Cyberzagrożenia traktowane po macoszemu. Szefowie ds. bezpieczeństwa IT ignorują

Szefowie ds. bezpieczeństwa IT są coraz bardziej świadomi osobistego ryzyka po głośnych włamaniach hakerów do takich firm jak Twitter czy Uber Technologies. To powinno poprawić procedury związane z ochroną IT sieci oraz urządzeń, a czasami całkowicie przedefiniować politykę bezpieczeństwa. Jednak uczestnicy WSJ Pro Cybersecurity Forum, które odbyło się w bieżącym tygodniu, wyrazili zaniepokojenie faktem, iż wiele firm nadal nie wyciąga żadnych wniosków ze skarg zgłaszanych przez pracowników informujących o nieprawidłowościach występujących w sferze bezpieczeństwa IT.

• W czasach, kiedy organizacje posiadają procedury sygnalizowania nielegalnych działań,  takich jak molestowanie seksualne i dyskryminacja, kwestiom związanym z cyberbezpieczeństwem nie zawsze poświęca się taką samą uwagę. Jeśli pojawiają się zawiadomienia, nie są one rozpatrywane jako zgłoszenia od sygnalistów - mówi Avi Gesser z firmie prawniczej Debevoise & Plimpton.

We wrześniu bieżącego roku były szef ochrony Twittera, Peiter Zatko, zeznał przed Senacką Komisją Sądownictwa USA,  iż gigant mediów społecznościowych miał dość luźne standardy bezpieczeństwa danych. Z jego zeznań wynika, że Twitter nie chronił prywatności swoich użytkowników i wprowadzał w błąd opinię publiczną, nie informując o swoich problemach ze spamem i kontami botów. Twitter odrzucił zarzuty.

Co ciekawe, Departament Sprawiedliwości Stanów Zjednoczonych pozwał w tym roku dwóch kontrahentów rządowych na podstawie ustawy o fałszywych roszczeniach za niedociągnięcia związane z cyberprzestrzenią. Z kolei w październiku federalna ława przysięgłych uznała Joe Sullivana, byłego dyrektora ds. bezpieczeństwa w Uber Technologies, za winnego w sprawie niezgłoszenie cyberwłamania władzom federalnym w 2016 roku. Grozi mu do ośmiu lat więzienia.

- Szefowie ds. bezpieczeństwa IT zrobiliby wiele dobrego, gdyby pomyśleli o udokumentowaniu wszystkich wniosków składanych do zarządu, zawierających sugestie o zwiększenie inwestycji na cyberochronę. Wówczas byłoby wiadomo, kiedy odmówiono środków lub zapewnione są za późno - tłumaczy Todd Fitzgerald, wiceprezes ds. strategii cyberbezpieczeństwa w Cybersecurity Collaborative.

Ankieta przeprowadzona w czasie WSJ Pro Cybersecurity Forum wykazała, że większość zarządów firm nie jest informowana o zagrożeniach i nieprawidłowościach w sieci.

- Problem przepływu informacji w firmach na temat potencjalnych cyberzagrożeń, istnieje także w polskich firmach. Pracownicy bardzo rzadko informują o tego typu zdarzeniach. Jednak trudno powiedzieć na ile wynika to z tego, iż nie utożsamiają się z firmą, a na ile z tego, że wysyłane przez nich sygnały są po prostu ignorowane. Moim zdaniem dobrym rozwiązaniem byłoby stworzenie w organizacjach czegoś w rodzaju systemu badania skarg na temat cyberzagrożeń. To pozwoliłoby niejednokrotnie wskazać winnych naruszeń, w tym także odpowiedzialnych za procesy decyzyjne szefów IT oraz zarząd - podsumowuje Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender.

Źródło: marken.com.pl; bitdefender.pl