Ofiarą cyberprzestępców coraz częściej padają nie tylko wielkie korporacje lub banki. Na takie zagrożenia narażone są także małe firmy czy też zwykli użytkownicy internetu. O tym, czy polskie firmy są przygotowane na wypadek cyberataków, jakie branże są na nie najbardziej narażone i jak przedsiębiorcy mogą chronić się przed hakerami rozmawiamy z Dariuszem Włodarczykiem - ekspertem ds. cyberbezpieczeństwa z Biura Hestia Corporate Solutions oraz Maciejem Kleiną i Tomaszem Dolatą - underwriterami (osoby opowiedziane za ocenę ryzyka) z Biura Ubezpieczeń Korporacyjnych Ergo Hestii.
Cyberprzestępcy i hakerzy przeciętnemu człowiekowi bardziej kojarzą się z kinem akcji niż realnym zagrożeniem. Jak to wygląda w praktyce? Czy nasze firmy są rzeczywiście zagrożone przez działania cyberprzestępców, czy może dotyka to kraje bardziej rozwinięte?
Człowiek to w przypadku cyberbezpieczeństwa 80 proc. sukcesu albo 80 proc. szansy na skuteczny atak ze strony hakerów. To od człowieka zależy, czy w coś kliknie, czy nie i czy to zagrożenie nas dotknie.
Dariusz Włodarczyk: - Filmy i rzeczywistość wiele łączy, ale jest jedna istotna różnica - czas wydarzeń. W rzeczywistości działania cyberprzestępcy mogą trwać miesiącami. Oczywiście wiele zależy od stopnia zabezpieczenia "ofiary". Do wydobycia niezbędnych do ataku informacji może dojść podczas jednej rozmowy telefonicznej, po której uzyskamy dostęp do wybranego systemu. Niejednokrotnie przestępcy trafiają na poważne przeszkody w formie zabezpieczeń technologicznych czy też wysokiej świadomości samych pracowników. To sprawia, że zabezpieczenia te trzeba forsować tygodniami, a nawet miesiącami.
Ryzyko ataku na rodzime firmy jest takie samo, jak w innych częściach świata. Obecnie kraje europejskie mogą być nawet bardziej zagrożone działaniami cyberprzestępców. Przypomnijmy, że w maju 2018 roku w życie weszło rozporządzenie Parlamentu Europejskiego dotyczące nowego podejścia do ochrony danych osobowych. Nakłada ono konieczność zapłaty wysokich kar w przypadku nieprzestrzegania jego zapisów.
To dodatkowy powód dla hakerów do ataku na firmy przetwarzające dane osobowe. Kompromitując firmowe systemy zabezpieczeń mogą zagrozić udostępnieniem danych na zewnątrz. Przez takie działania przedsiębiorcy narażeni są nie tylko na zapłatę ewentualnego okupu, ale muszą się także liczyć z bardzo wysokimi karami finansowymi za złamanie przepisów wspomnianego rozporządzenia.
Czy jakaś branża jest szczególnie narażona na działania cyberprzestępców? DW: - W obszarze podwyższonego ryzyka znajdują się przede wszystkim firmy, które przetwarzają dużo danych, w tym firmy finansowe - banki, towarzystwa ubezpieczeń i przedsiębiorstwa świadczące różnego rodzaju usługi medyczne - począwszy od producentów leków, a skończywszy na szpitalach.
Jeszcze trzy lata temu ryzyka związane z cyberprzestępczością były na piątym miejscu na świecie. W roku ubiegłym pojawiły się już na miejscu drugim, zaraz po szkodach związanych z utratą zysku.
Do czego takie dane są wykorzystywane przez przestępców?DW: - Pierwszym krokiem jest z reguły wymuszenie okupu. W zamian hakerzy oferują przedsiębiorcom, że nie ujawnią, często wrażliwych, danych osobowych, które firma przetwarza. W przypadku placówek medycznych może np. chodzić o historię choroby, czy inne dane medyczne pacjentów. Przedsiębiorcę po ujawnieniu danych czekają z reguły dotkliwe kary finansowe, dlatego część z nich wychodzi z założenia, że lepiej zapłacić mniejszy okup i ich uniknąć.
