Przedsiębiorcy niechętnie planują środki budżetowe na modernizację i rozbudowę systemów bezpieczeństwa. Ale tym samym łatwo wystawiają się na ataki – przekonuje dr Jowita Sobczak, ekspert od cyberbezpieczeństwa. Ryzyko jest spore, a polskie firmy wciąż je lekceważą. Stosując kilka ważnych zasad, jesteśmy w stanie zminimalizować straty. Najważniejsza jest uświadomienie sobie zagrożeń przez wszystkich pracowników - z szefami włącznie.
Dr Sobczak,specjalista w zakresie bezpieczeństwa informacji w swoim raporcie „Przeciwdziałanie nielegalnemu wywiadowi gospodarczemu w przedsiębiorstwie” udowadnia, że firmy często bagatelizują problem, bo wdrożenie systemu bezpieczeństwa wiąże się z wprowadzeniem ograniczeń w poszczególnych obszarach działalności, co może wydłużać czas pracy i zmniejszać zyski. Ale brak ochrony może oznaczać bardzo poważne skutki. Tym bardziej, że często zdarza się, że przedsiębiorstwa nie zdają sobie nawet sprawy, że już padły ofiarą szpiegostwa przemysłowego. „Dotyczy to zwłaszcza dużych koncernów przetwarzających strategiczne informacje, chronione na podstawie przepisów prawa, np. informacje niejawne, których ujawnienie mogłoby spowodować szkody dla ważnych interesów państwa” – czytamy w raporcie.
Podstawa to dobra organizacja
- Dotychczas przedsiębiorstwa nie zwracały uwagi na budowanie struktury przeciwdziałania atakom pochodzącym z cyberprzestrzeni. Przykład ostatnich lat i częste bezpośrednio ukierunkowane ataki na ważne obiekty lub usługi o znaczeniu strategicznym wręcz wymuszają na polskich podmiotach podjęcie środków, które nie tylko będą przeciwdziałać bezpośrednio ukierunkowanym atakom, ale także zbudują taką strukturę organizacyjną w przedsiębiorstwie, która wyprzedzająco będzie wskazywała na kierunki pochodzenia potencjalnych ataków. Doniesień o atakach, np. APT, będzie coraz więcej, ich ofiarą padać będzie coraz więcej przedsiębiorców, a wszystko to z jednego powodu - na „czarnym rynku” dostępnych jest coraz więcej narzędzi, których kombinacja pozwala na wykonanie zaawansowanych ataków, coraz mniej zaawansowanym użytkownikom – tłumaczy ekspert w rozmowie z Cyberdefence.24.
Najważniejsze to zbudowanie świadomości zagrożeń wśród pracowników - stworzenie odpowiedniego systemu zarządzania bezpieczeństwem informacji, a w szczególności infrastrukturą IT.
Co więc należy zrobić? Ratunkiem jest wprowadzenie odpowiedniego systemu bezpieczeństwa, dostosowanego do specyfiki konkretnego przedsiębiorstwa. Jak czytamy w opracowaniu najważniejsze są trzy warunki, by system był skuteczny. Są to: wysoka świadomość pracowników (poczynając od najwyższego kierownictwa), efektywne zarządzanie informacjami w taki sposób, aby zapewnić ich bezpieczeństwo oraz stworzenie odpowiednich rozwiązań technologicznych, które zapewniają realizację polityki bezpieczeństwa informacji.
- Istotne znaczenie ma zbudowanie struktury organizacyjnej w przedsiębiorstwie, która będzie przeciwdziałać bezpośrednio ukierunkowanym atakom, ale przede wszystkim wyprzedzająco wskazywać na kierunki pochodzenia potencjalnych ataków. Przedsiębiorstwa muszą skupić się na budowaniu wielopoziomowych, zintegrowanych zabezpieczeń, potrafiących korelować ze sobą incydenty pochodzące z różnych systemów i z różnych ich warstw. Najważniejszym pozostaje jednak zbudowanie świadomości zagrożeń wśród pracowników - stworzenie odpowiedniego systemu zarządzania bezpieczeństwem informacji, a w szczególności infrastrukturą IT. Dziś znakomita większość strategicznych informacji przetwarzana jest właśnie w systemach teleinformatycznych i to użytkownicy tych systemów wymagają największego wsparcia i zaangażowania środków do ich ochrony – dodaje dr Sobczak.
Każdy pracownik powinien to wiedzieć
Kierownictwo spółek powinno więc kompleksowo zarządzać zasobami informacyjnymi, a wdrożony w przedsiębiorstwie system bezpieczeństwa musi zapewnić ich efektywną ochronę i obronę przed szpiegostwem, cyberatakami i przestępczością komputerową.
Ważne są okresowe analizy ryzyka utraty informacji oraz plany postępowania z tym ryzykiem. Kierownictwo firmy powinno również zdecydować, jakiego rodzaju informacje mają podlegać szczególnej ochronie, z czym wiąże się ograniczenie do nich dostępu. Chodzi o listę dokumentów, które wymagają wyjątkowej ochrony w przedsiębiorstwie. Każdy pracownik powinien wiedzieć, które zasoby informacji i jak należy chronić. To wymaga wprowadzenia zasad oznaczania, udostępniania, publikowania, kopiowania i niszczenia informacji.
Z pomocą przedsiębiorcom przychodzą normy ISO. „Przedsiębiorstwa, opracowując system bezpieczeństwa, mogą posiłkować się „dobrymi praktykami” zawartymi w normie ISO/IEC 27001:2013, która umożliwia zarządzanie bezpieczeństwem informacji w sposób całościowy i usystematyzowany. Wskazana norma dotyczy całości funkcjonowania przedsiębiorstwa, ponieważ uwzględnia jego strukturę organizacyjną, politykę działania, zakres odpowiedzialności, praktyki, procedury, procesy i zasoby. Norma ta szczegółowo opisuje także wymaganą dokumentację i sposób jej prowadzenia. ISO/IEC 27001 jest normą zawierającą model systemu zarządzania bezpieczeństwem informacji, który może być zastosowany przez każdą organizację, niezależnie od specyfiki jej działalności, wielkości, realizowanych procesów, statusu prawnego i struktury organizacyjnej. Norma pozwala na ustanowienie, wprowadzenie, eksploatowanie, monitorowanie, przegląd i doskonalenie systemu” – czytamy w raporcie.
Przyszłość należy do przedsiębiorstw, dla których wprowadzenie systemu zarządzania bezpieczeństwem informacji to strategiczna decyzja. Jest to jedna z tych dziedzin, na których nie warto oszczędzać, bo skutki takich oszczędności mogą być wyjątkowo dotkliwe.