Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Wycieki danych w firmach. Czy człowiek jest największym zagrożeniem?

15 wrzesień 2023

Wycieki danych w firmach. Czy człowiek jest największym zagrożeniem?
Rafał Stępniewski

Rafał Stępniewski

Bezpieczeństwo danych jest kluczowym elementem funkcjonowania każdej firmy. Rafał Stępniewski, specjalista w dziedzinie bezpieczeństwa, prezes Rzetelnej Grupy, redaktor naczelny “Security Magazine” analizuje najczęstsze przyczyny wycieków oraz podkreśla rolę człowieka w tym procesie. Jakie działania mogą pomóc firmom w zabezpieczeniu się przed potencjalnymi zagrożeniami?

Jakie są najczęstsze przyczyny wycieków danych w firmach?

Rafał Stępniewski: To najczęściej brak świadomości, ignorowanie lub bagatelizowanie zagrożeń, nie stosowanie się do procedur, nie wyciąganie wniosków z wpadek swoich lub innych, nadmierna pewność siebie i nieuwaga, ale też nadmierne zaufanie do dostawców lub partnerów biznesowych. Większość przyczyn wynika z wewnątrz. Ktoś kliknął w link, włożył pendrive z niewiadomego źródła, zainstalował darmowe świetne oprogramowanie na swoim urządzeniuu — bo mógł, ktoś odłożył na później aktualizację oprogramowania, bo nie ma czasu, bo laptop będzie wolniej działał lub usługa serwerowa będzie niedostępna albo, co gorsza, update może spowodować jej niedziałanie np. naszego sklepu lub CRM, a nie mamy środowiska testowego, by to sprawdzić.

Pomijam tak oczywiste przyczyny, jak wyrzucanie wydruków z danymi do kosza na śmieci, albo proste czy przewidywalne hasła dostępowe, używane w wielu systemach — czasem hasła uniwersalne tj, takie same, bo łatwiej zapamiętać jedno hasło i logować się nim np. do CRM, do banku, portali społecznościowych itp. Nie bez powodu człowiek jest najsłabszym ogniwem w całym procesie bezpieczeństwa. Gubi nas rutyna i nieuwaga oraz zaufanie do tego, co czasem bezrefleksyjnie czytamy lub widzimy. Od paru lat trend Zero Trust nabiera na znaczeniu. Oczywiście, duże firmy coraz częściej stosują takie podejście, ale wśród małych i średnich jest to często pojęcie abstrakcyjne. Skala, zakres oraz możliwości wdrażania metodologii Zero Trust w takich firmach jest inne, ale samo podejście do myślenia o bezpieczeństwa w firmie w taki sposób może wiele zmienić na plus.

Które sektory są najbardziej narażone na wyciek danych? Czy jest na to jakaś reguła?

R.S.: Nie ma dzisiaj firmy, która nie jest narażona na atak czy też na wyciek informacji. Musimy pamiętać o tym, że większość ataków jest automatyczna. Wystarczy wybrać daną podatność, wybrać skuteczną i efektywną metodę ataku i rozpocząć szukanie potencjalnych ofiar. Zdarzają się, oczywiście, spektakularne ataki na duże korporacje i firmy, które z reguły planuje się skrupulatnie, ale jeżeli mówimy o małych i średnich przedsiębiorcach, to tu działa automat i szukanie tych, którzy nie są wystarczająca zabezpieczeni. Oni są bardziej podatni na takie automatyczne ataki niż duże korporacje.

Skala jest inna i potencjalne zyski dla przestępcy są inne. Mając na uwadze skalę jednej zaatakowanej firmy, ale mnożąc to przez ilość potencjalnych ofiar ataków i większą efektywność względem kosztów, jakie musi ponieść taki haker, jest to równie atrakcyjny obszar działania. Branża nie ma tu większego znaczenia. Niestety, panuje mit w tym zakresie — nie jestem dużą firmą z milionami USD dochodu, więc jestem bezpieczny — nikt mnie nie będzie atakował, bo nie ma w tym interesu. Jest to błędne podejście. Wystarczy zadać sobie pytania: co zrobię, kiedy stracę całkowicie dane z kluczowego systemu informatycznego, jaki funkcjonuje w mojej firmie, albo co się stanie, gdy ktoś mi te dane wykradnie — jak będzie wyglądał kolejny dzień w mojej firmie, jak wpłynie to na ciągłość działania mojej firmy.