Czy wiadomo, jak często dochodzi do takich przestępstw? Czy może firmy wolą tuszować takie przypadki, bojąc się kompromitacji, a może je bagatelizują? DW: - Informowanie o porażkach - a do takich musimy zaliczyć skuteczny atak na infrastrukturę IT - należy do rzadkości, dlatego rzadko możemy o nich usłyszeć. Zazwyczaj dowiadujemy się o takich zdarzeniach dopiero, gdy informacje wypłynęły na zewnątrz przypadkowo. Natomiast jeśli firma jest w trakcie ataku, to takie informacje są ujawniane bardzo rzadko.
Najczęściej o tym, że hakerzy zaatakowali wybraną firmę informowane są organizacje, które zabezpieczają przed takimi działaniami. Takie informacje objęte są umowami o poufności i nie wypływają do wiadomości publicznej.
To najczęstsza praktyka, kiedy ofiara dzieli się swoimi problemami z podmiotami zewnętrznymi. Ważne jest jednak uczenie się na błędach. Wnioski z ataku często można wyciągać zarówno od wewnątrz organizacji, jak też można zaangażować w to klientów i kontrahentów. W ostatnim okresie bardzo dobry przykład dają banki. Wspierają swoich klientów między innymi przez szeroką komunikację już przy próbie ataku, budują świadomość klientów w kontekście koniecznych zabezpieczeń i zachowywania ostrożności przy logowaniu oraz korzystaniu z usług banku w sposób zdalny.
Tomasz Dolata: - Z naszego doświadczenia wynika, że przedsiębiorcy nie bagatelizują cyberprzestępców. Z drugiej strony jednak spotykamy się z wieloletnimi zaniedbaniami w zakresie cyberbezpieczeństwa. Wiele zależy od branży - w bankowości, telekomunikacji, czy sektorze energetycznym spotykamy się z wysokim stopniem świadomości oraz zaawansowaną techniką zabezpieczającą przed atakami. Natomiast zarządzający firmami produkcyjnymi często jeszcze uważają, że cyberprzestępczość ich nie dotyczy i właśnie z tego powodu stają się stosunkowo łatwym celem dla dużych grup przestępczych, ale także dla początkujących przestępców. Dzisiaj zagrożony jest każdy, bo hakerzy dysponują szeroką gamą różnego rodzaju ataków, które mogą dotknąć praktycznie każdego.
Trzeba pamiętać, że pierwsza fala ataku może dotknąć nasze własne bazy danych, czy spowodować przestój przedsiębiorstwa, a z drugiej strony konsekwencją może być problem wizerunkowy, fala roszczeń i kary związane z dyrektywą RODO.
Czy firmy częściej radzą sobie same z atakami cyberprzestępców, czy może korzystają z usług specjalistów zewnętrznych w tym zakresie? DW: - Duże organizacje mają własne centra kompetencyjne, które są w stanie ochronić ich infrastrukturę przed atakiem. Mniejsze firmy często nie mają tak zasobnego portfela, ani nie dysponują odpowiednio wyszkolonymi zasobami ludzkimi, aby takie centra utworzyć. Wtedy jednym z rozwiązań jest zlecenie takiej usługi na zewnątrz, ale tutaj też trzeba wybierać ostrożnie. Nierzadko spotykamy się z przypadkami, kiedy taki "outsourcing" ze względu na dużą liczbę klientów, zapewnia tylko powierzchowne podejście i taki sam poziom zabezpieczeń. W ten sposób klienci wciąż narażeni są na różnego rodzaju ataki.
