Fakty i mity cyberbezpieczeństwa

W cyfrowym świecie, w którym zagrożenia cybernetyczne ewoluują z dnia na dzień, mity na temat cyberzagrożeń mogą prowadzić do zaniedbań, a w efekcie, do poważnych incydentów bezpieczeństwa. Dlatego dziś rozwiewamy najczęściej powtarzane nieprawdy (i półprawdy), które mogą zaszkodzić Twojemu biznesowi.

Wokół cyberbezpieczeństwa narosło niemało mitów, które niewątpliwie są przestępcom internetowym bardzo na rękę. W końcu dezinformacja to świetna strategia! Ale nie z nami te numery – obalamy osiem nieprawdziwych przekonań na temat cyberzagrożeń:

1. Cyberbezpieczeństwo to wyłącznie problem działu IT.

Ze względu na powszechność dostępu do sieci, ten mit nie jest już tak popularny jak kiedyś, ale wciąż zbiera swoje żniwo. Tymczasem to ludzki błąd (lub brak świadomości zagrożeń) mogą stać się głównymi przyczynami naruszeń bezpieczeństwa. I właśnie dlatego warto nie tylko uzbroić firmę technologicznie, ale również regularnie szkolić pracowników z bezpiecznych praktyk oraz procedur stosowanych w przypadku zaistnienia incydentu.

2. Ofiarami ataków phishingowych padają tylko osoby naiwne lub starsze.

To niebezpieczne uproszczenie, które ignoruje złożoność i wyrafinowanie współczesnych metod phishingowych i ataków socjotechnicznych w ogóle. W rzeczywistości, nawet doświadczeni użytkownicy internetu mogą paść ofiarą phishingu, ponieważ atakujący nieustannie ulepszają swoje techniki i „nigeryjski książę” już dawno nie jest szczytem ich możliwości. Musimy też pamiętać, że phishing to nie tylko ataki masowe. Jego odmianą jest też np. whaling, który ma na celu oszukanie konkretnej osoby z kierownictwa firmy, przez co może być dużo bardziej kosztowny biznesowo.

3. Oprogramowanie antywirusowe i firewall stanowią wystarczającą ochronę.

Choć te narzędzia są istotnym składnikiem zabezpieczeń, samodzielnie nie są w stanie zapewnić pełnej ochrony przed całym spektrum zagrożeń cyfrowych. Odparcie zaawansowanych ataków, wymaga powtarzalnych procedur i bardziej złożonych narzędzi, takich jak regularne aktualizacje oprogramowania, szkolenia pracowników z zakresu świadomości cyberbezpieczeństwa i odpowiednie zarządzanie dostępami w strukturze firmy.

4. Małe firmy nie są atrakcyjne dla przestępców.

W rzeczywistości, małe firmy często stają się łatwymi celami, ponieważ mają mniej zasobów, które mogłyby przeznaczyć na zaawansowane zabezpieczenia. Mówiąc wprost, małe biznesy z założenia są bardziej podatne na różnego rodzaju ataki, a oszuści chętnie z tego korzystają. Hakerzy często też wykorzystują mniejsze firmy jako punkt wejścia do ich większych kontrahentów i partnerów. Małe przedsiębiorstwa atakowane są wtedy w ramach pierwszego etapu oszustwa zakrojonego na dużo większą skalę.

5. Cyberataki wykrywane są natychmiast.

Nie zamierzamy twierdzić, że nie zdarzają się przypadki natychmiastowego odkrycia ataku i uniemożliwienia przestępcom dalszej infiltracji systemu. Niemniej jednak, spora ilość naruszeń bezpieczeństwa pozostaje niewykryta przez całe miesiące, a nawet lata. To pozwala hakerom na długotrwałe wykorzystywanie skompromitowanej infrastruktury, wykradanie z niej bieżących danych, a czasem nawet posłużenie się nią w innych atakach. Dlatego wśród najistotniejszych elementów cyberbezpieczeństwa znajdziemy stały monitoring serwerów, który znacząco przyspiesza wykrycie ewentualnego włamania.

6. Sprzęty niektórych firm są mniej podatne na ataki hakerskie.

Mit ten opiera się o dane wykazujące mniejszą faktyczną ilość ataków przypuszczanych na urządzenia z systemami macOS i iOS. I rzeczywiście, incydentów jest mniej, ale wynika to między innymi z mniejszego udziału „jabłuszek” w rynku. Komputerów z systemem Windows jest po prostu więcej, a przy tym system musi obsłużyć różne wersje sprzętowe (więc automatycznie łatwiej o luki i błędy w kodzie). Natomiast nie wpływa to na potrzebę zachowania ostrożności i stosowania dobrych praktyk bezpieczeństwa, niezależnie od używanego systemu operacyjnego.

7. Cyberbezpieczeństwo to droga fanaberia i nie każdy może sobie na to pozwolić.

Prawdą jest, że cyberbezpieczeństwo może być kosztowne. Ale jego brak może pochłonąć znacznie większe zasoby finansowe. Dlatego należy dopasować system zabezpieczeń do skali organizacji, jej potrzeb i możliwości, tak żeby zminimalizować ryzyko. Regularne aktualizacje oprogramowania, wymaganie wieloskładnikowego uwierzytelnienia i podstawowe przeszkolenie pracowników z odpowiednich procedur to minimum, które może znacząco poprawić bezpieczeństwo cybernetyczne firmy.

8. Wszyscy hakerzy są przestępcami.

Haker kojarzy nam się zdecydowanie negatywnie – jako osoba w kapturze, przysłonięta wielkim ekranem i wykradająca numery naszych kart kredytowych. Motywacje hakerów bywają różnorodne i obejmują zarówno zysk finansowy, działania szpiegowskie, ale też motywy polityczne lub ideologiczne. Natomiast warto pamiętać, że istnieją jeszcze etyczni hakerzy, którzy zatrudniani przez firmy zajmujące się cyberbezpieczeństwem, włamują się do systemów klientów w celu znalezienia podatności, która mogłaby stanowić punkt dostępu dla przestępców. A następnie taką podatność usuwają. Takich hakerów określamy mianem White Hat.

Ile z tych mitów wydawało Ci się wiarygodne jeszcze 5 minut temu?

Prawda jest taka, że każdy z nich spokojnie mógłby dostać swój własny artykuł – o phishingu (i innych atakach socjotechnicznych) już zresztą pisaliśmy. Niemniej, mam nadzieję, że tekst ten będzie stanowił dobry wstęp do rozmów o cyberbezpieczeństwie w Twojej firmie. A jeśli potrzebujesz wsparcia w zabezpieczeniu firmowej infrastruktury, będzie nam niezmiernie miło porozmawiać z Tobą osobiście.