Trwają żniwa dla hakerów. Jak się bronić?


Paweł Szygulski - 3 maj 2020 0:01


Bez odpowiednich szkoleń dla pracowników w zakresie zasad cyberbezpieczeństwa i przetwarzania danych, nawet najbardziej zaawansowane oprogramowanie może okazać się nieskuteczne - przestrzega w rozmowie z PulHR.pl Kamila Niewęgłowska-Kennedy, senior associate w Zespole Prawa Własności Intelektualnej, Technologii i Komunikacji w kancelarii prawnej Dentons.

Pandemia koronawirusa wywołała masowe przechodzenie na pracę zdalną. Z jakimi ryzykami wiąże się taka sytuacja od strony cyberbezpieczeństwa? Jakiego rzędu straty można ponieść w wyniku cyberataku?

- Ryzyka związane z pracą zdalną dotyczą m.in. niedostatecznej ochrony informacji pracodawcy, w tym informacji stanowiących tajemnicę przedsiębiorstwa lub dane osobowe. Możliwe konsekwencje to, przede wszystkim, utrata dobrej reputacji i straty finansowe, które mogą wynikać zarówno z zakłócenia ciągłości działania, spadku sprzedaży, jak i konieczności zapłaty kar administracyjnych i odszkodowań.

Wysokość strat związanych z cyberatakami zależy od wielkości przedsiębiorstwa oraz czasu, jaki upłynął do wykrycia cyberataku. Średnie koszty związane z cyberatakiem liczone są w milionach dolarów.

Czytaj także: Firmy w pułapkach czasu pandemii. Jak się bronić?

Nie możemy także zapominać o kosztach odszkodowań, jakie na skutek ataku mogą być należne poszkodowanym i karach administracyjnych nakładanych w przypadku, gdy w skutek cyberataku naruszone zostają dane osobowe (zgodnie z RODO, w przypadku przedsiębiorstwa kara administracyjna może być nałożona nawet do wysokości 4 proc. całkowitego rocznego światowego obrotu).

Dla przykładu, z tytułu cyberataku, na skutek którego z systemu rezerwacyjnego sieci hoteli Marriott wyciekły dane około 500 mln osób, brytyjski organ nadzoru planował nałożyć karę w wysokości blisko 100 milionów funtów.

Czy strach i zamieszanie związane z epidemią sprawiają, że dla cyberprzestępców nastał czas swoistych żniw?

- Wydaje się, że cyberprzestępczość zawsze wykorzystuje sytuacje, w których nasza uwaga jest odwrócona, a trwająca obecnie epidemia nie jest wyjątkiem.

W tej chwili ofiarami cyberataków stają się podmioty z sektora ochrony zdrowia. 23 kwietnia Światowa Organizacja Zdrowia poinformowała, że od początku pandemii COVID-19 zaobserwowała pięciokrotny wzrost cyberataków skierowanych na jej pracowników oraz oszustw e-mailowych skierowanych do ogółu społeczeństwa.

O co powinna zadbać firma, by zabezpieczyć swoje działanie w rozproszonej strukturze?

- Zapewnienie bezpieczeństwa sieci informatycznej w organizacji to proces wielowymiarowy. Jest on związany nie tylko ze sprzętem i oprogramowaniem, ale również z wdrożeniem zasad i procesów, które przygotują firmę na cyberatak.

Z naszych doświadczeń wynika, że bez odpowiednich szkoleń dla pracowników w zakresie zasad cyberbezpieczeństwa i przetwarzania danych, nawet najbardziej zaawansowane oprogramowanie może okazać się nieskuteczne. Świadomość pracowników jest w tym aspekcie nieoceniona.

Czytaj również: PulsHR.pl zaprasza na wyjątkową konferencję w sieci

Szereg praktycznych wskazówek dotyczących bezpiecznej pracy zdalnej publikują ostatnio europejskie organy ochrony danych osobowych, w tym także polski Urząd Ochrony Danych Osobowych.

Na co należy uczulać pracowników przy zdalnym wykonywaniu obowiązków?

- Pracownicy powinni dołożyć starań, aby dostęp do sprzętu (laptop, telefon służbowy) i dokumentów pracodawcy mieli tylko oni. Odchodząc od komputera powinni zawsze go blokować.

Przy pracy zdalnej na pewno warto zwrócić też uwagę na bezpieczeństwo sieci domowej (Wi-Fi). To, co możemy szybko sprawdzić i poprawić to siła hasła do naszej sieci Wi-Fi. Rekomendowane są jak najdłuższe hasła, składające się z różnych znaków, cyfr i symboli. To sprawia, że trudno jest je złamać.

Ponadto, warto przypomnieć pracownikom procedury bezpieczeństwa obowiązujące w danej organizacji.

Jak chronić siebie i partnerów biznesowych w sytuacji pracy zdalnej?

- Wydaje mi się, że jako standard pracy, nie tylko zdalnej, powinniśmy przyjąć szyfrowanie wymienianej mejlowo dokumentacji, w szczególności jeżeli zawiera jakiekolwiek dane osobowe lub informacje objęte tajemnicą przedsiębiorstwa.

Przy wyborze narzędzi do komunikacji, powinniśmy zwrócić uwagę na poziom ich zabezpieczenia. Dbając o poufność naszych rozmów online, używajmy słuchawek zamiast głośników w naszych komputerach.

Jakie instrumenty prawne dają szansę na choć częściowe kompensowanie strat wyrządzonych przez cyberatak? Na ile cyberprzestępcy działający z krajów uważanych za egzotyczne lub niedemokratyczne mogą czuć się bezkarni?

- Na rynku, już od dłuższego czasu, dostępne są ubezpieczenia od ryzyk cybernetycznych. W pewnym zakresie mogą one pokryć straty poniesione na skutek ataków hakerskich, jednak takie ubezpieczenie nie pomoże firmie, która nie wdrożyła wcześniej odpowiednich procesów i zabezpieczeń.

Międzynarodowa skala cyberprzestępczości na pewno jest wyzwaniem dla organów ścigania. Zdają sobie one z tego sprawę i na arenie międzynarodowej pojawiają się liczne inicjatywy (np. konferencje organizowane przez Interpol), które mają za zadanie podnieść poziom świadomości w zakresie cyberprzestępczości, ale także wypracować rozwiązania, które wpłyną na skuteczność ochrony społeczeństwa.

Z jednej strony toczą się prace nad wykorzystaniem sztucznej inteligencji przez policję, ale także nad umożliwieniem organom ochrony prawnej transgranicznego dostępu do dowodów elektronicznych. Co do zasady, w sieci nie ma anonimowości, także miejmy nadzieję, że te międzynarodowe inicjatywy pozwolą też na skuteczne ściganie cyberprzestępców.

Najlepszym rozwiązaniem wydaje się jednak zapobieganie i wdrożenie odpowiednich systemów i procesów, które zapewnią cyberbezpieczeństwo.

Rozmowa powstała w ramach projektu EEC Defence – Razem bronimy gospodarki, animowanego przez Grupę PTWP, organizatora Europejskiego Kongresu Gospodarczego (EEC). Partnerzy EEC wymieniają się informacją, wiedzą, doświadczeniem, pomysłami na radzenie sobie w trudnych czasach. Więcej o EEC Defence – Razem bronimy gospodarki.



www.pulshr.pl | 04-06-2020 16:07:47