Czy istnieje poziom cyberbezpieczeństwa, który można uznać jako idealny? Specjalista zajmujący się tymi zagadnieniami w firmie odpowie bez chwili namysłu, że interesuje go wyłącznie poziom maksymalny, czyli rozwiązania skutecznie przeciwdziałające jak największej liczbie zagrożeń. I jest to odpowiedź absolutnie poprawna, zgodna zarówno z zakresem jego obowiązków, jak i szerszym definiowaniem dobra firmy właśnie poprzez jej bezpieczeństwo cyfrowe. Ale nie jest to odpowiedź jedyna.
Idealnym poziomem bezpieczeństwa dla pracowników odpowiedzialnych bezpośrednio za rozwój przedsiębiorstwa będą bowiem przede wszystkim takie rozwiązania, które nie utrudniają im wykonywania powierzonych zadań. Oni też chcą działać dla dobra firmy, ale definiują je inaczej – jako zapewnianie odpowiedniego poziomu zysków. Jeśli zatem system firmowego bezpieczeństwa będzie wprowadzał ograniczenia, które będą uzasadnione z punktu widzenia specjalistów IT, ale które przez innych pracowników postrzegane będą jako uciążliwe i ograniczające komfort prowadzenia biznesu, zdecydowanie nie ocenią go jako idealny. I będą te ograniczenia lekceważyć lub wręcz obchodzić. I warto podkreślić jeszcze jedno – sukces w postaci osiągnięcia tego kompromisu zależy w dużym stopniu od mądrego zarządzania liderów firmy.
Zabezpieczanie na siłę nie uda się
Osoby dbające o cyberbezpieczeństwo w firmie szkolą się nieustannie – a przynajmniej powinny to robić – w zakresie technik ataku wykorzystywanych przez przestępców i sposobów odpowiedniej obrony. Przypomina to serię pojedynków dwóch mistrzów fechtunku, skupionych wyłącznie na tym, by wciąż opracowywać nowe rodzaje uderzeń i kontruderzeń. Żaden z nich nie zdaje sobie sprawy, że równie duży wpływ na końcowy wynik starcia może mieć wiele drobiazgów niezwiązanych bezpośrednio z techniką władania szablą albo szpadą. Na przykład to, czy podłoga w sali ćwiczeń zostanie odpowiednio wypastowana. Czy buty uszyte przez szewca będą wygodne, a nowa bluza przygotowana przez krawca zapewni większą swobodę ruchów ręką.
W zakresie zagadnień związanych z cyberbezpieczeństwem takim zwróceniem uwagi na „nieistotne drobiazgi” może być postawienie się specjalistów IT w roli zwykłych pracowników firmy. Próba spojrzenia na kwestie związane z bezpieczeństwem z ich punktu widzenia. A można będzie wtedy dostrzec:
wolniejsze działanie komputerów, tabletów czy smartfonów;
utrudniony dostęp do plików czy potrzebnych danych;
skomplikowane i zajmujące czas systemy weryfikacji tożsamości;
złożony, niezrozumiały system różnych poziomów dostępu do danych;
problemy związane z drukowaniem, kopiowaniem, przenoszeniem na nośniki zewnętrzne lub przesyłaniem niektórych dokumentów;
męczące ograniczenia podczas pracy zdalnej.
Jeśli którekolwiek z tych zagadnień dotyczy również pracowników w naszej firmie, to mamy problem. Zbyt duża troska o cyberbezpieczeństwo firmy może je – paradoksalnie – obniżyć. A ryzyko, że tak się stanie, jest naprawdę realne. Badanie przeprowadzone przez Cisco wykazało, że odsetek ankietowanych pracowników w Hiszpanii, którzy potwierdzili, że zdarza im się obchodzić system firmowych zabezpieczeń, wyniósł… 96%. W Polsce był nieco niższy, ale i tak wyniki mogą szokować: 74% pracowników przyznało się do obchodzenia systemu bezpieczeństwa, w tym 14% zadeklarowało, że robi to często.
Z badania Cisco wynika również, że szanowanie reguł bezpieczeństwa zależy od wieku pracowników. 65% użytkowników w wieku 18–24 lata przyznało się do obchodzenia systemów bezpieczeństwa. W przedziale wiekowym 35–44 lata w ten sposób zachowywało się 54% badanych, a w przedziale powyżej 55 lat – 35%. Zatem im młodszych ludzi zatrudnia firma, tym więcej uwagi musi poświęcić tej kwestii.
Mimo to jeszcze ważniejszy wydaje się inny wynik tego badania. Otóż osoby, które omijały firmowe zabezpieczenia, nie robiły tego w celu wyszukiwania jakichś nielegalnych treści albo przyjemnego marnowania czasu na szeroko rozumiane rozrywki w czasie pracy. Celem było lepsze wykonywanie obowiązków.
