Streszczenie: Cyberbezpieczeństwo staje się kluczowym zagadnieniem, którego odpowiedzialność nie powinna spoczywać tylko na działach IT, ale także na menedżerach. Firmy często stają się ofiarami ataków cyberprzestępców, którzy wykorzystują luki w systemach oraz błędy popełniane przez pracowników. Odpowiedzialność za cyberbezpieczeństwo zaczyna się od menedżerów, którzy muszą wdrażać odpowiednie procedury i polityki, a także zapewnić, że organizacja przestrzega wymagań prawnych, takich jak RODO. Działy IT, z kolei, odpowiadają za dobór narzędzi, które zabezpieczą infrastrukturę. Przykłady z Polski pokazują, jak duże firmy już zaczynają dostrzegać wartość zapewnienia odpowiedniego bezpieczeństwa, w tym odpowiedniego ustawienia osób odpowiedzialnych za ten obszar na wysokich stanowiskach, takich jak członkowie zarządu. W tym kontekście, menedżerowie muszą wykazać się odpowiednią starannością, aby przygotować polityki i procedury, które chronią zarówno dane, jak i reputację firmy.
Partnerem materiału jest Axence.
Nawet największe globalne marki traciły wiarygodność, zaufanie i ogromne pieniądze, padając ofiarą ataków cyberprzestępców, którzy znajdują luki w systemach oraz wykorzystują nieostrożność i naiwność pracowników korzystających z firmowego oprogramowania. Według raportu Axence, wycieki danych z organizacji stają się zjawiskiem powszechnym, któremu należy w odpowiedni sposób przeciwdziałać.
Menedżerowie odpowiadają biznesowo i prawnie za wdrożenie stosownych rodzajów polityki i procedur, zaś działy IT za dobór odpowiednich narzędzi.
Znaczenie cyberbezpieczeństwa podniosło oczekiwania wobec działów IT. Kiedyś rola informatyków była ograniczona do niewielkich zasobów komputerowych, funkcjonujących w oderwaniu od całej struktury firmy. Dziś administratorzy i informatycy mają więcej obowiązków i ponoszą większą odpowiedzialność biznesową. To właśnie ludzie z IT współtworzą politykę zarządzania i bezpieczeństwa, ponieważ mnogość nowych regulacji prawnych (takich jak RODO) stworzyła konkretne wymogi dla organizacji w zakresie stosowania adekwatnych środków bezpieczeństwa w poszczególnych sektorach. Popularność norm takich jak ISO 2007 ugruntowała znaczenie procesów zapobiegania awariom i incydentom. Nadal należy jednak pamiętać o tym, że to menedżerowie odpowiedzialni są za zapewnienie właściwych standardów bezpieczeństwa i ochronę wrażliwych danych.
Odpowiedzialność prawna zarządu
Menedżerowie powinni mieć świadomość potencjalnych kar administracyjnych i ewentualnych roszczeń cywilnych. Duże zasługi w krzewieniu tej świadomości miało RODO i widmo wysokich kar za naruszenia ochrony danych osobowych. Bezpieczeństwo cyfrowe wykracza jednak poza ramy RODO. Firmy niestosujące zasad bezpieczeństw narażają nie tylko siebie, ale również swoich klientów, a nawet zbiorowy interes konsumentów. Działają też wbrew zasadom uczciwej konkurencji.
Jednocześnie warto napominać, że to członkowie zarządu mogą odpowiadać karnie z tytułu niedopełnienia obowiązków i braku należytej staranności w pełnionej funkcji – na podstawie art. 296 grozi za to 10 lat pozbawienia wolności. Obowiązek stosowania odpowiednich procedur, polityki i narzędzi w pierwszej kolejności dotyczy bowiem zarządu firmy. Dopiero w dalszej kolejności odpowiedzialność ponoszą również wyznaczone w strukturze organizacji odpowiednie osoby, takie jak CIO, CSO lub ABI, a także pion bezpieczeństwa lub dział IT.
Aby nadać bezpieczeństwu IT wysoki priorytet, osoba odpowiedzialna za ten obszar w firmie powinna być na odpowiednio wysokim stanowisku, np. jako członek zarządu. Dzięki temu potrzeby IT będą lepiej słyszane i rozumiane.
Co powinien zrobić odpowiedzialny menedżer? Przede wszystkim wykazać się starannością poprzez przygotowanie odpowiednich analiz bezpieczeństwa oraz stosownych procedur i polityki. Do jego obowiązków należy też zatrudnienie odpowiednio wykwalifikowanych pracowników i uzyskanie wymaganych certyfikacji. Mniejsze firmy mogą skupić się na opracowaniu polityki i procedur bezpieczeństwa, zaś kwestie organizacyjno‑technicznie zlecić specjalistycznym firmom zewnętrznym.
