Malware, nieprzewidziane działania pracowników i awarie sprzętu, to najczęściej udzielane odpowiedzi na pytanie dotyczące najbardziej istotnych zagrożeń z punktu widzenia firmy. Wskazuje to na fakt, że przedsiębiorstwa skupiają się jedynie na łatwych do zaobserwowania zagrożeniach, a poczucie bezpieczeństwa wynika z niewiedzy. W ankiecie IT security „Cyberbezpieczeństwo firm” przeprowadzonej przez firmy CHUBB, cuberesearch i EY wzięło udział 350 różnej wielkości przedsiębiorstw. Czy są odpowiednio zabezpieczone?

kon_trojanski

 Jednym z poruszanych zagadnień było pytanie o najbardziej istotne  zagrożenia z punktu          widzenia firmy. Najwięcej organizacji wskazało na poniższe zagrożenia

  •  62% firm – kampanie malware (ransomware, trojany bankowe);
  • 60% firm – przypadkowe, nieuprawnione i/lub destrukcyjne działania pracowników;
  • 45% firm  – utrata danych z powodu awarii sprzętu.

Podane odpowiedzi wskazują, że firmy nie rozpoznają ataków i nie radzą sobie z wykrywaniem incydentów, zauważają tylko takie, które są ewidentne, łatwe do zaobserwowania: np. infekcja ransomware, błąd pracownika, czy utrata danych w wyniku awarii. Wysnuć można również wniosek, że częsty wysoki poziom poczucia bezpieczeństwa, wynika z niewiedzy i przesadnej, niczym nieuzasadnionej wiary w wykorzystywane urządzenia, procedury, plany (jeśli są?).

Badanie potwierdza tezę, że fakt przeszkolenia z zakresu bezpieczeństwa IT, złożenia deklaracji przestrzegania zasad oraz sporadycznego odświeżania wiedzy nie wystarcza do przekonania pracowników, aby te zapisy reagowali. Wszyscy pracownicy powinni uświadomić sobie, że nawet nie będąc z działu IT, muszą poważnie traktować świat technologii informatycznych, ponieważ to właśnie tam są ich sekrety i pieniądze.

Niepokojący jest – skądinąd powszechnie znany fakt,  że  25% firm w dalszym ciągu nie prowadzi audytu bezpieczeństwa swojego środowiska IT. Wzbudza niepokój również to, że mimo wydatkowania znacznych środków na przeprowadzenie audytu,  nie wdraża się rekomendacji audytowych.

Kolejny raz potwierdza się teza, że bodźcem do bardziej energicznych działań w zakresie IT security jest incydent albo przypadek ataku. Szkoda, że dopiero po doznaniu straty następuje refleksja i próba zrozumienia co należy zrobić, żeby być bezpiecznym. Truizmem jest powtarzanie, że jedynie kompleksowe podejście do zagadnień bezpieczeństwa informacji i nie tylko pasywne, ale też aktywne działania w zakresie prewencji, detekcji i reakcji są w stanie zbudować efektywny system bezpieczeństwa.

Wyniki badania potwierdzają, o czym od dawna mówi się w branży, że jedynie co ósma firma posiada odpowiednie zasoby i jest w stanie rzeczywiście reagować na cyberatak. Taki stan rzeczy wynika z prozaicznego braku fachowców na rynku, zarówno światowym, jak i polskim.

Cyberbezpieczeństwo firm

Cyberbezpieczeństwo

W zdecydowanej większości firm za bezpieczeństwo systemów TI odpowiada dział IT. Nie jest to podejście słuszne, bo te role powinny być oddzielone. Utrzymanie systemów to jedno, a zapewnienie bezpieczeństwa to druga sprawa. Nie jest to – niestety – łatwe do przeprowadzenia, zwłaszcza w mniejszych firmach.

Na koniec warto wspomnieć o dwóch szczególnie istotnych rzeczach, które co prawda zostały umieszczone na końcu, ale są bardzo istotne dla zapewnienia spójności systemu bezpieczeństwa.

Po pierwsze konieczne jest zwiększanie kontroli nad działaniami pracowników, zwłaszcza nad  tymi, którzy mają uprawnienia użytkowników uprzywilejowanych. Szczególnie warto poddać szczególnej kontroli i monitorować konta administratorów.

 

Po drugie nadal zbyt mało uwagi poświęcane jest na edukację pracowników w zakresie bezpieczeństwa. Dla faktycznego podniesienia poziomu świadomości w zakresie bezpieczeństwa pracowników, czyli stworzenia kultury bezpieczeństwa informacji konieczna jest realizacja kompleksowych programów obejmujących zarówno szkolenia jak i cykliczne działania utrwalające wiedzę przekazywaną podczas szkoleń. Zakres edukacji powinien być dynamicznie i często modyfikowany w zależności od grupy uczestników.