Biznes w czasach pandemii. Czy da się wycenić cyberbezpieczeństwo? [OPINIA]

Sytuacja wywołana wystąpieniem wirusa Covid-19 zmusiła wiele przedsiębiorstw do przestawienia się na pracę zdalną. Aczkolwiek nie jest ona zjawiskiem nowym, to jednak skala niezbędnych do podjęcia działań zaskoczyła wiele z nich. W wielu przedsiębiorstwach problemem okazała się dostępność sprzętu nadającego się do pracy. Okazało się, że procesy i procedury obowiązujące w niektórych firmach, nie były właściwie przystosowane do nowych warunków. Zarządzanie zespołami w nowych warunkach okazało się kolejną przeszkodą. Jednak elementem, który okazał się jednym z większych wyzwań nowej rzeczywistości jest cyberbezpieczeństwo. Niski poziom świadomości zagrożeń z tym związanych sprzed czasów epidemii, wykazywany w wielu badaniach, w połączeniu ze skokowym wzrostem ataków typu phishing i ransomware, sprawił, że wiele przedsiębiorstw stało się podatnych na ataki jak nigdy dotąd. Korzystanie z domowych routerów wi-fi, bardzo często z niezmienionymi fabrycznymi ustawieniami, wykonywanie na jednym komputerze zadań służbowych i prywatnych, wysoka podatność na działania socjotechniczne spowodowane obawami przez narastającą falą zakażeń – to tylko niektóre elementy sprzyjające tym wszystkim, którzy postanowili zwiększyć częstotliwość ataków hackerskich wyczuwając w pandemii nadarzającą się okazję.

Dla większości zarządzających, zmiany wywołane przez Covid-19, to zagrożenie realizacji planów przychodowych przy jednoczesnej konieczności niezmienionego poziomu kosztów. Nic więc dziwnego, że większość działań podejmowanych w trybie zarządzania kryzysowego dotyczyła tych dwóch właśnie elementów. Tam gdzie wydatki były absolutnie niezbędne (przykładowo zakup nowych komputerów), podejmowano jest z ciężkim sercem. Tam jednak, gdzie ryzyko wydawało się być odległe i kiepsko zdefiniowane (a tak w dużej mierze postrzegane są w dalszym ciągu cyberzagrożenia) – podjęcie decyzji odkładano na później. Problem w tym, że owo później to termin niezmiernie elastyczny i odsuwający się w czasie wprost proporcjonalnie do wzrostu ilości zakażeń wirusem Covid-19. Takie zachowania nasuwają dwa pytania. Po pierwsze, czy w czasach gwałtownie zachodzących zmian, a w takim świecie przychodzi nam właśnie funkcjonować, właściwie ustawiamy priorytety naszych przedsiębiorstw? Po drugie, czy zwiększenie odporności na cyberzagrożenia faktycznie wymaga mega inwestycji w infrastrukturę IT?

Kiedy osiem lat temu przeczytałem po raz pierwszy książkę „Antifragile: Things That Gain From Disorder” Nassima Taleba twórcy teorii dotyczącej występowania w gospodarce zjawisk określanych mianem „czarnych łabędziach”, nie byłem nią specjalnie zachwycony. Covid-19 sprawił jednak, że sięgnąłem po nią ponownie i choć język Taleba i warstwa faktograficzna w dalszym ciągu mnie nie porywa, to jednak kilka przemyśleń zawartych w tej pracy może pomóc w znalezieniu odpowiedzi na pierwsze zadane pytanie. Zdaniem Taleba większość menadżerów specjalizuje się w myśleniu statycznym, sądząc że ich zadaniem jest generowanie zysków. Kontrola ryzyka to coś co mogą ewentualnie rozważyć, przedkładając jednak finansowy sukces nad … przetrwanie firmy. Tymczasem, zdaniem autora, o tym kto przetrwa a kto dołączy do przedsiębiorstw w stanie spoczynku, decydować będzie stopnień podatności na nagłe zdarzenia mogące zagrozić dalszemu istnieniu firmy. To właśnie zdolność przekuwania wyzwań w możliwości określa Taleb mianem „antykruchości”. Jak się to ma do cyberbezpieczeństwa ? To dość proste, szczególnie jeżeli założyć że nawet przedsiębiorstwa, które trudno zakwalifikować jako działające w obszarze gospodarki cyfrowej, w coraz większym stopniu uzależniają swoją ciągłość działania od technologii która się na tą gospodarkę składa.  Atak typu ransomaware jest w stanie pozbawić firmę przestawioną na pracę zdalną możliwości działania. Przy ograniczeniach dotyczących możliwości wykorzystania przestrzeni biurowych (połączonych ze zwiększonym ryzykiem infekcji) może się okazać, że jedynym możliwym wyjściem będzie zaplata okupu. Ostatnio jeden z portali zajmujących się cyberbezpieczeństwem opublikował zapis negocjacji z hackerami w tym zakresie. Skończyło się na 4.5 milionach dolarów i wymianie grzeczności. A co jeśli przedsiębiorstwo nie dysponuje takimi środkami ?  Okup nie jest zresztą najgorszym co może się zdarzyć. Firmy takie jak Mersk czy Aramko odmówiły zapłaty i wydały setki milionów dolarów na ponowne przywrócenie operacji w swoich firmach, choć ich ustabilizowanie zajęło miesiące.

To jednak nie wszystko. Equifax po ataku hackerskim, nie tylko wydał setki milionów dolarów na infrastrukturę techniczną, ale musiał także zapłacić kwotę dochodzącą niemalże jednego miliarda dolarów należną w formie kar i ugód urzędom regulacyjnym oraz osobom pokrzywdzonym. Jak widać problem Taleba zysk czy przetrwanie, w przypadku cyberzagrożeń nie koniecznie musi być postrzegany jako dylemat. W istocie, większość skutecznych ataków hakerskich w pierwszej mierze odbije się na wynikach finansowych firmy a niektóre z nich, mogą doprowadzić do jej upadku. Nakłady na cyberbezpieczeństwo, są zatem tyle kosztem co inwestycją w zabezpieczenie przychodów i przetrwania firmy.

Co więcej zmiana stopnia podatności firmy na cyberataki, nie zawsze sprowadza się do inwestycji w infrastrukturę informatyczną. Zgodnie z badaniami wielu firm eksperckich, w tym IBM, olbrzymia większość (ponad 90%) skutecznych ataków hackerskich związana jest z wystąpieniem błędu ludzkiego. Czasami, są to błędy związane z utrzymaniem infrastruktury (przykładowo tolerowanie znanej już podatności systemu, której można byłoby zapobiec i odsuwanie w czasie jej usunięcia – Equifax), dużo częściej jednak jest to brak elementarnej wiedzy o istocie ryzyka oraz nieznajomość sposobów radzenia sobie w sytuacji, w której ryzyko takie się realizuje. Wszyscy znamy ćwiczenia przeciwpożarowe mające na celu weryfikację przygotowania osób pracujących w danym budynku do jego opuszczenia. A jak często przedsiębiorstwa organizują takie ćwiczenia, pozorując atak hackerski? Jak często zatrudniają firmy mające regularnie atakować infrastrukturę IT aby tym sposobem pozyskać wiedzę o słabościach tych systemów?  Nieczęsto, ale trudno się dziwić.

Edukacja w zakresie cyberbezpieczeństwa nie może bowiem zaczynać się w przedsiębiorstwach. Zdawali sobie z tego chyba sprawę autorzy „Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019–2024” pisząc o edukacji dostępnej na jak najwcześniejszym etapie dostępu dzieci i młodzieży do usług cyfrowych oraz konieczność zapewnienia wsparcia dla nauczycieli, których wiedza w tej kwestii jest co najmniej fragmentaryczna. Twórcy Strategii zauważyli także konieczność rozwijania świadomości społecznej w kierunku  bezpiecznego  korzystania  z cyberprzestrzeni. Oczywiście strategia jest dokumentem siła rzeczy ogólnym? A jej operacjonalizacja? Na razie (po prawie roku) trudno się jej dopatrzeć. A praktyka?  No cóż, w wielu szkołach lekcje informatyki w prowadzone są tak jak niegdyś kursy na prawo jazdy, tu jest CPU, tam szyna danych a taka jest definicja interfesju (choć trzeba uczciwie przyznać, że czytając nowe podstawy programowe widać, że idzie nowe). Nie inaczej jest w przypadku szkoleń w firmie. Wykład dotyczący co wolno czego nie wolno … raz… przy przyjęciu do pracy.

Wygląda na to, że czekanie na efekty działań deklarowanych w Strategii, przyjdzie nam jeszcze poczekać a w międzyczasie, przedsiębiorcy będą sami musieli radzić sobie z ryzykiem ataków na ich infrastrukturę i edukacją własnych pracowników. Narzędzi im nie zabraknie, bo na polskim rynku jest już sporo profesjonalnych portali i firm zdolnych organizować i przeprowadzać takie szkolenia w trybie ciągłym. Pojawiają się też rozwiązania SaaS, do samodzielnej organizacji ćwiczeń pozorujących atak hakerski i połączonych z nimi szkoleń. Problemem pozostanie zapewne kwalifikowanie takich działań jako kosztów i przesuwanie ich na koniec kolejki wydatków budżetowych co świadczyć może nie tylko o nieznajomości wykładu Nassima Taleba na temat budowania „antykruchości” firm, nie tylko o braku istnienia sensownej strategii zarządzania danymi w przedsiębiorstwie oraz braku mechanizmu pozwalającego na szacowanie ryzyk związanych z atakiem hackerskim. Może to świadczyć także o nieznajomości podstawowej terminologii z zakresu podatków. Ci którzy utrzymują, że nakłady na cyberbezpieczeństwo to koszty a najważniejsze są przecież przychody, powinni pamiętać, że właściwym określeniem jest nie „koszt” a „koszt uzyskania przychodu”.