Łukasz Kielban
Menadżer ds. Treści i Komunikacji
PPBW
Myślisz, że Twoja firma leży poza zainteresowaniem hackerów? Jeśli tak, zastanów się ile dla Ciebie jest wart dostęp do wewnętrznych danych firmy, choćby kilkudniowy przestój w działalności i reputacja marki. Cyber przestępcom wystarczy zaledwie część tej kwoty, żeby zainteresować się Twoim biznesem. Na szczęście można się przed tymi zagrożeniami bronić.
Dzisiaj można ze świecą szukać firm, które są całkowicie niezależne od internetu. Poprzez sieć prowadzimy komunikację, obsługujemy transakcje, często też udostępniamy dane. Nasze komputery są kluczowym narzędziem w zarządzaniu i rozwijaniu biznesu. Nowe technologie zdecydowanie ułatwiły nam osiąganie zakładanych celów, ale jednocześnie stanowią słaby punkt firmy. Jeśli bowiem my mamy zdalny dostęp do naszych informacji i usług, potencjalnie może go osiągnąć także osoba nieuprawniona. Luki bezpieczeństwa stosowanych systemów są na co dzień wykorzystywane przez przestępców do szantażu, siania chaosu w działaniu firmy, a nawet niszczenia wybranych podmiotów. W takich warunkach po prostu nie można sobie pozwolić na lekkie podejście do zabezpieczeń i odwlekanie szkolenia pracowników z tego zakresu.
W tym artykule powołamy się na wybrane przypadki współczesnych ataków hackerskich, omówimy ich przyczyny oraz podkreślimy konsekwencje tych zdarzeń dla firm. Pragniemy w ten sposób zwiększyć świadomość właścicieli i osób odpowiedzialnych za firmy na temat zagrożeń i skutków cyberataków. Jak bowiem się okazuje, świadomość ta nadal jest niewystarczająca, a problem bagatelizowany. Naszym celem jest wykazanie, że nie tylko dział IT jest odpowiedzialny za bezpieczeństwo cyfrowe firmy, ale też każdy pracownik mający dostęp do firmowych danych i urządzeń. Zazwyczaj bowiem nie luki systemu odpowiadają za atak i wyciek lub zaszyfrowanie danych, tylko nieuważny pracownik.
Na końcu artykułu zachęcamy do skorzystania z darmowych szkoleń z cyberbezpieczeństwa, kierowanych do pracowników każdego szczebla i uczulających na sztuczki hackerów. Szkolenia to powstały w ramach projektu CYRUS, współfinansowanego ze środków Unii Europejskiej, dzięki czemu możemy je zaoferować bez dodatkowych opłat.
Konsekwencje
Zacznijmy nieszablonowo, od końca, czyli od konsekwencji cyberataków, żeby zobrazować z czym muszą się mierzyć przedsiębiorcy, którzy padli ofiarami takich przestępstw. Jak pokazują dane z 2021 roku, aż 75% ataków na polskie firmy były atakami typu ransomware, które polegają na zaszyfrowaniu danych firmy, co w praktyce oznacza zatrzymanie jej funkcjonowania na długi czas powodując ogromne straty finansowe. W ostatnich latach spotkało to między innymi Polską Grupę Dealerską w 2022 roku czy Vindix S.A. w sierpniu 2024 r. Strata wynikająca z blokady systemu jest jednak tylko jedną z przykrych konsekwencji.
Ransomware to rodzaj złośliwego oprogramowania, które szyfruje dane ofiary, uniemożliwiając do nich dostęp, dopóki nie zostanie zapłacony okup. Celem ataku jest zazwyczaj wyłudzenie pieniędzy od ofiary w zamian za przywrócenie dostępu do danych, choć nie ma gwarancji, że dane zostaną odzyskane.
