Prezes Instytutu Larry Ponemon twierdzi, że każda firma prędzej czy później stanie się celem cyberataku i dodaje, że odpowiednie przygotowanie i planowanie działań może zminimalizować straty.

Co było największą niespodzianką w tegorocznym raporcie?

Larry Ponemon: W Stanach Zjednoczonych straty spowodowane cyberprzestępczością były większe niż gdziekolwiek indziej, badania wykazały aż 20% wzrostu. To przekłada się na 15,5 miliona dolarów strat na firmę. W następnych w rankingu Niemczech było to 7,4 mln $.

Dlaczego to właśnie w USA straty były największe?

LP: Ma to związek z wysokim kursem dolara w mijającym roku, ale to nie wszystko. Branża bezpieczeństwa informatycznego jest zgodna co do tego, że USA wyprzedza pozostałe kraje pod względem technologii i zarządzania bezpieczeństwem, zatrudnia się tam więcej ekspertów i szkoli personel, jednak do większości naprawdę poważnych cyberataków doszło właśnie w Stanach. Źli ludzie widzą duże pieniądze, a więc popełnianie przestępstw w USA opłaca się im bardziej, niż w innych krajach.

Co mogą zrobić firmy i organizacje, by zmniejszyć straty?

LP: Niektóre technologie bezpieczeństwa wydają się robić różnicę. Na przykład systemy wczesnego ostrzegania i reagowania SIEM (security information event management) i inne narzędzia wywiadu sieciowego pozwalają na wykrycie anomalii i podejrzanych aktywności zaim dojdzie do infiltracji systemu twojej firmy. Zaawansowane smart-firewalle również posiadają systemy rozpoznawania zagrożeń. Ponadto, im więcej rozwiązań kryptologicznych – takich jak tokenizacja – stosujesz, tym trudniej cyberprzestępcom dostać się do twoich danych.

Co jest najsłabszym ogniwem, na które firmy powinny zwracać szczególną uwagę?

LP: Wszędzie – nie tylko w Stanach – zdecydowanie najsłabszym ogniwem jest to, co nazywam „dobrym człowiekiem robiącym głupotę”. Ludzie starają się np. jak najszybciej napisać kod, by odpalić aplikację w terminie. Mają nadzieję, że nie popełnią przy tym krytycznego błędu, co nawet im się udaje – problem jednak w tym, że nie traktują bezpieczeństwa priorytetowo.

Co mogą zrobić liderzy IT, by dostarczać bezpieczne kody i nadążać za terminami?

LP: Firmy traktujące bezpieczeństwo poważnie przeprowadzają dodatkowe kontrole jakości niezależne od developerów. Problem w tym, że większość firm w ogóle się tym nie przejmuje. Niektóre z nich w ogóle nie wykonują testów bezpieczeństwa, dopóki produkt nie jest ukończony. To problem z kulturą organizacji, zaczynający się od samej góry. Managerowie muszą zrozumieć, że te kilka tygodni opóźnienia może być kluczowe dla bezpieczeństwa ich produktów.

Na jakiego rodzaju cyberataki powinniśmy szczególnie uważać?

LP: Przede wszystkim na phishing. Wyłudzanie danych uwierzytelniających znacznie wzrosło w każdym z krajów objętych naszym badaniem. Kiedyś łatwo było zauważyć fałszywy e-mail – logo było niewyraźne, w tekście pełno literówek. Teraz cyberprzestępcy są o wiele sprytniejsi. Wyślą na przykład e-mail upozowany na wiadomość ze szpitala, podpisany imieniem i nazwiskiem twojego lekarza. Mogą nawet wspomnieć o ostatnio wykonanym zabiegu, by uwiarygodnić prośbę o dane uwierzytelniające – rzekomo niezbędne do odnowienia recepty. Kiedy przestępca dysponuje takimi danymi, może bez trudu wejść do twojej firmy i wykraść ogromne ilości wrażliwych danych.

Kolejna kategoria to malware – złośliwe programy stają się coraz bardziej zaawansowane i trudniejsze do wykrycia. Niektóre z nich potrafią pozostawać przez długi czas w uśpieniu, zanim dojdzie do cyberataku.

A co z wymuszeniami? Weźmy na przykład sprawę Ashley Madison. Użytkownicy otrzymywali maile z groźbami, że dowody ich aktywności na tym portalu zostaną przekazane ich żonom – oczywiście, jeśli nie zapłacą za milczenie.

LP: W tym roku mieliśmy do czynienia z kilkoma przypadkami polegającymi na tym, że cyberprzestępcy wykradali informacje a potem próbowali wymuszenia okupu. Po prostu kontaktowali się z firmą i mówili coś w stylu: „Jak nie zapłacicie nam 25 milionów $, to umieścimy te informacje w internecie”. Wbrew pozorom, ludzie dokonujących takich prób nie są prymitywnymi prostakami. Wręcz przeciwnie – często wiedzą, na jakie informacje polować. Wiedzą, które dane są wrażliwe, poufne czy ściśle tajne. Dlatego są tak groźni.
Wiele przedsiębiorstw nie chce dzielić się doświadczeniami z tego typu ataków, ponieważ wydaje im się, że mogłoby to poważnie zaszkodzić ich wizerunkowi. Jednak dzielenie się wiedzą o zagrożeniach prowadzi do tego, że uczymy się także na cudzych błędach – jeśli coś stało się w firmie A, możemy temu zapobiec w firmie B, lub przynajmniej być na to lepiej przygotowani. Wymiana doświadczeń odnośnie naprawdę przykrych cyberataków zaczyna się rozkręcać, ale póki co to o wiele za mało.

Co doradziłby pan przedsiębiorcom pragnącym lepiej chronić swoje dane?

LP: Po pierwsze, upewnijcie się, że cały wasz ekosystem jest bezpieczny. Nie chodzi tylko o infrastrukturę i ekspertów od zabezpieczeń – każdy pracownik firmy powinien rozumieć i stosować podstawowe reguły bezpieczeństwa. Co najważniejsze – jeśli dzieje się coś, z czym laik nie wie jak sobie poradzić – zadbaj o to, by wiedział do kogo zwrócić się o radę.

Po drugie, niezwykle istotne jest zarządzanie bezpieczeństwem. Takie rzeczy nie powinny dziać się po fakcie, polityka bezpieczeństwa danych powinna być strategicznie powiązana z celami biznesowymi przedsiębiorstwa.

Po trzecie, lepiej skupiać się na opanowywaniu zagrożeń niż na prewencji. Problem z zapobieganiem polega na tym, że możesz wydać na nie nieskończenie wiele pieniędzy a i tak nie osiągniesz zamierzonego celu.

(red/strefahpe.pl)