Firmy same narażają się na cyberataki

Materiał powstał we współpracy z DAGMA Bezpieczeństwo IT i ESET – rozmowa z Pawłem Jurkiem, ekspertem ds. cyberbezpieczeństwa z firmy DAGMA Bezpieczeństwo IT.

W najnowszym raporcie „Cyberportret polskiego biznesu” pokazujecie na przykład, że aż 41 proc. polskich firm nie używa oprogramowania zabezpieczającego ich systemów IT. To przerażające.

Ta informacja zaskoczyła również  nas, dlatego dopytywałem osoby odpowiedzialne za dobór próby badawczej czy na pewno tak wyszło i kto takich odpowiedzi udzielał. Dwa razy to weryfikowaliśmy i tak, to jest prawdziwy odsetek tej próby. Zapytane osoby, które odpowiadają za cyberbezpieczeństwo  firm twierdziły, że nie mają oprogramowania zabezpieczającego ich stacje końcowe.

Raport zawiera również inne dane, które robią wrażenie. Na przykład połowa pracowników w firmach nie przeszło żadnego szkolenia, jeżeli chodzi o kwestie cyberbezpieczeństwa. Ale najbardziej zainteresowało mnie to, że 66 proc., czyli dwie trzecie pracowników używa sprzętu służbowego dla celów prywatnych. Jakie to może mieć konsekwencje dla firmy?

Niesie to dodatkowe ryzyka. Pracownik w czasie wolnym na przykład realizuje swoje prywatne zainteresowania, hobby. Odwiedza pewnie inne strony niż w pracy. Czyli pojawia się dodatkowe ryzyko, że na sprzęt używany normalnie do pracy może zostać pobrane złośliwe oprogramowanie, a następnie kontrola nad tym sprzętem może zostać przejęta przez cyberprzestępców.

Jaka jest na to recepta?

Urządzenia służbowego używamy tylko do pracy. A innego sprzętu – do celów prywatnych.

Mówi pan o rozwiązaniu idealnym. Jeżeli pracownik dostaje służbowy laptop, to istnieje bardzo duże prawdopodobieństwo, że jednak będzie również korzystał z niego do celów prywatnych.

Współcześnie bezpieczeństwo w zakresie IT to jest proces. Nieustanny proces poprawy zabezpieczeń technicznych, nawyków pracowników, procesów i procedur zarządczych. I tak naprawdę żadna osoba odpowiedzialna za cyberbezpieczeństwo w dużej firmie nigdy nie może mieć pewności, że zostało osiągnięte 100 proc. bezpieczeństwa. Jeżeli więc możemy poprawić bezpieczeństwo właśnie w ten sposób, żeby nie wchodzić na żadne ryzykowne strony ze sprzętu służbowego, to warto się do tego przyczynić.

Wróćmy do raportu, do tej puli pracowników, która wykorzystuje sprzęt służbowy do celów prywatnych. Najczęściej korzystają z mediów społecznościowych. Jakie powoduje to ryzyka?

Bardzo częstym i popularnym mechanizmem jest przejmowanie kont w mediach społecznościowych. W sieci spotykamy się z jakąś sensacyjną informacją, która budzi nasze emocje i próbujemy przeczytać resztę tekstu. Ale okazuje się, że wymaga to dodatkowego zalogowania, na przykład do Facebooka. Problem polega na tym, że wielu pracowników nie sprawdza dokładnie, gdzie się loguje. To może być moment, w którym to hasło podajemy zupełnie na innej stronie niż Facebook. I w tym momencie jest przejmowany dostęp do naszego konta. A potem za pośrednictwem naszego konta ktoś się podszywa pod nasze działania, na przykład w mediach społecznościowych. Co więcej, może przejąć kontrolę nad komputerem i wejść już do czysto służbowych danych.

Mamy numer dwa jeżeli chodzi o korzystanie przez pracowników ze sprzętu służbowego do celów prywatnych. To zakupy online. Tutaj chyba jest bardziej bezpiecznie?

Oczywiście wszystko zależy od tego, gdzie kupujemy i jak kupujemy. Ale generalna zasada jest taka: musimy być świadomi, że jest to jednak sprzęt należący do firmy. Wchodząc na jakąś podejrzaną witrynę, ryzykuję nie tylko swoim bezpieczeństwem, ale bezpieczeństwem mojej firmy. Potem z mojego sprzętu takie zagrożenie może się rozprzestrzenić na inne komputery w sieci firmowej. Myślę po prostu, że powinniśmy odpowiadać za to, co należy do firmy.

Ale czy rozwiązania stosowane przez firmy na ich sprzęcie, rozwiązania typu VPN, nie wystarczają, żeby uniknąć tych ryzyk?