W przypadku ataku przedsiębiorcy stoją przed dylematem czy zapłacić okup przestępcom i szybko odzyskać dostęp do swoich danych, czy próbować wewnętrznie odzyskać kontrolę. Ta druga opcja jest czasochłonna i kosztowna, przez co, choć firmy niechętnie się do tego przyznają, płacenie okupu bywa wybierane jako „mniejsze zło”.
Nie jest to jednak koniec finansowych strat dla firmy. Jeśli w wyniku ataku nastąpił wyciek danych osobowych klientów, kara za naruszenia ochrony danych osobowych spada właśnie na ofiarę ataku, czyli przedsiębiorstwo. Zgodnie z przepisami to właśnie firma powinna zadbać o odpowiednie zabezpieczenie tych danych. Administracyjne kary pieniężne nakładane przez UODO mogą wynosić dziesiątki czy setki tysięcy, a nawet miliony złotych, w zależności od okoliczności. Przykładowo, gdy w 2021 r. hackerzy wykradli ze spółki American Heart of Poland SA szczegółowe dane około 21 tysięcy osób, UODO nałożyło na nią karę w wysokości prawie 1,5 mln złotych za brak odpowiedniego zabezpieczenia tych informacji. Istotne jest więc by znać przepisy i przestrzegać ich zarówno na etapie ochrony danych, jak i po ich wycieku.
W końcu firma, w wyniku ataku, notuje też straty wizerunkowe. Wiele z przypadków opisywanych jest w portalach internetowych poświęconych cyberbezpieczeństwu, danej branży czy też bardziej ogólnie wiadomościom. Było tak choćby w przypadku ataku na Naftor (Grupa PERN) czy na firmę Agata Meble. Z pewnością nie jest to pożądany rozgłos. Odzyskanie utraconego zaufania inwestorów i klientów może być później niemałym wyzwaniem.
Cele
By skutecznie chronić się przed konsekwencjami cyberataków, trzeba rozumieć intencje przestępców. Zdarza się bowiem, że oceniając własną firmę, przedsiębiorca dochodzi do wniosku, że nie posiada cennych informacji, które byłyby warte zachodu hackera. To niestety błędne podejście. Wbrew pozorom włamanie do systemu firmy w większości wypadków nie służy wejściu w posiadanie informacji i plików, które można później odsprzedać. Okazuje się, że o wiele łatwiejszym i szybszym źródłem dochodu dla przestępcy jest okup. Nawet w przypadku kradzieży danych zdarza się, że cyberprzestępcy oferują zwrot danych po zapłaceniu wysokiego okupu.
Należy zatem patrzeć na własną firmę pod kątem wartości jej funkcjonowania i wysokości potencjalnych kar, by lepiej rozumieć jej atrakcyjność w oczach hackerów. Celem może być zatem zablokowanie systemu oprogramowaniem ransomware, kradzież danych lub zablokowanie działania witryny internetowej poprzez atak DDoS. Może być to także szpiegostwo albo element szerszych działań hybrydowych mających zdestabilizować sytuację w regionie, na przykład utrudniając komunikację, transakcje finansowe czy przeprowadzenie demokratycznych wyborów. Przykładem może być atak z lipca 2023 r. gdy w wyniku działań hybrydowych motywowanych politycznie i związanych z wojną w Ukrainie, zostały zaatakowane m.in. Akademia Sztuki Wojennej w Warszawie, Telewizja Kablowa Chopin, telewizja TTM, a także radio Norda.FM.
DDoS (Distributed Denial of Service) to rodzaj ataku cybernetycznego, w którym wiele zainfekowanych systemów jest używanych do zalania docelowego serwera, strony internetowej lub sieci nadmiarem ruchu. Powoduje to spowolnienie działania usługi lub całkowite uniemożliwienie dostępu do niej dla legalnych użytkowników.
