– Cyberbezpieczeństwo to nie sprint, to maraton. To proces ciągły, w którym każdy krok, jaki podejmujemy, ma znaczenie – mówi w rozmowie z Business Insider Polska Adam Sawicki z TVN Warner Bros. Discovery. W obliczu rosnącej liczby cyberataków skuteczna ochrona danych jest kluczowa zarówno dla firm, jak i każdego z nas. Eksperci TVN Warner Bros. Discovery Adam Sawicki i Damian Łabęcki podpowiadają, jakie kroki podjąć, aby chronić swoje informacje, jakie błędy najczęściej popełniamy, i dlaczego cyberbezpieczeństwo to inwestycja w przyszłość, a nie zbędny balast.
Adam Sawicki, GSVP – Digital w TVN Warner Bros. Discovery: Kluczowe w tym kontekście jest w ogóle zrozumienie i pielęgnowanie w sobie tej świadomości, że nikt z nas nie jest zbyt mądry, zbyt doświadczony czy zbyt sprytny na to, aby nie zostać ofiarą ataku. To chyba najtrudniejszy krok, ale nie chodzi o to, by popadać w paranoję. Liczy się danie sobie szansy na realne wdrożenie praktyk, które minimalizują ryzyko i skutki ataków. Cyberbezpieczeństwo to nie sprint, to maraton. To proces ciągły, w którym każdy krok, jaki podejmujemy, ma znaczenie.
Adam Sawicki: Kluczowa jest zasada ograniczonego zaufania w sieci. Zastanówmy się, zanim klikniemy link, nie tylko ten w oczywisty sposób podejrzany, czy podamy swoje dane. Mówiąc o podstawach nie można przecenić znaczenia silnych haseł dla naszego cyberbezpieczestwa. Mówię o hasłach w liczbie mnogiej, bo ich siła to nie tylko kwestia długości – choć tak, im dłuższe, tym lepsze – ale też unikalności. Posiadanie jednego hasła do wielu kont jest jak gra w szachy tylko jednym pionkiem – w starciu z atakującym nie dajemy sobie żadnych szans na wygraną. Zadbajmy więc o to, a ponadto korzystajmy z menadżerów haseł, ustawmy tam, gdzie tylko to możliwe wieloskładnikowe uwierzytelnianie i korzystajmy z narzędzi antywirusowych. Nie zapominajmy też o regularnych aktualizacjach oprogramowania. Wiele osób je ignoruje, ale to właśnie te „nudne” aktualizacje często łatają luki w naszych zabezpieczeniach.
Adam Sawicki: Przede wszystkim powinniśmy być bardzo ostrożni i uważni korzystając z publicznych sieci Wi-Fi. Wielu z nas ma dwa telefony, jeden prywatny, a drugi służbowy – wykorzystujmy je do uruchamiania bezpiecznych hotspotów zabezpieczonych hasłem. Jeśli już musimy korzystać z publicznej sieci, nie logujmy się do kont bankowych ani nie przesyłajmy wrażliwych danych. Ważne jest także, abyśmy byli czujni na phishing, czyli bardzo groźny precedens polegający na podszywaniu się przez hakerów pod zaufane źródła, aby skłonić nas do ujawnienia poufnych informacji, takich jak hasła czy dane osobowe. Może przyjmować to formę e-maili, SMS-ów czy wiadomości w komunikatorach, które często zawierają linki do fałszywych stron. Wreszcie nie bójmy się zgłaszać podejrzanych sytuacji. Nielegalne strony, phishingowe wiadomości – takie rzeczy powinny trafiać do odpowiednich instytucji, jak CERT Polska.
Adam Sawicki: Te incydenty wyraźnie pokazują, że nawet najbardziej doświadczeni użytkownicy i uznane organizacje, które do tej pory wydawały się być dobrze zabezpieczone, mogą stać się ofiarami cyberprzestępców. To wyzwanie skłania z jednej strony do refleksji nad skutecznością obecnych zabezpieczeń, a z drugiej nad tym, jak ważna jest ciągła nauka i dostosowywanie się do dynamicznie zmieniającego się krajobrazu zagrożeń w sieci. Przykładem jest sztuczna inteligencja – z jednej strony to narzędzie, które ułatwia nam życie zawodowe i prywatne, a z drugiej potężna broń w rękach cyberprzestępców. Mamy do czynienia z atakami, które są coraz bardziej wyrafinowane: przekonujący phishing, filmiki deepfake czy oszustwa telefoniczne, gdzie głos „wnuczka” brzmi jak tego prawdziwego.
Kluczową lekcją, które możemy wyciągnąć z tych przypadków, to zrozumienie, że każdy z nas ma do odegrania ważną rolę w ochronie swoich danych. Firmy z kolei muszą na nowo przemyśleć swoje podejście do cyberbezpieczeństwa, które nie powinno być postrzegane jako zbędny balast, ale jako fundamentalny element strategii każdej organizacji. Regularne przeglądy bezpieczeństwa, testy penetracyjne oraz audyty zgodności z regulacjami prawnymi powinny stać się normą, tak samo, jak włączenie specjalistów od cyberbezpieczeństwa w procesy tworzenia nowego oprogramowania oraz projektowania usług.
