Uwaga: cyberatak!

0

Ponad połowa firm korzysta z urządzeń mobilnych, a ponad jedna piąta realizuje część procesów biznesowych z ich wykorzystaniem – wynika z najnowszego raportu KPMG. Wśród nich wiele kancelarii prawnych. Coraz więcej firm pozwala też swoim pracownikom na używanie własnych urządzeń mobilnych w pracy. Nie byłoby w tym żadnego problemu, gdyby nie fakt, że urządzenia te nie są odpowiednio zabezpieczone przed cyberatakami.

Wykorzystywanie urządzeń mobilnych w pracy to dziś norma – bez smartfonów, tabletów trudno sobie wyobrazić funkcjonowanie współczesnego człowieka, pracownika i całych przedsiębiorstw, zwłaszcza usługowych. Smartfony mamy zawsze przy sobie – prowadzimy przez nie konwersację, łączymy się z pocztą, przesyłamy dokumenty, śledzimy bieżące wydarzenia, których znajomość często jest nam niezbędna w pracy – słowem wykorzystujemy je w dużo większym zakresie niż laptop leżący na biurku. Coraz częściej też z prywatnych urządzeń mobilnych korzystamy w pracy, w obrębie sieci firmowej – zgodnie z zasadą BYOD (Bring Your Own Device). To powoduje, że powinny być szczególnie chronione i zabezpieczane przed cyberatakami nie tylko przez nas, ale i przez naszą firmę, ponieważ stanowią one stosunkowo łatwą do sforsowania barierę dzielącą przestępców od zasobów prywatnych i coraz częściej firmowych. Pisaliśmy o tym m.in. w tekście „Smartfon – mój przyjaciel i mój wróg”. Profesor Jerzy Kosiński, specjalizujący się w przestępczości komputerowej, podkreślał wówczas, że wszystko, co może stanowić zagrożenie dla bezpieczeństwa danych w komputerze, może je stanowić dla smartfona i w związku z tym należy chronić co najmniej tak jak komputer. Tymczasem w firmach to zagrożenie jest wciąż bagatelizowane.

Firmy dbają o bezpieczeństwo, choć…

Według najnowszego raportu KPMG „Bezpieczeństwo technologii mobilnych” ponad połowa polskich przedsiębiorstw stosuje urządzenia mobilne w pracy. 45% firm wykorzystuje je do dostępu do firmowej poczty oraz kalendarza, a ponad jedna piąta realizuje część procesów biznesowych za pomocą aplikacji mobilnych. Generalnie firmy dbają o bezpieczeństwo danych – 76% z nich nie pozwala na przetwarzanie danych na urządzeniach mobilnych, jednak pozostała część – tak. I tylko połowa z nich wdrożyła politykę BYOD, umożliwiającą bezpieczną pracę na prywatnych smartfonach i tabletach, a połowa nie reguluje tego w żaden sposób. Trzeba od razu zaznaczyć, że używanie w firmie prywatnych urządzeń mobilnych stanowi dla służb IT istotny problem. Obok wprowadzenia silnych haseł, szyfrowania danych oraz wykrywania złośliwego oprogramowania muszą one wdrożyć takie rozwiązania, jak zdalną dystrybucję aplikacji, lokalizowanie urządzeń i możliwość ich blokowania czy zdalne czyszczenie pamięci w przypadku utraty urządzenia. A na to nie wszyscy chcą sobie pozwolić. Budzi to również uzasadniony opór wśród pracowników.

