Jak zaznaczają eksperci, w minionym roku 7 na 10 firm z branży przemysłowej padało ofiarą ataków hakerskich. Od czego zacząć budowę cyberbezpieczeństwa?                                                        

Eksperci z Secfense podkreślają, że branża meblarska w ostatnich latach mierzy się z wieloma problemami. Nie da się ukryć, że producenci mebli odczuwają skutki obecnego kryzysu gospodarczego. Według prezesa Ogólnopolskiej Izby Gospodarczej Producentów Mebli niektóre firmy już odnotowują spadek sprzedaży na poziomie kilkudziesięciu procent. Oprócz tego – podobnie jak inne branże – są również stale pod presją rosnących niebezpieczeństw związanych z atakami cyberprzestępców oraz naruszeniami prywatności danych. Aby uniknąć wysokich kosztów związanych z naprawą skutków tego typu zdarzeń, firmy meblarskie powinny mocno skoncentrować się na własnym cyberbezpieczeństwie. 

Od lat rozbudowujemy obecność w przestrzeni cyfrowej. Jak ochronić firmę przed cyber atakami? Posłuchajmy specjalistów.

Od czego zacząć?

Zdaniem Piotra Madeja, założyciela TrapTech – Cyfrowe Pole Minowe, budowa cyberbezpieczeństwa firmy powinna zawsze zaczynać się od przeprowadzenia oceny ryzyka, która pomoże zidentyfikować najważniejsze zagrożenia i słabości w systemach informatycznych i sposobie zarządzania nimi. Na podstawie wyników takiej oceny można określić priorytety i wdrożyć odpowiednie środki ochronne.

Jak zaznaczyła Kasia Toczko, head of communications w PrivMX, tworzenie polityki cyberbezpieczeństwa firmy to zadanie, które może wydawać się przytłaczające, szczególnie dla organizacji, które nie mają wielkich zasobów ani wyraźnych kompetencji w tym zakresie. Tylko spokojnie – oto 3 kroki, które możesz podjąć już dziś, żeby lepiej zadbać o bezpieczeństwo firmowych danych – podkreśliła. Pierwszym krokiem jest ocena ryzyka.
Na tym etapie wystarczy zastanowić się, jaki rodzaj danych jest przetwarzany przez firmę i zlokalizować najsłabsze punkty działającego do tej pory systemu. Czy pozyskujecie i przechowujecie dane osobowe? Jak wygląda obieg dokumentów – gdzie zapisywane są kluczowe pliki? Jak są zabezpieczone i kto ma do nich dostęp? Jak chroniona jest tajemnica przedsiębiorstwa i najcenniejsze biznesowe informacje? Już tak pobieżna analiza wykaże najpoważniejsze luki – na przykład niezabezpieczone zasoby chmurowe, rozproszone w różnych lokalizacjach poza UE serwery czy chaotyczna komunikacja pracowników i brak jakiejkolwiek polityki prywatności i dostępu do danych. Na tym etapie, zamiast paniki, jaką wywołuje widmo potencjalnych wycieków danych czy kar za łamanie regulacji RODO, przyda się stoicki spokój – podkreśliła.