Nawet najlepsze zabezpieczenia techniczne nie wystarczą, jeżeli za tym nie pójdzie kultura i pewne nawyki bezpieczeństwa wdrożone przez szeregowych pracowników, a potem procedury kontrolne wykonywane przez specjalistów do spraw cyberbezpieczeństwa. A nasz raport pokazał, że blisko połowa pracowników nie była szkolona w żadnym zakresie, jeśli chodzi o cyberbezpieczeństwo w ostatnich trzech latach.

Jak wdrożyć tę kulturę, o której pan wspomniał?

W raporcie mamy jeszcze jedną szokującą informację: co piąty pracownik twierdzi, że reguły bezpieczeństwa obowiązujące w jego firmie utrudniają mu pracę. A co czwarta osoba jest w zasadzie zachęcana do tego, żeby te reguły łamać. Bo tak jest łatwiej, bo szybciej wykonuje swoją pracę. To pokazuje, że sami specjaliści do spraw cyberbezpieczeństwa mają jeszcze dużo pracy. Być może nie potrafimy wystarczająco dobrze tłumaczyć tych zasad. Albo te zasady należy jeszcze przejrzeć – na ile rzeczywiście uniemożliwiają wygodną pracę.

Czyli to się układa w co najmniej dwa nurty działań. Po pierwsze audyt tego, co się dzieje w firmie pod kątem bezpieczeństwa IT, a z drugiej strony wymóg pracy edukacyjnej wśród pracowników.

Dodałbym jeszcze, że potrzebujemy teraz osób mających świetne umiejętności komunikacyjne, również wśród specjalistów cyberbezpieczeństwa. Od tego, w jaki sposób wytłumaczą oni pracownikom reguły bezpieczeństwa zależy, czy te reguły zostaną w ogóle przyjęte i czy będą stosowane na co dzień.

Rozmawiamy o sytuacji, kiedy pracownik korzysta ze sprzętu służbowego do celów prywatnych. A jeżeli mamy do czynienia z działaniem odwrotnym, czyli prywatny sprzęt do celów służbowych – jakie to może budzić ryzyka?

Szczególnie w mniejszych firmach mniejszych możemy spotkać się z takim standardem, że ktoś wykonując zadania dla organizacji pracuje na swoim sprzęcie. To jest sytuacja, której ludzie od cyberbezpieczeństwa bardzo nie lubią. Nie mają kontroli nad urządzeniem końcowym osoby, która przetwarza dane poufne. A tego po prostu powinniśmy unikać. To są dodatkowe ryzyka.

Z państwa raportu wynika, że najbardziej narażeni na cyberataki są prezesi i dyrektorzy firm. Wydaje się jednak, że ten sprzęt jest najlepiej zabezpieczony, a ci ludzie są najbardziej świadomi, jeżeli chodzi o kwestie cyberbezpieczeństwa. Dlaczego cyberprzestępcy jednak celują właśnie w nich?

Nie zgodziłbym się z tezą, że ten sprzęt jest najlepiej zabezpieczony. Być może od strony technicznej można by tak to uogólnić. Natomiast prezesi często dla wygody pracy sami proszą o dodatkowe dostępy i dodatkowe uprawnienia. Bywa, że osoby zarządzające organizacjami mają zbyt duże uprawnienia z racji tego, że administratorowi po prostu zabrakło odwagi, żeby powiedzieć prezesowi: „nie szefie, ale nie powinieneś mieć standardowego dostępu do tych danych, bo to jest ryzyko dla firmy”.

I osoby zarządzające mają zwykle największe uprawnienia w organizacji, a w logice bezpieczeństwa wcale tak nie powinno być, bo nawet szef powinien mieć dostęp jedynie do tych zasobów, z których na co dzień korzysta. Zresztą – po co mu dostęp do całych baz danych? Zarządzający są tak atrakcyjnymi celami właśnie dlatego, że często mają szerokie uprawnienia. Przejęcie kontroli nad urządzeniem menadżera wyższego szczebla daje cyberprzestępcom szansę na dostanie się do systemów, do których być może nie mogli być tak łatwo się dostać, gdyby przejęli dostęp do urządzenia szeregowego pracownika.

Jakie są podstawowe działania, które firma powinna wdrożyć, żeby utrudnić życie przestępcom?

Powinniśmy przyzwyczaić się do tego, że musimy równolegle pracować w różnych obszarach. Koncentrować się nie tylko na zabezpieczeniach technicznych, ale równolegle rozwijać kulturę i wiedzę pracowników i kontrolę przez same działy cyberbezpieczeństwa. Równolegle budować odporność w różnych obszarach. Wtedy będzie dobrze.