Menu
Siedlisko Milachowo
Menu

Czy polskie firmy i instytucje są bezpieczne?

Aktualności Bezpieczeństwo Biuro Firma IT Jakość Nowe Technologie Praca Społeczeństwo Warto wiedzieć

Nie ma tygodnia, aby media nie donosiły o przypadkach wycieku danych. Z jednej strony firmy i instytucje mają zazwyczaj zaufanie do własnych zabezpieczeń. Z drugiej jednak hackerzy i oszuści wciąż są aktywni. Wymuszają haracze i narażają ofiary na wysokie kary finansowe, nakładane przez odpowiednie instytucje.

cyberochrona

Powiedzenie „mądry Polak po szkodzie” doskonale pasuje do tematyki cyberbezpieczeństwa. Firmy i instytucje zazwyczaj wykazują zainteresowanie przeprowadzaniem audytów i szkoleniami dla pracowników dopiero wtedy, gdy dojdzie do tzw. incydentu bezpieczeństwa. Mowa tu o włamaniach do systemów informatycznych, ich zainfekowaniu, uzyskiwaniu nieuprawnionego dostępu do danych pracowników, a często i klientów.

Haracz albo kara

Bardzo często wirtualni włamywacze pobierają dane osobowe lub blokują dostępy do systemów firmy z myślą o wymuszeniu od ofiary gigantycznego haraczu. Skoro ten proceder trwa, można sądzić, że wiele przedsiębiorstw takiemu szantażowi ulega. Dlaczego się na to godzą? Ponieważ alternatywa bywa jeszcze bardziej kosztowna. Gdy haracz nie zostanie zapłacony, dane klientów trafiają na czarny rynek, a to oznacza ujawnienie ich danych osobowych, w tym adresów e-mail, numerów telefonów, a w skrajnych sytuacjach, nawet numerów kart kredytowych. To z kolei oznaczałoby nie tylko kłopoty dla klientów, lecz także poważne konsekwencje dla okradzionej firmy. Za naruszenie Rozporządzenia o Ochronie Danych Osobowych przewidziane są bowiem kary w wysokości do 4 proc. całkowitego rocznego obrotu z poprzedniego roku.

Motywacja ekonomiczna lub polityczna

O ile firmy komercyjne mogą obawiać się ataków motywowanych głównie chęcią zysku, o tyle instytucjom grożą również ataki ze względów politycznych. Np. wywiad obcego państwa może chcieć w ten sposób zdestabilizować pracę urzędów na szczeblu krajowym lub samorządowym. Dlatego instytucje powinny przykładać do zabezpieczeń nie mniejszą wagę niż przedsiębiorstwa prywatne.

Problemem jest również to, że wiele firm i instytucji nigdy nie testowało swoich zabezpieczeń. Także tych ludzkich. Dlatego poza zapewnieniem pana informatyka, że „u nas jest wszystko OK”, organizacje nie wiedzą tak naprawdę ,jak i czy wystarczająco są zabezpieczone – mówi Arkadiusz Stawczyk, trener i audytor, który w firmie Empemedia prowadzi szkolenia z cyberbezpieczeństwa.

Zarząd najsłabszym ogniwem

Kiedy firmy i instytucje stają przed możliwością przeszkolenia pracowników w zakresie bezpieczeństwa cyfrowego, często pada stwierdzenie, że to temat dla działów IT. Tyle że osoby dbające o techniczne bezpieczeństwo organizacji mają zazwyczaj wysoką świadomość w tym zakresie. Nie mają jej natomiast pozostali pracownicy, a nawet zarząd. − Statystyki bezlitośnie wskazują, że większość udanych ataków to wina człowieka. Jego braku świadomości, pośpiechu lub ignorowania wewnętrznych polityk bezpieczeństwa, a często wszystkiego naraz – wyjaśnia ekspert.

To zaś oznacza, że samo wprowadzenie zabezpieczeń i nawet najlepszy dział IT nie wystarczą, jeśli firma nie będzie prowadziła polityki bezpieczeństwa obejmującej wszystkich pracowników, którzy mają do czynienia z danymi osobowymi i dokumentacją elektroniczną. − Paradoksalnie najgorzej jest z tymi, którzy ponoszą największą odpowiedzialność. Mowa o kadrze zarządzającej, która bardzo rzadko uczestniczy w szkoleniach z cyberbezpieczeństwa – zauważa trener.