Katarzyna Abramowicz jest radcą prawnym związaną z Specfile. Radczyni prawna, była przedstawicielka KIRP w Brukseli. Od ponad 20 lat wraz z ojcem Zbigniewem tworzy rozwiązania technologiczne, które ułatwiają życie milionom Polaków (Przelewy24, Bilety24, Specfile, Specprawnik, Sygnanet). Prelegentka największych konferencji o tematyce legaltech i cybersecurity w Polsce, mentorka Women in Law oraz Global Legal Hackathon, laureatka 50 najbardziej kreatywnych w biznesie, nominowana do nagrody European Women of Legal Tech 2020 oraz wykładowczyni SWPS na studiach podyplomowych „Legaltech i innowacje w branży prawniczej”. Poleca uwadze dwa profile: specfile.pl – szyfrowanie danych i  sygnanet.pl – szyfrowany, anonimowy kanał do zgłaszania nadużyć w firmach i bezpiecznej komunikacji usprawniającej rozwój firm. Na pytanie od czego zacząć budowę cyberbezpieczeństwa firmy, odpowiada, że od oceny ryzyka jako procesu do przeprowadzenia kompleksowej oceny cyberbezpieczeństwa. Warto zidentyfikować potencjalne luki w zabezpieczeniach i ryzyka związane z działalnością firmy. Obejmuje to ocenę zarówno wewnętrznych, jak i zewnętrznych zagrożeń oraz identyfikację najważniejszych aktywów informacyjnych. Bardzo pomocne jest opracowanie polityk bezpieczeństwa informacyjnego, która wszystko porządkuje i określa zasady, procedury i wytyczne dotyczące ochrony danych w firmie. Polityka powinna obejmować m.in. hasła, uprawnienia dostępu, zarządzanie urządzeniami, zabezpieczenia sieciowe i inne aspekty związane z ochroną danych. Trzecia dobra praktyka to opracowanie szkoleń dla pracowników. Warto zapewnić  szkolenia w zakresie cyberbezpieczeństwa dla wszystkich pracowników, aby zwiększyć ich świadomość ryzyka i nauczyć ich, jak rozpoznawać i unikać potencjalnych zagrożeń, takich jak phishing, malware czy socjotechnika. Regularne szkolenia są kluczowe w utrzymaniu wysokiego poziomu cyberbezpieczeństwa w firmie. Dalej to też odpowiednio wdrożone zabezpieczenia techniczne, które znacznie redukują ryzyko ataków na systemy IT firmy. Monitorowanie i odpowiednie reagowanie na incydenty będzie też kluczowym elementem plus przygotowanie planu awaryjnego, który pomoże podjąć kroki w przypadku incydentu cyberbezpieczeństwa, takiego jak wyciek danych, atak i wskaże nam jak działać dalej – odpowiada.

Na wstępie warto zaznaczyć, że temat cyberbezpieczeństwa jest bardzo ważnym aspektem życia organizacji, tym bardziej w dzisiejszych czasach, gdzie w minionym roku 7 na 10 firm z branży przemysłowej padało ofiarą ataków hakerskich. Jeśli pytasz więc od czego zacząć budowę cyberbezpieczeństwa firmy, zawsze odpowiadam, że najlepiej od samego początku tzn. ustalenia stanu faktycznego jeśli chodzi o podejście danej organizacji do tematu cyberbezpieczeństwa. Mam tu na myśli nie tylko pogląd działu IT w tym zakresie, co często jest pierwszym krokiem w wielu firmach, ale przede wszystkim podejście Zarządu, który w dobie obowiązujących regulacji ponosi pełną odpowiedzialność za ten aspekt – zaznaczył Dariusz Paścik, sales & development director Sagenso. Dodał: Gdy mamy już wypracowany wspólnie ten pierwszy krok, łatwiej jest przejść do kolejnych aspektów, takich jak: stworzenie odpowiednich procedur bezpieczeństwa, implementacji oprogramowania zabezpieczającego czy też szkolenia pracowników. Oczywiście poszczególnych zależności w tym zakresie jest wiele więcej, ale pozwoliłem sobie wymienić najważniejsze z nich. Jako osoba zajmująca się tematem cyberbezpieczeństwa na co dzień, wiem, że dzięki właśnie takiemu podejściu jesteśmy w stanie opracować precyzyjnie i zgodnie z oczekiwaniami danej organizacji odpowiedni zakres działań w temacie cyber security. Takie podejście ma również przełożenie na ekonomiczny aspekt funkcjonowania firmy. Obecnie każda organizacja, nawet ta najlepiej zabezpieczona, może paść ofiarą ataku hakerskiego. Najważniejsze jednak będzie to, jak sobie z takim atakiem poradzi i czy wyjdzie z tej niekomfortowej sytuacji obronną ręką. Nikt z nas, odpowiedzialny za prowadzenie firmy nie chce przecież zmagać się z widmem ogromnych strat finansowych czy wizerunkowych, które często mogą doprowadzić do niekorzystnych, nieodwracalnych wręcz zmian w funkcjonowaniu danej spółki – powiedział Dariusz Piaścik.

