Człowiek – najsłabsze ogniwo dla bezpieczeństwa

Dlaczego działania w zakresie cyberbezpieczeństwa są tak ważne?

We współczesnym świecie istotne wrażliwe informacje nie są już przechowywane w formie papierowej, zamykane w sejfie i chronione za pomocą fizycznych metod. Dane są cyfrowe – gdzie cały mechanizm ich obrony przed nieupoważnionym dostępem ma formę całkowicie niematerialną.

Każdy z nas dba codziennie o ochronę swoich dóbr – choćby poprzez zamki w drzwiach własnego domu lub system alarmowy zainstalowany w samochodzie. Jesteśmy świadomi zagrożeń i ryzyk wynikających z nieodpowiedniego zabezpieczenia naszego majątku i przykrych następstw lekceważenia tej kwestii.

Temat cyberbezpieczeństwa jest właśnie tym – ochroną wartościowych, wrażliwych i poufnych informacji oraz danych przed dostępem do nich osób nieupoważnionych. Ich niematerialny charakter przekłada się wtedy na realne straty i konsekwencje – nadszarpiecie wizerunku firmy, utratę zaufania klientów oraz koszty procesów naprawczych.

Człowiek jest najsłabszym ogniwem w łańcuchu bezpieczeństwa

Zazwyczaj jego wiedza na temat kwestii związanych z IT jest ograniczona – co czyni go podatnym na szereg działań i technik pozwalających na uzyskanie dostępu do danych niedostępnych innymi kanałami.

Większość systemów teleinformatycznych jest zabezpieczona na tyle dobrze, że próby bezpośredniego ataku i ich rozpracowywania zajmują zbyt dużo czasu i zasobów aby być efektywne dla cyberprzestępców. Ich uwaga skupia się więc na czynniku ludzkim – pracowniku firmy lub jej kliencie, który w nieświadomy sposób pomaga im ominąć zabezpieczenia.

Ataki phishingowe

Phishing jest bardzo rozpowszechnioną techniką wyłudzania danych wrażliwych – loginów, haseł, numerów PIN oraz kart kredowych – słowem informacji jakich z oczywistych względów nie chcielibyśmy udostępniać osobom trzecim.

Jak więc uzyskać dostęp do konta bankowego bez zgody właściciela? Wystarczy rozesłać specjalnie spreparowaną wiadomość e-mail, przypominającą do złudzenia oficjalną korespondencję z naszego banku.

W niej znajdziemy zazwyczaj załącznik zawierający złośliwe oprogramowanie (np. śledzące tekst wpisywany w oknach logowania) lub odnośnik odsyłający pozornie do strony głównej banku. Witryna jaką jednak odwiedzimy, choć z wyglądu może być identyczna z portalem bankowym – w rzeczywistości jest spreparowana przez przestępców, a każda próba zalogowania się do konta za jej pośrednictwem przekaże im dane, które mogą wykorzystać do uzyskania dostępu do naszego rachunku bankowego.

Istnieje jednak mnóstwo wariantów phishingu – od fałszywych faktur, wiadomości od znajomych (włamania na skrzynki email) czy urzędowej korespondencji.

Firmowy sprzęt a cele prywatne

Polityka bezpieczeństwa firmy ma na celu minimalizowanie ryzyka oraz niwelowanie i kontrolę punków dostępu dla przestępców. Jednak jak pokazują badania – ponad 80% pracowników przyznaje się do korzystania z internetu w godzinach pracy do celów prywatnych.

Tworzy to olbrzymią, potencjalną lukę w zabezpieczeniach firmy – otwierając kanał mogący posłużyć do zainfekowania systemów organizacji wirusami lub uzyskania dostępu do danych wrażliwych. Problem ten nie dotyczy jednak wyłącznie dostępu do sieci – stosowanie w firmie własnych nośników danych jak niesprawdzonych pendrive-ów czy podłączanie telefonu do służbowego komputera przez port USB może być bardzo negatywne w skutkach.

Co naturalne – pracownicy zazwyczaj nie przykładają szczególnie dużej uwagi do zachowania procedur bezpieczeństwa a całkowita kontrola jest z perspektywy firmy po prostu zwykle niemożliwa.

Jak zabezpieczyć firmę przed cyberzagrożeniami

Kluczem do podniesienia poziomu bezpieczeństwa w firmie jest odpowiednia polityka bezpieczeństwa, wdrożenie działań profilaktycznych oraz regularne szkolenie personelu.

Praktyczna wiedza oraz odpowiednio szybkie identyfikowanie potencjalnych zagrożeń pozwala uniknąć wielu negatywnych skutków a w przypadku sytuacji kryzysowej – odpowiednio szybkie reagowanie.

Wśród podstawowych działań wyliczyć możemy:

  • wymuszenie regularnych/cyklicznych zmian haseł w firmie,
  • wymuszanie silnych haseł – zawierających cyfry, wielkie litery, znaki specjalne,
  • stosowanie indywidualnych kont pracowników – z osobnym loginem i hasłem i ograniczonym dostępem,
  • łańcuch decyzyjny – uzależnienie pewnych czynności w firmie od potwierdzenia kilku osób,
  • szyfrowanie danych – zabezpieczające komunikację,
  • i inne.

Ubezpieczenia cybernetyczne

Firmy pragnące rozszerzyć ochronę w sferze cybernetycznej mają również możliwość nabycia produktów ubezpieczeniowych zbudowanych z myślą o likwidacji potencjalnych szkód wyrządzonych przez cyberprzestępców.

Polisa tego typu pozwala na uzyskanie dodatkowych środków finansowych na rozpoczęcie działań naprawczych na poziomie IT jak również na poziomie relacji z klientem i PR. Amortyzuje ona realne koszty jakie firma musiałaby ponieść w następstwie ominięcia jej systemów bezpieczeństwa.

Podsumowanie

Większość współczesnych firm prędzej czy później będzie zmuszona zmierzyć się z rozwiązaniem kwestii cyberbezpieczeństwa we własnych strukturach. Im dłużej zwlekamy z uznaniem tego narastającego problemu, tym szybciej odczujemy jego negatywne skutki w postaci kosztów finansowych lub utraty reputacji a tym samym – klientów.

Wspierając przedsiębiorców w tym zakresie -Equinum Broker oferuje fachowe szkolenia z dziedziny cyberbezpieczeństwa przeznaczone dla kadry zarządzającej i pracowników firmy. Uwrażliwiając na skalę problemu wewnątrz Państwa organizacji i oferując ścieżki naprawy tego stanu.

Jako specjaliści z dziedziny ubezpieczeń wspieramy również biznes w wynegocjowywaniu najlepszych możliwych warunków polis cybernetycznych. Pomagamy klientom na każdym etapie zawierania umowy ubezpieczeniowej – od identyfikacji zagrożeń, przez analizę ofert i rekomendację po obsługę administracyjną procesu.

Zapraszamy do współpracy.

Equinum Broker