Firmy i instytucje często interesują się audytami czy też szkoleniami w zakresie cyberbezpieczeństwa dopiero wtedy, gdy dojdzie do tzw. incydentu bezpieczeństwa. Mowa tu o włamaniach do systemów informatycznych, ich zainfekowaniu, czy też o uzyskiwaniu nieuprawnionego dostępu do danych pracowników, a często i klientów. A przecież nie od dawna wiadomo, że lepiej zapobiegać, niż leczyć.
Rozmowa z Arkadiuszem Stawczykiem, trenerem i audytorem, który w Empemedia prowadzi szkolenia w zakresie cyberbezpieczeństwa.
Marcin Pietraszek: Kiedy rozmawiam o szkoleniach z przedstawicielami firm lub instytucji i wspominam o tym, że może warto byłoby zdecydować się na szkolenie z „Cyberbezpieczeństwa”, to bardzo często reakcją są słowa w stylu „A, to temat dla naszych informatyków”. Czy faktycznie wystarczy, aby sprawami bezpieczeństwa zajmowali się odpowiedni pracownicy techniczni, a osoby związane z obsługą klienta lub przetwarzające tylko dane pracowników, nie muszą przejmować się tego typu tematami?
Arkadiusz Stawczyk: Niestety, nie wystarczy. To jedno z największych współczesnych wyzwań dla każdej organizacji niezależnie od wielkości. Tematyka cyberbezpieczeństwa widziana przez pryzmat aktualnych zagrożeń, scenariuszy i skali cyberataków na firmy i instytucje w Polsce oraz realnych konsekwencji dla organizacji, takich jak utrata danych, kary finansowe czy przerwanie ciągłości działania, to obszar w który musi się włączyć cała organizacja. Nie ma tygodnia, aby nie było jakiegoś głośnego incydentu np. wycieku danych. Bez zaangażowania całej firmy czy instytucji, nie będzie skutecznej ochrony jej zasobów, nawet jeśli teraz zarządzającym wydaje się inaczej. Mówimy tutaj o skutecznym wdrożeniu tzw. „kultury (cyber)bezpieczeństwa”. Bezpieczeństwo to nie tylko technologia – to świadomość i nawyki pracowników! Statystyki bezlitośnie wskazują, że większość udanych ataków, to wina człowieka. Jego braku świadomości lub pośpiechu, albo ignorowania wewnętrznych polityk bezpieczeństwa, a często wszystkiego naraz.
Osoby na jakich stanowiskach, Twoim zdaniem, w szczególności powinny być szkolone z cyberbezpieczeństwa?
Kadra zarządzająca. Na pewno. To bardzo ważne. Osoby z IT dużo już wiedzą i starają się zwiększać swoje umiejętności. Ale kadra najrzadziej uczestniczy w szkoleniach i innych formach pomagających zwiększyć świadomość. A to właśnie od osób zarządzających, z racji ich decyzyjności i roli w organizacji, w dużej mierze zależy bezpieczeństwo. Czeka nas za chwilę duża zmiana w przepisach w tym obszarze. W ramach implementacji unijnej dyrektywy dotyczącej cyberbezpieczeństwa „NIS2” wejdzie formalny obowiązek (a nie zalecenie) szkolenia się kadry zarządzającej minimum raz w roku. To duża i potrzebna zmiana.
Z Twojej perspektywy, jako audytora i trenera ds. bezpieczeństwa cyfrowego, co stanowi największy problem, jeśli chodzi o bezpieczeństwo danych w polskich firmach i instytucjach?
Brak świadomości cyberzagrożeń i zbyt lekkie podejście do przepisów. Także tych wewnętrznych w firmach i instytucjach. O historycznych przyczynach „braku-zaufania-Polaków-do-przepisów” (śmiech) nie wypowiadam się, bo to nie mój obszar. Pracownicy nie wiedzą jak łatwo jest ich oszukać, wzbudzić zaufanie, podszyć się pod znany im numer telefonu, adres e-mail czy stronę internetową. Dopiero na szkoleniach zderzają się z przykładami ataków na inne firmy lub instytucje oraz konsekwencjami. Wtedy oczy się mocno otwierają.
Jakie zachowania pracowników są szczególnie ryzykowne?
Pokutuje wśród pracowników pogląd typu, „.. że to inni są „głupi” i dają się nabierać i oszukiwać przestępcom. Ja się nie dam. Mam silne hasła i nie używam pendrive’a, i wiem dobrze jak rozpoznać fałszywy e-mail. A w ogóle nasz dział IT zawsze nas ochroni”. To jest bardzo ryzykowna opinia. Zalecam zawsze pracownikom trochę dystansu i rozwagi, krytycznego myślenia oraz śledzenie bieżących informacji o incydentach w innych organizacjach, aby z nich wyciągać wnioski dla siebie. Tam też przecież myśleli, że są dobrze przygotowani… To, co było skutecznym zabezpieczeniem 10 lat temu teraz wymaga często gruntownej zmiany. Cyberprzestępcy nie są idiotami i cały czas korygują swoje scenariusze, aby być skuteczniejsi. Poza tym wiele firm i instytucji nigdy nie testowało swoich zabezpieczeń. Także tych ludzkich. Więc poza zapewnieniem „Pana Informatyka”, że „ … u nas jest wszystko OK. Nie mamy żadnych incydentów” organizacje nie wiedzą tak naprawdę jak i czy wystarczająco są zabezpieczone.
