Wystarczy kilkanaście sekund i mamy milionowe kłopoty. Winę najprościej zrzucić na pracownika

• Treści pornograficzne umieszczone w relacjach jednego ze śląskich urzędów miejskich lub brak haseł dostępu do mediów społecznościowych nowego zarządu publicznego nadawcy to tylko dwa przykłady tego, w jaki sposób organizacje podchodzą do kwestii bezpieczeństwa w sieci.  
• - Szkolić, szkolić i jeszcze raz szkolić. Nie dać się ogłupić i być bardziej uważnym. To właśnie „automatyczne klikanie”, zgadzanie się na wszystko, gdy wyskakują monity itp. może doprowadzić do trudnych sytuacji - mówi w rozmowie z PulsHR.pl Marcin Bednarczyk, cybersecurity specialist w HackerU Polska.
• Jak wynika z tegorocznej edycji przygotowanego przez KPMG "Barometru cyberbezpieczeństwa", 44 proc. firm, które w przeszłości zetknęły się z naruszeniem zgodności IT, w ramach podjętych kroków naprawczych przede wszystkim zorganizowały szkolenia dla pracowników. 

Niestawianie na cyberbezpieczeństwo, mówiąc delikatnie, to brak rozwagi, szczególnie dziś. Przykłady, które się pojawiają w mediach, pokazują, że wiele jednostek (czy to prywatnych firm, czy to np. urzędów) zasady bezpieczeństwa cyfrowego zna „ze słyszenia”. Z czego to wynika?

Marcin Bednarczyk, cybersecurity specialist w HackerU Polska: Jak się nie wywrócisz, to się nie nauczysz. Wiele moich zawodowych rozmów z klientami wygląda podobnie. Po prostu są „lepsze rzeczy”, na które mogą wydać pieniądze, ale bezpieczeństwo? Póki nic takiego się nie wydarzyło, to najczęściej spotykam się ze stwierdzeniem: „A po co to komu potrzebne?”.

Jednak z drugiej strony - gdy już coś się wydarzy, to wtedy jest panika. Wtedy są budżety na bezpieczeństwo, wtedy chce się najlepszych. Ale mleko już się rozlało. 

Z raportu KPMG "Barometr Cyberbezpieczeństwa" wynika, że firmy, które w przeszłości zetknęły się z naruszeniem zgodności IT, deklarują, że w ramach podjętych kroków naprawczych przede wszystkim zorganizowały szkolenia dla pracowników (44 proc.). Nie uczymy się nawet na błędach?

Pracownik jest często najsłabszym ogniwem, więc inwestycja w jego szkolenie jest jak najbardziej słuszna. Jednak 44 proc. to zatrważająca liczba, a co z resztą?

Jeśli pracownik coś „kliknął” i przez to był problem, to znaczy, że trzeba tego pracownika zwolnić i po problemie? Ciężko się domyślać, skąd to się bierze. Może po prostu z mentalności? A może po takim incydencie firma kupiła „porządnego antywirusa” i uważa, że sprawa jest załatwiona? Na bezpieczeństwo składa się wiele czynników, nie tylko szkolenia czy oprogramowanie. Aby zabezpieczenia nie były dziurawe i działania miały sens, trzeba zainwestować w trochę większą „liczbę modułów”. 

Firmy same proszą się o kłopoty. Zrzucenie winy na administratora nic nie da

Zrobiłam małe badanie wśród swoich znajomych, mały rachunek u siebie i wynik jest w zasadzie straszny. O ile dostęp np. do skrzynki e-mail jest zabierany od razu po zakończeniu pracy, tak np. dostęp do kont w mediach społecznościowych czy miejsc z danymi często wrażliwymi mieliśmy tygodniami. Skąd taka nierozwaga?

Prawdopodobnie z powodu braku przemyślenia tematu, braku opracowanych procedur czy po prostu niewiedzy. Na tym m.in. polega rola „bezpiecznika”. Jeżeli jest w firmie, powinien starać się przewidzieć jak najwięcej. Ale jeżeli go nie ma, to kto ma przewidywać? Kto ma zadbać o zapewnienie dostępu do odpowiednich obszarów, w odpowiednim czasie, dla odpowiednich ludzi? Najlepiej zwalić wszystko na administratora? Jednak to nie jego rola. 

Nie pytam przypadkowo. Media obiegły zdjęcia z oficjalnego profilu Piekar Śląskich, na który najprawdopodobniej ktoś się włamał i umieścił tam treści pornograficzne. Po przejęciu przez nową władzę TVP mieliśmy do czynienia z sytuacją, w której kontem na portalu X zarządzał były już pracownik i nikt nie miał potrzebnych haseł. To raczej słabo świadczy o zarządzaniu bezpieczeństwem, skoro takie sytuacje się pojawiają.

