To samo dotyczy przedsiębiorstw, które są celem przestępców – to że dana firma jest nieduża i raczej mało znana, wcale nie oznacza tego, że jest bezpieczna. Małe i średnie przedsiębiorstwa stają się celem ataków w ramach poszerzania siatki cyberprzestępców.
- Badanie przeprowadzone w 2013 roku przez UK Government’s Department for Business, Innovation and Skills wykazało, że ryzyko utraty poufnych danych przez małe przedsiębiorstwa na skutek cyberataków jest największe z dotychczasowych. 87% małych przedsiębiorstw niezależnie od sektora rynku miało do czynienia z włamaniami w 2012 roku w porównaniu z 76% w roku 2011.
- Co więcej, średnie straty małego przedsiębiorstwa spowodowane atakiem wahają się między 35 000£ a 65 000£.
Dlaczego zaatakowano naszą firmę?
Biorąc pod uwagę obecny trend w atakach, koncentrujący się na wykorzystywaniu spersonalizowanych wiadomości typu spear-phishing oraz możliwości jakie dają media społecznościowe do uzyskania dostępu do sieci, cyberprzestępcy na swoje ofiary wybierają firmy posiadające wartościowe dla hakerów dane. Atak na małe przedsiębiorstwo może być fragmentem większego przedsięwzięcia, np. ataku na firmę współpracującą, w którym będzie można wykorzystać zdobyte w ten sposób informacje.
- Przykładowo mały start-up z branży hi-tech może pracować dla znacznie większego partnera, lub mała firma z branży finansów i PR może posiadać pewne informacje na temat bardzo istotnej transakcji przedsiębiorstwa z listy FTSE100. Taka sytuacja miała miejsce w przypadku włamania do firmy obsługującej karty płatnicze, Global Payments, który w konsekwencji dotknął setki tysięcy właścicieli kart Visa i MasterCard. Pewna mniejsza firma stała się celem ataku, ponieważ posiadała istotne dane, które zdecydowanie trudniej byłoby wykraść z większego przedsiębiorstwa. Hakerzy często próbują się włamywać do mniejszych firm, gdyż posiadają one mniejszą ilość warstw ochrony i mniejszą możliwość kontrolowania bezpieczeństwa.
- Przeciętnie firmy przeznaczają około 6% zasobów IT na zajmowanie się bezpieczeństwem – w związku z tym przedsiębiorstwa z małym budżetem muszą rozdysponować ten fragment najlepiej, jak tylko potrafią.
Lista zakupów dla bezpieczeństwa
Do niedawna wymagało to od małych firm nieproporcjonalnie dużych inwestycji w bezpieczeństwo. Jednak dwa nowopowstałe rozwiązania pozwoliły małym i średnim przedsiębiorstwom zadbać o bezpieczeństwo swoich danych na poziomie korporacyjnym.
- Po pierwsze, model oparty o chmurę pozwala przedsiębiorstwu na szybkie wdrożenie rozwiązania bezpieczeństwa wraz z możliwością zarządzania nim zdalnie (aktualizacje oraz bazy wirusów obsługiwane są przez dostawcę) przy jednoczesnym niewielkim lub zerowym koszcie początkowym i przewidywalnym koszcie miesięcznego abonamentu. Co więcej, w ten sposób mogą być dostarczane zaawansowane i zintegrowane usługi – od antywirusów i firewalli aż po kontrolę aplikacji webowych i mediów społecznościowych. Dzięki temu przedsiębiorstwa mogą skoncentrować się na rozwiązywaniu problemów biznesowych i rozwoju, a ochronę sieci pozostawić profesjonalistom. Istnieje cała masa usług bezpieczeństwa opartych o chmurę dostarczanych przez dobrze usytuowanych na rynku liderów w branży, co jest niezwykle atrakcyjną opcją dla firm, które chcą zminimalizować koszty początkowe. Jako że zagrożenia bezpieczeństwa stają się coraz bardziej złożone i występują coraz częściej, nawet najlepiej wyposażone korporacyjne działy bezpieczeństwa IT mają problem by za nimi nadążyć. W pełni zarządzane usługi bezpieczeństwa osadzone w chmurze pozwalają zdjąć ciężar obsługi bezpieczeństwa z barków małej firmy.
- Drugim wyjściem jest skorzystanie z tego, że znacznie spadły ceny sprzętu, który jest elastyczny w konfiguracji i posiada możliwości ulepszenia. Pozwala to na uzyskanie spójnych, zintegrowanych funkcjonalności bezpieczeństwa (przykładowo VPN, IPS, anti-spam, kontrola aplikacji, filtracja URL), na które wcześniej mogły sobie pozwolić tylko wielkie korporacje, w cenie rzędu kilkuset zamiast kilku tysięcy funtów. Dla wielu firm jest to możliwość wdrożenia zaawansowanego rozwiązania bezpieczeństwa przy zachowaniu wspomnianego 6% fragmentu budżetu przeznaczonego na ochronę danych.
Liczy się edukacja
Jak wspomniano wcześniej, rozmiar przedsiębiorstwa nie powinien mieć wpływu na bezpieczeństwo firmy. Kluczowa jest tutaj świadomość pracowników na temat zagrożeń bezpieczeństwa IT. W naszym raporcie bezpieczeństwa z 2013 roku odnotowaliśmy, że 54% z blisko 900 badanych firm na całym świecie spotkało się z przynajmniej jednym incydentem potencjalnego wycieku danych w wyniku wysłania emaila do niewłaściwego lub zewnętrznego odbiorcy lub w efekcie niewłaściwego umieszczenia informacji w Internecie. Raport wykazał również, że 52% naraża firmę na ryzyko włamania poprzez niewłaściwe nawyki przy korzystaniu z komputera.
Atakujący chcą wykorzystać właśnie te proste ludzkie błędy – manipulują nic niepodejrzewającego pracownika by kliknął w link umieszczony w phishingowym emailu, co spowoduje zainfekowanie komputera, lub pozyskują wrażliwe dane przypadkiem zamieszczone na niewłaściwej stronie internetowej. Niestety jesteśmy przyzwyczajeni by ufać innym i niezwykle trudno jest zmienić ten nawyk, gdyż pracownicy chcą być pomocni oraz mieć poczucie, że wykonują swoją pracę efektywnie.
To jest właśnie punkt, w którym edukacja pracowników może mieć kluczową rolę w polepszeniu jakości bezpieczeństwa – należy szkolić pracowników odnośnie potencjalnych zagrożeń oraz tego, jak ich działania polegające na unikaniu phishingowych maili, fałszywych stron itp. mogą zminimalizować ryzyko włamania. I tutaj małe firmy mają przewagę, gdyż mają mniej pracowników do przeszkolenia. Często te proste metody mogą sprawić, że firma będzie „normalnie funkcjonować” zamiast walczyć z incydentami bezpieczeństwa.
autor: Jan Petersen