Damian Łabęcki, Senior Director Information Security w TVN Warner Bros. Discovery: Dla przeciętnego użytkownika wygoda korzystania z Internetu ma nadrzędne znaczenie, a bezpieczeństwo schodzi na dalszy plan. Zgadza się, że często zabezpieczenia takie jak wieloskładnikowe uwierzytelnianie czy silne hasło są traktowane jako zbędne utrudnienia. Nagminne jest stosowanie identycznych poświadczeń do wielu systemów przez użytkowników. Niestety zwykle osoby, które popełniają tego rodzaju błędy, nie zabezpieczają się nawet systematycznym robieniem kopii zapasowych. W związku z tym, gdy dochodzi do ataku lub innej formy utraty danych, okazuje się, że nie ma możliwości ich odzyskania. Wielu z nas zapomina nawet o cyklicznej aktualizacji oprogramowania.
Damian Łabęcki: Podobnie wygląda to w organizacjach, zwłaszcza gdy niska świadomość cyberzagrożeń dotyczy kadry kierowniczej. Zwykle takie firmy nie dbają o odpowiedni poziom ochrony – brakuje przemyślanej strategii, wydatki na bezpieczeństwo informacji są ograniczane, nie ma odpowiednich mechanizmów ochronnych lub wdrażane są one w ograniczonym zakresie, aby spełnić minimalne wymagania zgodności. Wiele firm dostrzega kluczowość bezpieczeństwa informacji dopiero w sytuacji, gdy same doświadczyły skutków poważnego incydentu. Takie podejście to czysty hazard. Aby chronić dane, musimy wiedzieć, gdzie one się znajdują. To banał, ale klasycznym problemem firm jest brak pełnej inwentaryzacji zasobów. Niestety, znam wiele przypadków, w których organizacje dowiedziały się o istnieniu danego komputera czy serwera dopiero po tym, jak został przejęty przez przestępców.
Damian Łabęcki: Wiele firm w ogóle nie myśli o swoich dostawcach w kategorii ryzyka bezpieczeństwa informacji, a przecież korzystając z podwykonawców, dajemy im dostęp do naszych systemów i powierzamy dane do przetwarzania. Firmy mają również problemy z zarządzaniem uprawnieniami, przy czym najwięcej kłopotów dostarcza nieterminowe odbieranie uprawnień oraz zbyt wysokie uprawnienia użytkowników, prowadzące do licznych naruszeń. Organizacje wdrażają procesy takie jak zarządzanie zmianą czy zarządzanie incydentami bezpieczeństwa, ale to na nic, jeżeli w organizacji pracownicy nie wiedzą jak te procesy działają lub brakuje konsekwencji w ich egzekwowaniu. Ile razy słyszeliśmy o incydencie, na przykład phishingu, który dotarł do zespołu odpowiedzialnego za cyberbezpieczeństwo z dużym opóźnieniem, ponieważ został zgłoszony niewłaściwym kanałem komunikacji, lub o zmianach, które wprowadzono na środowisko produkcyjne bez uprzedniego testowania i autoryzacji?
Damian Łabęcki: Jedną z kluczowych cech phishingu jest poczucie pilności, które atakujący wykorzystują, by wywołać stres i wymusić natychmiastowe działanie. Otrzymane wiadomości często grożą zablokowaniem konta lub aplikacji, jeśli użytkownik nie zareaguje w określonym czasie, nakłaniając do kliknięcia w podejrzane linki lub otwarcia załączników. Wiadomości te często wydają się pochodzić od zaufanych źródeł, jak banki czy sklepy internetowe, a także podszywają się pod członków rodziny lub kadrę zarządzającą. Ważne jest zwracanie uwagi na dane nadawcy wiadomości, literówki, dziwne domeny oraz ogólnikowe zwroty i błędy językowe. Naszą czujność powinny wzbudzić także wszelkie wyjątkowo atrakcyjne oferty.
Niestety wraz z rozwojem sztucznej inteligencji przestępcy coraz częściej wysyłają phishing, który niezwykle trudno odróżnić od prawdziwych wiadomości. AI dzięki analizie dużych zbiorów publicznie dostępnych informacji pozwala tworzyć bardziej skuteczne ataki, wobec tego część z wcześniej wymienionych typowych cech fałszywych wiadomości może w ogóle nie mieć zastosowania w coraz bardziej wyrafinowanych kampaniach.
