Ataki przy użyciu poczty elektronicznej, shadow IT, a także luki w zabezpieczeniach wynikające z zakończenia wsparcia dla wciąż używanych przez wiele firm systemów operacyjnych to pułapki, w które najczęściej wpadają organizacje prowadzące swoją działalność w Polsce. Jak podaje raport KPMG, w 2018 roku blisko 70% z nich odnotowało przynajmniej jeden cyberincydent. Przedsiębiorstwa same przyznają, że w zapewnieniu oczekiwanego poziomu bezpieczeństwa największym
wyzwaniem wciąż pozostaje człowiek.
14 stycznia zakończyło się wsparcie techniczne dla systemu Windows 7, który jak czytamy w NetApplications, w listopadzie 2019 roku zainstalowany był jeszcze na około 26% komputerów na świecie. Wiele z tych urządzeń niestety “pracuje” na co dzień w dużych organizacjach. Co to oznacza dla nich w kontekście bezpieczeństwa IT? Brak aktualizacji grożący między innymi atakami hakerskimi prowadzącymi do utraty danych i reputacji. Najbardziej ryzykują duże przedsiębiorstwa, których cenne zasoby mogą stać się łatwym celem dla cyberprzestępców. Jednak ataków spodziewać się mogą też mniejsi – ci mający bardziej ograniczoną infrastrukturę i słabsze, często ignorowane procedury bezpieczeństwa.
Czy można skutecznie poradzić sobie z takim zagrożeniem?
Zła wiadomość to dobra wiadomość
Przedsiębiorcy mogą odetchnąć z ulgą – jest przynajmniej kilka sposobów na uniknięcie problemów wynikających z końca wsparcia dla systemu Windows 7. Najważniejsze jest jednak samo uświadomienie sobie zagrożenia.
– Firmy muszą mieć świadomość tego, że każdy komputer z Windows 7, czyli taki, który pozbawiony jest wsparcia Microsoft, stanowi zagrożenie dla całej firmy i innych urządzeń – także tych, które mają już zainstalowany nowy software. Nie warto więc zwlekać z podejmowaniem odpowiednich kroków – tłumaczy Grzegorz Mamorski, Senior Account Manager z Innergo Systems.
Rozwiązań jest kilka. Jedno z nich to inwestycja w nowszą wersję systemu Windows. W tym przypadku lepiej zdecydować się na “dziesiątkę”, bo Windows 8 przestanie być wspierany w 2023 roku. Ponieważ jednak taka zmiana systemu wiąże się z jednej strony z kosztami, z drugiej z koniecznością nauczenia się zupełnie nowego narzędzia, warto przemyśleć także opcję drugą, czyli wdrożenie w firmie systemu innego producenta, np. macOS.
Jakie korzyści przynosi taki krok? Przede wszystkim gwarantuje odpowiedni poziom bezpieczeństwa dzięki ciągłym aktualizacjom.
– System operacyjny i wszelkie zainstalowane na komputerach oprogramowanie muszą być systematycznie aktualizowane. To pozwala załatać nowo wykryte luki, które mogłyby zostać wykorzystane przez hakerów – mów Rafał Mazur, Technical Engineer z Innergo Systems. – Bezpłatne aktualizacje dostępne są na przykład w systemie macOS, a ich instalowanie dział IT może odgórnie wymusić na wszystkich firmowych komputerach. Daje to pewność, że sprzęt pozostaje pod stałą ochroną, a pracownicy mogą swobodnie korzystać z najnowszych funkcji urządzeń, nie narażając się na utratę danych.
Niebezpieczeństwo czai się w cieniu
Aktualnie coraz częściej zaciera się granica pomiędzy sprzętem firmowym a prywatnym. Związane jest to z wieloma zjawiskami, m.in. również z shadow IT, przy pomocy którego, jak twierdzi Gartner, już dziś przeprowadzany jest prawie co trzeci atak hakerski.
– To, że pracownicy sięgają po rozwiązania inne niż te zatwierdzone przez firmę, jest powszechną praktyką w organizacjach. Często pobrane i nieautoryzowane przez dział IT i tym samym nieodpowiednio zabezpieczone aplikacje służą im do tego, aby sprawniej realizować codzienne zadania – dodaje Rafał Mazur.
Aby uniknąć problemu, nie wystarczy zadbać o dostarczenie pracownikom odpowiednich narzędzi pracy, tak aby nie musieli oni szukać dodatkowych aplikacji i instalować ich na firmowym sprzęcie. Warto pozwolić im także na kontrolowaną kreatywność w tym temacie.
– Na rynku jest sporo rozwiązań, które dbają o instalowanie wyłącznie zaufanych aplikacji oraz pomagają w obronie przed złośliwym oprogramowaniem. Takim „strażnikiem aplikacji” w macOS jest Gatekeeper, pozwalający określać źródła, z których mogą być instalowane aplikacje. Prościej mówiąc, to funkcja, która dba o to, żeby każda nowo instalowana aplikacja była przed uruchomieniem sprawdzona pod kątem znanych zagrożeń bezpieczeństwa – tłumaczy Rafał Mazur.
W pułapki wpadają… ludzie
Firmy mogą i powinny zadbać o aktualizowanie oprogramowania oraz wprowadzenie odpowiednich polityk bezpieczeństwa, procedur reagowania i planów zarządzania kryzysowego na wypadek wystąpienia cyberataku. Najsłabszym ogniwem w tym łańcuchu zabezpieczeń pozostają jednak ludzie, którzy na co dzień używają systemów i aplikacji. Co ciekawe, to właśnie pracownicy wskazywani są przez przedsiębiorstwa jako problem w zakresie cyberbezpieczeństwa nawet częściej niż na przykład ograniczenia finansowe (KPMG: 63% vs 61%). Zatrudnieni – nieświadomi czyhających na nich zagrożeń – stają się marionetkami w rękach hakerów, którzy wykorzystują ich, by dostać się do najbardziej wrażliwych danych przedsiębiorstwa.
Można temu zapobiec, szkoląc pracowników i uczulając ich na niebezpieczne sytuacje. Na co w szczególności powinni uważać? Muszą być czujni przede wszystkim w momencie podejmowania ostatecznych decyzji dotyczących otwarcia podejrzanego e-maila, pobrania pliku lub aplikacji z nieznanego źródła czy kliknięcia w otrzymane powiadomienie bez sprawdzenia jego wiarygodności. Niebezpieczne może okazać się także użycie do celów służbowych prywatnego pendrive’a, podłączenie firmowego laptopa do ogólnodostępnych punktów wi-fi czy zalogowanie się do firmowej sieci z własnego komputera lub telefonu. Takie zachowania mogą narazić firmę na niebezpieczeństwo i to od wiedzy i świadomości pracownika zależy, czy uda się go uniknąć.
Hakerzy nie ustają w poszukiwaniach nowych metod dostępu do cennych informacji – podobnie “zbroić” powinna się druga strona, bo ignorując ostrzeżenia specjalistów, sami wystawiamy się na niepotrzebne zagrożenia, które mogą firmę dużo kosztować. Warto więc korzystać z wiedzy specjalistów, odpowiednio dobierając technologię oraz inwestując w ciągłe podnoszenie wiedzy i świadomości swoich pracowników.