Cyberbezpieczeństwo w małej i średniej firmie

Postępująca cyfryzacja, zarówno w przestrzeni gospodarczej, jak i prywatnej, sprawia, że właściciele małych i średnich firm muszą uświadomić sobie, jak duże zagrożenia wiążą się z komunikacją elektroniczną i informatyzacją.

Cyberbezpieczeństwo w małej i średniej firmie, itweek.pl
Cyberbezpieczeństwo w małej i średniej firmie, itweek.pl

Postępująca cyfryzacja, zarówno w przestrzeni gospodarczej, jak i prywatnej, sprawia, że właściciele małych i średnich firm muszą uświadomić sobie, jak duże zagrożenia wiążą się z komunikacją elektroniczną i informatyzacją.

Ochrona danych osobowych lub innych danych istotnych dla funkcjonowania biznesu (np. informacji objętych tajemnicą przedsiębiorstwa, zawierających strategie marketingowe bądź plany rozwojowe) często w praktyce ogranicza się do oceny czynności, jakie przedsiębiorca powinien podjąć, aby stworzyć wewnętrzne procedury postępowania w razie zagrożenia. Ostatnie miesiące pokazały, że celem cyberataków są nie tylko wielkie korporacje, ale też firmy z sektora małych i średnich przedsiębiorstw.

Małe firmy jako atrakcyjny cel cyberataków

Małe i średnie firmy stanowią łakomy kąsek dla osób trudniących się nielegalnym pozyskiwaniem danych. Dlaczego? Przede wszystkim ze względu na mylnie powielany pogląd, że sektor ten nie przeznacza zbyt wielkich środków na wdrożenie procedur ochrony danych. Jednocześnie cyberprzestępcy mogą zakładać, że obawy przed negatywnymi konsekwencjami utraty danych skłonią firmę do rozmów z przeprowadzającym atak i doprowadzą do zapłaty żądanej kwoty za przywrócenie dostępu do baz danych. Chociaż w wielu przypadkach rzeczywistość wygląda inaczej, to taka refleksja w chwili braku dostępu do własnych danych okazuje się niewielkim pocieszeniem

Realne zagrożenia dla małych firm – przykłady i konsekwencje

Przeprowadzone w ostatnich miesiącach ataki doprowadziły do ujawnienia w darknecie ogromnych ilości rekordów zawierających skradzione dane. Pokazały one przedsiębiorcom, że zagrożenie w tym obszarze jest realne. Niezależnie od tego, czy utrata danych nastąpiła na skutek ataku ransomware, czy była efektem phishingu, istotne są jej konsekwencje – oraz wnioski, jakie wyciągnie z niej przedsiębiorca. Chociaż konsekwencje prawne w postaci roszczeń osób, których dane podlegają ujawnieniu oraz postępowania, które mogą toczyć się przed
Prezesem Urzędu Ochrony Danych Osobowych to te najczęściej nagłaśniane, nie można zapominać o utracie reputacji i mozolnie budowanego wizerunku firmy na rynku.

Z tych też względów warto zastanowić się nad tym, czy poświęciliśmy dostatecznie dużo czasu na zadbanie o ten aspekt naszej działalności biznesowej. I chociaż bliskie jest mi powiedzenie, że to nie procedury zawodzą, tylko ludzie – właściwa reakcja personelu musi wynikać z pewnych regulacji i zasad postępowania.

Kilka podstawowych kroków do poprawy cyberbezpieczeństwa w małej firmie

Za chwilę zastanowimy się nad tym, jak właściwie przeprowadzić etap wdrażania procedur bezpieczeństwa danych w firmie. Zanim jednak – zatrzymajmy się na moment nad tym, co możemy zrobić, aby zminimalizować ryzyko utraty danych w bardzo prosty sposób. Chociaż rzeczy, o których będziemy teraz wspominać, wydają się oczywiste, to w przeprowadzanych przez naszą Kancelarię audytach znajdują się one często na samym szczycie zaleceń, które z różnych względów nigdy nie były wewnątrz firm realizowane.

