Czy zagrażają nam cyberataki?

O cyberbezpieczeństwie, hackerach, zagrożeniach i podatnościach mówi się ostatnio coraz częściej. Pierwszą falę wzmożonego zainteresowania zagadnieniami analizy ryzyka, identyfikacji podatności i minimalizacji zagrożeń wywołało wejście w życie przepisów RODO. Od tego czasu minął już prawie rok, a bezpieczeństwo w dalszym ciągu wydaje się być jednym z popularniejszych zagadnień w branży IT. Pod koniec ubiegłego roku kolejną falę zainteresowania wzbudziła tzw. „cyberustawa”, czyli Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Nie wzbudza ona co prawda takich emocji jak RODO, ponieważ obejmuje swoim zakresem jedynie dostawców usług krytycznych z punktu widzenia państwa, jednak w sektorach gospodarki związanych z energetyką, transportem czy ochroną zdrowia jest to jeden z gorętszych tematów. Warto też przypomnieć, że od 2015 roku w dalszym ciągu sektor finansów publicznych objęty jest rozporządzeniem o Krajowych Ramach Interoperacyjności, w którym to kwestiom bezpieczeństwa również poświęcono dosyć spory fragment.

Wszystkie wspomniane powyżej przepisy mówią o konieczności wdrażania systemów zarządzania bezpieczeństwem informacji, których zadaniem jest identyfikacja podatności i zagrożeń, analiza ryzyka z nimi związanego i wdrożenie planów postępowania mających na celu minimalizację owego ryzyka do akceptowalnego poziomu.

Czy zagrożenie atakami ze strony cyberprzestępców lub cyberterrorystów rzeczywiście jest tak poważne? Niestety wszystko wskazuje na to, że tak. Już jakiś czas temu NATO uznało cyberprzestrzeń za jeden z obszarów prowadzenia działań bojowych, do którego obrony należy się przygotować. W efekcie tego na początku lutego br. ogłoszono decyzję o powołaniu w Polsce Wojsk Obrony Cyberprzestrzeni. Wkrótce może się więc okazać, że instytucje państwowe i cyberwojska będą nieco lepiej przygotowane do obrony przestrzeni cyfrowej.

A co z sektorem prywatnym? Mamy „Rekomendację D”, która narzuca pewne standardy bezpieczeństwa instytucjom finansowym i mamy wspomniane już wcześniej RODO, które w tym zakresie jest jednak dosyć elastyczne. Cała reszta zależy od dobrej woli i oceniana jest najczęściej przez pryzmat ekonomiczny. W biznesie wydatki na bezpieczeństwo muszą się opłacać. I tutaj pojawia się pułapka, ponieważ koszty wdrożenia zabezpieczeń porównywane są z kosztami ewentualnych strat. Straty te nie mogą być jednak prawidłowo skalkulowane, jeżeli w firmie nie odbywa się skuteczny proces analizy ryzyka i identyfikacji podatności będący elementem systemu zarządzania bezpieczeństwem informacji. Dlatego też przedsiębiorcy często nieprawidłowo oceniają prawdopodobieństwo wystąpienia zagrożeń mogących zakłócić ciągłość procesów biznesowych. Efektem tego są incydenty, w wyniku których firmy ponoszą ogromne straty, często nie tylko finansowe, ale również wizerunkowe. Nie ma tygodnia, w którym nie odnotowywano by jakiegoś większego incydentu związanego z działalnością cyberprzestępców lub cyberterrorystów. Ci ostatni uaktywnili się chociażby przy okazji ostatniej konferencji bliskowschodniej, która odbywała się w połowie lutego w Warszawie. Niezadowoleni z jej organizacji irańscy hackerzy przypuścili zmasowany atak na około 90 portali rządowych. Przy okazji rykoszetem niejako dostało się wielu portalom informacyjnym i firmom prywatnym. Ataki siłowe na hasła do systemów CMS i podmiany stron www zakłóciły pracę wielu firm. O cyberprzestępcach głośno było natomiast ostatnio przy okazji włamania do popularnego sklepu internetowego Morele.net. Intruzi wykradli z niego bazy zawierające dane klientów oraz historię transakcji i szantażowali właścicieli sklepu, a ostatecznie sprzedali innym przestępcom wykradzione dane. Efektem tego była fala oszustw i wyłudzeń skierowanych przeciwko klientom sklepu.

O bezpieczeństwie swojego środowiska zdecydowanie więc warto pomyśleć zawczasu. Koszty usuwania negatywnych efektów ataku są zdecydowanie wyższe od kosztów działań zapobiegawczych. Bezpieczeństwo stało się bardzo rozległym zagadnieniem, które nie ogranicza się już tylko do wdrożenia antywirusów i firewalli. Identyfikacja zagrożeń, analiza ryzyka i audyty bezpieczeństwa powinny stać się częścią ciągłego procesu mającego na celu utrzymanie bezpieczeństwa infrastruktury na zadowalającym poziomie.

Jeżeli chciałbyś, abyśmy pomogli Tobie w procesie identyfikacji zagrożeń, zapoznaj się z naszą unikalną ofertą warsztatów połączonych z audytem bezpieczeństwa, które przeprowadzić możemy w Twojej firmie.