Damian Łabęcki: Podstawą skutecznej ochrony jest przestrzeganie kilku elementarnych zasad bezpieczeństwa:
Adam Sawicki: Skala strat, zarówno finansowych, jak i reputacyjnych, może być olbrzymia, a to, co kiedyś było scenariuszem science fiction, dziś dotyka firm na całym świecie. Internet Crime Complaint Center, oddział FBI, otrzymał rekordową liczbę skarg od mieszkańców USA w 2023 roku – było ich ponad 880 tysięcy, a potencjalne straty przekraczają 12,5 miliarda dolarów, co stanowi prawie 10 proc. wzrost liczby skarg i 22 proc. wzrost strat w porównaniu do 2022 roku. A pamiętajmy, że dane te dotyczą tylko tych incydentów, które zostały zgłoszone.
Jeśli firma zostanie zaatakowana, jednym z najpoważniejszych skutków jest przerwa w działalności, co w bezpośredni sposób odbija się na jej przychodach. Weźmy na przykład firmy produkcyjne – dla nich każda godzina przestoju oznacza realne straty finansowe, bo produkcja stoi, a koszty wciąż rosną. Jeden poważny incydent może także spowodować falę rezygnacji klientów, utratę potencjalnych kontraktów, a w niektórych przypadkach także poważne zawirowania na giełdzie. Wystarczy przypomnieć sobie historie firm, które zbyt długo zwlekały z reakcją lub próbowały ukryć incydent – reakcja rynku bywała bezlitosna. Ostatecznie, to jak firma podchodzi do cyberbezpieczeństwa, może być jednym z kluczowych elementów jej sukcesu lub porażki w długim terminie. To swoista polisa na przyszłość.
Adam Sawicki: Lista branż szczególnie narażonych na cyberataki jest długa, ale na czoło wysuwają się przede wszystkim finanse, ochrona zdrowia, energetyka i edukacja. Sektor finansowy to oczywisty cel – tam, gdzie są pieniądze, tam są i cyberprzestępcy. Ochrona zdrowia stała się łakomym kąskiem dla hakerów w ostatnich latach, bo dane medyczne to coś niezwykle prywatnego, a więc także niezwykle cennego. Energetyka i infrastruktura krytyczna to z kolei kluczowy element bezpieczeństwa państwa – w tym przypadku obserwujemy wzrost ataków szczególnie po rozpoczęciu wojny w Ukrainie, co pokazuje, że cyberprzestrzeń stała się również bardzo poważnym polem bitwy. Na liście są także e-commerce, administracja publiczna i transport, czyli branże, które przechowują mnóstwo istotnych danych osobowych, lub których paraliż ma niebagatelny wpływ na funkcjonowanie całego państwa.
Damian Łabęcki: Człowiek jest kluczowym elementem w systemie cyberbezpieczeństwa i jednocześnie jego najsłabszym ogniwem. W dzisiejszych czasach nie da się budować skutecznego programu cyberodporności bez odpowiedniej edukacji pracowników. Każda osoba, niezależnie od roli pełnionej w organizacji, powinna przejść podstawowe szkolenie z bezpieczeństwa informacji, które przybliży tematykę aktualnych zagrożeń i dostarczy wiedzy pozwalającej na podjęcie właściwych działań. Istotne jest, aby takie szkolenie spełniało kilka kluczowych założeń. Po pierwsze powinno mieć atrakcyjną i zachęcającą formę, być obowiązkowe, a nie opcjonalne i koniecznie cykliczne – przeprowadzane nie rzadziej niż raz w roku. Takie szkolenie musi nawiązywać także do wewnętrznie przyjętych regulacji, czyli polityki, standardów i procedur. Powinno skupiać się na najważniejszych zagadnieniach, z którymi każdy pracownik ma na co dzień do czynienia, np. najczęstszych typach ataków, raportowaniu potencjalnych incydentów, bezpieczeństwie haseł, przechowywaniu danych, urządzeń i sieci. Szkolenie z cyberbezpieczeństwa powinno być nieodłączną częścią programu onboardingu nowych pracowników.
Damian Łabęcki: Szkolenia pracowników to koszt, ale także inwestycja w bezpieczeństwo organizacji. Dla wielu mniejszych firm wprowadzenie szkoleń dla pracowników na szeroką skalę może faktycznie być sporym wyzwaniem. Tu optymalnym kosztowo rozwiązaniem mogą być szkolenia powszechnie dostępne w wielu serwisach e-learningowych lub w serwisach firm, które specjalizują się w popularyzacji tematyki cyberbezepieczeństwa i podnoszeniu świadomości wśród obywateli. Wykorzystanie platform e-learningowych może okazać się również bardziej optymalne czasowo i kosztowo w przypadku szkoleń specjalistycznych z dziedziny cyberbezpieczeństwa, zwłaszcza jeżeli interesują nas konkretne zagadnienia np. bezpieczeństwo chmury obliczeniowej, bezpieczeństwo aplikacji webowych lub przegląd kodu źródłowego. Obecnie na rynku funkcjonuje wiele serwisów e-learningowych oferujących tego typu szkolenie od ręki w modelu subskrypcyjnym.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Bądź na bieżąco! Obserwuj nas w Wiadomościach Google.
Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *