wtorek, 22 września, 2020
BEZPIECZEŃSTWO Cyberbezpieczeństwo „nowym BHP”

Cyberbezpieczeństwo „nowym BHP”

-

Cyberbezpieczeństwo „nowym BHP”

  • Tylko 6% firm nie doświadczyło ataku hakerów w 2019 r.
  • Większość skutecznych ataków bazuje na błędach ludzkich, dlatego szkolenia z cyberbezpieczeństwa powinny być równie powszechne, co szkolenia BHP.
  • Nawet najlepsze zabezpieczenia mogą jednak zawieść, wtedy warto mieć ubezpieczenie cyber.

Cyberatak na firmę to już zjawisko powszechne. W zeszłym roku jedynie 6% firm nie było celem hakerów, wynika z raportu firmy Radware, specjalizującej się w bezpieczeństwie cybernetycznym[1]. Co więcej, ok. 1/3 firm doświadcza ataków codziennie lub co najmniej raz w tygodniu. Najbardziej niepokojącym faktem jest jednak to, że 22% firm w ogóle nie zdaje sobie sprawy, czy została zaatakowana, czy nie.

Podobnie wygląda sytuacja w Polsce. Regularnie otrzymujemy informacje o próbach naruszenia bezpieczeństwa cybernetycznego od różnych firm. Nie tylko od przedstawicieli branż tradycyjnie mocno zależnych od sprawności systemów IT, u których ewentualny atak może wywołać duże straty materialne, jak sektor finansowy, paliwowy, e-handel czy operatorzy telefoniczni. Problem dotyczy praktycznie wszystkich przedsiębiorstw. Najskuteczniejszym sposobem minimalizacji ryzyka ataku są: przegląd procedur, eliminacja podstawowych czynników ryzyka operacyjnego oraz zakup odpowiednich zabezpieczeń. Przede wszystkim trzeba jednak postawić na szkolenie pracowników, ponieważ o skuteczności większości ataków decydują błędy ludzkie – zauważa Mariusz Kochański, Członek Zarządu Veracomp SA.

O tym, że narażony jest każdy, świadczy też fakt, że branżą, która odnotowuje najwyższą częstotliwość codziennych ataków, jest sektor edukacyjny. E-handel i sektor usług finansowych zajmują dopiero kolejne miejsca[2]. Dlatego nie warto bagatelizować problemu i odpowiednio się zabezpieczyć.

Hakerzy chcą zazwyczaj osiągnąć jeden z trzech najczęściej spotykanych celów: wyłudzić pieniądze, zaburzyć działalność ofiary czy wykraść dane. Każdy z nich może spowodować duże starty, ale szczególnie problematyczny jest ostatni z nich. W sytuacji, gdy haker wykradnie dane osobowe, to ofiarą przestaje być wyłącznie firma, ale stają się nimi też jej klienci, pracownicy i partnerzy biznesowi, którzy mogą domagać się odszkodowania od firmy. Dlatego warto zainwestować zarówno w szkolenia pracowników oraz zabezpieczenia, jak i w ubezpieczenie cyber, które jest ostatnią deską ratunku, gdy atak okaże się skuteczny – dodaje Marcin Nagórski Broker Ubezpieczeniowy EIB SA

Jak powinno wyglądać szkolenie z cyberbezpieczeństwa?

Biorąc pod uwagę, jak powszechnym problemem jest działalność hakerów, szkolenia z cyberbezpieczeństwa można porównać do szkoleń BHP. Powinny one być prowadzone w podobny sposób oraz być takim samym standardem jak obowiązkowe szkolenia pracownicze. Co powinni wiedzieć pracownicy? Muszą zdawać sobie sprawę, jakie ataki mogą się zdarzyć, jak ich unikać i co zrobić, gdy mimo wszystko do nich dojdzie. Szkolenie powinno być jednak proste, bez wchodzenia w szczegóły techniczne. Posługując się wcześniejszym porównaniem – szkolenie BHP opisuje, jak się zachować w razie pożaru, a nie omawia procesów chemicznych i fizycznych z nim związanych. Tak samo szkolenie z bezpieczeństwa cybernetycznego powinno pokazywać szereg podstawowych, prostych, konkretnych zasad, do których należy się stosować. Trzeba też dokładnie omówić procedury działania w razie wykrycia incydentu bezpieczeństwa (znów, tak samo, jak w przypadku BHP, gdzie przeprowadzamy próbne ewakuacje z budynku).

Niezależnie od rodzaju i poziomu skomplikowania systemów bezpieczeństwa, istnieje kilka podstawowych zasad, do których należy się stosować. Przede wszystkim, nieważne jak uciążliwe jest stosowanie złożonych haseł, maszyn wirtualnych czy metod podwójnego logowania i weryfikacji, to nie wolno ich omijać. Na to właśnie czekają hakerzy. Tak samo istotna jest dokładna weryfikacja otrzymywanych wiadomości, linków czy tożsamości osób, z którymi się kontaktujemy  – radzi Mariusz Kochański z Veracomp SA.