Co budzi czujność?

Na pytanie: Jakie sygnały powinny obudzić czujność firm, że dzieje się coś niepokojącego, Piotr Madej z TrapTech – Cyfrowe Pole Minowe odpowiedział: Wektory cyberataku można mnożyć w nieskończoność. Z oceny ryzyka wynika prawdopodobieństwo ich materializacji oraz skutków dla danej organizacji.  W każdym przypadku, kiedy pojawią się podejrzenia, należy posiadać procesy i narzędzia którymi możemy ochronić firmę przed stratami finansowymi lub reputacyjnymi. Nasza firma specjalizuje się w narzędziach, z pomocą których można tworzyć fałszywe środowiska IT, które natychmiastowo sygnalizują cyberatak.  

Kasia Toczko z PrivMX wymienia dwa kolejne kroki służące cyberbezpieczeństwu: są to narzędzia naprawcze i kultura prywatności. Większość wymienionych problemów związana jest z codziennym modus operandi zespołu i właściwym doborem narzędzi do pracy. Jeśli więc przesyłacie jakiekolwiek wrażliwe dane w niezabezpieczonych systemach pocztowych, używacie do komunikacji z kontrahentami wielu rozproszonych aplikacji, nad którymi nie ma żadnej firmowej kontroli lub, co gorsze, ale całkiem popularne, komunikujecie się w zespole używając mediów społecznościowych, czas na (spokojną) technologiczną rewolucję.

W takiej sytuacji świetnie sprawdza się wprowadzenie systemu typu all-in-one, łączącego funkcje dysku do przechowywania danych, wewnętrznego komunikatora dla zespołu i aplikacji do zarządzania zadaniami. Kompaktowe rozwiązania pozwalają uniknąć rozproszenia i znacznie ułatwiają kontrolę nad kluczowymi zasobami; skupienie wszystkich najważniejszych informacji i funkcji w jednym miejscu podnosi też efektywność i skupienie wśród pracowników.

Warto przy wyborze rozwiązań postawić od razu na aplikacje, które domyślnie chronią prywatność danych. Z technologicznego punktu widzenia najlepiej sprawdzą się narzędzia wykorzystujące szyfrowanie end-to-end, czyli taki rodzaj zabezpieczenia, który nie pozwala na odczytanie treści przez żadną nieuprawnioną osobę – może je rozszyfrować tylko uprawnione osoba. Dobrze zaprojektowana aplikacja biznesowa z szyfrowaniem jest intuicyjna w obsłudze, nie wymaga  od użytkowników specjalnych technologicznych kompetencji i pozwala zachować prywatność najcenniejszych informacji i… spokój ducha;) – podkreśliła. Kolejny, trzeci krok to kultura prywatności. W ostatnim kroku także przyda się spokój. Wprowadzaniu nowego narzędzia musi towarzyszyć stopniowe i konsekwentne wdrażanie nowej polityki bezpieczeństwa w zespole. Warto jasno określić nowe wymagania dotyczące silnych haseł, regularnych aktualizacji systemu i wyraźnych ograniczenia dotyczące stosowania zewnętrznych, dodatkowych aplikacji i urządzeń osobistych.

Silna kultura prywatności pozwala znacznie ograniczyć ryzyko związane z najczęstszą przyczyną incydentów w zakresie cyberbezpieczeństwa, czyli z ludzkim błędem. To właśnie pomyłki i niedopatrzenia pracowników od lat prowadzą w branżowych rankingach cybersecurity. Warto postawić na technologie, które pozwolą im zapobiec i zachować rozsądny poziom dbałości o dane – zaznaczyła Kasia Toczko.

