Jak często myślisz o cyberbezpieczeństwie?
Włamania i wycieki informacji kosztują firmy miliony dolarów. Dużej części tych strat można byłoby uniknąć, gdyby nie banalne pomyłki czy brak skrupulatności. Oto siedem najczęstszych błędów administratorów i menedżerów odpowiedzialnych za IT. I drugie tyle problemów, za które odpowiadają użytkownicy.
CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU:
|
4,88 mln dolarów to średni koszt incydentu związanego z wyciekiem lub wykradzeniem danych według danych z najnowszego raportu IBM i Ponemon Instutute[1] za 2024 rok. W tę kwotę wliczone są utracone wpływy spowodowane przerwą w działaniu, odpływ klientów, koszty obsługi po incydencie (np. specjalnej infolinii), kar finansowych nakładanych przez regulatorów i odszkodowań na podstawie wyroków sądów. Warto zwrócić uwagę, że kwota ta rośnie nieprzerwanie od 2020 roku (wówczas średni koszt jednego incydentu sięgał 3,86 mln dolarów).
Kto powinien częściej myśleć o cyberbezpieczeństwie? Do najbardziej zagrożonych należą sektory zdrowia, finansów i przemysłu. Sektor publiczny i edukacji są celem przestępców nawet czterokrotnie rzadziej.
Do tego dochodzi dość powszechne przekonanie, że za incydentami bezpieczeństwa zwykle stoją nieuważni użytkownicy, którzy swoim nierozważnym postępowaniem otwierają drzwi hakerom. Stąd przekonanie, że „użyszkodnikom” należy odbierać przywileje dostępu (co jest skądinąd słuszne) oraz zmuszać do częstej zmiany hasła – najlepiej na takie, które zawiera znaki specjalne, liczby i różne litery (czytaj: jest niemożliwe do zapamiętania).
W rzeczywistości jednak „winy” zwykle nie można przypisać jednej osobie. A źródłem naprawdę dużych (i kosztownych) problemów są osoby powołane do tego, aby dbać o zabezpieczenia sieci i danych, czyli specjaliści IT. Oto kompilacja najczęstszych błędów. Kolejność nieprzypadkowa.
Mnie to nie dotyczy
Lekceważenie zagrożenia jest źródłem największych problemów z cyberbezpieczeństwem w każdej organizacji. Wielu menedżerów uważa, że firma jest zbyt mała, mało znacząca, nie ma wartych uwagi zasobów cyfrowych, aby stać się celem hakerów. Potwierdzają to dane wspomnianego raportu IBM – czas od ataku do wykrycia i „posprzątania” jest zaskakująco długi – obecnie to 258 dni. Świadczy to o tym, że w wielu zaatakowanych firmach brakuje mechanizmów monitoringu i analizy ruchu sieciowego oraz właściwej kontroli dostępu. I choć eksperci ds. bezpieczeństwa powtarzają, że incydent cyberbezpieczeństwa to kwestia „kiedy”, a nie „czy”, menedżerowie wyższego poziomu nie zawsze traktują tych ostrzeżeń wystarczająco poważnie.
Bezpieczeństwo to koszt
Osoby decyzyjne niestety traktują sprawy cyberbezpieczeństwa jako dodatkowe obciążenie, a nie jako inwestycję w ciągłość biznesową przedsiębiorstwa. Na szczęście ten problem znika w tempie proporcjonalnym do liczby zaatakowanych firm. Dobrym argumentem pozwalającym ocenić, jak bardzo ważnym elementem działania organizacji jest cyberbezpieczeństwo i jak wiele organizacji jest atakowanych może być lektura listy incydentów prowadzona przez Cyber Management Alliance[2].
Wiara w antywirusy
Oparcie strategii cyberbezpieczeństwa na prostym oprogramowaniu antywirusowym to przejaw myślenia życzeniowego – skoro sprawdzały się 20 lat temu, to sprawdzą się i teraz. Co gorsza, są organizacje polegające na wbudowanych zabezpieczeniach Windows. Antywirusy, choć nadal potrzebne, nie mogą stanowić jedynej linii obrony w obliczu coraz bardziej wyrafinowanych metod hakerów. Konieczne jest wdrożenie systemów EDR/XDR pozwalających w zautomatyzowany sposób chronić urządzenia końcowe.
Aktualizacja? Zapomniałem
Tu słowo-klucz to prokrastynacja. Aktualizowanie oprogramowania, instalowanie łatek, obsłużenie serwerów i urządzeń końcowych to rzeczywiście spory wysiłek – zwłaszcza jeśli nie dysponujemy zautomatyzowanymi narzędziami lub usługami zarządzanymi zewnętrznie. Zdarzają się również „zapomniane serwery”, których nikt nie aktualizował przez lata lub których producent zaprzestał wsparcia. Z dziur w zabezpieczeniach hakerzy korzystają znacznie częściej niż z przechwyconych haseł użyszkodników.