Przyczyny
Kolejnym krokiem, po uświadomieniu sobie, że podobne ataki mogą dotyczyć niemal każdej firmy, powinno być przyjrzenie się przyczynom, dla których dokonanie przestępstwa stało się możliwe. Niewątpliwie wygodna byłaby sytuacja, gdyby to dział IT w pełni odpowiadał za bezpieczeństwo przedsiębiorstwa, ale w praktyce niestety jest to o wiele bardziej skomplikowane. Najsłabszymi ogniwami często nie są potencjalne luki w systemie, tylko ludzie.
W rzeczywistości każdy pracownik mający dostęp do urządzeń i danych może stanowić zagrożenie. Dotyczy to na równi prezesów i właścicieli, jak i pracowników niskiego szczebla. Wystarczy bowiem, że osoba będąca zalogowana w systemach firmy nie będzie ostrożna, może nieświadomie zainfekować inne komputery doprowadzając zarówno do wycieku danych i ich szyfrowania.
Przestępcy stosują wymyślne socjotechniki takie jak phishing i whaling by zwieść niekiedy precyzyjnie wybraną osobę i nakłonić ją do uruchomienia całego procesu zdarzeń. By chronić się przed takimi działaniami trzeba dobrze znać te strategie oraz mieć świadomość jak łatwo przez internet podszyć się pod kogoś innego. Dopiero będąc mocno podejrzliwym i mając wypracowane nawyki weryfikacji otrzymywanych wiadomości można ograniczyć ryzyko padnięcia ofiarą takiego ataku.
Phishing to rodzaj cyberataku polegający na podszywaniu się pod zaufaną instytucję lub osobę w celu wyłudzenia poufnych informacji, takich jak hasła, numery kart kredytowych czy dane logowania. Atak ten najczęściej odbywa się za pośrednictwem fałszywych wiadomości e-mail, stron internetowych lub wiadomości tekstowych.
Whaling to specyficzny rodzaj ataku phishingowego, który jest skierowany na osoby na wysokich stanowiskach, takie jak członkowie zarządu czy inni kluczowi pracownicy organizacji. Celem jest oszukanie tych "grubych ryb" w celu wyłudzenia poufnych informacji, takich jak dane finansowe lub dane dostępowe, często za pomocą bardzo spersonalizowanych i przekonujących wiadomości.
Jak więc widać, nie wystarczy, że dział IT dobrze wykona swoją pracę. Kluczem jest również przeszkolenie pozostałych pracowników.
Darmowe szkolenia
W pełni zdajemy sobie sprawę, jak cenny jest czas każdego pracownika w przedsiębiorstwie. Dlatego w tym miejscu pragniemy zaoferować wsparcie, które nie będzie przesadnie obciążało firmy, a jednak pomoże zwiększyć bezpieczeństwo. Oferujemy kursy z cyberbezpieczeństwa, które dostępne są na platformie szkoleniowej projektu CYRUS, którego jesteśmy partnerem. Projekt ten jest współfinansowany ze środków Unii Europejskiej, dzięki czemu pełnowartościowe szkolenia, jesteśmy w stanie zaoferować w zupełności nieodpłatnie!
Ponadto, kursy są dostępne w systemie e-learningowym, co oznacza, że po zarejestrowaniu się na platformę szkoleniową poszczególne lekcje dostępne są w dowolnym terminie, dogodnym dla kursantów. Treści zostały przygotowane w formie atrakcyjnych pigułek wideo, a ukończeniu poszczególnych modułów towarzyszą krótkie testy sprawdzające nabytą wiedzę.
Jedynym warunkiem skorzystania z kursów i otrzymania certyfikatu potwierdzającego uczestnictwo jest wypełnienie testów oraz ankiety ewaluacyjnej. Jest to dla nas niezbędne by ocenić szkolenia i móc je dopracować w przyszłości.
Zainteresowanych kursami serdecznie zapraszamy do rejestracji na platformie: Link.
Jeśli nie chcesz by Twoja firma ponosiła ogromne straty finansowe i wizerunkowe w wyniku ataku hackerskiego, koniecznie zadbaj o wyszkolenie pracowników!