Katarzyna Abramowicz ze Specfile, podkreśliła: Firmy warto by były czujne na różnorodne sygnały, które mogą wskazywać na potencjalne problemy związane z cyberbezpieczeństwem. Warto zwrócić uwagę na nieprawidłowe działanie systemów IT takie jak nieuzasadnione awarie, spadki wydajności, utrata funkcjonalności lub nieprawidłowe działanie aplikacji mogą wskazywać na potencjalne naruszenia. Wykrycie nieautoryzowanych aktywności, takich jak próby nieudanych logowań. Otrzymanie nieoczekiwanych wiadomości e-mail, wiadomości tekstowych, telefonów lub innych komunikatów zawierających podejrzane żądania, takie jak prośby o uwierzytelnienie, podanie poufnych informacji lub dokonanie niezwykłych transakcji, może wskazywać na próby phishingu lub innych form ataku.

Zdaniem Dariusza Piaścika z Sagenso, sygnałów tego typu może być bardzo wiele. Prawda jest taka, że w dzisiejszym cyfrowym świecie codziennie jesteśmy poddawani mniejszym lub większym próbom ataku. Uwzględniając więc tak dużą skalę działania cyberprzestępców, każda anomalia, która występuje w działaniu naszej organizacji powinna zwrócić naszą uwagę – podkreślił. Jego zdaniem, do najpopularniejszych form ataku możemy zaliczyć phishing, który za pośrednictwem wiadomości (maila, smsa) ma spróbować wykraść dane wrażliwe z naszej firmy lub umożliwić przedostanie się w struktury naszej organizacji złośliwego oprogramowania szyfrującego dane. Niepokój powinien pojawić się więc w sytuacji, gdy otrzymujemy wzmożoną ilość takiej „niechcianej” korespondencji, gdyż może to świadczyć, iż nasza firma stała się obiektem zainteresowań hakerów. Innym, bardziej zaawansowanym przykładem, może być technologia deepfake, która przy wykorzystaniu sztucznej inteligencji daje możliwość przejęcia tożsamości np.: prezesa firmy i zlecenie dużego przelewu w dziale księgowości. Mając na uwadze dobro naszej organizacji, zawsze przy tego typu sytuacjach powinniśmy spróbować uwiarygodnić otrzymaną informację, lub polecenie, nawet jeśli w tym celu będziemy zmuszeni do mało komfortowych działań po naszej stronie (jak np. pilny kontakt z wysoko postawionym przedstawicielem firmy – dyrektorem IT lub Członkiem Zarządu. Lepiej jednak zawsze  zapobiegać niż „gasić pożar” – podkreślił Dariusz Paścik.

Wielu producentów – w tym również z branży meblarskiej – przechowuje wrażliwe informacje w sieci, co sprawia, że stają się one łatwym celem dla cyberprzestępców. Ataki na systemy informatyczne mogą prowadzić do utraty danych, uszkodzenia systemów lub sprzętu, a także naruszenia prywatności klientów, dostawców czy partnerów. Takie zdarzenia mogą zaważyć na reputacji firmy, jej stabilności finansowej oraz wpłynąć negatywnie na zaufanie rynku. Dlatego też, dbanie o cyberbezpieczeństwo powinno stać się dla każdej z nich priorytetem. Rozpoczynając budowę cyberbezpieczeństwa w przedsiębiorstwie produkcyjnym, należy zacząć od przeprowadzenia wstępnej analizy ryzyka. Trzeba zwrócić uwagę na ważne zasoby firmy, takie jak bazy danych z informacjami o klientach, plany projektów czy kody źródłowe. Uwaga powinna jednak się skupić na uszczelnieniu i zabezpieczeniu pierwszej linii frontu podczas walki z cyberprzestępcami, czyli na hasłach i dostępach do systemów i aplikacji wszystkich użytkowników sieci. Jak zaznacza Tomasz Kowalski, CEO i współzałożyciel firmy Secfense, model Zero Trust zakłada, że żadna sieć firmowa nie jest dziś bezpieczna. Przeciwnie – rosnąca liczba aplikacji w chmurze, praca z domów i z niezabezpieczonych odpowiednio sieci sprawia, że każdą osobę, która pojawia się w naszej sieci, musimy traktować jak intruza. Kluczem do skutecznej ochrony danych jest upewnienie się, że wiemy, kim jest użytkownik siedzący po drugiej stronie monitora. Bez tej pewności żadne zabezpieczenia nie są skuteczne.