Z tej perspektywy odpowiedź na pytanie o idealny system bezpieczeństwa w firmie wygląda zatem zupełnie inaczej. Najważniejsze nie jest to, by był on maksymalnie rozbudowany i absolutnie szczelny. Przede wszystkim nie powinien w żaden odczuwalny sposób ograniczać pracowników i utrudniać im sprawne wykonywanie codziennych zadań.
Nie oznacza to oczywiście, że nie może to być system bezpieczeństwa skutecznie niwelujący większość współczesnych cyberzagrożeń. Problemem są raczej sytuacje, w których jest to system źle wdrożony, składający się z wielu rozproszonych rozwiązań czy aplikacji wprowadzanych na różnych etapach historii firmy albo realizujący zbyt skomplikowaną politykę bezpieczeństwa.
Skuteczne bezpieczeństwo cyfrowe przypomina… górę lodową. To, co widoczne od strony użytkowników systemu, powinno być jak najprostsze i jak najmniej zauważalne. Cała złożoność i zaawansowanie rozwiązań dotyczących cyberbezpieczeństwa, odpowiadająca na współczesne wyzwania, powinna być natomiast ukryta pod powierzchnią oceanu.
Nie trać energii na walkę z cieniem
Shadow IT to zjawisko blisko związane z obchodzeniem przez pracowników firmowego systemu bezpieczeństwa. Właśnie w ten sposób określa się sytuacje, w których pracownicy wolą realizować powierzone im zadania z wykorzystaniem własnych aplikacji lub rozwiązań technologicznych. A także własnych urządzeń, w tym smartfonów, co może budzić niepokój chociażby w świetle informacji pochodzących od Check Point Research. Specjaliści tej firmy wykazali, że w ciągu ostatnich 6 miesięcy trafiły w Polsce do sprzedaży 42 modele tanich smartfonów, w których odnaleziono preinstalowanego trojana Triada. Może on wykradać poufne dane użytkowników, w tym loginy i hasła wykorzystywane do dostępu do firmowych danych. Gartner natomiast przewiduje, że Shadow IT będzie w obecnym roku przyczyną co trzeciego naruszenia bezpieczeństwa firm – i jest to trend rosnący.
Skoro nie da się z nim walczyć poprzez wprowadzanie jeszcze bardziej restrykcyjnych zasad bezpieczeństwa – bo efekt będzie odwrotny do zamierzonego – to może lepiej go… wykorzystać? To rozwiązanie, choć wydaje się nieco szalone i bardziej skomplikowane, ma w rzeczywistości co najmniej kilka bardzo ważnych zalet.
Pierwsza korzyść jest oczywista – przyzwolenie na pewien zakres wolności w ramach Shadow IT jest ryzykowne, ale stwarza też szanse na kontrolowanie tego zjawiska w firmie. Mało tego – jak wynika z badania przygotowanego przez Entrust Datacard, spora część ankietowanych (43%) uważa, że powinna to być kontrola wychodząca nie z kręgu osób odpowiedzialnych za IT w firmie, ale bezpośrednio od jej liderów. To jedyny sposób, aby kontrola nad tego typu zjawiskiem rzeczywiście była skuteczna – przykład i równocześnie zachęta do respektowania określonych zasad powinny pochodzić z samej góry.
Równie istotna może okazać się jednak inna zaleta częściowego przyzwolenia na zjawisko Shadow IT w firmie. Aż 77% pracowników IT w przytoczonym wyżej badaniu uznało, że ich organizacje mogłyby zyskać przewagę nad konkurencją, gdyby liderzy firm w większym stopniu współpracowali przy poszukiwaniu rozwiązań dla potrzeb Shadow IT – i to z wszystkimi pracownikami firmy. Dlatego z drugiej strony 80% ankietowanych zgadzało się ze stwierdzeniem, że ich firmy powinny być bardziej sprawne, jeśli chodzi o wdrażanie technologii sugerowanych przez zatrudnione w nich osoby. Taka oddolna kreatywność w zakresie rozwiązań informatycznych – odpowiednio kierowana – może w znaczący sposób przyczynić się do rozwoju całej firmy.
Edukacja to podstawa. Ale jak edukować skutecznie?