W jaki sposób firmy mogą monitorować i wykrywać potencjalne wycieki danych w czasie rzeczywistym?

R.S.: Są, oczywiście, takie możliwości. W rozsądnym budżecie można zakupić oprogramowanie do firmy, które będzie za nas pilnować w czasie rzeczywistym, czy nie mamy wycieku. Dotyczy to strony serwerowej, jak i stacji roboczych naszych pracowników. Są programy, które wykrywają niepożądany ruch na zasadzie geolokalizacji. Jeżeli nasz komputer chce wysyłać pakiety danych do krajów o podwyższonym ryzyku, program taki zablokuje ten ruch oraz wyśle ostrzeżenie. Ochronić nas to może przed sytuacją, gdy padniemy ofiarą zarówno phisingu, czyli na przykład klikniemy link w otrzymanym mailu i będziemy przekierowani na stronę na serwerach nie znajdujących się w bezpiecznej strefie. Również w przypadku zainfekowania komputera malware lub innymi, oprogramowanie

W przypadku serwerów, tu również możemy mieć narzędzia monitorujące niestandardowe zachowania, które zostaną zablokowane na poziomie sieciowym. Monitorować możemy zarówno system operacyjny, połączenia przychodzące i wychodzące, a także bazę danych w zakresie ilości danych jakie są z niej pobierane. Dzisiejsze narzędzia dodatkowo są wspierane coraz częściej przez AI, które pozwala na analizę zachowań naszego systemu i użytkowników, w celu zapobiegania tego typu niepożądanym zjawiskom w czasie rzeczywistym.

Jakie konsekwencje grożą firmom za niewłaściwe przechowywanie danych?

R.S.: Zaczynając od tych najbardziej oczywistych, jakimi są kary administracyjne, w przypadku niedochowania należytej staranności w zakresie spełniania przepisów sektorowych, w tym między innymi RODO. Tu ze względu na skalę zaniedbań i oporu w zakresie współpracy z organami, kary mogą sięgać w zależności od wielkości biznesu nawet kilku milionów złotych. Kolejnym aspektem są potencjalne pozwy lub kary umowne wynikające z kontraktów, których nie będziemy mogli realizować albo które wręcz mogą wymagać od nas zachowania poufności.

Inny aspekt konsekwencji to problemy z ciągłością działania firmy i utrata wiarygodności na rynku względem klientów lub kontrahentów. Budowany przez lata wizerunek i zaufanie może być zaprzepaszczony w ciągu paru chwil na skutek zaniechań i wpadki. O ile kwestie kar i ryzyko ich nałożenia można oszacować, to w przypadku kosztów, jakie będzie musiała firma ponieść na odbudowanie zaufania, może być problem z oszacowaniem — zwłaszcza przez pryzmat konkurencji, która może wykorzystać naszą słabość w danej chwili.

Jakiego typu szkolenia powinni przechodzić pracownicy, aby zminimalizować ryzyko wycieku danych?

R.S.: Mając na uwadze, że to człowiek jest najsłabszym ogniwem szeroko rozumianego bezpieczeństwa, rola szkoleń pracowników jest bardzo ważna. Szkolenia powinny obejmować swoim zakresem zarówno budowanie świadomości, jak i pogłębianie wiedzy, jaką powinni dysponować pracownicy. Zakres takich szkoleń powinien obejmować między innymi podstawy teoretyczne, ale również część praktyczną. W teorii możemy wiedzieć, czym jest np. phishing, ale ważne jest aby w praktyce wiedzieć, jak się przed nim bronić. Istotne jest również to by wiedzieć, jak postępować w sytuacji, jeśli padniemy ofiarą takiego phishingu — tu powinny zadziałać procedury opracowane wewnątrz danej firmy, a pracownicy powinni je znać i nie powinni mieć obaw w zakresie ich stosowania. Mam tu na myśli sytuację, gdzie pracownik woli nie przyznać się do tego, że nastąpiło jakieś naruszenie, ponieważ boi się konsekwencji. Ważne jest, aby zbudować odpowiednią kulturę organizacji w tym zakresie i przestawić myślenie zarówno na poziomie szeregowym, jak i kadry zarządzającej. Priorytetem jest bezpieczeństwo firmy i jej zasobów.

