7 dolarów za godzinę ataku a straty milionowe. Stać cię na to?
Spoofing, phishing, pharming, sniffing, ataki DDoS. Na samą myśl aż cierpnie skóra, a to tylko niektóre rodzaje ataków, które stosują cyberprzestępcy. Sprawdziłeś już, z jakich środków bezpieczeństwa korzysta twoja firma? I słusznie.
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
Spośród wszystkich powyższych, to ataki DDoS są obecnie jednym z najpopularniejszych rodzajów cyberataków. Ceny tego typu ataków zaczynają się już od kilku dolarów za atak [1]. Najbardziej narażone na atak DDoS są sektory e-commerce, instytucje rządowe, banki, instytucje finansowe. Jesteś wśród nich?
Lepiej zapobiegać niż leczyć
Statystyki są miażdżące: prędzej czy później każda firma ucierpi w wyniku włamania lub awarii spowodowanej naruszeniem bezpieczeństwa. Dlatego tak istotne jest przygotowanie i wdrożenie planów na wypadek cyberataku. Należy działać w taki sposób, by jak najszybciej go wykryć i mitygować. Firmy mogą zbudować wewnętrzny dział bezpieczeństwa lub skorzystać z usług wyspecjalizowanych dostawców. Usługi takie obejmują zarówno proste rozwiązania bezpieczeństwa np. firewall, jak i kompleksowe zabezpieczenia w modelu outsourcingu typu Security Operation Center.
[2] Kevin Mitnick
Edukuj pracownika swego
Bezpieczeństwo IT wiąże się ściśle z fizycznym bezpieczeństwem organizacji, zarządzaniem zasobami ludzkimi, kulturą panującą w firmie. Dlatego kwestie związane z cyberbezpieczeństwem nie mogą być rozpatrywane w oderwaniu od strategii i procesów biznesowych firmy. Coraz częściej muszą obejmować także kwestie komunikacji i relacji międzyludzkich. Najsłynniejszy haker świata, Kevin Mitnick, już 20 lat temu stwierdził, że najlepszym sposobem na pokonanie zabezpieczeń w firmie jest zastosowanie mniej lub bardziej wyrafinowanych socjotechnik. Najczęściej polega to na wytypowaniu i nakłonieniu pracownika do wykonania czynności, które ujawnią informacje o hasłach do systemów i procedurach bezpieczeństwa. Cyberprzestępcy wykorzystują zainfekowane załączniki, fałszywe strony www i wiadomości e-mail, które są łudząco podobne do prawdziwych, czy nawet dzwonią do wytypowanych pracowników. Edukuj pracownika swego…
Lepiej zabezpieczyć się teraz niż (Wanna) Cry later
Raporty największych firm doradczych pełne są szacunków dotyczących strat wywołanych naruszeniem bezpieczeństwa. Prawda jest jednak taka, że na pieniądze można przeliczyć tylko część strat wynikających z naruszeń bezpieczeństwa IT. Straty wizerunkowe, masowa ucieczka klientów, kompromitacja w oczach obiecujących kandydatów do pracy to czynniki które, choć trudno przeliczalne na pieniądze, potrafią dać się we znaki nawet największym graczom na rynku. O tym, jak mogą być dotkliwe najlepiej świadczy największy dotychczas atak hakerski, który miał miejsce w 2017 roku.
Setki tysięcy komputerów w 99 krajach na całym świecie zostało zarażonych oprogramowaniem WannaCry [3]. Na monitorach zarażonych komputerów wyświetlała się wiadomość o zaszyfrowaniu plików i możliwości ich odzyskania po wpłaceniu 300 dolarów okupu w Bitcoinach. Ofiarami wirusa WannaCry były banki, firmy telekomunikacyjne, fabryki a nawet szpitale. Niemożliwe były wypłaty pensji, realizacja przelewów, a szpitale nie przyjmowały pacjentów. Można sobie wyobrazić paraliż i chaos wywołany WannaCry. Jak mogło dojść do takiej sytuacji? Hakerzy wykorzystali lukę w zabezpieczeniach, poprawioną przez Microsoft kilka tygodni wcześniej (zresztą odkrytą przez amerykańską agencję wywiadowczą NSA) i w tym sposobem mogli przejąć kontrolę nad komputerami. Może więc warto aktualizować system, najszybciej jak to możliwe, po udostępnieniu przez dostawcę poprawek?
