Widoczne przyspieszenie cyfryzacji handlu, pracy i usług finansowych skłania firmy do podejmowania działań, które pozwolą im na skuteczniejsze zarządzanie ryzykiem cybernetycznym. Rosnąca świadomość zagrożeń sprawia, że coraz więcej organizacji stawia na opracowanie przemyślanej strategii opartej na identyfikacji i analizie ryzyka. Nowy raport 7N przedstawia model, który pozwoli kompleksowo zadbać o cyberbezpieczeństwo organizacji.
Według analizy McAfee i CSIS, cyberprzestępcy zarabiają rocznie 600 miliardów dolarów – o jedną trzecią więcej niż wart jest rynek narkotykowy. Każdego dnia powstaje 300 tys. nowych szkodliwych programów, a średnio co 39 sekund ma miejsce atak hakerski. Szczególnie wrażliwa na ich działanie jest branża finansowa. Trwające w tym sektorze przyspieszenie technologiczne, wywołane m.in. przez pandemię, tylko to ułatwia.
– Stworzenie ram cyberbezpieczeństwa dla osób pracujących zdalnie czy hybrydowo było możliwe już dawno temu. Takie rozwiązania jak choćby VPN, zapewniający bezpieczny dostęp do firmowych aplikacji czy baz danych, są w użyciu od lat. W czasie pandemii firmy, które wcześniej z nich korzystały, były bardziej odporne na ryzyka cybernetyczne od tych, które działają wyłącznie reaktywnie, naprawiając błędy w swoich zabezpieczeniach. W naszym raporcie podkreślamy, że należy myśleć o zapewnieniu bezpieczeństwa organizacji i jej pracownikom, nie z dzisiejszej perspektywy, a tym bardziej z wczorajszej, ale brać pod uwagę to, co będzie się działo za kilka lat – wyjaśnia Grzegorz Boruszewski, ekspert ds. cyberbezpieczeństwa, konsultant 7N.
Opublikowany właśnie przez 7N “Executive Brief: Cybersecurity in the Financial Industry” nie tylko nawiązuje do różnych filozofii cyberbezpieczeństwa, m.in. podejścia NIST (amerykańskiego Narodowego Instytutu Standaryzacji i Technologii), ale także prezentuje własny model cyberbezpieczeństwa stworzony przy współpracy z konsultantami i agentami 7N.
Choć proponowana przez twórców raportu ścieżka wydaje się prosta i uniwersalna, to w rzeczywistości jest ona bardzo elastyczna. Każda firma znajduje się na innym etapie mierzenia się z cyberzagrożeniami. W zależności od tego, jak przebiegnie audyt potencjalnego ryzyka, kolejne kroki mogą się drastycznie od siebie różnić.
Zagrożenie jest realne
Przyjęcie przez firmy, szczególnie z branży finansowej, kompleksowego podejścia okazuje się dziś niezbędne. Koszt braku odpowiednich zabezpieczeń jest zazwyczaj ogromny. Przelicza się go nie tylko na konkretne straty finansowe, lecz także na utratę zaufania do firmy czy instytucji. Prawdziwa wartość, jaką wnosi cyberbezpieczeństwo, to ochrona majątku firmy i jej klientów, jak również reputacji przedsiębiorstwa. Zabezpiecza się więc nie tylko jego dane, ale praktycznie całe dalsze funkcjonowanie.
– Warto porównać ze sobą dwa ataki hakerskie dokonane w ostatnich miesiącach przez grupę REvil. Ofiarą pierwszego z nich była firma Fujifilm. Jej dane zostały wykradzione, ale menedżerowie wiedzieli, jak zareagować. Zawczasu odseparowali określone zasoby firmy, wydali stosowny komunikat. Nie zapłacili okupu, którego żądali hakerzy, ponieważ posiadali kopie bezpieczeństwa firmowych danych. Takie działanie musiało być wcześniej przemyślane i przygotowane. W planach strategicznych były też uwzględnione bieżące przypadki oraz tendencje cyberzagrożeń.
Gdy ta sama grupa zaatakowała spółkę Kaseya, dostawcę oprogramowania dla setek tysięcy firm na całym świecie, sytuacja wyglądała zgoła inaczej. Cyberprzestępcy uzyskali dostęp do danych klientów korporacyjnych spółki. Gdyby firmy te prowadziły odpowiedni nadzór nad zewnętrznym oprogramowaniem, mogłyby sobie z takim atakiem poradzić. Natomiast część z nich po prostu instalowało oprogramowanie, dokonywało aktualizacji i działało na nim. Gdyby nie fakt, że finalnie REvil upublicznił kody odszyfrowujące dane, to firmy, które nie przewidziały wystąpienia takiego zdarzenia, czekałby potencjalny upadek. Okup za klucze deszyfrujące mógł okazać się zbyt wysoki – podsumowuje Grzegorz Boruszewski.
Analiza i ciągłość zamiast działań ad hoc
Zgodnie z modelem cyberbezpieczeństwa 7N, na początku procesu należy określić obszary ryzyka w swoim biznesie i według nich opracować dalszą strategię. Bardzo ważna jest także skuteczność wykrywania potencjalnych naruszeń i ograniczania ich skutków. Każda próba cyfrowego ataku powinna skłaniać firmy do wyciągania wniosków i wdrażania programów naprawczych.
– Bezpieczeństwo danych i systemów jest tak samo ważne jak zabezpieczenie przeciwpożarowe budynku, w którym mieści się biuro. Nie możemy jednak polegać na tym, że wynajęty specjalista przyjdzie do firmy raz na dwa lata – jak strażak, który kontroluje gaśnice w biurze – sprawdzi wszystkie systemy i wyda odpowiedni certyfikat. Nie da się skutecznie zarządzać procesami cyberbezpieczeństwa, jeśli wszyscy pracownicy – od dyrektorów po stażystów – nie są świadomi, na jakie ryzyka może być narażona firma. Stale zmieniająca się cyfrowa rzeczywistość powinna być bezpiecznym środowiskiem, zarówno dla pracowników i klientów, jak i dla firmy jako całości – podsumowuje Grzegorz Boruszewski z 7N.