Inwestycja w przyszłość czy zbędny balast? Eksperci o roli cyberbezpieczeństwa

– Cyberbezpieczeństwo to nie sprint, to maraton. To proces ciągły, w którym każdy krok, jaki podejmujemy, ma znaczenie – mówi w rozmowie z Business Insider Polska Adam Sawicki z TVN Warner Bros. Discovery. W obliczu rosnącej liczby cyberataków skuteczna ochrona danych jest kluczowa zarówno dla firm, jak i każdego z nas. Eksperci TVN Warner Bros. Discovery Adam Sawicki i Damian Łabęcki podpowiadają, jakie kroki podjąć, aby chronić swoje informacje, jakie błędy najczęściej popełniamy, i dlaczego cyberbezpieczeństwo to inwestycja w przyszłość, a nie zbędny balast.

• Człowiek jest kluczowym elementem w systemie cyberbezpieczeństwa i jednocześnie jego najsłabszym ogniwem. Dlatego każda organizacja powinna zadbać o odpowiednią edukację pracowników – mówi Damian Łabęcki
• Sztuczna inteligencja to z jednej strony narzędzie, które ułatwia nam życie, a z drugiej potężna broń w rękach cyberprzestępców – mamy dziś do czynienia z wyrafinowanymi atakami, które trudno odróżnić od prawdziwych wiadomości – tłumaczy Adam Sawicki
• Rozmowa z ekspertami jest częścią trwającego Digital Festival, który w tym roku koncentruje się na temacie cyberbezpieczeństwa. Fundacja Digital Poland, organizator Festivalu, zwraca uwagę na rosnącą potrzebę zwiększania świadomości i edukacji w zakresie ochrony danych, a także pokazuje, jak nowe technologie mogą nas wspierać w walce z przestępcami

Nell Przybylska, Business Insider Polska, Fundacja Digital Poland: W ostatnich latach ataki hakerskie coraz częściej przyciągają uwagę mediów, jednocześnie skłaniają nas do refleksji nad naszym cyfrowym bezpieczeństwem. Jakie kroki może podjąć każdy z nas, aby chronić swoją prywatność i dane, zarówno w pracy, jak i w życiu prywatnym?

Adam Sawicki, GSVP – Digital w TVN Warner Bros. Discovery: Kluczowe w tym kontekście jest w ogóle zrozumienie i pielęgnowanie w sobie tej świadomości, że nikt z nas nie jest zbyt mądry, zbyt doświadczony czy zbyt sprytny na to, aby nie zostać ofiarą ataku. To chyba najtrudniejszy krok, ale nie chodzi o to, by popadać w paranoję. Liczy się danie sobie szansy na realne wdrożenie praktyk, które minimalizują ryzyko i skutki ataków. Cyberbezpieczeństwo to nie sprint, to maraton. To proces ciągły, w którym każdy krok, jaki podejmujemy, ma znaczenie.

Co jest w takim razie najważniejsze podczas tego maratonu?

Adam Sawicki: Kluczowa jest zasada ograniczonego zaufania w sieci. Zastanówmy się, zanim klikniemy link, nie tylko ten w oczywisty sposób podejrzany, czy podamy swoje dane. Mówiąc o podstawach nie można przecenić znaczenia silnych haseł dla naszego cyberbezpieczestwa. Mówię o hasłach w liczbie mnogiej, bo ich siła to nie tylko kwestia długości – choć tak, im dłuższe, tym lepsze – ale też unikalności. Posiadanie jednego hasła do wielu kont jest jak gra w szachy tylko jednym pionkiem – w starciu z atakującym nie dajemy sobie żadnych szans na wygraną. Zadbajmy więc o to, a ponadto korzystajmy z menadżerów haseł, ustawmy tam, gdzie tylko to możliwe wieloskładnikowe uwierzytelnianie i korzystajmy z narzędzi antywirusowych. Nie zapominajmy też o regularnych aktualizacjach oprogramowania. Wiele osób je ignoruje, ale to właśnie te „nudne” aktualizacje często łatają luki w naszych zabezpieczeniach.