Dura Lex Sed Lex
Jeszcze niedawno jednym z powodów skutecznych ataków hakerskich był lekceważący stosunek menedżerów wyższego szczebla do kwestii cyberbezpieczeństwa w połączeniu z nieznajomością prawa. Niewielu z nich zdawało sobie sprawę, że odpowiedzialność za większość naruszeń w tym obszarze spada na zarząd firmy i poszczególnych jej członków. To już jednak przeszłość. Widmo wejścia w życie dwóch aktów prawnych Unii Europejskiej już w maju tego roku sprawiło, że liderzy biznesowi i IT nigdy nie byli bardziej świadomi wyzwań związanych z cyberzagrożeniami. Rozporządzenie o ochronie danych (RODO) ma zastosowanie do wszystkich organizacji przetwarzających dane obywateli UE, natomiast Dyrektywa NIS ma na celu zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej. Czy ataków hakerskich będzie w związku z tym teraz mniej? Prawda jest taka, że hakerzy niewiele robią sobie z prognoz ekspertów, więc najpewniej będziemy świadkami raczej ewolucji obecnych zagrożeń i cyberobrony niż zupełnie nowych rewolucyjnych działań. Zawsze jednak lepiej być przygotowanym na atak niż później gasić pożary. Dlatego najlepiej przygotowanymi będą te przedsiębiorstwa, które zabezpieczą podwaliny i skupią się na trzech podstawowych filarach bezpieczeństwa: procesach, technologiach i ludziach (być może ten ostatni okaże się najważniejszym z nich wszystkich). Na początek warto przeprowadzić audyt IT, by móc zweryfikować zgodność kontroli w środowisku IT w odniesieniu do odpowiednich przepisów prawa.
Priorytety przede wszystkim!
Efektywna ochrona przed naruszeniami bezpieczeństwa jest zawsze następstwem pewnych kompromisów. Dlatego, pracując nad systemem zabezpieczeń, najpierw trzeba odpowiedzieć sobie na pytanie: które elementy infrastruktury IT są najważniejsze? Warto przy tym poświęcić chwilę czasu na analizę badań, opisujących priorytety firm w zakresie bezpieczeństwa IT. Zdaniem specjalistów ds. ochrony danych, lista podstawowych zagrożeń zawiera kwestie związane z zastosowaniem urządzeń mobilnych, niekontrolowanym używaniem mediów społecznościowych, przetwarzaniem danych w chmurze (cloud computing) i nieświadomymi lub niedbałymi działaniami pracowników.
KILKA SŁÓW NA KONIECPrzy tak dynamicznie zmieniającym się środowisku jakim jest cyberprzestrzeń, każdego dnia pojawiają się nowe metody i narzędzia ataków hakerskich. Dlatego tak naprawdę nigdy nie będziemy w stanie osiągnąć stuprocentowego bezpieczeństwa. Prowadząc firmę nie możesz ignorować zagrożeń. Musisz być na nie przygotowany, bo prawdopodobieństwo ataku jest naprawdę bardzo wysokie. Pamiętaj, że nigdy nie możesz sobie pozwolić na rezygnację z kontroli i nadzoru. Działaj już teraz, jeszcze nie jest za późno! |
[1] https://usa.kaspersky.com/about/press-releases/2017_kaspersky-lab-research-reveals-the-cost-and-profitability-of-arranging-a-ddos-attack
[2] „Sztuka Podstępu” Kevin Mitnick w tł. Jarosława Dobrzańskiego (oryginalny tytuł: The Art of Deception: Controling the Human Element of Security)
[3] http://www.newsweek.pl/wiedza/oto-najbardziej-spektakularne-ataki-hakerskie,artykuly,425870,1.html
Data publikacji: 25.07.2018