To jednak ma się już niedługo zmienić. W ramach implementacji unijnej dyrektywy dotyczącej cyberbezpieczeństwa „NIS2” wkrótce wejdzie w życie formalny obowiązek, aby kadra zarządzająca przechodziła odpowiednie szkolenia minimum raz w roku. W ocenie trenera z firmy Empemedia to duża i potrzebna zmiana.

Bezpieczeństwo w rękach pracowników

Skoro prezesi i menedżerowie nie palą się do szkoleń w zakresie cyberbezpieczeństwa cyfrowego, to tym bardziej temat muszą wziąć na swoje barki pracownicy. To oni powinni pilnować, żeby do danych firmy czy instytucji nie uzyskały dostępu nieodpowiednie osoby. Niestety do tego trzeba mieć odpowiednią wiedzę.

Pracownicy nie wiedzą, jak łatwo jest ich oszukać, wzbudzić zaufanie, podszyć się pod znany im numer telefonu, adres e-mail czy stronę internetową. Dopiero na szkoleniach zderzają się z przykładami ataków na inne firmy lub instytucje. Wtedy oczy mocno się otwierają – mówi Arkadiusz Stawczyk.

Dodatkowo na brak wiedzy nakłada się ogólny brak zaufania Polaków do przestrzegania zasad i regulaminów, które często są traktowane pro forma. A gdy dowiadują się o atakach w innych firmach, zakładają, że to inni są głupi, skoro dali się oszukać. − Cyberprzestępcy nie są idiotami i cały czas korygują swoje scenariusze, aby zwiększać swoją skuteczność. Rozwój sztucznej inteligencji, coraz większa rola dezinformacji a także zwykły pośpiech w codziennych obowiązkach powodują, że nawet osoby z branży dają się oszukać – zauważa trener.

Obecnie wciąż popularne są rozmaite scenariusze: „na wnuczka”, „na kod Blik”, „na OLX”, „na superinwestycje”. Ich rozmaite „mutacje” pokazują, że ludzie nadal dają się nabrać nawet na stosunkowo proste do wykrycia metody. Wśród ofiar zdarzają się także osoby dobrze wykształcone, ale niewystarczająco czujne w momencie zagrożenia.

Praca zdalna – realny problem

Praca zdalna zyskuje na popularności od wielu lat, a po okresie pandemii jej znaczenie jeszcze radykalnie wzrosło. Obecnie praca w trybie całkowicie zdalnym lub hybrydowym to standard w wielu firmach. Czy jednak praca na odległość nie wiąże się z większym ryzykiem? − Najczęściej tak. Przeważnie ryzyko jest większe, ponieważ zmieniają się zabezpieczenia z „firmowych” na „domowe”, ale nie musi tak być. Aby uniknąć ryzyka, również w domu trzeba przestrzegać tych samych zasad, np. stosować „politykę czystego biurka i ekranu”, a także nie dopuszczać do służbowych informacji żony, dzieci ani kota − tak, tak – kot także może przez przypadek wysłać maila – mówi ekspert.

Jeśli dodatkowo mamy szyfrowane nośniki w urządzeniach, chronimy fizycznie sprzęt i dane firmowe oraz łączymy się z systemami firmowymi w bezpieczny, zaakceptowany przez dział IT sposób, np. korzystając z VPN i dwuskładnikowego uwierzytelnienia, to ryzyko nie będzie większe.

Pytanie tylko, czy naprawdę wszystkich tych zasad przestrzegamy podczas pracy z domu? Praktyka pokazuje, że poza murami firmy pewne zasady traktujemy wybiórczo. Ma być łatwo i szybko, a to prosta droga do problemów.

Jak uchronić firmę przed incydentami?

Na pocieszenie warto dodać, że przed incydentami bezpieczeństwa zazwyczaj można się obronić. Przestępcy rzadko są tak zdeterminowani, aby włamywać się do wzorcowo strzeżonych systemów. Zazwyczaj idą na łatwiznę, wyszukując popularne luki w systemach informatycznych lub też licząc na naiwność pracowników. Niestety często ten łut szczęścia im się przytrafia.