Hasła – słabe hasło, to silne ryzyko

Analizując dostępne metody ochrony danych osobowych, trzeba zacząć od ich należytego zabezpieczenia hasłem. Bezpieczeństwo online zależy w dużej mierze od siły stosowanych haseł.

Należy stosować hasła, które nie nawiązują do danych osobowych, nazw, ani nie są łącznikami skrótów imienia i nazwiska – hasło „adam1234” nie będzie dawało gwarancji bezpieczeństwa. Bezpieczne hasło powinno składać się z ciągu znaków, który będzie trudny do rozszyfrowania. Nie warto sugerować się prostotą zapamiętania – zarządzając swoimi hasłami właściwie, będziemy w stanie używać tych silnych, a jednocześnie nie będziemy mieć problemu z ich zapamiętywaniem. Tożsamość w sieci i bezpieczeństwo danych osobowych są znacznie cenniejsze niż czas poświęcony na wpisanie kilkunastu znaków w polu przeglądarki internetowej lub aplikacji na smartfonie.

Jeśli opisana rada wydaje się prosta i oczywista, to zastanów się nad tym, czy uregulowałeś zasady zmiany hasła przez swoich pracowników oraz ich przekazywania przy off-boardingu.

Dwuskładnikowe uwierzytelnianie

Jeśli jest to możliwe, należy korzystać z autoryzacji dwuskładnikowej (2FA). Dwuskładnikowe uwierzytelnianie to metoda zabezpieczająca dostęp do kont lub aplikacji poprzez wymaganie dwóch różnych form uwierzytelnienia podczas logowania. Zazwyczaj obejmuje element znany użytkownikowi (np. hasło) oraz coś, co użytkownik posiada (np. kod generowany na urządzeniu mobilnym lub w formie wiadomości SMS). Taka forma logowania znacząco zwiększa bezpieczeństwo. Utrudnia tym samym potencjalnym atakującym przejęcie dostępu do aplikacji, konta lub profilu. Jest to jedna ze skuteczniejszych form zabezpieczenia kont i danych przed nieautoryzowanym dostępem. W praktyce to jedno z podstawowych i najczęstszych zaleceń pokontrolnych, które przekazujemy Klientom po przeprowadzeniu audytu.

Aktualizacje oprogramowania

Aktualizacje oprogramowania wbrew pozorom nie mają jedynie zajmować dodatkowego miejsca na dysku komputera lub smartfona. Ich celem jest przede wszystkim usuwanie luk i błędów w zabezpieczeniach. Nawet jeśli aktualizacja zawiera nową funkcjonalność, którą nie będziemy zainteresowani, warto zastanowić się nad jej zainstalowaniem w celu poprawy bezpieczeństwa danych. Dostawcy platform odpowiedzialni za przetwarzanie danych osobowych nie tylko dbają o wygląd wizualny aplikacji, ale przede wszystkim powinni monitorować zagrożenia i udoskonalać zabezpieczenia przechowywanych danych.

Czujność

Warto zwrócić uwagę zespołu na działania ze wzmożoną czujnością w przypadku wiadomości SMS oraz e-maili. Chodzi o wiadomości, które wymagają podania lub zmiany danych osobowych, czy też kliknięcia w załączony link. Wszelkiego rodzaju akcje phishigowe oparte są na próbie wzbudzenia zaufania i przekonania, że klikając w link działamy z zachowaniem bezpieczeństwa.

Jeśli dotarła do Twojej firmy wiadomość z banku, która zawiera prośbę o zaktualizowanie danych, zastanów się, jak możesz sprawdzić jej wiarygodność. W praktyce odnotowujemy sytuacje, w których np. dział odpowiedzialny za rozliczenia lub wprowadzenie przelewów właśnie w taki sposób nierozważnie przyczynia się do utraty danych.