Monitoring na pokaz
Patrzenie przez palce na to, co dzieje się w ich sieci. Narzędzia do analizy ruchu mierzą wyłącznie połączenia z zewnątrz (oczywiście, nie można temu odmówić uzasadnienia), natomiast ruch wewnątrz jest całkowicie pomijany. Tymczasem to właśnie analiza wewnętrzna pozwala wykryć anomalie i ataki w czasie rzeczywistym. Zdarzają się też sytuacje, że cały „monitoring” polega na wyświetlaniu alertów na wiszącym na ścianie ekranie, bez żadnej reakcji ze strony admina.
Gdzie jest kopia bezpieczeństwa?
To pośredni efekt przekonania, że mojej firmy zagrożenie nie dotyczy. A skoro nie dotyczy, to po co robić kopię bezpieczeństwa. Tymczasem kopie nie tylko trzeba robić, ale również okresowo sprawdzać jej integralność oraz zdolność do przywracania danych i uruchomienia systemu. Takie postępowanie powinno być częścią planu utrzymania ciągłości biznesowej.
To wszystko wina użyszkodnika!
Faktem jest, że 68 proc. wszystkich ataków na dane firmowe przeprowadzono z udziałem nieświadomego swojej roli użytkownika[3]. Taka osoba mogła paść ofiarą sprytnego ataku wykorzystującego inżynierię społeczną lub popełnić błąd klikając w link prowadzący do zainfekowanej strony. Niemniej, aby taki błąd niósł negatywne konsekwencje i umożliwił wyciek danych, konieczne są również inne warunki: zła konfiguracja usług, brak mechanizmów ochrony, nieuzasadnione przyznanie uprawnień lub brak odpowiedniej weryfikacji tożsamości i wreszcie brak przeszkolenia użytkownika.
Więcej o błędach popełnianych przez administratorów można przeczytać w e-booku przygotowanym przez T-Mobile.
Wiedzą, że robią źle
Spójrzmy teraz na to, co potrafią zrobić użytkownicy. To informacje mogące przydać się podczas przygotowywania szkoleń dla pracowników, które uczulą ich na niewłaściwe zachowania narażające bezpieczeństwo firmowych danych. Ale najpierw kilka informacji: według raportu Proofpoint „2024 State of the Phish”[4] aż 71 proc. wszystkich użytkowników podjęło jakieś ryzykowne działanie w sieci. Co gorsza, aż 96 proc. z nich wiedziało, że postępuje źle.
Co dokładnie robili?
Aż 29 proc. z nich wykorzystywało służbowy sprzęt do celów prywatnych. Jedna czwarta łączyła się z zasobami firmowymi przez publiczne sieci WiFi i nie używała do tego VPN ani innej metody ochrony łącza. Tyle samo użytkowników powtarzało hasła wykorzystywane służbowo w innych serwisach sieciowych albo dzieliło się hasłem służbowym z kolegami i koleżankami w pracy.
Interesujące są próby tłumaczenia takich działań. „To wygodne” – powiedziało 44 proc. ankietowanych. Niemal tyle samo zauważyło, że to „oszczędza czas”. Co czwarty pracownik naruszający zasady bezpieczeństwa zrobił to, aby zdążyć przed deadlinem, a co dziesiąty – aby „dowieźć wynik”.
Co jeszcze potrafią zrobić użytkownicy z pełną świadomością, że narażają bezpieczeństwo firmy? 20 proc. z nich odwiedza „te” strony WWW (tak, to jest to, o czym myślicie) korzystając ze służbowego sprzętu. Tyle samo klika w załączniki przysłane przez nieznanego nadawcę. Co dziesiąty użytkownik przyznał, że przesłał wrażliwe dane firmowe do nieautoryzowanego serwisu chmurowego.
Podsumowanie
Prosty błąd może przełożyć się ogromne straty dla firmy, ale incydenty cyberbezpieczeństwa rzadko są efektem działań tylko jednej osoby. Na nieszczęście muszą złożyć się liczne czynniki: od braku szkolenia użytkowników i przekonanie, że dbanie o bezpieczeństwo jest wyłącznie obowiązkiem IT, przez złą konfigurację usług przez specjalistów IT, a skończywszy na lekceważeniu problemu przez innych menedżerów poziomu C.
[1] https://www.ibm.com/reports/data-breach
[2] https://www.cm-alliance.com/cybersecurity-blog/september-2024-major-cyber-attacks-data-breaches-ransomware-attacks
[3] https://www.verizon.com/business/resources/reports/dbir/
[4] https://www.proofpoint.com/sites/default/files/threat-reports/pfpt-us-tr-state-of-the-phish-2024.pdf
Data publikacji: 29.11.2024