Tutaj wracamy do szkolenia pracowników. W przypadku wspomnianego profilu FB moim zdaniem albo ktoś coś „kliknął”, albo miał szkodliwą wtyczkę w przeglądarce, albo po prostu - co w sumie jest jednym z najgorszych scenariuszy - miał to samo hasło do kilku portali. Cały czas spotykamy się z doniesieniami, że gdzieś wyciekły dane, ale może warto się zastanowić, co z tymi danymi się później dzieje. Jeżeli są w nich takie dane jak np. e-mail i hasło, to gwarantuję, że cała masa przestępców już przeklikuje przeróżne portale i sprawdza, czy te same kombinacje pasują też gdzie indziej.

Wiele osób pewnie teraz przypomni sobie taki termin jak dwuskładnikowe uwierzytelnienie i powie, że może korzystać z tego samego hasła, bo w dalszym ciągu musi podać kod z aplikacji, z smsa czy z maila. Ale czy wszędzie mamy taką możliwość?

Kolejna opcja - zastanawialiście się, po co są te słodkie „ciasteczka”? Bo nie tylko do śledzenia, aby było wiadomo, jakie reklamy wam wyświetlać. Są w nich również klucze sesji, które można wykraść na wiele sposobów - tutaj wracamy np. do tematu „klikania” w nieodpowiednie linki. A jak przestępcy takie ciasteczko z kluczem sesji przechwycą, to za moment są już zalogowani np. do naszego profilu na FB. Oczywiście opcji na przejęcie kont w mediach społecznościowych jest więcej, ale te są moim zdaniem jednymi z częstszych.

Brak zabezpieczeń to nie oznaka wiary w pracownika, to lekceważenie tematu 

Dzisiejsze czasy stoją pod znakiem pracy hybrydowej. Mamy służbowe komputery, które często wykorzystujemy także w prywatnych celach. Jak już wiemy, szkolenia z cyberbezpieczeństwa to rzadkość. Firmy same proszą się o kłopoty?

No jasne. Firma powinna odpowiednio zabezpieczyć urządzenie, z którego pracownik będzie korzystał. Powinna m.in. nałożyć odpowiednie ograniczenia, wdrożyć polityki, zabezpieczenia i przede wszystkim przeszkolić pracownika. Jeżeli tego nie ma, to nie znaczy, że ufa ona swoim pracownikom. To oznacza, że po prostu lekceważy temat, bo jeszcze nie było kłopotów.

Niech pierwszy rzuci kamieniem, kto nie zostawił służbowego komputera, nawet na chwilę, bez opieki. Nie podłączył się tym komputerem do niezabezpieczonej sieci np. w centrum handlowym czy pociągu. Czym taka sytuacja może grozić?

Hmm... Ostatnio widziałem taki właśnie „test”. Mężczyzna wyszedł na chwilę do toalety, zostawił swój komputer włączony i oczywiście był zalogowany. Drugi mężczyzna szybko podskoczył do jego urządzenia, włożył pendrive, uruchomił swoje narzędzie, wyciągnął pendrive i wrócił do swojego komputera. Operacja trwała może kilka sekund.

A co faktycznie zrobił? Wykradł dane logowania do systemu. Prosto, szybko i bezboleśnie. Podłączanie się do niezabezpieczonych sieci? O tym akurat jest zawsze głośno. Straszą i straszą, mówią - korzystaj z VPN itp. Jeżeli do tej samej sieci jest podłączony zły haker, to może np. „nasłuchiwać ruch”, czyli podglądać, kto z kim i co. Może też robić wiele innych, dużo gorszych rzeczy. Wszystko zależy od konkretnej sytuacji i umiejętności przestępcy. 

Kolejną sytuacją, z którą firmy też mają problem i która dotyczy pracowników, to e-maile, które przychodzą na firmowe skrzynki. Ktoś podszywa się pod kolegę z pracy, prosi o numer telefonu, przelew itd. Często wystarczy wczytać się w polszczyznę tej wiadomości, zobaczyć adres nadawcy, żeby wiedzieć, że jest to oszustwo. Część pracowników jednak daje się na to nabrać. Dział IT wie, że ktoś odpisał, mogąc w ten sposób otworzyć furtkę oszustom. Wniosek jest prosty – brakuje fundamentalnej wiedzy. Co w takiej sytuacji powinna zrobić firma?

Szkolić, szkolić i jeszcze raz szkolić. Nie dać się ogłupić i być bardziej uważnym. To właśnie „automatyczne klikanie”, zgadzanie się na wszystko, gdy wyskakują monity itp. może doprowadzić do trudnych sytuacji. Należy zrozumieć, że tego typu ataki są obecnie na porządku dziennym – to się cały czas dzieje!

