Kultura (cyber)bezpieczeństwa

Kultura (cyber)bezpieczeństwa

Pod koniec 2022 roku zanotowano wzrost zagrożeń dotyczących cyberbezpieczeństwa o 176% w stosunku do poprzedniego roku. Wiele firm i instytucji publicznych od kilku lat intensyfikuje swoje działania w sieci, a to w połączeniu z intensyfikacją ataków hakerskich, może prowadzić do wzrostu kosztów związanych zapewnieniem odpowiedniej ochrony danych. Odpowiedzią na te problemy może być rozwój kultury bezpieczeństwa.

Pandemia okazała się być trudnym czasem w kwestiach bezpieczeństwa cyfrowego. Dla wielu osób prywatnych i firm codziennością stało się funkcjonowanie w cyberprzestrzeni. Do sieci przeniesiono wiele usług, coraz powszechniejsze stawały się zakupy przez Internet, a nawet korzystanie z instytucji publicznych (np. w formie e-urzędów). Część rozwiązań, które wcześniej były rzadko stosowane, takie jak teleporady medyczne i wizyty online, wdrożono na szeroką skalę. 

Dobry czas dla… hakerów

Jednak wraz ze wzrostem intensyfikacji korzystania z usług internetowych i cyfrowych narzędzi uwierzytelniających, nastąpił również wzrost ilości ataków hakerskich. Jak oszacowało Information Systems Security Association (ISSA), podczas pandemii COVID-19 liczba ataków hakerskich wzrosła aż o 63%! Celem ataków były nie tylko osoby prywatne, ale przede wszystkim firmy i instytucje rządowe. Szczególnie narażone stały się obiekty infrastruktury krytycznej. Jak podaje CERT Polska liczba ataków rośnie z roku na rok. W samym tylko 2022 roku zanotowano ponad 320 tys. zgłoszeń zagrożenia cyberbezpieczeństwa. To oznacza wzrost o ponad 176% w porównaniu do poprzedniego roku.

Także trwająca już ponad rok wojna w Ukrainie przyczyniła się do wzrostu ataków, zwłaszcza na Polskie firmy. Jak podaje opracowany przez KPMG raport „Barometr cyberbezpieczeństwa”, prawie 60% firm zarejestrowało co najmniej jeden incydent naruszenia bezpieczeństwa w minionym roku. Co więcej nawet 20% firm odnotowało większą intensywność ataków hakerskich związanych z trwającą w Ukrainie wojną.

Wysoka cena bezpieczeństwa?

Obecnie część ekonomistów przewiduje recesję w wielu regionach świata. Z kolei pracodawcy obserwując sytuację makroekonomiczną, coraz uważniej przyglądają się wydatkom i szukają oszczędności. Z tego punktu widzenia zatrudnianie specjalistów od cyberbezpieczeństwa i wprowadzanie dodatkowych szkoleń w tym zakresie może wydawać się zbędnym wydatkiem. Jednak biorąc pod uwagę rosnącą z roku na rok liczbę ataków hakerskich, obcinanie kosztów związanych z szeroko rozumianą kulturą bezpieczeństwa jakiejkolwiek organizacji może być długoterminowo złym rozwiązaniem.

Narażeni na ataki są wszyscy, od małej firmy, przez duże korporacje, na szpitalach i jednostkach administracji państwowej kończąc Żeby spać spokojniej potrzebujemy zróżnicowanego pakietu narzędzi wspierających naszą codzienną pracę. Z jednej strony mogą być to procedury i cykliczne szkolenia pracowników z zakresu bezpieczeństwa, z drugiej odpowiednie narzędzia i oprogramowanie, a nawet pakiety ubezpieczeń od ryzyk cybernetycznych – dodaje Kacper Mleczak – Te ostatnie mogą zrównoważyć m.in. koszty przywrócenia utraconych danych, koszty prawne czy koszty powiadomienia klientów o ewentualnych naruszeniach poufności danych.

Ryzyko strat związanych z utratą danych lub wstrzymaniem pracy z powodu ataku hakerskiego stale rośnie. Coraz ważniejsza staje się edukacja pracowników i podnoszenie ich kompetencji cyfrowych w zakresie bezpieczeństwa.

Rozwijanie kultury bezpieczeństwa jednym z rozwiązań

Odpowiedzią na wiele problemów związanych z bezpieczeństwem cyfrowym może być rozwój kultury bezpieczeństwa. Pod tym pojęciem kryją się wszelkie postawy, wiedza, procedury, a także narzędzia i wartości organizacji w odniesieniu do cyberbezpieczeństwa. 

Badanie Cisco wykazało, że organizacje o silnej kulturze bezpieczeństwa okazywały się nawet o 46% odporniejsze niż te organizacje, których kultura bezpieczeństwa została określona jako słaba. W minionych latach ofiarami ataków byli właśnie pracownicy. Wykorzystywano ich niewiedzę lub nieuwagę wynikającą z presji czasu. Ofiary ataku klikały w maile phishingowe lub fałszywe adresy URL, zarówno na komputerach, jak i urządzaniach mobilnych.

Dlatego istotne jest uznanie dużej roli pracowników w zakresie bezpieczeństwa i wyposażenie ich w odpowiednie narzędzia oraz wprowadzenie praktyk dostosowanych do podstawowych celów biznesowych. Tym  samym powinni zostać uznani za część rozwiązania, a nie źródło problemu. Równie ważne jest także przyjęcie odpowiedniej perspektywy. Zabezpieczenie firmy i jej danych nie powinno być traktowane jak uciążliwe zobowiązanie, a raczej jak podstawowa wartość i inwestycja w rozwój biznesu.

Dziś prowadzenie jakiejkolwiek działalności biznesowej bez obecności w sieci jest coraz trudniejsze. Korzystanie z poczty elektronicznej do przesyłania umów i kontaktu z klientami, prowadzenie profilu firmy w mediach społecznościowych, korzystanie z zaawansowanych systemów obiegu dokumentu i baz danych, to codzienność wielu firm i instytucji – opowiada Kacper Mleczak, wiceprezes Zarządu exito Broker – Wraz z rozwojem technologii używanych wewnątrz organizacji, istnieje także potrzeba wprowadzania zasad i procedur, które zwiększą bezpieczeństwo danych. Dodatkowo wartym rozważenia jest budowa odpowiedniego programu ubezpieczeń, które we współpracy z przyjętymi procedurami i działaniami prewencyjnymi pozwolą na kompleksowe zabezpieczenie.

Co nas czeka w przyszłości?

Eksperci do spraw cyberbezpieczeństwa przewidują, że dalej w roku 2023 można spodziewać się dalszych kradzieży danych uwierzytelniających i ale też, wraz z rozwojem technologii kwantowych, kradzieży zaszyfrowanych danych. Rosnąca liczba ataków uderzających w systemy firmowe może również prowadzić do zmęczenia i wypalenia specjalistów ds. bezpieczeństwa cybernetycznego. To wszystko sprawia, że na znaczeniu zyskuje obecnie budowanie odporności organizacji, która obejmuje wzrost kompetencji cyfrowych pracowników, udoskonalanie procesów i technologii połączonych ze wczesnym wykrywaniem.