21 lis Cyberbezpieczeństwo przedsiębiorców w świecie pełnym cyberzagrożeń
Cyberbezpieczeństwo jest wyzwaniem nie tylko dla wyspecjalizowanych organizacji zajmujących się obszarem IT, ale także dla każdej firmy korzystającej z technologii i narzędzi informatycznych. W kontekście przedsiębiorców dotyczy przede wszystkim kwestii ochrony danych osobowych, ale nie tylko.
Jak zatem rozumieć cyberbezpieczeństwo? Czym są cyberzagrożenia? I na co przedsiębiorcy powinni zwracać szczególną uwagę?
Zachęcamy do zapoznania się z pierwszym artykułem z cyklu o cyberbezpieczeństwie, w którym porządkujemy wiedzę i przedstawimy najważniejsze informacje dotyczące bezpieczeństwa w sferze digital.
Czym jest cyberbezpieczeństwo?
Rola sieci, systemów i usług IT jest ogromna i stale rośnie, a wraz z nią zwiększa się skala cyberzagrożeń, jakie mogą dotknąć przedsiębiorstwa. Stąd tak ważny jest stały rozwój systemów i procesów bezpieczeństwa w firmach oraz reagowanie na nowe zagrożenia. Cyberbezpieczeństwo to właśnie ogół działań, procesów i rozwiązań wdrażanych w celu zapewnienia należytej ochrony systemów i usług IT oraz przeciwdziałania i zwalczania cyberzagrożeń.
Cyberzagrożenie może skutkować wystąpieniem incydentu bezpieczeństwa i utrudnieniami w prowadzeniu działalności, a co za tym idzie, podważyć zaufanie klientów oraz kontrahentów do organizacji. W niektórych przypadkach może doprowadzić do strat finansowych lub nałożenia kary pieniężnej, jeśli zostanie naruszone prawo (m. in. w zakresie ochrony danych osobowych czy krajowego systemu cyberbezpieczeństwa).
Dlaczego cyberbezpieczeństwo dotyczy przedsiębiorców?
Nie da się ukryć, że digitalizacja obejmuje większość procesów w przedsiębiorstwach, które korzystają nawet z najprostszych rozwiązań IT. Finanse, zarządzanie personelem, systemy zarządzania przedsiębiorstwem, monitorowanie obiektów – to jedynie przykłady obszarów objętych rozwiązaniami IT, a więc narażonych na cyberzagrożenia.
Podstawowe cyberzagrożenia
Przegląd najważniejszych cyberzagrożeń znalazł się w raporcie „ENISA THREAT LANDSCAPE 2021”[1] przygotowanym przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA). Wśród głównych zagrożeń odnoszących się do cyberbezpieczeństwa wskazano:
- ransomware (złośliwe oprogramowanie, które skutkuje blokowaniem danych z żądaniem okupu);
- malware (złośliwe oprogramowanie, mogące np. uszkodzić lub wykraść informacje czy dane);
- wydobywanie kryptowalut (tzw. cryptojacking);
- powiązane z pocztą elektroniczną;
- związane z danymi (np. naruszenie ochrony danych osobowych);
- związane z dostępnością i integralnością danych (np. ataki DDoS);
- dezinformację – fałszywe informacje;
- zagrożenia inne niż malware – np. błędy konfiguracji, wypadki fizyczne związane z infrastrukturą, klęski żywiołowe;
- ataki w ramach łańcucha dostaw.
CERT Polska (zespół działający w strukturach Naukowej i Akademickiej Sieci Komputerowej, NASK, odpowiedzialny za reagowanie na zdarzenia naruszające bezpieczeństwo w internecie) w raporcie za 2021 r.[2] wskazał, że zarejestrowano łącznie 29 483 incydenty cyberbezpieczeństwa. To o 182% więcej niż rok wcześniej. Jako najczęstszy typ incydentu wskazano phishing (ponad 76% wszystkich zdarzeń), czyli podszywanie się pod inną osobę lub podmiot w celu wyłudzenia informacji.
Każde z powyższych cyberzagrożeń może dotyczyć także przedsiębiorstwa i skutkować wystąpieniem incydentu cyberbezpieczeństwa.