Ubezpieczenie ostatnią deską ratunku

Szkolenia to jednak część systemu. Drugim ważnym elementem są „twarde” zabezpieczenia, czyli urządzenia i oprogramowanie minimalizujące ryzyko skutecznego ataku. Bo to, że do ataku na firmę prędzej czy później dojdzie, można być praktycznie pewnym. Inwestycje powinny obejmować zarówno rozwiązania przeznaczone do ochrony całych systemów, serwerów i aplikacji firmowych, jak i pojedynczych komputerów, z których korzystają pracownicy. W przypadku mniejszych firm, które nie dysponują wykwalifikowanym personelem od bezpieczeństwa IT, można taką obsługę zlecić też zewnętrznej firmie. Jednak każde, nawet najlepsze zabezpieczenie i ekspert mogą zawieść. Wtedy przydaje się ubezpieczenie.

Ubezpieczenie cyber zapewnia szerokie wsparcie różnorodnych ekspertów, pokrywa koszty notyfikacji oraz wypłaty odszkodowań w razie naruszenia ochrony danych osobowych. Ponadto, refunduje kary administracyjne za naruszenie przepisów o ochronie danych osobowych, a także pokrywa straty i dodatkowe koszty wynikające z ataków cybernetycznych. Warto się nad nim zastanowić, zwłaszcza że taką ochronę oferuje coraz więcej ubezpieczycieli, poszerzając możliwości znalezienia oferty idealnie dopasowanej do potrzeb ubezpieczonego. Dodatkowo za sprawą rosnącej konkurencji ubezpieczenia te stają się coraz bardziej dostępne budżetowo. To najczęściej koszt rzędu od sześciu do kilkunastu tysięcy złotych za polisę dla małych i średnich organizacji – wskazuje Marcin Nagórski z EIB SA.

Podstawowy zakres ubezpieczenia cyber zapewnia pokrycie kosztów m.in.:

  • zatrudnienia ekspertów (np. specjaliści IT i informatycy śledczy, prawnicy, eksperci public relations czy zarządzania sytuacją kryzysową),
  • przeprowadzenia akcji informacyjnej (w razie wycieku danych osobowych – wymóg RODO),
  • kar administracyjnych,
  • wypłaty odszkodowań dla osób trzecich.

Ubezpieczyciele oferują dodatkowo różnorodne rozszerzenia zakresu ochrony, jak np:

  • koszty usunięcia złośliwego oprogramowania,
  • koszty odzyskania dostępu do zablokowanych, zainfekowanych urządzeń (w tym koszty okupu),
  • ubezpieczenie przerwy w działalności na skutek awarii systemu komputerowego,
  • zwrot środków wypłaconych na niewłaściwe konto na skutek oszukańczej zamiany danych w systemie komputerowym,
  • koszty ulepszenia systemu po ataku ransomware, mające zapobiec jego powtórzeniu.

Źródło: EIB SA.

[1] Protecting what you can’t see. Eliminating Security Blind Spots in an Age of Technological Change. 2019–2020 // Global Application & Network Security Report – https://support.radware.com/app/social/questions/detail/qid/101/~/radwares-2019-2020-global-application-and-network-security-report/c/583

[2] Tamże.

NAJNOWSZE ARTYKUŁY

POLECAMY

forex

Wpływ epidemii Covid-19 na gospodarkę – komentarz Grzegorza Maliszewskiego

0
W tym tygodniu publikowane będą kolejne dane z gospodarek rozwiniętych, wskazujących na skalę załamania koniunktury w następstwie epidemii koronawirusa. W tym kontekście istotne będą wskaźniki koniunktury w USA i strefie euro. Oczekiwać można dalszego...
2

W II kwartale globalny PKB może spaść nawet o 15 proc. w ujęciu rocznym....

0
W marcu wskaźnik PMI – łącznie dla przemysłu i usług – w strefie euro odnotował rekordowy spadek do 31,4 pkt, podczas gdy jeszcze w lutym wyniósł 51,6 pkt. Dane te obrazują nastroje osób odpowiedzialnych za zakupy w firmach, co...
rozwoj

Tarcza Antykryzysowa: przykłady działań polityki podatkowej w innych państwach

0
Doświadczenia z kryzysu z 2008 roku pokazały, że instrumenty podatkowe mają istotną rolę w łagodzeniu skutków spowolnienia gospodarczego. Aktualne działania innych państw pozwalają stwierdzić, że polityka podatkowa ma i będzie mieć istotne znaczenie w...