A co z publicznymi sieciami Wi-Fi – czy powinniśmy ich unikać?

Adam Sawicki: Przede wszystkim powinniśmy być bardzo ostrożni i uważni korzystając z publicznych sieci Wi-Fi. Wielu z nas ma dwa telefony, jeden prywatny, a drugi służbowy – wykorzystujmy je do uruchamiania bezpiecznych hotspotów zabezpieczonych hasłem. Jeśli już musimy korzystać z publicznej sieci, nie logujmy się do kont bankowych ani nie przesyłajmy wrażliwych danych. Ważne jest także, abyśmy byli czujni na phishing, czyli bardzo groźny precedens polegający na podszywaniu się przez hakerów pod zaufane źródła, aby skłonić nas do ujawnienia poufnych informacji, takich jak hasła czy dane osobowe. Może przyjmować to formę e-maili, SMS-ów czy wiadomości w komunikatorach, które często zawierają linki do fałszywych stron. Wreszcie nie bójmy się zgłaszać podejrzanych sytuacji. Nielegalne strony, phishingowe wiadomości – takie rzeczy powinny trafiać do odpowiednich instytucji, jak CERT Polska.

W ostatnim tygodniu media obiegła informacja o ataku hakerskim na dużą sieć sprzedaży detalicznej, w wyniku którego doszło do wycieku danych osobowych klientów. Jakie wnioski możemy wyciągnąć z takich przypadków?

Adam Sawicki: Te incydenty wyraźnie pokazują, że nawet najbardziej doświadczeni użytkownicy i uznane organizacje, które do tej pory wydawały się być dobrze zabezpieczone, mogą stać się ofiarami cyberprzestępców. To wyzwanie skłania z jednej strony do refleksji nad skutecznością obecnych zabezpieczeń, a z drugiej nad tym, jak ważna jest ciągła nauka i dostosowywanie się do dynamicznie zmieniającego się krajobrazu zagrożeń w sieci. Przykładem jest sztuczna inteligencja – z jednej strony to narzędzie, które ułatwia nam życie zawodowe i prywatne, a z drugiej potężna broń w rękach cyberprzestępców. Mamy do czynienia z atakami, które są coraz bardziej wyrafinowane: przekonujący phishing, filmiki deepfake czy oszustwa telefoniczne, gdzie głos „wnuczka” brzmi jak tego prawdziwego.

Kluczową lekcją, które możemy wyciągnąć z tych przypadków, to zrozumienie, że każdy z nas ma do odegrania ważną rolę w ochronie swoich danych. Firmy z kolei muszą na nowo przemyśleć swoje podejście do cyberbezpieczeństwa, które nie powinno być postrzegane jako zbędny balast, ale jako fundamentalny element strategii każdej organizacji. Regularne przeglądy bezpieczeństwa, testy penetracyjne oraz audyty zgodności z regulacjami prawnymi powinny stać się normą, tak samo, jak włączenie specjalistów od cyberbezpieczeństwa w procesy tworzenia nowego oprogramowania oraz projektowania usług.

Choć rośnie świadomość wagi cyberbezpieczeństwa, wielu ludzi nadal traktuje dodatkowe zabezpieczenia, jak dwuetapowe uwierzytelnianie, jako zbędne utrudnienie. Jakie błędy najczęściej popełniamy?

Damian Łabęcki, Senior Director Information Security w TVN Warner Bros. Discovery: Dla przeciętnego użytkownika wygoda korzystania z Internetu ma nadrzędne znaczenie, a bezpieczeństwo schodzi na dalszy plan. Zgadza się, że często zabezpieczenia takie jak wieloskładnikowe uwierzytelnianie czy silne hasło są traktowane jako zbędne utrudnienia. Nagminne jest stosowanie identycznych poświadczeń do wielu systemów przez użytkowników. Niestety zwykle osoby, które popełniają tego rodzaju błędy, nie zabezpieczają się nawet systematycznym robieniem kopii zapasowych. W związku z tym, gdy dochodzi do ataku lub innej formy utraty danych, okazuje się, że nie ma możliwości ich odzyskania. Wielu z nas zapomina nawet o cyklicznej aktualizacji oprogramowania.