Systemy firmowych zabezpieczeń mogą być uciążliwe – stąd próby ich obchodzenia. Narzędzia cyfrowe oficjalnie stosowane w firmie również mogą mieć swoje ograniczenia – i stąd zjawisko Shadow IT. Ale musimy jeszcze pamiętać o innej generalnej przyczynie tego, że pracownicy wielu firm lekceważą różnego typu niebezpieczeństwa cyfrowe. Po prostu nie zdają sobie sprawy z poziomu zagrożeń, a równocześnie skali negatywnych konsekwencji, na jakie narażają firmę. A mogą być one ogromne – wystarczy przypomnieć, że poziom globalnych szkód wywołanych tylko przez ataki typu ransomware w 2019 roku szacowany jest na 11,5 miliarda dolarów, a średni koszt takiego ataku wyniósł 133 tysiące dolarów. A przecież to właśnie tego typu szantaże często realizowane są poprzez stosowanie technik, którym bliżej jest do psychomanipulacji niż rozwiązań informatycznych. Technik, które najchętniej wykorzystują najsłabsze ogniwo w systemie bezpieczeństwa cyfrowego firmy – ludzi.
Zła wiadomość jest taka, że w roku 2020 spodziewamy się jeszcze większej liczby ataków typu ransomware. Jeszcze gorsza – że coraz częściej będą one przybierać formę wąsko wyspecjalizowanych, precyzyjnie wycelowanych manipulacji skierowanych przeciwko konkretnym firmom, branżom, organizacjom oraz władzom lokalnym i rządowym. Jak pokazują zeszłoroczne wydarzenia, coraz częściej zagrożone są także polskie firmy, w tym również te należące do sektora małych i średnich przedsiębiorstw.
Oczywistym rozwiązaniem jest w tym kontekście edukacja oraz zwiększanie świadomości pracowników zarówno w temacie zagrożeń, jak i rozwiązań, które przed nimi zabezpieczają – i to na każdym szczeblu struktury organizacyjnej firmy. Tylko musi to być edukacja skuteczna.
Co to oznacza? Ważna jest nie tylko treść, ale i sposób przekazywania informacji. Po pierwsze, musi być to sposób przekonujący i angażujący uwagę pracowników, dlatego warto sięgnąć po nieco bardziej awangardowe formy szkoleń. Ciekawym i dość skutecznym sposobem jest na przykład przeprowadzanie okresowych prowokacji, testujących czujność i poziom wiedzy pracowników. Na przykład – to autentyczna historia – poprzez wysłanie „zainfekowanej” wiadomości e‑mail, chociażby z załącznikiem wyglądającym jak plik arkusza kalkulacyjnego o nazwie „Lista_plac_2020.xlsx”. Innym niedawnym przykładem tego typu prowokacji było rozesłanie wiadomości z załącznikiem wyglądającym jak dokument z rozszerzeniem .doc, mającym zawierać informacje, jak postępować, aby nie zarazić się koronawirusem. Dobrą praktyką może być również wprowadzanie elementów grywalizacji, angażujących uwagę i emocje pracowników.
Po drugie, musi to być edukacja ciągła, odpowiadająca na nieustanne pojawianie się nowych zagrożeń oraz naturalną rotację pracowników. Na szczęście – jak pokazało badanie przeprowadzone przez Cisco – respondenci z Polski są bardziej świadomi cyberzagrożeń niż przeciętni uczestnicy badania z innych krajów. Tylko 13% badanych nie było w stanie przytoczyć choćby jednego przypadku naruszenia bezpieczeństwa w ich lub innej organizacji. Najczęściej jako przykład podawano wiadomości e‑mail zawierające złośliwe oprogramowanie (45%), a najrzadziej… ransomware (8%). Ten ostatni wynik może budzić pewien niepokój. Jak oceniają eksperci Check Point Research, właśnie precyzyjne ataki typu ransomware nadal stanowić będą w 2020 roku jedno z trzech najpoważniejszych zagrożeń cybernetycznych, obok wycieków danych przechowywanych w chmurze i manipulacji kryptowalutami. Wprawdzie, jak podaje raport firmy Microsoft, w okresie od marca 2017 do grudnia 2018 roku liczba klasycznych (opartych na żądaniu „okupu”) ataków typu ransomware spadła aż o 60%, ale stały się one bardziej precyzyjne i skuteczne.
Phishing „spersonalizowany”
Podobnie jak w przypadku ransomware, przestępcy coraz chętniej zmieniają stosowane przez siebie metody zaliczane to tzw. phishingu – świadomie wybierając i dokładnie poznając cele swoich ataków. Dlatego techniki polegające na podszywaniu się przez przestępców pod inną organizację lub instytucję stają się coraz bardziej wyrafinowane i dopracowane. Ich zasięg jest przez to wprawdzie znacznie mniejszy, za to rekompensuje to wyższa skuteczność w oszukiwaniu pracowników konkretnej firmy lub sektora rynku.
Wszystkie ataki wykorzystujące phishing łączy wykorzystanie socjotechniki, dlatego jeszcze raz warto podkreślić, że obrona przed nimi w znacznym stopniu polega nie na zastosowaniu odpowiedniego oprogramowania, ale edukacji pracowników.