Kopie zapasowe

Istotne jest, aby regularnie tworzyć i zabezpieczać kopie zapasowe ważnych danych. Chociaż kopia zapasowa sama w sobie nie stanowi zabezpieczenia przed ich utratą, to w przypadku incydentu pozwoli firmie na dalsze korzystanie ze zgromadzonych danych. Proponowane podstawowe metody ochrony danych osobowych nie stanowią zamkniętej listy, która dawałaby gwarancję bezpieczeństwa w każdym przypadku. Z całą jednak pewnością stosowanie się do nich zdecydowanie zwiększy bezpieczeństwo użytkowników różnych sieci komunikacji elektronicznej. Pozytywnie wpłynie również na większy poziom cyberbezpieczeństwa firmy.

Właściwy proces wdrażania procedur bezpieczeństwa danych w firmie

Obszarem, w którym najczęściej wspomagamy Klientów naszej Kancelarii, jest kompleksowe wsparcie prawne w procesie wdrażania lub poprawy procedur bezpieczeństwa. Zanim jednak podejmiemy decyzję o sposobie zabezpieczenia danych, powinniśmy zastanowić się nad ich kategorią. Z punktu widzenia odpowiedzialności wobec osób trzecich inaczej oceniamy ryzyko utraty danych obejmujących np. bazę stałych dostawców usług, inaczej zaś dane wrażliwe, jakimi są np. dane medyczne. Każdorazowo odmienne będą też rekomendacje co do stosowanych zabezpieczeń w obu opisanych przypadkach. Dlatego w procesie właściwego wdrażania danych niezwykle ważny jest audyt aktualnego stanu procedur. Inaczej proces ten będzie wyglądał w firmie, która dysponuje już wewnętrznymi procedurami, a inaczej u przedsiębiorcy, który dotychczas nie regulował w swojej firmie tego obszaru. W pierwszym wypadku ostatnim elementem audytu będą tzw. crash testy, które w łatwy i stosunkowo szybki sposób ujawnią obszary, które wymagają poprawy.

Nie będzie szybko, ale będzie warto

Nie ma sensu tego ukrywać – dobrze przeprowadzony audyt jest często czasochłonny. Wymaga współpracy z wewnętrznym działem IT, działem prawnym lub firmami zewnętrznymi, które dostarczają usługi w tych obszarach. Diagnoza, którą stawia się w fazie kontroli, jest zalążkiem i początkiem rozpoczęcia prac nad stworzeniem właściwych procedur, czyli tzw. spisania ich na papierze. Wiedząc, jakiej kategorii dane przetwarza klient, jak wygląda obieg dokumentacji oraz obszary przyznawanych dostępów do poszczególnych kategorii danych, można przystąpić do tworzenia regulaminów i dokumentów wewnętrznych.

Już na tym etapie warto uświadomić sobie, że ich celem nie będzie jedynie zajmowanie miejsca w szafie z segregatorami lub w chmurze z danymi firmy. Kluczowe jest, aby opracowane dokumenty były jasne i przejrzyste. Nie warto stawiać na ich obszerność, bo celem jest ochrona danych firmowych, a nie posługiwanie się nimi wyłącznie dla potrzeb kontroli. Nawet najobszerniejsze procedury nie zagwarantują bezpieczeństwa danych w firmie, jeśli nie zadbamy o właściwy proces ich wdrażania.

Praktyka pokazuje, że najczęstszym błędem powielanym przez naszych klientów przed zleceniem audytu było przygotowanie procedur, które trafiały do szafy z segregatorami. Najistotniejszy wydaje się z tego powodu etap szkolenia pracowników. To właściwe ten etap ma zagwarantować właściwą reakcję w przypadku zagrożenia. `Znamy przypadki klientów, u których szybka reakcja na przeprowadzony atak pozwoliła na zminimalizowanie jego skutków oraz zapewniła brak konsekwencji prawnych. Nie byłoby to możliwe z pominięciem skrupulatnie przeprowadzonego etapu szkoleń personelu.

A jeśli już przeszedłeś przez te trzy wspomniane etapy, pamiętaj, że nie możesz spocząć na laurach. Stan zagrożeń i stosowane metody ataków zmieniają się niemal z dnia na dzień. Dbaj więc o regularną aktualizację procedur i dostosowywanie ich do stanu zagrożeń.

Autor: Bartosz Grube