Są przebiegli, bezwzględni i mają tylko jeden cel – uzyskać dostęp do danych wrażliwych w sieci firmowej. Dziś to nie tylko dane osobowe, ale również pliki graficzne i wideo (na przykład z kamer monitoringu przemysłowego). Czy zaostrzona ustawa o ochronie danych osobowych przekona przedsiębiorców do zwiększenia wydatków na bezpieczeństwo danych w sieci? O czym powinni pamiętać i na co zwracać uwagę? Jak przygotować się na unijną rewolucję, by uniknąć dotkliwej kary? Właściciele firm mają nieco ponad dwa lata na
przystosowanie infrastruktury IT do nowych regulacji.
Problem zarządzania kontami uprzywilejowanymi, które mają dostęp do danych wrażliwych znajdujących się w posiadaniu firmy, dotyczy nie tylko bardzo dużych organizacji, ale także średnich i małych przedsiębiorstw oraz wszystkich urzędów czy instytucji publicznych (takich jak szkoły czy kluby sportowe). W wielu z nich wciąż brakuje jasno zdefiniowanych, formalnych procedur związanych z bezpieczeństwem firmowych sieci. Co gorsza, firmy nawet nie stosują tak podstawowych zabiegów jak monitorowanie tego, kto i kiedy miał dostęp do tych danych, przetrzymywanych przez dłuży czas na wypadek audytu. Żyjemy w coraz bardziej zdigitalizowanej rzeczywistości, w której skala i częstotliwość ukierunkowanych ataków hakerskich wzrastają w zawrotnym tempie. Z raportu PwC wynika, że w 2015 r. ponad połowa firm w Polsce odnotowała nie mniej niż 6 cyberataków w ciągu roku, a w przypadku aż 70% przypadków głównymi sprawcami byli pracownicy firmy. Z kolei badanie firm Intel i Intel Security z maja 2016 roku pokazuje, że aż 40% dużych przedsiębiorstw w Polsce nie ma przygotowanego scenariusza awaryjnego na wypadek cyberataku lub podobnych zdarzeń. Przykładów na bagatelizowanie zagrożenia płynącego z wewnątrz firmy nie brakuje, podobnie jak tych związanych z rażącymi uchybieniami i brakiem kompetencji w zarządzaniu bezpieczeństwem danych w firmowych sieciach.
PESEL Gate
W ostatnim czasie byliśmy świadkami serii wycieków ogromnej ilości danych osobowych, którym można było zapobiec, stosując nowoczesne narzędzia do monitorowania infrastruktury sieciowej. O aferze związanej z pozyskiwaniem informacji z systemu PESEL, w której „zwycięzca” uzyskał aż 800 tysięcy rekordów, usłyszał w tym roku cały kraj. Aż trudno w to uwierzyć, ale Ministerstwo Cyfryzacji wykryło nieprawidłowości związane z nietypowym ruchem w systemie dopiero po roku od zdarzenia! Sytuacja jest absurdalna, tym bardziej że istnieją na rynku systemy monitorujące, dzięki którym można było dużo szybciej wykryć anomalie i błyskawicznie reagować na podejrzany wzrost ruchu w sieci, a zwłaszcza jeśli to ma miejsce poza godzinami pracy.
Prawda jest smutna – ponad połowa polskich firm nie słyszała dotąd o GDPR (według badania zrealizowanego na zlecenie Trend Micro i Vmware). Można domniemywać więc, że tyle samo z nich, bądź nawet więcej, również nie interesuje się zabezpieczeniami. Dlaczego?
Mimo że na rynku istnieją już kompleksowe rozwiązania służące do zaawansowanego monitoringu i zarządzania pracą sieci, dla wielu przedsiębiorstw wdrożenie takich systemów nadal wydaje się przerastającym ich przedsięwzięciem. Są jednak opcje stworzone dla mniejszych firm, które nie zrujnują ich budżetu i nie wymagają dodatkowego pracownika, który będzie całymi tygodniami konfigurował ten system. To dobrze, ponieważ straty finansowe i wizerunkowe dla firmy, w której doszło do naruszenia zasad ochrony danych, są nieporównywalnie większe od wydatków przeznaczonych na zwiększenie jej cyfrowego bezpieczeństwa. Utrata cennych informacji idzie w parze z nadszarpniętym zaufaniem i zszarganą reputacją, które bardzo trudno odbudować.