A jak wygląda to w przypadku firm?

Damian Łabęcki: Podobnie wygląda to w organizacjach, zwłaszcza gdy niska świadomość cyberzagrożeń dotyczy kadry kierowniczej. Zwykle takie firmy nie dbają o odpowiedni poziom ochrony – brakuje przemyślanej strategii, wydatki na bezpieczeństwo informacji są ograniczane, nie ma odpowiednich mechanizmów ochronnych lub wdrażane są one w ograniczonym zakresie, aby spełnić minimalne wymagania zgodności. Wiele firm dostrzega kluczowość bezpieczeństwa informacji dopiero w sytuacji, gdy same doświadczyły skutków poważnego incydentu. Takie podejście to czysty hazard. Aby chronić dane, musimy wiedzieć, gdzie one się znajdują. To banał, ale klasycznym problemem firm jest brak pełnej inwentaryzacji zasobów. Niestety, znam wiele przypadków, w których organizacje dowiedziały się o istnieniu danego komputera czy serwera dopiero po tym, jak został przejęty przez przestępców.

A co z kwestią zarządzania ryzykiem związanym z dostawcami?

Damian Łabęcki: Wiele firm w ogóle nie myśli o swoich dostawcach w kategorii ryzyka bezpieczeństwa informacji, a przecież korzystając z podwykonawców, dajemy im dostęp do naszych systemów i powierzamy dane do przetwarzania. Firmy mają również problemy z zarządzaniem uprawnieniami, przy czym najwięcej kłopotów dostarcza nieterminowe odbieranie uprawnień oraz zbyt wysokie uprawnienia użytkowników, prowadzące do licznych naruszeń. Organizacje wdrażają procesy takie jak zarządzanie zmianą czy zarządzanie incydentami bezpieczeństwa, ale to na nic, jeżeli w organizacji pracownicy nie wiedzą jak te procesy działają lub brakuje konsekwencji w ich egzekwowaniu. Ile razy słyszeliśmy o incydencie, na przykład phishingu, który dotarł do zespołu odpowiedzialnego za cyberbezpieczeństwo z dużym opóźnieniem, ponieważ został zgłoszony niewłaściwym kanałem komunikacji, lub o zmianach, które wprowadzono na środowisko produkcyjne bez uprzedniego testowania i autoryzacji?

Jakie są najważniejsze sygnały ostrzegawcze, które pozwalają odróżnić prawdziwą wiadomość od oszustwa phishingowego?

Damian Łabęcki: Jedną z kluczowych cech phishingu jest poczucie pilności, które atakujący wykorzystują, by wywołać stres i wymusić natychmiastowe działanie. Otrzymane wiadomości często grożą zablokowaniem konta lub aplikacji, jeśli użytkownik nie zareaguje w określonym czasie, nakłaniając do kliknięcia w podejrzane linki lub otwarcia załączników. Wiadomości te często wydają się pochodzić od zaufanych źródeł, jak banki czy sklepy internetowe, a także podszywają się pod członków rodziny lub kadrę zarządzającą. Ważne jest zwracanie uwagi na dane nadawcy wiadomości, literówki, dziwne domeny oraz ogólnikowe zwroty i błędy językowe. Naszą czujność powinny wzbudzić także wszelkie wyjątkowo atrakcyjne oferty.

Niestety wraz z rozwojem sztucznej inteligencji przestępcy coraz częściej wysyłają phishing, który niezwykle trudno odróżnić od prawdziwych wiadomości. AI dzięki analizie dużych zbiorów publicznie dostępnych informacji pozwala tworzyć bardziej skuteczne ataki, wobec tego część z wcześniej wymienionych typowych cech fałszywych wiadomości może w ogóle nie mieć zastosowania w coraz bardziej wyrafinowanych kampaniach.