Zabezpieczyć się przed cyberprzestępcami można nie tylko inwestując w wiedzę i najnowsze technologie. Czy przed skutkami takich zdarzeń można się ubezpieczyć? TD: - Ważne jest podejście kompleksowe - zarówno dobre zabezpieczenia techniczne, jak i dobre ubezpieczenie. Ta zasada obowiązuje nie tylko w odniesieniu do bezpieczeństwa w cyberprzestrzeni. Jako ubezpieczyciel oferujemy obydwie usługi, bo zależy nam na dobrym zabezpieczeniu klienta i wspólnym podnoszeniu poziomu zabezpieczeń oraz świadomości. Funkcja kompensacyjna po szkodzie to tylko jedno ze świadczeń, których oczekiwać mogą nasi klienci. Wcześniej możemy przeprowadzić audyt zabezpieczeń i testy penetracyjne, które kończą się rekomendacjami dla klienta. To dobry pierwszy krok do podjęcia współpracy. Kolejnym etapem jest ubezpieczenie, które pokrywa szkody związane z atakiem hakerskim i wirusem komputerowym, czyli koszty, jakie klient może ponieść w wyniku ataku. Zaliczają się do tego koszty związane z przywróceniem utraconych danych elektronicznych czy zakup nowego oprogramowania uszkodzonego podczas ataku. Takiemu ubezpieczeniu podlega też różnego rodzaju oprogramowanie produkcyjne, np. typu SCADA (system informatyczny nadzorujący przebieg procesu technologicznego lub produkcyjnego - przyp. red.).
Ubezpieczenie może pokrywać także utracony zysk, jeśli firma w wyniku ataku hakerskiego musi wstrzymać produkcję lub nie może świadczyć usług. Ubezpieczyciel pokrywa także koszty pośrednie, takie jak porady prawne, działania public relations czy kary administracyjne oraz okup dla cyberprzestępców.
Maciej Kleina: - Ubezpieczenie od cyberataku nie uchroni nas jednak przed samym
wypadkiem. Przedsiębiorcy najczęściej skupiają się na tym, co jest dla nich najbliższe. Wiedzą o tym, że firma może się spalić, może zostać zalana, a elektronika może się przepalić. Niestety często dopiero przykre własne doświadczenie powoduje, że zaczynamy myśleć o zabezpieczeniu danego obszaru działalności. Ci, którzy nigdy nie zostali dotknięci szkodą cybernetyczną rzadko myślą o cyberubezpieczeniach.
Poziom świadomości przedsiębiorców wrasta nieproporcjonalnie wolno do zagrożeń i nowych form ataku. Dziś straty możemy ponieść nie tylko przy kierunkowych atakach hakerskich. W Internecie aż roi się od prób ataku skierowanych do odbiorcy masowego. Chodzi na przykład o maile ze złośliwym oprogramowaniem wysyłane "na ślepo". Przez nieuwagę pracownika takie oprogramowanie może zostać wprowadzone do wewnętrznej sieci i skutkować ujawnieniem danych osobowych. W takim przypadku mamy do czynienia z naszą odpowiedzialnością cywilną.
Zarządzający firmami produkcyjnymi często jeszcze uważają, że cyberprzestępczość ich nie dotyczy i właśnie z tego powodu stają się stosunkowo łatwym celem dla dużych grup przestępczych.
Przedsiębiorca jest odpowiedzialny za dane osobowe pracowników i klientów. Jeśli dane zostaną udostępnione lub wykradzione to osoby, których to dotyczy, mogą złożyć wnioski o zadośćuczynienie za naruszenie ich dóbr osobistych, ponieważ takie dane jak PESEL czy adres są dobrem, które musi być odpowiednio chronione.
Trzeba pamiętać, że pierwsza fala ataku może dotknąć nasze własne bazy danych czy spowodować przestój przedsiębiorstwa, a z drugiej strony konsekwencją może być problem wizerunkowy, fala roszczeń i kary związane z dyrektywą RODO.