Ochrona przed cyberzagrożeniami i złośliwym oprogramowaniem
Jak zminimalizować ryzyko wystąpienia cyberzagrożeń skoro jest ich tak wiele? W raporcie ENISA znajdziemy rekomendacje działań w przypadku wystąpienia złośliwego oprogramowania (malware). Wśród nich:
- opracowanie i wdrożenie polityk bezpieczeństwa określających procesy do zastosowania w przypadku zainfekowania złośliwym oprogramowaniem (np. polityk zarządzania incydentami);
- wdrożenie systemów wykrywania złośliwego oprogramowania dla wszystkich kanałów przychodzących/wychodzących, w poczty e-mail, sieci i aplikacji na wszystkich platformach (serwerach, infrastrukturze sieciowej, komputerach osobistych, urządzeniach mobilnych);
- monitorowanie ruchu SSL/TLS umożliwiające zaporze odszyfrowanie tego, co jest przesyłane do i z witryn internetowych, poczty e-mail i aplikacji mobilnych;
- korzystanie z dostępnych narzędzi do analizy złośliwego oprogramowania;
- filtrowanie poczty (lub spamu) pod kątem złośliwych wiadomości e-mail i usuwanie plików wykonywalnych;
- regularne monitorowanie wyników testów antywirusowych.
To oczywiście tylko część rekomendowanych rozwiązań przy wystąpieniu cyberzagrożeń. Katalog przygotowany przez ENISA pozostaje otwarty.
Powyższa lista może być traktowana jako wyjściowy road map, natomiast kluczowym etapem będzie dopasowanie rozwiązań do potrzeb konkretnego przedsiębiorcy i wybór najbardziej adekwatnych i skutecznych metod.
W innym wypadku nie możemy mówić o zapewnieniu cyberbezpieczeństwa w prawidłowy sposób.
Uregulowanie wybranych aspektów cyberbezpieczeństwa w obowiązujących przepisach
Cyberbezpieczeństwo zostało uregulowane w wybranych aktach prawnych. Jednym z nich jest Ogólne Rozporządzenie o Ochronie Danych, w którym znajdują się przepisy o konieczności wdrożenia odpowiednich środków technicznych i organizacyjnych dla zapewnienia bezpieczeństwa w stopniu odpowiadającym oszacowanemu ryzyku związanemu z przetwarzaniem danych osobowych.
W Ustawie o krajowym systemie cyberbezpieczeństwa[3] również mowa o konieczności wdrożenia odpowiednich, właściwych i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych.
Biorąc pod uwagę te akty prawne przedsiębiorcy, których one dotyczą, powinni skupić się na zapewnieniu odpowiedniego poziomu cyberbezpieczeństwa w ramach organizacji i rozwiązań, z których korzystają.
Za naruszenie przepisów odnoszących się do cyberbezpieczeństwa przewidziano wysokie kary pieniężne. Jeśli incydent cyberbezpieczeństwa będzie stanowił jednocześnie naruszenie ochrony danych osobowych, kara może wynieść nawet do 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Zastosowanie ma kwota wyższa.
Ustawa o krajowym systemie cyberbezpieczeństwa przewiduje karę w wysokości 1 000 000 PLN dla niektórych podmiotów. Może ona zostać nałożona przez organ właściwy ds. cyberbezpieczeństwa na przykład w związku z niewdrożeniem odpowiednich i proporcjonalnych środków technicznych oraz organizacyjnych (w przypadku operatorów usług kluczowych) lub brakiem zarządzania incydentami przez zobowiązany do tego podmiot.
Więcej o nadchodzącej nowelizacji ustawy już w kolejnym wpisie.
[1] ENISA THREAT LANDSCAPE 2021, <https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021/@@download/fullReport> [dostęp: 05.09.2022]
[2] RAPORT ROCZNY Z DZIAŁALNOŚCI CERT POLSKA 2021 <https://cert.pl/uploads/docs/Raport_CP_2021.pdf> [dostęp: 05.09.2022]
[3] Ustawa z dnia 5 lipca 2018 r. (Dz. U. z 2020 r. poz. 1369 z późn. zm.)