Dlatego należy być uważnym. To, że podobna sytuacja przytrafi się właśnie nam, jest bardzo prawdopodobne. Dodatkowo firma powinna wdrożyć odpowiednie zabezpieczenia, tak aby chociażby maile pochodzące spoza organizacji były oflagowane. Taki duży monit w wiadomości może otworzyć oczy pracownikowi, a wtedy zwolni, spokojnie przeczyta i zwróci uwagę np. na nieścisłości czy łamaną polszczyznę.

Duże firmy, nawet jak dojdzie u nich do wycieku, mają sztab prawników i może udać im się wykpić od prawnych konsekwencji. „Mali” takich prawników nie mają

„Jestem mały, komu zależałoby na ataku” – myślę, że takie przekonanie będzie towarzyszyło wielu przedsiębiorcom, szczególnie mikro- i średnim. Ile firmy mogą stracić na takim myśleniu?

Najwięcej. Duże firmy, nawet gdy dojdzie u nich do wycieku, mają sztab prawników i może udać im się wykpić od prawnych konsekwencji. „Mali” takich prawników nie mają, jak dojdzie do wycieku i wyjdzie to na jaw, to mają jak w banku, że dostaną karę i będą musieli płacić, a są to dość spore kwoty. Według przepisów w sytuacji, gdy kontrola wykaże nieprawidłowości w przetwarzaniu danych osobowych, Prezes Urzędu Ochrony Danych może nałożyć karę nawet do 20 000 000 euro lub 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Przestępcy atakują zwykłych ludzi, dlaczego mieliby nie zaatakować małej firmy? Jeszcze szybciej ją zaatakują. 

"Jeżeli nie stać nas na zatrudnienie specjalisty na pełen etat, znajdźmy firmę zajmującą się cyberbezpieczeństwem albo freelancera" 

Najlepszym rozwiązaniem jest stworzenie zespołu czy zatrudnienie specjalisty zajmującego się cyberbezpieczeństwem. To jednak, patrząc na barometr wynagrodzeń w branży IT, ogromne koszty. Co można zrobić oprócz tego?

Kosztów nie unikniemy, o tym można zapomnieć. Specjaliści na zdobycie swojej wiedzy, certyfikatów i szkoleń wydają często bardzo duże pieniądze i poświęcają mnóstwo czasu. Dobre oprogramowanie, które zwiększy bezpieczeństwo, to też zawsze jakieś koszty. Dlatego pogodziłbym się z faktem, że coś wydać będzie trzeba, ale podszedł do tego mądrze.

Jeżeli nie stać nas na zatrudnienie specalisty na pełen etat, znajdźmy firmę zajmującą się cyberbezpieczeństwem albo freelancera. To, które z tych wyjść będzie lepsze, zależy od konkretnego przypadku i oczywiście od budżetu. Tak czy inaczej specjalista musi do nas przyjść, ocenić sytuację i zaproponować rozwiązania. Minimum, którego bym się spodziewał, będzie zapewne szkolenie i wdrożenie jakiegoś oprogramowania.

Niby minimum, ale w wielu przypadkach bezpieczeństwo firmy będzie już na dużo, dużo wyższym poziomie. Warto zastanowić się nad też nad zainwestowaniem w tzw. wewnętrzne kampanie phishingowe, które znacząco zwiększają świadomość użytkowników.

Rozwiązaniem byłoby znalezienie „najbardziej ogarniętego” pracownika i wdrożenie go w nową rolę? Czy jednak samo cyberbezpieczeństwo i cyberzagrożenia to temat tak szeroki, że wymaga bardziej specjalistycznej wiedzy?

Z pewnością nie. To, że ktoś „ogarnia w komputery”, to absolutnie nie oznacza, że da radę w kwestiach cyberbezpieczeństwa. Oczywiście można takiego człowieka wysłać na szkolenia, ale z pewnością będzie to trochę kosztować i potrwa. Bezpiecznik to ktoś, kto posiada odpowiednią wiedzę, ale też cechy i predyspozycje. To ktoś, kto nie będzie bał się pójść do szefa i powiedzieć, że nie powinien korzystać z firmowej skrzynki w prywatnych celach, lecz jednocześnie umiejętnie przedstawi to tak, aby zostało to zrozumiane i zaakceptowane.

Jeżeli skłaniamy się ku wyszkoleniu jednego z naszych pracowników, to moim zdaniem najszybciej i najłatwiej zapewne byłoby wyszkolić kogoś, kto pełnił wcześniej funkcję np. administratora IT. Ale zaznaczam - trzeba uzbroić się w cierpliwość, bo w dalszym ciągu trochę to pewnie potrwa.

Interesują Cię biura, biurowce, powierzchnie coworkingowe i biura serwisowane? Zobacz oferty na PropertyStock.pl