Czy świadomość naszych przedsiębiorców dotycząca zagrożeń ze strony cyberprzestępców rośnie? TD: Przy szkodach materialnych łatwiej sobie wyobrazić, co może się wydarzyć. Dane elektroniczne są niematerialne i tym samym ciężej sobie zwizualizować skutki wywołane przez ich utratę. Naszym zadaniem jest uświadamianie klientów, że zagrożenie związane z cyberryzykiem jest coraz poważniejsze. Jeszcze trzy lata temu ryzyka związane z cyberprzestępczością były na piątym miejscu na świecie. W roku ubiegłym pojawiły się już na miejscu drugim, zaraz po szkodach związanych z utratą zysku, czyli związanych z majątkiem. Na świecie i w Polsce ta świadomość wzrasta, jednak dzieje się to wolniej, niż byśmy chcieli. Proces budowania świadomości przyspieszy zdecydowanie, gdy będziemy mieli do czynienia z coraz większą liczbą szkód, o których będą informowały media i których doświadczą klienci.
MK: - Biznes już się zmienia. Banki przykładają bardzo dużą wagę do bezpieczeństwa w sieci. Wysyłają swoim klientom wiele komunikatów skupiających się na budowaniu świadomości - informują, jak używać ich stron internetowych, jak się logować, na co zwracać uwagę, czego nie udostępniać tak, aby przestępcy nie przejęli dostępu do naszych kont. Jeszcze kilka lat temu takie komunikaty należały do rzadkości, dziś są na porządku dziennym. Świadomość polskich przedsiębiorców też się stale zmienia. Jednak powiedzenie "Polak mądry po szkodzie" wciąż obowiązuje i wiemy, że nic tak nie przyspiesza zmiany podejścia do tego typu ryzyk, jak odczucie szkody na własnej skórze.
W obszarze podwyższonego ryzyka znajdują się przede wszystkim firmy, które przetwarzają dużo danych, w tym firmy finansowe - banki, towarzystwa ubezpieczeń i przedsiębiorstwa świadczące różnego rodzaju usługi medyczne.
Często atakowane ostatnio portale randkowe lub aplikacje zarządzające dużą liczbą danych osobowych przeznaczają zazwyczaj większe środki na zabezpieczenia i rzesze specjalistów niż na ubezpieczenia od takich ataków. Jako ubezpieczyciel skupiamy się przede wszystkim na organizacjach, które nie dysponują wystarczającymi środkami finansowymi, aby zabezpieczyć się przed atakami hakerów. Takie firmy coraz częściej decydują się na ubezpieczenia od skutków cyberataków.
Rozwój technologii zapewne wymusza także rozwój technik stosowanych przez cyberprzestępców. Czy takie działania będą coraz dotkliwiej odczuwalne? Co czeka nas w przyszłości? DW: - Zabezpieczenia technologiczne i ubezpieczenia będą się rozwijać proporcjonalnie do rozwoju technologii informatycznych, a co za tym idzie - rozwoju nowych zagrożeń. Bezpieczeństwo to sztuka kompromisu pomiędzy tym, jak się skutecznie zabezpieczyć i jak nie utrudnić sobie życia. Odnosząc to do naszej codzienności, im więcej mamy zamków, tym więcej musimy czasu poświęcić na dostanie się do mieszkania. W przyszłości w coraz większym stopniu będziemy wystawieni na ataki przez wirusy typu ransomware (oprogramowanie szantażujące) i wszelkiego rodzaju pochodne, czyli aplikacje szyfrujące i odbierające nam dostęp do danych.
Aby skutecznie się chronić w pierwszej kolejności powinniśmy stawiać na człowieka, a nie na sprzęt czy oprogramowanie. Trzeba stale podnosić świadomość i edukować pracowników tak, aby potrafili zminimalizować zagrożenie atakiem. Człowiek to w przypadku cyberbezpieczeństwa 80 proc. sukcesu albo 80 proc. szansy na skuteczny atak ze strony hakerów. To od człowieka zależy, czy w coś kliknie, czy nie i czy to zagrożenie nas dotknie. Dopiero później działają systemy informatyczne, które są kolejną barierą przed zagrożeniem cybernetycznym. Gdy obydwa te ogniwa zawiodą, pomocne okazuje się ubezpieczenie.
Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii. 
Filmy