Cyberprzestępcy zdobywają hasła i loginy pracowników czy innych użytkowników sieci wewnętrznych firm, w różny sposób. Mogą robić to, wysyłając maile phishingowe, wiadomości sms, instalując na komputerach złośliwe oprogramowanie lub wykorzystując niefrasobliwość pracowników, którzy wręcz im w tym „pomagają”.

Firma Cisco przeprowadziła ankietę wśród 2000 profesjonalistów z 19 krajów regionu EMEAR (Europa, Bliski Wschód, Afryka i Rosja), z której wynika, że 65% pracowników w wieku od 18 do 24 lat oraz 54% w przedziale wiekowym 35-44 obchodzi firmowe systemy bezpieczeństwa. Jak? Między innymi używając słabych i łatwych do zapamiętania haseł, przesyłając hasła mailem, dzieląc się nimi ze współpracownikami lub zapisując je w łatwo dostępnych miejscach. Skutek jest jeden – utrata danych uwierzytelniających. Rozwiązaniem tego problemu jest odejście od stosowania loginów i haseł jako jedynych danych uwierzytelniających i wzmocnienie ich odpornym na phishing i socjotechnikę silnym uwierzytelnianiem – dodaje Tomasz Kowalski. – Na wdrażanie mechanizmów silnego uwierzytelniania pozwala właśnie Secfense User Access Security Broker, który dzięki bezkodowemu podejściu do implementacji (no-code) zabezpiecza wszystkie systemy w firmie, zarówno te nowoczesne jak i te stare (jak systemy legacy). Jest o co walczyć, ponieważ IBM w raporcie Cyber Security Intelligence Index wykazał, że 60% wszystkich ataków przeprowadzanych jest z wewnątrz, czyli z wykorzystaniem danych użytkowników systemów wewnętrznych.

Zdecydowana większość firm wie, że bez 2FA/MFA, czyli wieloskładnikowego uwierzytelniania, wymuszającego na użytkowniku weryfikację nie tylko w postaci hasła ale również biometrii, klucza kryptograficznego czy innego składnika uwierzytelniania, trudno o dobrą ochronę. W prawie każdej organizacji 2FA jest już więc wdrożony przynajmniej na części systemów. Niestety bardzo rzadko zdarza się aby MFA chroniło wszystkie aplikacje w firmie. Adopcja MFA na szeroką skalę jest bowiem wyzwaniem, któremu mało która organizacja jest w stanie sprostać. Współczesne firmy, które nie wykorzystują silnego uwierzytelniania na szeroką skalę wiele ryzykują – kontynuuje Tomasz Kowalski. – User Access Security Broker pozwala na wdrożenie silnego uwierzytelniania nie tylko na najważniejszych systemach, ale w całej organizacji, bez pominięcia żadnych systemów i pracowników. Wdrożenie globalnej strategii silnego uwierzytelniania może więc odbywać się dziś w prosty i szybki sposób. Pozwalają na to otwarte technologie, które działają synergicznie z dostawcami funkcjonujących już wcześniej MFA w organizacji.

Jak zaznaczył Tomasz Kowalski, właściciele, osoby zarządzające firmami meblarskimi muszą zdawać sobie sprawę, że ochrona przed cyberatakami jest procesem ciągłym i wymaga systematycznego monitorowania oraz aktualizacji zabezpieczeń. Priorytetem jednak, w każdej poważnie myślącej o biznesie firmie,  powinno stać się wdrożenie nowoczesnego, wygodnego wieloskładnikowego uwierzytelnianie w całej organizacji. Sam Gartner w swoich raportach informował, że przedsiębiorstwa, które oferują zdalny dostęp pracowników bez wdrożonego wieloskładnikowego uwierzytelniania, mogą doświadczyć pięciokrotnie więcej incydentów przejęcia kont niż te, które z niego korzystają. Warto o tym pamiętać na co dzień, walcząc z kryzysem i w obliczu nowych wyzwań, których z pewnością branży meblarskiej dostarczy przyszłość.

TEKST: Diana Nachiło

Artykuł został opublikowany w miesięczniku BIZNES.meble.pl, nr 5/2023