Stan cyberbezpieczeństwa w Polsce
Według raportu KPMG „Barometr cyberbezpieczeństwa”, w 2018 roku blisko 70% organizacji w Polsce odnotowało przynajmniej jeden cyberincydent.
Rosnąca złożoność infrastruktury informatycznej i ilość gromadzonych danych skłania analityków do oceny, że liczba zagrożeń będzie rosnąć. Według badań wskazywanych przez Związek Polska Cyfrowa, przestępcy będą w kolejnych latach coraz częściej zainteresowani atakami na urządzenia działające w ramach Internetu rzeczy. Liczba tego typu urządzeń, które są łączone z firmowymi sieciami, stale się powiększa i często stanowi furtkę dla cyberataków.
Według danych PwC (raport „Cyber‑ruletka po polsku”2), przygotowanie polskich przedsiębiorstw na zagrożenia pozostawia wiele do życzenia. 20% średnich i dużych firm nie zatrudnia ani jednego pracownika, który byłby odpowiedzialny za kwestie cyberbezpieczeństwa, a 46% spółek nie posiada operacyjnych procedur reakcji na incydenty cyfrowe. Przeciętne wydatki na bezpieczeństwo stanowią zaledwie 3% budżetu IT.
Główne źródła problemów w zakresie odpowiedniego przygotowania firm diagnozuje wspomniany raport „Władcy Sieci” , opracowany przez krakowską firmę Axence. Z badania przeprowadzonego na próbie blisko 500 administratorów IT pracujących w organizacjach publicznych i prywatnych wynika, że w co najmniej 24% przypadków miał miejsce wyciek danych z organizacji, a w 85% miała miejsce istotna awaria.
Biznesowa odpowiedzialność IT
– W ostatnich latach potrzeby i wymagania osób zarządzających IT znacząco wzrosły. Tempo zmian technologicznych spowodowało przesunięcie sił i skalę odpowiedzialności tych zespołów. Bezpośrednio za tymi zmianami podążył świat cyberprzestępczości. Twórcy malware nie są już amatorami szukającymi rozrywki. To zorganizowane, profesjonalne grupy stosujące targetowane ataki w celu osiągnięcia znaczących korzyści finansowych za pomocą phishingu, cybermanipulacji lub ataków socjotechnicznych.
Dlatego narzędzia, procedury i rozwiązania organizacyjne sprzed kilkunastu lat stały się niewystraczające. Rozwinęła się świadomość konieczności zapewnienia bezpieczeństwa IT. Obowiązki administratorów IT daleko wykraczają poza zwykłe monitorowanie sieci. Dziś działy IT mają więcej obowiązków oraz większą odpowiedzialność biznesową, współtworzą politykę zarządzania. Nie wystarczają im już „jakieś” narzędzia, potrzebują kompleksowych rozwiązań dla spełnienia precyzyjnych wymagań. Administratorzy muszą dzielić swój czas pomiędzy zarządzanie, ochronę oraz tworzenie stabilnego, optymalnego środowiska pracy i przestrzeni do generowania biznesu – wyjaśnia Grzegorz Oleksy, prezes firmy Axence.
Niezbędna polityka bezpieczeństwa
Eksperci prognozują dalszy wzrost popularności produktów do zarządzania IT, umożliwiających budowanie polityki bezpieczeństwa z perspektywy użytkownika (monitoring oraz ochrona danych). Początkiem drogi do zbudowania bezpiecznego i dobrze zorganizowanego środowiska IT jest jednak wdrożenie odpowiedniej polityki zarządzania zasobami IT oraz zwiększanie kompetencji cyfrowych użytkowników.
Czynnik ludzki jest tu znacznie większym wyzwaniem niż ten infrastrukturalny. Niewyedukowany użytkownik łatwiej poddaje się kierowanemu phishingowi, atakowi socjotechnicznemu czy innym formom manipulacji. Przejęcie kontroli nad pojedynczym komputerem otwiera hakerom przestrzeń do eksploracji całej firmowej sieci. Częstą przyczyną wycieku danych poza struktury firmy są też zwykłe błędy lub niestosowanie się do procedur bezpieczeństwa – korzystanie przez pracowników z prywatnej poczty czy podłączanie nieuprawnionych nośników danych. Niezależnie od intencji personelu firmy ponoszą realne straty finansowe w przypadku wycieku wrażliwych informacji handlowych oraz przemysłowych. Dlatego ochrona danych zaczyna się od wdrożenia i egzekwowania od pracowników zasad bezpieczeństwa.