Michał Kurek, szef zespołu ds. cyberbezpieczeństwa w KPMG, podsumowując wyniki badania, stwierdził wprawdzie, że w znacznej większości przedsiębiorstwa dbają o bezpieczeństwo urządzeń mobilnych, a jedynie 4% firm ignoruje cyberzagrożenia, to zaznaczył, iż 30% firm ogranicza się wyłącznie do wymagań w formie zapisów w wewnętrznych politykach i procedurach bezpieczeństwa. W sprawach bezpieczeństwa to trochę za mało, zwłaszcza gdy weźmiemy pod uwagę, że firmami, które w największym stopniu wykorzystują technologie mobilne, są te, które pozwalają swoim pracownikom (w sposób uregulowany bądź nie) używać prywatnych smartfonów i tabletów w pracy. – Im mniejsze przychody przedsiębiorstw, tym częściej szukają one oszczędności w postaci zezwolenia na przetwarzanie danych firmowych na prywatnych urządzeniach mobilnych pracowników – podkreślono w raporcie. Na tym tle całkiem rozsądnie wypada liczna grupa przedsiębiorstw – 35%, które nie wykorzystują i nie zamierzają wykorzystywać urządzeń mobilnych w pracy, bo to skutecznie rozwiązuje problem ryzyka wycieku danych. No, ale chyba nie o to chodzi – nie można przecież pomijać istnienia nowoczesnych rozwiązań mobilnych i ich nie wykorzystywać w przedsiębiorstwie.

Hakerzy i niezadowoleni pracownicy

Za bezpieczeństwo informacji w polskiej firmie najczęściej odpowiada prezes zarządu lub dyrektor generalny (38%) albo też dyrektor lub pracownik działu IT (36%), a tylko w niewielkim odsetku firm zajmują się tym niezależne, uprawnione do tego osoby. W co dziesiątej nie ma w ogóle osoby zajmującej się cyberbezpieczeństwem. Trzeba przyznać, że to intrygujące dane, ponieważ firmy są świadome zagrożeń cyberatakami. Ponad 70% badanych uznało, że największym zagrożeniem są dla nich wycieki danych za pośrednictwem złośliwego oprogramowania (malware), wyłudzanie danych uwierzytelniających (phishing) oraz zaszyfrowanie danych w celu uzyskania okupu (kampanie ransomware). W pięciostopniowej skali ryzyka wystąpienia tych ataków respondenci określili kolejno na 3, 2,8 i 2,8 pkt. I tak też wygląda paleta preferowanych zabezpieczeń urządzeń mobilnych w firmach: niemal 93% wdrożyło oprogramowanie antywirusowe, 70% wymusza uwierzytelnienie się pracownika w celu dostępu do urządzenia, 63% ogranicza możliwość instalowania aplikacji mobilnych jedynie do tych zatwierdzonych przez organizację, ale tylko 57% z nich szyfruje wrażliwe dane i tylko 16% firm ma wdrożoną kompleksową platformę MDM (Mobile Device Management), zapewniającą większość z przedstawionych zabezpieczeń dla urządzeń mobilnych.

Co ciekawe włamania do urządzeń mobilnych nie są rozpatrywane jako realne ryzyko przez ponad połowę badanych firm. Oznacza to, że osoby odpowiedzialne za bezpieczeństwo danych (formalnie czy osobiście) prędzej sobie wyobrażają zaszyfrowanie danych wynikające z ataków cyberprzestępców niż ich utratę w wyniku kradzieży lub włamania do urządzenia mobilnego. Wśród osób lub grup stanowiących największe zagrożenie respondenci wymienili: pojedynczych hakerów (62% wskazań), zorganizowane grupy cyberprzestępcze (47%) oraz niezadowolonych lub podkupionych pracowników (28%). Zastanawiające, bo we wcześniejszym raporcie KPMG „Barometr cyberbezpieczeństwa 2018” wskazano, że w 2017 r. cyberataków dokonywały przede wszystkim zorganizowane grupy przestępcze (62%), pojedynczy hakerzy (61%) i właśnie niezadowoleni lub podkupieni pracownicy (56%).

Dlaczego polskie firmy bagatelizują zagrożenia związane z używaniem urządzeń mobilnych w pracy, zwłaszcza prywatnych, i nie chronią ich w dostateczny sposób przed cyberatakami? Odpowiedzi są prozaiczne: niemal połowa przedsiębiorstw (48%) wskazała, że ma trudności w zatrudnieniu i utrzymaniu wykwalifikowanych pracowników. A to zdaniem autorów raportu znacznie większy problem niż brak środków, na który zwróciło uwagę 38% badanych. W tym miejscu warto jednak podkreślić – aż 22% respondentów wskazało na brak wsparcia we wdrażaniu rozwiązań z zakresu cyberbezpieczeństwa najwyższego kierownictwa. To dość zaskakujące informacje, zwłaszcza gdy spojrzymy na strukturę objętych badaniem przedsiębiorstw – przeprowadzono je na próbie 100 firm, wśród których większość stanowiły firmy zatrudniające od 50–249 osób (54%) oraz powyżej 250 osób (27%), prowadzące przede wszystkim działalność usługową (17%) i handlową (12%), generujące roczne przychody na poziomie co najmniej 50 mln zł (93%). Firmy zatrudniające mniej niż 10 pracowników stanowiły zaledwie 1% badanych!

Outsourcing zadań
w zakresie cyberbezpieczeństwa

Autorzy raportu podkreślają, że organizacje, w których brak jest formalnego przypisania odpowiedzialności za bezpieczeństwo informacji, są świadome, że wpływa to negatywnie na poziom zabezpieczeń. Jednocześnie wskazują, że firmy o mniejszych przychodach częściej mają problemy z identyfikacją barier wpływających na odpowiedni poziom zabezpieczeń, natomiast te o najwyższych podkreślają problemy w utrzymaniu wykwalifikowanych pracowników. Wyjściem z tej sytuacji jest oczywiście outsourcing zadań w zakresie cyber­bezpieczeństwa. I firmy to robią – lepiej bowiem wydać kilka złotych na ochronę w ramach stałego abonamentu niż potem odkupować od cyberprzestępców dane, które sami powinniśmy chronić.

Jak na tle tych danych wygląda sytuacja w prowadzonej przez nas kancelarii prawniczej, każdy musi sobie odpowiedzieć sam. Z raportu KPMG wynika, że im mniejsza firma, tym większa swoboda w wykorzystaniu urządzeń mobilnych w pracy – w dodatku tych służbowych lub mówiąc szczerze: prywatno-służbowych, bo w pewnych sytuacjach trudno jest wyznaczyć granicę, który e-mail jest służbowy, a który prywatny, zwłaszcza gdy prowadzimy kancelarię butikową lub wprost jednoosobową. Tym bardziej więc, dopóki nie sięgniemy po bardziej profesjonalne rozwiązania, musimy dbać o przestrzeganie podstawowych zasad, które tym razem podajemy za autorami raportu.

9 zasad bezpiecznego korzystania
z urządzeń mobilnych

  1. Zabezpiecz dostęp do urządzenia silnym hasłem lub kodem biometrycznym.
  2. Nie pozostawiaj urządzenia bez opieki, bo może to się skończyć przejęciem danych lub kontroli nad nim przez cyberprzestępców.
  3. Monitoruj luki w zabezpieczeniach i aktualizuj oprogramowanie.
  4. Korzystaj jedynie z autoryzowanych źródeł i aplikacji.
  5. Łącz się wyłącznie do zaufanych sieci – nie ufaj otwartym punktom dostępowym. Jeśli nie używasz WiFi i Bluetooth, najlepiej je wyłącz.
  6. Zapewnij sobie możliwość zdalnego wyczyszczenia danych w przypadku kradzieży urządzenia.
  7. Nigdy nie zdejmuj zabezpieczeń – operacja jailbreak (iOS) czy rootowanie (Android) pozbawia urządzenie podstawowych zabezpieczeń systemu operacyjnego.
  8. Szyfruj dane wrażliwe – szyfrowanie transmitowanych danych oraz zapisywanych na urządzeniu to podstawowe zabezpieczenie przed utratą ich poufności.
  9. Wykonuj regularnie kopie zapasowe danych na swoim urządzeniu mobilnym. Szyfruj je w celu zapewnienia ich poufności.

Źródło: Raport KPMG