Data Loss Prevention – zadbaj o bezpieczeństwo firmowych danych
Coraz poważniejszym zagrożeniem, z jakim spotykają się współczesne firmy, jest przypadkowa utrata lub kradzież danych. Niezależnie od przyczyny są to zawsze wydarzenia bardzo kosztowne – jak wylicza IBM, średni koszt wycieku danych z firmy wyniósł w 2019 roku ponad 3,9 miliona dolarów. Koszt utraty jednego rekordu obliczono na 150 dolarów.
Warto też pamiętać o tym, że skutki takiego wycieku odczuwane są nie tylko zaraz po tego typu wydarzeniu, ale w dłuższej perspektywie czasowej. Najgorszy jest oczywiście pierwszy rok (67% kosztów wycieku), ale także w drugim (22%) i trzecim roku (11%) po utracie danych firma nadal ponosi jego konsekwencje. Na dodatek firmy zazwyczaj orientują się, że doszło do wypłynięcia poufnych informacji, dopiero po pewnym czasie – średnio po 279 dniach od samego włamania.
Należy też wziąć pod uwagę jeszcze jedną, mocno alarmującą, statystykę. Wśród przedsiębiorstw, które doświadczyły utraty danych i nie były na to w żaden sposób przygotowane, aż 93% upadło w ciągu roku od tego wydarzenia. Trudno o mocniejszy argument za tym, by prewencyjnie zadbać o bezpieczeństwo danych w swojej firmie.
Stąd coraz większa popularność rozwiązań z zakresu Data Loss Prevention (DLP), zwiększających bezpieczeństwo danych i zapobiegających ich utracie. Ich skuteczność zależy także od stosowania nowoczesnych rozwiązań identyfikujących tożsamość pracowników w firmie oraz sprawnie zorganizowanego backupu.
Phishing –
najpopularniejsze metody wykorzystywane przez przestępców:
Fałszowanie domeny – adres e‑mail nadawcy
wiadomości wygląda bardzo podobnie do oryginalnej nazwy zaufanej domeny.Fałszywe wiadomości SMS – robią wrażenie pochodzących z poważnego, legalnego źródła, takiego jak bank czy instytucje rządowe.
Linki do witryn – e‑mail zawiera link, który przekierowuje na stronę wyłudzającą dane, wyglądającą identycznie lub podobnie do stron logowania.
Załączniki wyłudzające informacje – e‑mail zawiera załącznik, który kradnie dane. Treść wiadomości zachęca do jego otwarcia.
Linki do fałszywych baz danych w chmurze – przekierowują nie na konkretne strony lub serwery, ale na usługi chmurowe.
Nowe cyberzagrożenia i nowa nadzieja
Oprócz „klasyki”, takiej jak kradzież danych czy ataki wykorzystujące technikę ransomware (która w zeszłym roku świętowała swoje… 30. urodziny), specjaliści zajmujący się firmowym cyberbezpieczeństwem muszą brać pod uwagę nowe, bardziej współczesne zagrożenia. Należy do nich wspomniane już zjawiska z kręgu Shadow IT, ale także m.in. skryte wykorzystywanie zainfekowanych komputerów do „kopania” kryptowalut oraz manipulacje wykorzystujące technologię deepfake. Te ostatnie, określane często jako vishing, polegają na podmianie głosu, a nawet wyglądu wysoko postawionych pracowników firmy.
Remedium na wszelkie cyberbolączki może okazać się sztuczna inteligencja. Rynek rozwiązań opartych na AI i wykorzystywanych do zapewnienia firmom bezpieczeństwa cyfrowego rośnie niezwykle dynamicznie. W 2019 roku wyceniano go na 8,8 miliarda dolarów, natomiast w 2026 roku będzie wart już 38,2 miliarda dolarów, przy wskaźniku wzrostu ponad 23%. Ciekawym przykładem polskiej firmy, która również zajmuje się wykorzystaniem AI do inteligentnego przewidywania cyberzagrożeń, jest rzeszowski start‑up Cybersecurity Studio.
Dlaczego sztuczna inteligencja? Z trzech powodów. Po pierwsze, stanowi odpowiedź na coraz bardziej dotkliwy brak specjalistów IT zajmujących się bezpieczeństwem cyfrowym. Po drugie, ze względu na skuteczność tego rozwiązania, zapewnianą przez algorytmy uczenia maszynowego, szybkość reagowania i wykorzystywanie dużych baz danych. Po trzecie – i być może najważniejsze – firmowe systemy cyberbezpieczeństwa bazujące na AI mają szansę stać się „zabezpieczeniem idealnym”, spełniającym zarówno wymagania specjalistów, jak i zwykłych pracowników. Mogą działać skutecznie i zabezpieczać różne rodzaje zagrożeń, pozostając w dużym stopniu niewidoczne i nieodczuwalne podczas realizacji codziennych zadań pracowników.