search-bar

Rozwój

Jak zadbać o bezpieczeństwo w sieci?

Rosnąca liczba cyberataków paraliżuje działanie firm i instytucji. Organizacje muszą się bronić nie tylko przed zagrożeniem z zewnątrz, ale także przed własnymi pracownikami, którzy zwyczaje z życia prywatnego przenoszą do biura. Nowe pokolenie zmienia paradygmat prywatności, a z nim – bezpieczeństwa. Na co postawić, żeby nie przegrać cyfrowej wojny o bezpieczeństwo?

W skrócie:

Cyberataki nasilają się z roku na rok, a firmy muszą się bronić nie tylko przed zagrożeniem z zewnątrz, ale także przed własnymi pracownikami, którzy zwyczaje z sieci przenoszą do biura.

Zagrożenia:

Nasilanie się zjawisk i ataki związane ze złośliwym oprogramowaniem, coraz lepsze socjotechniki, mail bardziej dobrany do grupy docelowej oraz sama grupa docelowa, która w obliczu wyspecjalizowanych technik jest często zupełnie bezbronna, niefrasobliwość generacji Y.

Jak się bronić:

Obserwować i reagować na nowe metody phishingu, przygotować się na falę freelancerów, koncentrować się na edukacji i aktualizować oprogramowanie.

Majowy weekend 2017 zatrząsł światem. We Francji stanęła fabryka Renault, problemy miał amerykański Fedex, brytyjskie szpitale, berliński system bankowy i komputery rosyjskiego MSW. Ucierpiał też największy rosyjski operator telefonii komórkowej – Megafon. Według danych Europejskiego Urzędu Policji hakerzy przeprowadzili cyberatak na nienotowaną wcześniej skalę – w siedemdziesięciu czterech krajach równocześnie. Atak dotknął głównie tych użytkowników systemu operacyjnego Windows, którzy nie zainstalowali bieżącej aktualizacji programu. Wirus przygotowany przez hakerów wykorzystywał lukę w zabezpieczeniach w systemie operacyjnym, blokował ekran komputera i szyfrował pliki na twardym dysku. W zamian za odblokowanie plików hakerzy żądali okupu w wysokości 300 dolarów w kryptowalucie – bitcoinach.
Kim są przestępcy? Z ankiety przeprowadzonej przez służby ds. bezpieczeństwa sieci, którą opublikował „The Guardian”, wynika, że są to młodzi piraci, którzy atakują głównie z powodów idealistycznych – wymierzają sprawiedliwość. I choć żądają okupu, tak naprawdę traktują atak jako wyzwanie techniczne oraz sposób na zdobycie uznania w swojej społeczności. Nie zawsze też zdają sobie sprawę z tego, czym taki atak grozi firmom i instytucjom, i do czego może doprowadzić. To ostatnie można też powiedzieć o… samych atakowanych.

47 ataków dziennie

W eleganckim saloniku Pałacu Sobańskich trwa prezentacja Raportu CERT Orange Polska za rok 2016. Wynika z niego, że włamania do firmowej sieci czy phishing (rodzaj oszustwa internetowego, którego celem jest kradzież tożsamości użytkownika), które pozwalają cyberprzestępcy podszyć się pod ofiarę, wymagają jej współudziału. Wyłudzenie informacji następuje w wyniku otwarcia przez nieświadomego użytkownika złośliwego załącznika lub kliknięcia w fałszywy link. Do tego dochodzą coraz bardziej wyrafinowane techniki podsłuchu.

Raport Orange mówi o 17 199 obsłużonych przypadkach związanych z zagrożeniem bezpieczeństwa w ciągu roku, co daje prawie 47 przypadków dziennie. Przeważają wciąż „obraźliwe i nielegalne treści” (41%), prawie 20% to próby włamań, niemal 17% to ataki DDoS (atak sieciowy polegający na wysłaniu do atakowanego systemu takiej ilości danych, jakiej nie będzie w stanie obsłużyć), a 6,7% to malware, czyli złośliwe oprogramowanie, którego celem jest szkodliwe działanie w stosunku do użytkownika komputera. Nasze komputery zalewane są przez wirusy komputerowe, robaki internetowe, konie trojańskie, programy typu spyware. Za większością ataków stoi coraz sprawniej stosowana przez cyberprzestępców socjotechnika.

