pod uwagę pytania, które kie­ruję do każ­dego poten­cjal­nego klienta:

  • Czy współ­pra­cu­jesz z admi­ni­stra­torem, żeby każdy kom­po­nent strony inter­ne­towej pozo­stał zabez­pie­czony?
  • Czy Twoja firma sprawdza poziom zabez­pie­czeń strony przy­naj­mniej raz w mie­siącu?
  • Czy Twoja strona obsłu­guje uwie­rzy­tel­nianie wie­lo­po­zio­mowe?

Strony inter­ne­towe wyma­gają nale­żytej ochrony, ponieważ służą jako wir­tu­alne biuro. Z mojego doświad­czenia widzę, że przed­się­bior­stwa mają jakiegoś admi­ni­stra­tora sys­temu, który o cyber­bez­pie­czeń­stwie wie nie wia­domo co. Człon­kowie zarządu spoza działu IT nie są w stanie wytłu­ma­czyć, jak często ta osoba wery­fi­kuje stan zabez­pie­czeń cyfro­wych. Co więcej, zarząd lubi sobie wyobrażać, że fir­mowa strona jest bez­pieczna, bo mówili że ma być, a panel admina jest prze­cież ukryty z danymi do logo­wania scho­wa­nymi głę­boko w szafie. Trzy­mamy się zasady, żeby nie ści­skać dłoni na tere­nach infekcji COVID-19 nawet gdy ludzie wyglą­dają dosyć zdrowo. Jed­no­cze­śnie nawet gdy strona wygląda na bez­pieczną, naszą zasadą powinno być ciągłe pil­no­wanie jej stanu bez­pie­czeń­stwa. Objawy zaka­żenia poja­wiają się po 2 tygo­dniach nato­miast potrzeba od 5 dni do mie­siąca, żeby wykryć wyciek danych w firmie, która cyber­bez­pie­czeń­stwo trak­tuje poważnie. Już w kilka dni można sprzedać skra­dzione bazy na czarnym rynku odkła­dając na wcze­śniejszą eme­ry­turę. Te wnioski powinny nakłonić każ­dego przed­się­biorcę lub też jego zna­jo­mego, żeby prze­my­śleć co dalej:

  1. Zleć audyt cyber­bez­pie­czeń­stwa strony inter­ne­towej, żeby spraw­dzić ryzyko wła­mania. Pamiętaj, że kwa­li­fi­ku­jesz się pod atak jeśli prze­cho­wu­jesz pokaźne ilości danych użyt­kow­ników.
  2. Ser­wisy hostin­gowe nie chronią stron przed hako­wa­niem a hosting samo­dzielny nie jest zbytnio bez­piecz­niejszy bez zarzą­dzania 24/7. Roz­wią­zania plat­for­mowe w dzie­dzinie cyber­bez­pie­czeń­stwa takie jak Titans24 prze­cho­wają Twoją stronę, apli­kacje i dane w cyfrowym sejfie z moni­to­rin­giem i pre­wencją w czasie rze­czy­wi­stym w roz­sądnej cenie.
  3. Bez­pie­czeń­stwo wspo­mnia­nych zasobów cyfro­wych powinno być spraw­dzane przy­naj­mniej raz w mie­siącu przez osobę z pierw­szo­rzędną wiedzą. Można też ten proces zauto­ma­ty­zować jeśli korzy­tasz z plat­formy hostin­gowo-ochronnej.

Biznes potrze­buje prze­strzegać higieny cyber­bez­pie­czeń­stwa

Strach przed utratą pie­niędzy zdaje się prze­ma­wiać do więk­szości firm. Można się jej spo­dziewać w jednym z trzech obszarów – są kary RODO, koszty naprawcze jak i koszty odszko­dowań. Pewnie zasta­na­wiasz się, dla­czego wspo­mi­namy o kosz­tach praw­nych. Obecnie przed­się­bior­stwa zamy­kają biura, żeby jeden zara­żony pra­cownik nie wyciął połowy firmy. Twoja strona jako takie wir­tu­alne biuro może roz­nosić zło­śliwe opro­gra­mo­wanie przez mie­siące pod Twoim nosem. Przy­kła­dowo, cyber­prze­stępcy wykra­dają infor­macje płat­nicze użyt­kow­ników poprzez doda­wanie szko­dli­wego kodu do odpo­wied­niego for­mu­larza na stronie (“form­jac­king”). Bri­tish Air­ways było ofiarą takiego ataku w paź­dzier­niku 2019. Linia lot­nicza nie tylko otrzy­mała karę za wyciek danych w wyso­kości 183.4 miliona funtów ale też Sąd Naj­wyższy Wiel­kiej Bry­tanii zaak­cep­tował pozew zbio­rowy grupy 500,000 osób prze­ciwko prze­woź­ni­kowi, gdzie każdy poszko­do­wany może wywal­czyć od 6 do 16 tysięcy funtów. Cho­ciaż jedynie mega kor­po­racje mierzą się z tak wyso­kimi karami, każda firma może zostać pozwana przez klienta za utratę jego danych przy odpo­wied­niej argu­men­tacji szkód. Chro­niąc swoją stronę inter­ne­tową cały rok chro­nisz swoich klientów.

Cyber­prze­stęp­czość jest epi­demią, która przy­niesie firmą straty w wyso­kości 6 bilionów dolarów do 2021 roku (Cyber­se­cu­rity Ven­tures). Powstrzy­mamy COVID-19 sumiennie prze­strze­gając zaleceń Świa­towej Orga­ni­zacji Zdrowia i lokal­nych władz. Z taką samą sumien­no­ścią powin­niśmy spoj­rzeć na sprawę prze­stęp­czości w sieci, ponieważ nie da się od niej zdy­stan­sować. To ona ściga nas.

Zadbaj o swoje bez­pie­czeń­stwo w czasie epi­demii COVID-19 dzięki poradom na stronie gov.pl/web/koronawirus