Unijna rewolucja
Utrata wizerunku – jak widać po badaniach – nie jest jednak wystarczającym straszakiem, z pewnością jednak staną się nim najnowsze przepisy. Wielkimi krokami zbliżają się bowiem rewolucyjne zmiany w ochronie danych osobowych, które mają na celu dostosowanie obowiązujących przepisów do dynamicznie rozwijającego się świata nowych technologii. 25 maja 2018 r. wejdzie w życie nowe Rozporządzenie Ogólne o Ochronie Danych Osobowych, nazywane w skrócie GDPR (General Data Protection Regulation), które wprowadzi jednolite dla wszystkich państw członkowskich regulacje w zakresie ochrony danych osobowych. Nowe przepisy zastąpią dyrektywę o ochronie danych z 1995 r. – czyli z czasów, kiedy Internet dopiero raczkował, a zarządzanie informacjami w cyfrowym świecie nie było jeszcze powodem do nadużyć.
A co wdrożenie nowego rozporządzenia oznacza dla właścicieli firm, w których przetwarzanie wrażliwych danych jest zjawiskiem powszednim? Przede wszystkim obowiązek wprowadzenia supernowoczesnych zabezpieczeń, które zapewnią wysoki poziom bezpieczeństwa informacji w cyfrowym świecie. Na niepokornych (i skąpych) przedsiębiorców, którzy nie dostosują firmowej infrastruktury do obowiązujących wymogów, czekają surowe kary finansowe. Firma, w której dojdzie do naruszenia bezpieczeństwa danych, zostanie ukarana grzywną w wysokości do 4% swojego rocznego globalnego dochodu lub 20 mln EUR (w zależności od tego, która kwota będzie większa). Ponadto, przedsiębiorstwo będzie musiało poinformować o fakcie nieprzestrzegania przepisów krajowy organ nadzorczy.
Tymczasem standardy bezpieczeństwa w wielu polskich firmach wciąż nie osiągnęły zgodności ze starą Ustawą o Ochronie Danych Osobowych – ponad 1/3 przedsiębiorstw nadal nie dostosowała się do poprzednich regulacji, co jest alarmującym sygnałem dla wielu podmiotów gospodarczych, które na uniknięcie dotkliwych konsekwencji związanych z nieprawidłowościami w przetwarzaniu danych mają coraz mniej czasu.
Technologia spieszy z pomocą
Właściciele firm już teraz powinni przygotować się na nadchodzące zmiany i zaplanować wydatki na bezpieczeństwo sieciowego zaplecza. Ostatnie nadużycia (patrz Ministerstwo Cyfryzacji i numery PESEL) pokazują, jak ważne w tym aspekcie jest monitorowanie tego, kto ma dostęp do informacji wrażliwych, a szczególnie monitorowanie i audyt czynności wykonywanych przez pracowników uprzywilejowanych, czyli takich, którzy mają do danych wrażliwych dostęp na co dzień.
– Systemy monitorujące mają takie opcje – współpracują z administratorem sieci, podając mu informacje, kto i kiedy logował się do serwera lub innego zasobu z poufnymi danymi, rejestrują też próby nieudanych zalogowań i pokazują, czy na przykład odbyło się ono w nietypowy sposób – poza godzinami pracy czy w wolne dni – tłumaczy Tomasz Kunicki, założyciel i prezes AdRem Software, producenta systemu NetCrunch.
Aby uniknąć ryzyka i dotkliwych kar, firmy muszą prędko rozpocząć przygotowania do adaptacji do nowego stanu prawnego. Wybierając rozwiązania, warto brać pod uwagę nowoczesne oprogramowanie monitorujące infrastrukturę sieciową. Jest to potężny arsenał odgrywający kluczową rolę w walce z cyberprzestępczością, również tą mającą swoje źródła wewnątrz firmy.