Eksperci Orange przewidują dalszy wzrost liczby ataków w 2017 roku. Wiele wskazuje na to, że jest to rok phishingu przygotowanego pod konkretne grupy zawodowe. Bożena Leśniewska, członek zarządu Orange Polska, zwraca uwagę na cztery główne aspekty cyberataków: – Nasilanie się zjawisk i ataki związane ze złośliwym oprogramowaniem, które biorą na celownik wszystko to, na czym można zarobić w sieci, coraz lepsze socjotechniki, mail bardziej dobrany do grupy docelowej oraz sama grupa docelowa, która w obliczu wyspecjalizowanych technik jest czasem bezbronna jak dziecko.

Po hasło wystarczy… zadzwonić

Coraz bardziej zaawansowana i spersonalizowana komunikacja cyberprzestępców nie jest jednak głównym zagrożeniem. Z danych serwisu Niebezpiecznik.pl wynika, że polskie firmy najbardziej powinny obawiać się własnych pracowników. Serwis przeprowadził uzgodnioną z pracodawcami akcję „atakowania” pracowników (bez złośliwego oprogramowania i nakłaniania do otwierania załączników czy też infekowania ich urządzeń), która osiągnęła… stuprocentową skuteczność. Pracownicy sami udostępniali dokumenty i hasła do firmowych systemów. Mitem jest, że na fałszywe e-maile nabierają się wyłącznie osoby „nietechniczne” czy tzw. „panie Halinki”, gdyż taka cyfrowa łatwowierność dotyczy również pracowników działów IT. Jak to się dzieje? Dobrym przykładem jest historia włamania do systemu firmowego wielkiej korporacji pokazana w filmie Herzoga Lo i stało się. Jeden z bohaterów filmu, haker, opowiada, jak po prostu zadzwonił do osoby odpowiedzialnej za bezpieczeństwo. Kiedy usłyszał wiadomość: „jestem na urlopie, zastępuje mnie koleżanka”, zadzwonił do koleżanki. Wyraził żal, że osoba, która wyjechała na urlop nie przekazała mu informacji, o które prosił. Miła pogawędka przyniosła owoce: koleżanka urlopowiczki postanowiła przekazać mu informacje. Wzbudził jej zaufanie do tego stopnia, że gdy okazało się, że system broni dostępu do danych osobom spoza firmy, postarała się o hasło do serwera. Co więcej, cała akcja odbyła się za zgodą i wiedzą administratora systemu!

Zasoby firmowe nie są bezpieczne także po godzinach pracy. Według badań Click Software trzy czwarte pracowników regularnie korzysta ze smartfonów poza biurem, aby sprawdzić swoją służbową pocztę elektroniczną. Takie zachowanie może zwiększyć ryzyko wycieku danych przechowywanych zarówno na serwerach wewnętrznych, jak i „w chmurze” – zwłaszcza wtedy, gdy do zabezpieczenia wykorzystuje się tylko tradycyjne systemy uwierzytelniania hasłem statycznym.

Niefrasobliwość generacji Y

Sprawę dodatkowo komplikują zmiany demograficzne. Millennialsi, urodzeni między 1984 a 1997 rokiem, są bardziej nieostrożni niż poprzednie generacje. Przewiduje się, że bezpieczeństwo firm będzie bardziej zagrożone, gdy generacja Y obejmie stanowiska kierownicze. Pierwsi przedstawiciele tej generacji już rządzą w firmach, a nowi, coraz młodsi  menedżerowie, przedkładający otwartość ponad prywatność a wygodę nad bezpieczeństwo – nadchodzą.

Bożena Leśniewska z Orange tak określa skalę zjawiska: – Na 16 mln aktywnych zawodowo osób mamy już w Polsce 9 mln millennialsów, którzy mają zupełnie inny stosunek do ochrony swoich danych osobowych, a zwyczaje z życia prywatnego przenoszą do firmy. Generacja Y ma zbyt dużo zaufania do cyfryzacji, a uwrażliwienie jej na kwestie bezpieczeństwa nie udało się, i to w skali globalnej.

Trzydziestolatkowie często znają kanały społecznościowe, używają wielu aplikacji, ale nie mają tak naprawdę pojęcia, jak działa Internet. W ryzykownych zachowaniach przeważają mężczyźni. Według danych Intrinsec (Intrinsec/Institute for Homeland Security Solutions) połowa młodych mężczyzn ma tendencję do zapominania haseł, jedna czwarta odwiedza niebezpieczne strony www, a ponad 15% otwiera maile od nieznanych nadawców. Wśród baby boomersów (urodzonych w latach 1946-1964), zwłaszcza wśród kobiet, takie zachowania są dużo rzadsze.

Jak sobie poradzić z nieostrożnymi millennialsami? Duże znaczenie ma tu edukacja, ale też wdrożone systemy bezpieczeństwa uniemożliwiające przenoszenie ryzykownych zachowań do firm.

Internet rzeczy nadchodzi

Poza cyfrowymi atakami i nieostrożnością pracowników czeka nas eksplozja Internetu rzeczy, które także mogą być celem ataków złośliwego oprogramowania. Według szacunków Cisco zawartych w raporcie Global Cloud Index do 2018 roku IoT (Internet of Things) wytwarzać będzie rocznie ponad 400 zettabajtów danych (jeden zettabajt to miliard terrabajtów). Dla biznesu te liczby oznaczają kolosalne przeobrażenia w systemie dostępu i zarządzania informacją.

Jeśli spojrzymy na Internet rzeczy pod kątem liczby działających w nim smart-urządzeń, staje się jasne, że mamy do czynienia z efektem kuli śnieżnej. Do globalnej sieci podpinamy coraz więcej przedmiotów. Największy boom czeka nas w najbliższych latach. Według szacunków IDC w ubiegłym roku na globalnym rynku było 10,3 mld smart-urządzeń dysponujących autonomicznym dostępem do sieci (czyli z unikalnym adresem IP). W 2020 roku takich urządzeń będzie już blisko 31 mld. To niemal cztery razy więcej niż będzie wynosić populacja świata.

Przełomowe wykorzystanie Internetu rzeczy szykuje Korea Południowa, która buduje pierwsze w dziejach świata smart city z prawdziwego zdarzenia. Chodzi o miasto Songdo powstające na 500 mln ton piasku usypanego na sztucznej wyspie oddalonej od Seulu o nieco ponad godzinę drogi autobusem. „Najinteligentniejsze miasto świata” swoją inteligencję zawdzięczać będzie milionom sensorów zaprojektowanych przez Cisco i obecnych wszędzie, gdzie tylko to możliwe: na ulicach, w szkołach, biurowcach, szpitalach, fabrykach i w zwykłych domach. Wydaje się prawdopodobne, że Songdo wyznacza kierunek, w jakim będą podążały kolejne metropolie. Oznacza to nowe wyzwania w kwestiach bezpieczeństwa – również dlatego, że coraz więcej mieszkańców metropolii będzie pracować z domu.

Niezależni pracownicy nowym wyzwaniem

W 2014 roku w USA 34% pracowników było freelancerami. Szacuje się, że w 2020 będzie już ok. 50% niezależnych pracowników (według Intrinsec/Gigaom). Wśród nich są przedstawiciele najmłodszej generacji Z, osoby urodzone między 1995 r. a 2010 r., których priorytety i pragmatyczne podejście definiują na nowo pojęcie pracy, organizacji i bezpieczeństwa.

Generacja Z to ludzie urodzeni w świecie Web 2.0. Dla ich rodziców praca była często niechcianą koniecznością, a oni sami postrzegają przedsiębiorstwo jako organizację, która jest bezduszna, nudna i stresująca. W tym pokoleniu, częściej niż we wcześniejszych generacjach, dominuje chęć bycia niezależnym. Według raportu Banku BNP Paribas aż 47% młodych chce uruchomić swój start-up, a prawie 85% deklaruje, że wybierze zawód związany z pasją. Przewiduje się też, że młody człowiek z pokolenia Z w ciągu trzydziestu lat zmieni zawód trzynaście razy, a jeszcze częściej będzie zmieniał pracodawcę.
Żeby skłonić niezależnych pracowników z generacji Z do współpracy, trzeba przemodelować organizację. Jest to jednak pokolenie pragmatyczne, dużo bardziej uwrażliwione na kwestie bezpieczeństwa. Młodzi z generacji Z wiedzą lepiej. Kultura bezpieczeństwa zainstalowała się w masowej wyobraźni tego pokolenia, a hakerzy (jak stworzona przez Stiega Larssona Lisbeth Salander) weszli do kultury popularnej.

By przyciągnąć młodych pracowników, firmy muszą zmienić miejsca pracy. Biura powinny być kompleksowo przemyślane i otwarte na ludzi pracujących niezależnie. Mają to być miejsca wymiany i obrotu informacją. Dlatego firma coraz mniej będzie przypominała zamkniętą twierdzę, a coraz bardziej – przepustowe lotnisko. Wzorem do naśladowania może być sposób działania przemysłu filmowego, czyli bardzo dużo zaufania i taka organizacja produkcji, w której udziela się tymczasowego dostępu do danych, zasobów i narzędzi. Taki sposób organizacji pracy w połączeniu z uwrażliwieniem pokolenia Z na kwestie bezpieczeństwa to kolejne wyzwanie dla bezpieczeństwa firm.