Czy możesz w takim razie wymienić, te podstawowe i najważniejsze zasady, które mogą nam pomóc uniknąć zagrożeń?

Damian Łabęcki: Podstawą skutecznej ochrony jest przestrzeganie kilku elementarnych zasad bezpieczeństwa:

1. Gdy otrzymamy podejrzany e-mail lub SMS, zadajmy sobie kilka pytań: czy rzeczywiście wiemy, kto wysłał tę wiadomość? Czy rozpoznajemy nadawcę i jego adres e-mail, numer telefonu? Czy nadawca prosi nas o otwarcie witryny internetowej lub jakiegoś załącznika? Czy spodziewamy się wiadomości e-mail lub SMS tego rodzaju/ od tego nadawcy?
2. Nie wolno klikać w linki zawarte w podejrzanych wiadomościach lub pochodzących od nieznanego nadawcy. Wystarczy ustawić kursor na łączu, aby zobaczyć jego prawdziwe miejsce docelowe.
3. Nie powinno się pobierać ani otwierać plików, dla których źródło otrzymania wzbudza wątpliwość. Jeżeli nadawca jest znany – jest to bank czy sklep internetowy – najlepszą opcją weryfikacji autentyczności wiadomości jest bezpośredni kontakt z nim.
4. Nie należy uzupełniać danych logowania do formularza, który otworzył się po kliknięciu łącza z nieznanej/podejrzanej wiadomości.
5. Zachowajmy szczególną ostrożność w przypadku wiadomości odwołujących się do naszych emocji.
6. Wszelkie podejrzane wiadomości należy zgłaszać do właściwych komórek w organizacji, takich jak zespoły wsparcia technicznego lub zespoły ds. bezpieczeństwa informacji lub właściwych organów administracji publicznej, np. CERT Polska.

Jakie konsekwencje finansowe i wizerunkowe może ponieść firma, która nie zadba o odpowiednie zabezpieczenia?

Adam Sawicki: Skala strat, zarówno finansowych, jak i reputacyjnych, może być olbrzymia, a to, co kiedyś było scenariuszem science fiction, dziś dotyka firm na całym świecie. Internet Crime Complaint Center, oddział FBI, otrzymał rekordową liczbę skarg od mieszkańców USA w 2023 roku – było ich ponad 880 tysięcy, a potencjalne straty przekraczają 12,5 miliarda dolarów, co stanowi prawie 10 proc. wzrost liczby skarg i 22 proc. wzrost strat w porównaniu do 2022 roku. A pamiętajmy, że dane te dotyczą tylko tych incydentów, które zostały zgłoszone.

Jeśli firma zostanie zaatakowana, jednym z najpoważniejszych skutków jest przerwa w działalności, co w bezpośredni sposób odbija się na jej przychodach. Weźmy na przykład firmy produkcyjne – dla nich każda godzina przestoju oznacza realne straty finansowe, bo produkcja stoi, a koszty wciąż rosną. Jeden poważny incydent może także spowodować falę rezygnacji klientów, utratę potencjalnych kontraktów, a w niektórych przypadkach także poważne zawirowania na giełdzie. Wystarczy przypomnieć sobie historie firm, które zbyt długo zwlekały z reakcją lub próbowały ukryć incydent – reakcja rynku bywała bezlitosna. Ostatecznie, to jak firma podchodzi do cyberbezpieczeństwa, może być jednym z kluczowych elementów jej sukcesu lub porażki w długim terminie. To swoista polisa na przyszłość.

Które branże są szczególnie narażone na tego rodzaju ataki?