Czy możesz podać przykład nietypowego ataku, którym byłeś zaskoczony?
Z doświadczeniem i wiekiem przychodzi coraz mniejsze dziwienie się i zaskoczenie scenariuszami ataków oraz rodzajami oszustw. Znane scenariusze „na wnuczka”, „na kod Blik”, „na OLX”, „na super inwestycje” i wszystkie ich możliwe „mutacje”, to ogromna ilość możliwości wykorzystywanych przez przestępców. Rozwój sztucznej inteligencji, coraz większa rola dezinformacji, ilość czasu spędzana w świecie wirtualnym oraz brak świadomości a także pośpiech w codziennych obowiązkach powodują, że nawet osoby z „branży” dają się oszukać.
Czy praca zdalna związana jest z większym ryzykiem dla bezpieczeństwa cyfrowego niż praca w firmowym biurze?
Przeważnie jest większe ryzyko, bo zmieniają się zabezpieczenia, ale tak być nie musi. Jeśli przestrzegamy zasad tych samych co w biurze np. „polityki czystego biurka i ekranu”. Jeśli nie dopuszczamy do służbowych informacji oraz sprzętu osób nieuprawnionych np. męża, żony, dzieci, znajomych, kota, psa … (tak, tak – kot może wysłać maila przez przypadek). Jeśli dodatkowo mamy szyfrowane nośniki w urządzeniach, chronimy fizycznie sprzęt i dane firmowe oraz łączymy się z systemami firmowymi w bezpieczny, zaakceptowany przez IT sposób np. korzystając z VPN i dwuskładnikowego uwierzytelnienia, to dużo większego ryzyka incydentu bezpieczeństwa niż podczas pracy stacjonarnej nie będzie. Oczywiście życie pokazuje, że poza murami firmy pewne zasady traktujemy wybiórczo. Ma być łatwo i szybko, a to jest prosta droga do problemów.
Czy Twoim zdaniem przeciętny pracownik biurowy jest w stanie rozpoznać atak związany z próbą wyłudzania danych i odpowiednio się przed taką próba obronić? Co jest potrzebne, aby organizacje mogły skuteczniej bronić się przed tego typu sytuacjami?
Jeśli firma dba o świadomość pracowników i kadry zarządzającej np. poprzez szkolenia, to większość zagrożeń będą w stanie rozpoznać.
Dodatkowo, przestrzeganie podstawowych zasad cyberhigieny bardzo pomaga:
- Stosowanie naprawdę silnych haseł i zarządzanie nimi przy pomocy menedżera haseł, a nie proste 8 znaków i do tego takie samo w wielu różnych systemach, i zapisywane – to nie żart – na żółtej karteczce na monitorze;
- Należy mieć sprawdzoną kopię bezpieczeństwa istotnych danych firmy wg zasady „3-2-1” i nie ufać, że chmura to najlepsze i jedyne rozwiązanie problemu kopii. Chmura też potrafi spłonąć lub ktoś ją może wyłączyć;
- Stosowanie skutecznych programów antywirusowych – skuteczne to najczęściej te płatne;
- Aktualizacja używanego oprogramowania – systemy operacyjne, przeglądarki, antywirusy itd. powinny być aktualne, aby łatać wszelkie dziury, przez które mogliby się przedostać przestępcy;
- Weryfikacja każdej otrzymanej informacji.
„Weryfikacja” współcześnie jest niezbędna i jawi się jako jedno z najważniejszych narzędzi w każdej firmie. Weryfikacja każdej informacji, jeśli na jej podstawie mamy podjąć jakąkolwiek decyzję. Każdy e-mail, sms, telefon, strona www, wiadomość na portalu społecznościowym, obrazek, materiał audio itd. musi podlegać weryfikacji.
Pracujmy nad tym, aby pracownicy wyrobili w sobie:
- Brak zaufania do wyświetlanego numeru telefonu, a nie przekonanie, że dzwoni ktoś z numeru Pana Kowalskiego, to na pewno dzwoni Pan Kowalski. Nawet doświadczenie menedżerowie są często zaskoczeni jak łatwo można się podszyć pod prawie-każdy numer telefonu.
- Brak zaufania do korespondencji e-mail. Temat rzeka …. Zawsze sprawdzajmy adresy nadawców, ale te rzeczywiste a nie te wyświetlane w programie pocztowym.
To trudne, ale warto. Chodzi w końcu o nasze bezpieczeństwo.
Dziękuję za rozmowę, a wszystkich zainteresowanych tematem cyberbezpieczeństwa zapraszam na Twoje szkolenia. Muszę przyznać, że te dotychczasowe były bardzo wysoko oceniane przez Uczestników.