Rozwiązania: dobre nawyki, dobre oprogramowanie, zero prywatności

Coraz wyższy poziom cyberprzestępców, łatwowierność pracowników i nowe, bardziej otwarte sposoby organizacji pracy skłaniają do szukania nowych rozwiązań w kwestii bezpieczeństwa.
Co można zrobić, by uniknąć problemów? Na pewno obserwować działania hakerów, reagować na nowe metody phishingu i dbać o systemy ochrony: oprogramowanie antywirusowe czy zabezpieczenia tożsamości.

Wysokiej klasy oprogramowanie antywirusowe, wbudowany w każdy preinstalowany na nowym komputerze system Windows czy funkcje bezpieczeństwa rodzinnego oraz zaawansowane systemy ochrony tożsamości użytkowników, wykorzystujących technologie biometryczne – oparte o skanowanie twarzy, tęczówki oka, czy odcisku palca – wylicza możliwości Marcin Klimowski, Product Manager Windows, zajmujący się tematami bezpieczeństwa systemów w firmie Microsoft. – Wszystkie nasze produkty tworzone dzisiaj mają bezpieczeństwo w tle.

I kolejna ważna rzecz: trzeba edukować pracowników, uczyć ich nowych, bezpieczniejszych zachowań w sieci. To istotne również dlatego, że – według najnowszego raportu Microsoftu – największą rolę w kształtowaniu nawyków bezpieczeństwa mają po prostu rodzice.

Konieczna, choć trudna do przeprowadzenia, wydaje się też zmiana podejścia w kontekście prywatności. Jak pisze we wstępie do Raportu CERT Orange Polska Piotr Jaworski, dyrektor wykonawczy ds. sieci Orange Polska: „nie da się zapobiegać zagrożeniom na dużą skalę bez współpracy”. W kwestii bezpieczeństwa wszyscy wygrywają, działając razem, ale tę współpracę skutecznie blokuje niechęć do ujawniania błędów. Prezesi firm muszą odczarować rzeczywistość, a pracownicy, także ci starsi, zrezygnować z prywatności na rzecz bezpieczeństwa.

Od oddania prywatnych danych nie ma zresztą chyba odwrotu. – Prywatność kiedyś się pojawiła i kiedyś zniknie – przypomina prof. SWSP Kazimierz Krzysztofek. – Cyfryzacja to zmiana społeczna, której nie ogarniamy. W tej chwili panuje chaos normatywny. Ludzie uważają, że sami stanowią normy moralne. Panuje prywatyzacja moralności, a więc prywatyzacja bezpieczeństwa.

Może jedyna możliwość to mówić tylko prawdę? – zastanawia się Marian Salzman, szefowa Havas, w wywiadzie dla PRoto. – W czasach, gdy wszystko jest publiczne, najlepiej niczego nie ukrywać. Wszystko i tak w jakiś sposób ujrzy światło dzienne. Takie podejście zwiększy liczbę rozwodów, liczbę osób pracujących samodzielnie i zmniejszy liczbę niesprawiedliwych wyroków. I przyczyni się prawdopodobnie do stworzenia bardziej humanitarnego świata.

Poradnik: Jak zadbać o bezpieczeństwo w sieci: złote zasady (nie tylko) dla millennialsów

Myśleć, zanim się coś zrobi.
Ustawić mocne hasło (12+ znaków, małe i wielkie litery, znaki specjalne i cyfry) i przechowywać je w bezpiecznym miejscu, np. w aplikacji KeePass.
Zadbać o aktualizację oprogramowania (!)
Używać programu antywirusowego.
Nie publikować w sieci informacji osobistych (PESEL, data urodzenia, nr dokumentu).
Nie klikać w linki i posty, które wyglądają podejrzanie.
Nigdy nie podawać danych do logowania przez telefon ani nie wysyłać ich jednym kanałem.

Komentarze Facebook
Czytaj więcej z kategorii Rozwój:

W jaki sposób uczyć się efektywnie – bez względu na wiek

Starsi boją się, że z wiekiem ich możliwości percepcji i nauki będą drastycznie spadać. Młodsi, że przyjmując do zespołu starszego pracownika nie będą w stanie nauczyć go nowych rzeczy. Neurobiologia pokazuje, że jest proste rozwiązanie tych problemów: lifelong learning.

Najczęściej czytany

PropTech w biurze. Oszczędności i komfort pracy w jednym

Biometryka, big data, sztuczna inteligencja i Internet rzeczy. Nowoczesne technologie odważnie wkraczają do biur na całym świecie. W ubiegłym roku szacunkowa wartość tego rynku sięgnęła prawie 3 miliardów dolarów. A rozwiązania już dawno przestały służyć tylko ograniczaniu kosztów funkcjonowania.