Istotnym elementem szkoleń są kontrolowane testy, tj. sprawdzanie odporności organizacji na wybrane wektory ataków. Odbywa się to w sposób kontrolowany, a pracownicy są poddawani takim testom, nie będąc świadomym. Dla firmy jest to bardzo cenne doświadczenie i w rezultacie może okazać się dużo tańsze niż prawdziwy atak. W ten sposób firma może zidentyfikować obszary, jakie należy zabezpieczyć, na co położyć nacisk w szkoleniach pracowników. Kolejnym ważnym elementem są zmiany w zakresie sposobów ataków i nowych zagrożeń. U swoich podstaw ataki bazują na sprawdzonych metodach i tu się zmienia niewiele, ale formy i sposoby ewoluują. Pracownicy powinni być na bieżąco z trendami, a rolą osób odpowiedzialnych za bezpieczeństwo jest dopilnowanie tego, by pracownicy firmy byli świadomi nowych form ataków.

Jakie kroki powinna podjąć firma po wykryciu wycieku danych? Dlaczego tak wiele firm nie robi nic po wycieku?

R.S.: Jeżeli firma padła ofiarą ataku powinna uruchomić procedury na tę okoliczność. Jeżeli nie ma wypracowanych metod działania w tego typu sytuacjach, wówczas mamy do czynienia z chaosem, stratą cennego czasu, a ryzyko dalszych szkód może diametralnie rosnąć. Procedura postępowania w dużym uproszczeniu powinna polegać na zabezpieczeniu źródła wycieku, zbieraniu jak największej ilości informacji o okolicznościach, a także o zakresie informacji jakie wyciekły. Kolejnym krokiem jest oszacowanie skali wycieku, szacowaniu ryzyk dla firmy, jakie mogą z tego wynikać, analiza informatyczna oraz prawna. Te wszystkie rzeczy powinny dziać się niemal równolegle. Koniecznym jest współpraca wielu obszarów kompetencyjnych w firmie, a cel powinien być jeden — minimalizacja strat oraz zachowanie ciągłości prowadzonego biznesu. Najgorszą rzeczą, jaka może się wydarzyć w tym momencie, to skupianie się na przerzucaniu się winą albo ignorowanie problemu.

Odpowiadając na drugie pytanie — nie powiedziałbym, że firmy bagatelizują wycieki. Wiele firm nie wie, jak ma postępować i działa na zasadzie gaszenia pożaru. Skupiają się wówczas jedynie na wybranych elementach np. odzyskania danych z backupu — o ile takie mają — załataniu “dziury”, przez którą doszło do wycieku. Bardzo często pomijają inne ważne aspekty tj. analiza i ryzyko prawne, ryzyko ponownego wycieku, ryzyko biznesowe wynikające z wycieku. Często firmy mają problem z oszacowaniem zakresu wycieku tj. jakie informacje i dane wyciekły oraz jak długo osoby trzecie miały nieuprawniony dostęp. Często brakuje również konsekwencji w dalszych działaniach. Mamy wyciek, usunęliśmy jego źródło i na tym często jest koniec. Nie przychodzi refleksja, jak w przyszłości nie dopuszczać do tego sytuacji, a jeżeli przyjdzie to w niewystarczającym zakresie. Mam na myśli np. jedynie zakup jakiegoś oprogramowania, które ma być złotym środkiem oraz ma firmę zabezpieczyć w danym obszarze. Niestety, nie jest to gwarancja, że nie przydarzy się to ponownie. Powodów tego jest wiele — inny wektor ataku, brak regularnych testów skuteczności danego rozwiązania, brak kompleksowego szeroko rozumianego podejścia do bezpieczeństwa.

I na zakończenie, czy zaniedbania w zakresie bezpieczeństwa informacji mogą mieć poważne konsekwencje dla firmy?

R.S.: Informacja dziś stanowi często zasób firmy — na równi z maszyną produkcyjną, budynkiem, biurkiem. Mogą nią być zarówno dane klientów, umowy, warunki współpracy, receptury, know-how. Zasoby fizyczne zabezpieczamy, poddajemy konserwacji oraz regularnym przeglądom, a pracowników szkolimy jak mają ich używać zgodnie z zasadami oraz przeznaczeniem.

Można pójść dalej — maszyna i budynek mogą okazać się bezużyteczne, jeżeli nie będziemy mieli klientów i systemów IT do obsługi procesów z tym związanych. Czy patrząc na informację w firmie przez ten pryzmat, możemy sobie pozwolić na zaniedbania w zakresie bezpieczeństwa?

I z tym pytaniem zostawiamy naszych Czytelników.

Dziękuję za rozmowę.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności