Według badań Ponemon Institute¹, w latach 2017-2019 aż 63 proc. badanych małych firm doświadczyło wycieku danych, a 66 proc. padło celem cyberataku. Z badania firmy Verizon² wynika, że aż 43 proc. wszystkich cyberataków bierze na cel właśnie małe firmy, a najmniejsze przedsiębiorstwa padły ofiarą aż 62 proc. wszystkich ataków ransomware. Warto zwrócić uwagę na to, że te badania przeprowadzono jeszcze przed pandemią COVID-19. Po jej wybuchu, wraz ze wzrostem znaczenia transakcji i komunikacji online, problem stał się jeszcze poważniejszy. Dotyczy to także rynku polskiego. Cyberataki to krytyczne zagrożenie dla wszystkich przedsiębiorstw, ale w przypadku małych i średnich firm ich skutki mogą być szczególnie dotkliwe. Ze względu na wciąż słaby poziom zabezpieczenia infrastruktury teleinformatycznej w tym segmencie rynku, każdy atak może stanowić zagrożenie dla utrzymania ciągłości operacyjnej przedsiębiorstwa, a do tego dochodzą potencjalne straty finansowe czy wizerunkowe. Dlatego właśnie dbałość o przestrzeganie podstawowych zasad cyberbezpieczeństwa powinna być istotnym elementem praktyk biznesowych, niezależnie od wielkości firmy.

W dbanie o cyberbezpieczeństwo firmy powinni być zaangażowani wszyscy jej pracownicy, włącznie z kierownictwem i zarządem. W celu lepszego zrozumienia, dlaczego warto stosować określone środki bezpieczeństwa, należy poznać najbardziej szkodliwe dla biznesu rodzaje cyberzagrożeń. Oto kilka najczęściej spotykanych rodzajów cyberataków, które mogą być szczególnie dotkliwie dla działalności firmy.

1. Phishing

Jedną z najpowszechniejszych form cyberataków wymierzonych w firmy, jak i w zwykłych użytkowników sieci, jest tzw. phishing i jego odmiany, znane np. jako spear phishing czy whaling. Ataki te wykorzystują nieuwagę, nieostrożność i nieświadomość użytkownika oraz nakłaniają go do udostępnienia hakerowi danych typu hasła i loginy, a następnie wprowadzają do systemu szkodliwe oprogramowanie.

Zazwyczaj tego rodzaju ataki polegają na wysyłaniu przez przestępców wiadomości pozornie wyglądającej na autentyczną. Może to być informacja z banku, pismo urzędowe czy podrobiona wiadomość od przełożonego. Celem takiego fałszywego e-maila, SMS-a czy wiadomości na komunikatorze jest określona czynność, np. pobranie i otwarcie załącznika zawierającego szkodliwe oprogramowanie, albo klikniecie w link przekierowujący na fałszywą stronę logowania. W drugim przypadku, odbiorca maila przekazuje w ten sposób przestępcy dane do logowania, narażając się tym samym na utratę pieniędzy, które bardzo szybko są transferowane na konto cyberprzestępcy. Wiadomości phishingowe są zazwyczaj dobrze przygotowane i wyglądają przekonująco, przez co wiele osób wciąż daje się na nie nabierać.

Klasyczne ataki phishingowe mogą obejmować nawet tysiące odbiorców. Przestępcy zarzucają tak szeroką sieć w nadziei na to, że kilka z namierzonych ofiar ulegnie ich technikom perswazji. Istnieją jednak grupy, które specjalizują się w precyzyjniejszych atakach phishingowych. Techniki znane jako “spear phishing” czy “whaling” biorą na cel mniejsze grupy odbiorców, często pojedyncze osoby o wyjątkowo dużej wartości dla przestępców, czyli np. dyrektorzy czy administratorzy sieci. Takie ataki wymagają od napastników lepszego przygotowania (zaawansowanego rekonesansu) i dobrej znajomości celu. Często są następstwem kradzieży danych osobowych wybranego pracownika, które mogą posłużyć do zbudowania wiarygodnej i przekonującej wiadomości. Każdy rodzaj ataku phishingowego może mieć poważne konsekwencje, od utraty pieniędzy po kradzież cennych firmowych danych. Dlatego tak ważna jest wiedza o tym, jak zabezpieczyć dane osobowe w sieci?

2. Złośliwe oprogramowanie

Malware, czyli złośliwe oprogramowanie, może służyć napastnikom do kradzieży danych osobowych lub firmowych, bądź do monitorowania na bieżąco tego, co dzieje się na zainfekowanym urządzeniu. W skrajnym przypadku może też doprowadzić do fizycznego uszkodzenia zainfekowanego sprzętu. Coraz powszechniejsze na rynku są też wyspecjalizowane odmiany malware, których celem nie są dane zapisane na urządzeniu, ale jego moc obliczeniowa. Tak przejęte przez napastników komputery czy smartfony są włączane do liczących dziesiątki tysięcy urządzeń sieci (botnetów), a następnie wykorzystywane przez napastników do generowania kryptowalut lub przeprowadzania skoordynowanych ataków DDoS.

Złośliwe oprogramowanie może zostać zainstalowane poprzez kliknięcie zainfekowanego linka, pobranie pliku z nieznanego źródła, kliknięcie na banner wyskakującej reklamy lub pobranie załącznika wiadomości e-mail od nieznanego nadawcy. Źródłem infekcji mogą być także niektóre aplikacje działające na mobilnych systemach iOS i Android. Gdy złośliwe oprogramowanie zostanie wprowadzone do systemu komputera lub smartfona, hakerzy mogą uzyskać dostęp do haseł, numerów kart kredytowych, danych bankowych, akt osobowych i wielu innych informacji.

3. Oprogramowanie ransomware

Ransomware to specyficzna forma złośliwego oprogramowania, które szyfruje dyski komputerowe. Po tego typu ataku użytkownicy nie mają dostępu do aplikacji czy plików. Aby mogli ponownie korzystać ze swoich danych i urządzeń, muszą zapłacić cyberprzestępcom okup, najczęściej w postaci różnych kryptowalut. Często jednak nawet po zapłaceniu okupu dane nie są odszyfrowywane, a ofiary tracą do nich bezpowrotnie dostęp.

Ransomware rozprzestrzenia się często przez załączniki rozsiewane w wiadomościach phishingowych, ale niektóre jego rodzaje, po wprowadzeniu do firmowej sieci, mogą samodzielnie infekować kolejne maszyny, wykorzystując luki w zabezpieczeniach danej firmy. Jeden z najbardziej znanych i niszczycielskich typów ransomware, NotPetya, w 2017 r. w ciągu kilkudziesięciu godzin zainfekował dziesiątki milionów komputerów w 60 krajach³ . Tylko jedna firma, duński gigant spedycyjny Maersk, utraciła dostęp do 49 tys. komputerów i poniosła 300 mln dolarów strat⁴ . Ransomware zyskuje szybko na popularności wśród cyberprzestępców. Podczas pandemii koronawirusa ofiarami podobnych ataków padło 58 proc. amerykańskich firm.

4. Wycieki danych

Wyciek danych ma miejsce, gdy wrażliwe dane zostaną skradzione bądź też celowo lub nieumyślnie udostępnione z systemu firmowego bez autoryzacji jego właściciela. Poufne informacje mogą obejmować między innymi numery kart kredytowych, imiona i nazwiska, adresy domowe, adresy e-mail, nazwy użytkowników i hasła. Mogą też obejmować cenne dane dotyczące działalności firmy bądź dane jej klientów i kontrahentów (np. know-how, projekty techniczne, szczegóły kontraktów).

Wycieki mogą być skutkiem działalności nielojalnych pracowników, rezultatem ataków phishingowych czy socjotechnicznych. Mogą być także rezultatem działania malware czy też ukierunkowanych, wielowektorowych ataków cyberprzestępców. Według analizy przeprowadzonej przez Identity Theft Resource Center (ITRC)⁵ , liczba wycieków danych zgłaszanych przez amerykańskie firmy wzrosła w drugim kwartale 2021 r. o 38 proc., a łączna liczba takich zdarzeń w pierwszych trzech kwartałach roku 2021 przekroczyła o 17 proc. liczbę wszystkich wycieków wykrytych i zgłoszonych w całym 2020 r.

5. Ataki DDoS

Ataki odmowy dostępu (Distributed Denial of Service) to wciąż prymitywna, ale niezwykle uciążliwa forma ataków. Polega ona na czasowym zablokowaniu funkcjonowania systemów firmy (np. jej witryn internetowych czy webaplikacji) przez “bombardowanie”, obsługujących je serwerów, przez tysiące fałszywych, sztucznych połączeń (sesji internetowych). To prowadzi często do wysycenia łącza internetowego i/lub infrastruktury teleinformatycznej, a w konsekwencji nawet do całkowitego zawieszenia serwerów czy aplikacji. Do przeprowadzenia takich ataków wykorzystywane są zazwyczaj tzw. botnety, czyli sieci tysięcy urządzeń zainfekowanych malware, które na polecenie napastnika jednocześnie łączą się ze wskazanym adresem IP. Czasami takie ataki są zwykłą formą wandalizmu, ale częściej wiążą się z żądaniem zapłacenia okupu.

W jaki sposób zabezpieczyć się przed zagrożeniami? Przede wszystkim skuteczna obrona przed cyberzagrożeniami wymaga tego, by kwestie cyberbezpieczeństwa stały się trwałym elementem pracy każdego działu w firmie. Cyberbezpieczeństwo musi przestać być postrzegane w organizacji wyłącznie przez pryzmat niepotrzebnych kosztów i ograniczeń wolności pracowników, a zacząć być traktowane jako kluczowe aktywo każdej firmy, która jest obecna w Internecie.

1.Sprzęt, oprogramowanie i usługi

Po pierwsze, ważne jest fizyczne zabezpieczenie firmowych urządzeń przed najpowszechniejszymi zagrożeniami takimi, jak malware czy próby włamania do systemu. W tym celu należy zarówno wyposażyć komputery w odpowiednie oprogramowanie antywirusowe, jak i zabezpieczyć sieć firmową przy pomocy firewalla, chroniącego przed niepożądanym ruchem.

Innym, kluczowym elementem, chociaż niestety często pomijanym przez użytkowników, są stałe aktualizacje systemów operacyjnych i oprogramowania. Systemy, sterowniki i aplikacje, które nie są aktualizowane, mogą zawierać podatności umożliwiające napastnikom przeprowadzenie ataków. Regularna aktualizacja chroni system przed najbardziej powszechnymi atakami.

Istotne jest także zabezpieczenie nie tylko samych urządzeń, ale też połączeń między nimi. Oznacza to konieczność stosowania szyfrowania dla szczególnie istotnych danych oraz sieci VPN, pozwalającej pracownikom na zdalne łączenie się z zasobami firmowymi. Kluczowe systemy i dane w firmie powinny być zdublowane tak, aby wyłączenie z akcji jednego systemu nie narażało całego przedsiębiorstwa na nieprzewidzianą przerwę w działalności.

2. Pracownicy

W nawet najlepiej wyposażonym technicznie systemie, to człowiek zawsze jest najsłabszym ogniwem. Dlatego w tworzeniu strategii cyberbezpieczeństwa kluczowe jest, by pracownicy byli świadomi zagrożeń, jakie mogą płynąć z sieci i tego, co powinni zrobić, by nie stać się ofiarami cyberprzestępców. Dotyczy to zarówno zachowania czujności w przypadku napotkania potencjalnie szkodliwych wiadomości czy plików, jak i codziennej higieny w pracy biurowej, czyli np. niekorzystania ze służbowych komputerów czy telefonów w prywatnych celach oraz niełączenia się z publicznymi, niezabezpieczonymi sieciami WiFi. Jeśli to możliwe, warto nakłonić pracowników do korzystania z menadżerów haseł – aplikacji pozwalających na tworzenie niezwykle skomplikowanych, prawie niemożliwych do złamania haseł, chronionych za pomocą pojedynczego, ale bardzo mocnego hasła, które musi zapamiętać użytkownik.

3. Procedury

Najprostszym sposobem na zadbanie o cyberbezpieczeństwo jest stworzenie jasnych i czytelnych procedur w firmie. Dotyczy to na przykład kwestii regularnego robienia kopii zapasowych danych. Jeśli firma na bieżąco archiwizuje najważniejsze dla jej działalności dane, atak ransomware przestaje być krytycznym zagrożeniem, a staje się co najwyżej powodem do jeszcze lepszego uszczelnienia systemów zabezpieczeń. Równie istotne są procedury obejmujące codzienne działania samych pracowników – to, jak logują się do systemu, jakie hasła tworzą, jak często je zmieniają (częściej niekoniecznie oznacza lepiej), wreszcie z jakimi stronami i usługami kontaktują się za pomocą firmowych komputerów? Każda organizacja powinna mieć procedurę opisującą wymagane od pracowników czynności na wypadek cyberataku oraz sposób i miejsce zgłaszania wszelkich cyberincydentów. Dobrze opisane procedury i programy szkoleń pozwalają zachować wszystkim pracownikom rozsądek i właściwy sposób postępowania w kryzysowych sytuacjach związanych z cyberzagrożeniami. Należy pamiętać przy tym, że czas reakcji ma znaczący wpływ na rozpowszechnianie się zagrożeń i jej skutków w skali całej firmy.

¹https://www.keepersecurity.com/pl_PL/ponemon2019.html

²https://www.verizon.com/business/resources/reports/dbir/

³https://www.newyorkfed.org/medialibrary/media/research/staff_reports/sr937.pdf

⁴https://threatpost.com/maersk-shipping-reports-300m-loss-stemming-from-notpetya-attack/127477/

⁵https://www.idtheftcenter.org/identity-theft-resource-center-to-share-latest-data-breach-analysis-with-u-s-senate-commerce-committee-number-of-data-breaches-in-2021-surpasses-all-of-2020/