Adam Sawicki: Lista branż szczególnie narażonych na cyberataki jest długa, ale na czoło wysuwają się przede wszystkim finanse, ochrona zdrowia, energetyka i edukacja. Sektor finansowy to oczywisty cel – tam, gdzie są pieniądze, tam są i cyberprzestępcy. Ochrona zdrowia stała się łakomym kąskiem dla hakerów w ostatnich latach, bo dane medyczne to coś niezwykle prywatnego, a więc także niezwykle cennego. Energetyka i infrastruktura krytyczna to z kolei kluczowy element bezpieczeństwa państwa – w tym przypadku obserwujemy wzrost ataków szczególnie po rozpoczęciu wojny w Ukrainie, co pokazuje, że cyberprzestrzeń stała się również bardzo poważnym polem bitwy. Na liście są także e-commerce, administracja publiczna i transport, czyli branże, które przechowują mnóstwo istotnych danych osobowych, lub których paraliż ma niebagatelny wpływ na funkcjonowanie całego państwa.

Coraz więcej firm zaczyna dostrzegać, że cyberbezpieczeństwo to proces wymagający nie tylko zaawansowanych technologii, ale także dobrze przygotowanego zespołu. Jakie kluczowe elementy powinny znaleźć się w szkoleniach z zakresu bezpieczeństwa, aby realnie wzmocnić ochronę organizacji?

Damian Łabęcki: Człowiek jest kluczowym elementem w systemie cyberbezpieczeństwa i jednocześnie jego najsłabszym ogniwem. W dzisiejszych czasach nie da się budować skutecznego programu cyberodporności bez odpowiedniej edukacji pracowników. Każda osoba, niezależnie od roli pełnionej w organizacji, powinna przejść podstawowe szkolenie z bezpieczeństwa informacji, które przybliży tematykę aktualnych zagrożeń i dostarczy wiedzy pozwalającej na podjęcie właściwych działań. Istotne jest, aby takie szkolenie spełniało kilka kluczowych założeń. Po pierwsze powinno mieć atrakcyjną i zachęcającą formę, być obowiązkowe, a nie opcjonalne i koniecznie cykliczne – przeprowadzane nie rzadziej niż raz w roku. Takie szkolenie musi nawiązywać także do wewnętrznie przyjętych regulacji, czyli polityki, standardów i procedur. Powinno skupiać się na najważniejszych zagadnieniach, z którymi każdy pracownik ma na co dzień do czynienia, np. najczęstszych typach ataków, raportowaniu potencjalnych incydentów, bezpieczeństwie haseł, przechowywaniu danych, urządzeń i sieci. Szkolenie z cyberbezpieczeństwa powinno być nieodłączną częścią programu onboardingu nowych pracowników.

Szkolenia z zakresu cyberbezpieczeństwa stają się coraz bardziej popularne, ale wdrożenie ich na szeroką skalę może być wyzwaniem dla małych i średnich firm. Jakie rozwiązania mogą pomóc tym firmom w podnoszeniu świadomości pracowników, nie generując przy tym wysokich kosztów?

Damian Łabęcki: Szkolenia pracowników to koszt, ale także inwestycja w bezpieczeństwo organizacji. Dla wielu mniejszych firm wprowadzenie szkoleń dla pracowników na szeroką skalę może faktycznie być sporym wyzwaniem. Tu optymalnym kosztowo rozwiązaniem mogą być szkolenia powszechnie dostępne w wielu serwisach e-learningowych lub w serwisach firm, które specjalizują się w popularyzacji tematyki cyberbezepieczeństwa i podnoszeniu świadomości wśród obywateli. Wykorzystanie platform e-learningowych może okazać się również bardziej optymalne czasowo i kosztowo w przypadku szkoleń specjalistycznych z dziedziny cyberbezpieczeństwa, zwłaszcza jeżeli interesują nas konkretne zagadnienia np. bezpieczeństwo chmury obliczeniowej, bezpieczeństwo aplikacji webowych lub przegląd kodu źródłowego. Obecnie na rynku funkcjonuje wiele serwisów e-learningowych oferujących tego typu szkolenie od ręki w modelu subskrypcyjnym.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Bądź na bieżąco! Obserwuj nas w Wiadomościach Google.

Źródło