Jeśli firma dba o świadomość pracowników i kadry zarządzającej, np. poprzez szkolenia, to większość zagrożeń uda się rozpoznać i zapobiec im, zanim dojdzie do nieszczęścia – twierdzi Arkadiusz Stawczyk.

Podstawowe zasady cyberhigieny

Poniżej wskazane przez eksperta zasady cyberhigieny, których powinni przestrzegać pracownicy biurowi. Oto 5 najważniejszych wskazówek.

  • Stosuj silne hasła i zarządzaj nimi przy pomocy menedżera haseł (a na pewno nie zapisuj na żółtych karteczkach przyklejanych nad monitorem).
  • Archiwizuj dane nie tylko w chmurze, ale także na fizycznych nośnikach. Serwer w chmurze również może spłonąć, ktoś lub coś go może wyłączyć albo uszkodzić.
  • Używaj skutecznych programów antywirusowych (skuteczne, to zazwyczaj te płatne), zarówno w komputerze, jak i w telefonie.
  • Na bieżąco aktualizuj oprogramowanie w komputerze i telefonie, ponieważ aktualizacje zazwyczaj „łatają” luki bezpieczeństwa.
  • Weryfikuj każdą otrzymaną informację. Zanim klikniesz w link, otworzysz załącznik, a nawet uwierzysz, że na pewno rozmawiasz przez telefon z właściwą osobą, upewnij się.

Szczególnie istotny jest ten ostatni punkt. Obecnie powinniśmy weryfikować każdą informację, jeśli na jej podstawie mamy podjąć jakąkolwiek decyzję. Każdy e-mail, sms, telefon, strona www, wiadomość na portalu społecznościowym, obrazek, materiał audio itd. musi podlegać sprawdzeniu. Nawet doświadczeni menedżerowie są często zaskoczeni, jak łatwo można się podszyć pod prawie każdy numer telefonu. To, że na wyświetlaczu widzimy nazwę banku lub czyjeś nazwisko, nie musi oznaczać, że dzwoni do nas właśnie ten nadawca. Podobną ostrożność należy zachować wobec korespondencji e-mail. Zawsze należy sprawdzać adresy nadawców, ale te rzeczywiste, a nie ustawione jako „nazwa wyświetlana”. − To może być nieco uciążliwe, ale warto. W końcu chodzi o nasze bezpieczeństwo – podsumowuje Stawczyk.

Źródło informacji: materiały prasowe

Tagi: , , ,

Dodaj komentarz

Twój adres email nie zostanie opublikowany.

  • Subskrybuj Nasz Biuletyn

  • Aktualności

  • Kategorie

    AIAktualnościAutomatykaBankowość i FinanseBezpieczeństwoBHPBiuroBudownictwoChemiaDom i ogródEdukacjaEkologiaEksportEnergetykaFirmaFirmy rodzinneGadżetGeopolitykaGiełdaGospodarkaHutnictwoImportinwestycjeITIzby GospodarczeJakośćKODKolejKonferencjeLeasingLogistykaLotnictwoMarketingMedycynaModaMotoryzacjaNagrodyNaukaNewConnectNieruchomościNowe TechnologieNowościOchrona ŚrodowiskaPaliwaPartnerzyPatronat medialnyPolitykaPracaPrawoPrzemysł cementowyPrzemysł spożywczyPrzemysł stoczniowyPrzemysł WydobywczyPublikacjeRolnictwoRozrywkaRynek GazuRynek LuksusuRynek ZbrojeniowySamorządSektor KosmicznySpółdzielczośćSpołeczeństwoSport i wypoczynekStrefy ekonomiczneŚwiatTargiTelekomunikacjaTransportTurystykaUbezpieczeniaUnia EuropejskaWarto wiedziećWybór redakcjiWydarzeniaWyniki finansoweWyróżnieniaWywiadZarządzanieZdrowie

  • Polecane

    Amsterdam zakazuje reklamy mięsa i paliw kopalnych

    Europejski Kongres Gospodarczy 2026: Nowe perspektywy dla Europy

    Finanse publiczne wymagają głębokich reform

    Luksus w obliczu transformacji

    Potencjał naukowy musi zaspokajać potrzeby rynku

    System ochrony zdrowia na krawędzi

    Finanse samorządowe w tyglu zmian

    Donosy do urzędu skarbowego: Kto i dlaczego informuje fiskusa o naszych dochodach?