Percepcja, rzeczywistość i cyberbezpieczeństwo: Czy Twoja firma jest faktycznie przygotowana?

Podstawową i jednocześnie dość ironiczną cechą ludzkiej natury jest to, że często nie potrafimy docenić swojej wartości. Psychologowie od lat próbują odpowiedzieć na pytanie, dlaczego ludzie mają tendencję do przeceniania własnych kompetencji i umiejętności. Co ciekawe, badania wykazały, że im wyżej oceniamy siebie w naszych wyobrażeniach, tym gorzej radzimy sobie w rzeczywistości.

Nic dziwnego, że wiele firm boryka się z takimi samymi rozbieżnościami między własną percepcją a rzeczywistością. Zwłaszcza jeżeli chodzi o bezpieczeństwo IT. Sytuacja jest jednak bardziej złożona niż zwykłe „nie jesteś tak dobry, jak myślisz”. Uwidoczniło się to zwłaszcza w trakcie pandemii, gdy tradycyjne praktyki zarządzania IT zostały wywrócone do góry nogami. Wyraźne różnice w postrzeganiu gotowości do zapewnienia bezpieczeństwa cyfrowego widać nawet w obrębie firm, np. między kierownictwem biznesowym a specjalistami ds. bezpieczeństwa IT.

Nagłe przejście na pracę zdalną i hybrydową w marcu 2020 roku przyniosło zarówno dobre jak i złe skutki. W Stanach Zjednoczonych, Niemczech i innych krajach wzrosła świadomość bezpieczeństwa cyfrowego wśród małych i średnich przedsiębiorstw (SMB). Nadal jednak zbyt wiele z nich nie chroni się w odpowiedni sposób przed zagrożeniami cyfrowymi.

Ostatnie badanie na temat stanu bezpieczeństwa IT opublikowane przez "Deutschland sicher im Netz" (DsiN), niemieckiego odpowiednika amerykańskiej Cybersecurity & Infrastructure Agency (CISA), wskazuje, że choć firmy zdają sobie sprawę z rosnącej wagi bezpieczeństwa IT, to wiele z nich nie czuje potrzeby dostosowania swoich strategii w tym zakresie.

Badanie pt. „2022 Global Cybersecurity Outlook” zrealizowane w USA i 19 innych krajach przez Światowe Forum Ekonomiczne i firmę Accenture zawiera podobne wnioski. Przykładowo, 81 proc. kadry kierowniczej uważa, że przyspieszona przez pandemię transformacja cyfrowa była głównym czynnikiem zwiększającym poziom przygotowania na zagrożenia płynące z cyberprzestrzeni. 92 proc. przedstawicieli kadry zarządzającej uznało, że odporność cyfrowa jest zintegrowana z ogólnymi strategiami zarządzania ryzykiem w przedsiębiorstwie, natomiast wśród liderów zajmujących się bezpieczeństwem odsetek ten wyniósł zaledwie 55 proc.  

Oznacza to, że liderzy ds. bezpieczeństwa są często pomijani przy podejmowaniu decyzji biznesowych, które tak naprawdę dotyczą kwestii bezpieczeństwa. Na początku pandemii wielu specjalistów IT zauważyło, że spora część zasobów sprzętowych i sieciowych przeznaczonych do stworzenia biur domowych pracowników nie miała odpowiednich zabezpieczeń. Sprawiło to, że cyberprzestępcom znacznie łatwiej było przeprowadzić udany atak, niż w sytuacji, gdy punkty końcowe były zabezpieczone korporacyjnymi firewallami.

Wyniki raportu DsiN są podobne zarówno dla Stanów Zjednoczonych, jak i innych krajów. 42 proc. firm doświadczyło w ostatnim czasie incydentów związanych z bezpieczeństwem, a 5 proc. stwierdziło, że cyberataki miały trwały wpływ na ich działalność. Należy pamiętać, że liczby te pochodzą od firm, które zarówno zauważyły, jak i publicznie zgłosiły ataki. Innymi słowy, rzeczywista liczba jest prawdopodobnie znacznie wyższa.

W tym miejscu do gry wchodzi psychologia. Wiele firm najwyraźniej nie chce lub nie potrafi dokładnie ocenić istniejącego poziomu zagrożenia. Dwie trzecie z nich robi pobieżną analizę ryzyka lub całkowicie ją pomija. Pocieszające jest, że coraz więcej organizacji zaczyna dostrzegać rzeczywistość i nie pociesza się fałszywym komfortem zaburzonej percepcji.

Raport DsiN wykazał również „rosnącą gotowość kierownictwa i zarządów do przyjęcia odpowiedzialności za kwestie związane z bezpieczeństwem IT". Mówiąc prościej, firmy chcą robić więcej w celu zapewnienia ochrony systemów informatycznych. Jednak tylko 16 proc. z nich twierdzi, że faktycznie podejmuje w tym kierunku konkretne działania. Firmy te nie tylko podjęły niezbędne kroki technologiczne i proceduralne, ale także stworzyły odpowiednią kulturę wspierającą bezpieczeństwo informatyczne. Sześcioprocentowa grupa tych organizacji przeprowadza regularne testy wśród swoich pracowników. Reszta "nie traktuje bezpieczeństwa zbyt poważnie", a jedna czwarta wszystkich firm nadal nie szkoli pracowników w zakresie podstawowej świadomości z zakresu cyberbezpieczeństwa.

Administratorzy IT wiedzą, jak ważne jest szybkie łatanie i aktualizowanie oprogramowania. Jednak odłóżmy na chwilę tę podstawową praktykę na bok i przyjrzyjmy się innym podstawowym funkcjom, aby przekonać się, jak wiele pozostaje jeszcze do zrobienia w niektórych organizacjach. Połowa wszystkich firm nie stosuje żadnych środków ochrony poczty elektronicznej. Mniej więcej taka sama liczba dopuszcza mieszane wykorzystanie sprzętu firmowego do celów prywatnych i służbowych bez żadnych specjalnych wymogów bezpieczeństwa. Z raportu DsiN wynika również, że spada liczba kontroli zabezpieczeń dla biur domowych.

Jednak nie należy traktować tych ustaleń jak ostrzeżenia. W rzeczywistości administratorzy IT w wielu małych i średnich firmach robią wszystko, co w ich mocy, aby chronić swoje firmy i klientów, często nie dysponując wystarczającymi zasobami. Potrzebują jedynie odpowiednich narzędzi, które pomogą im zarządzać nieustannie rosnącymi obciążeniami.

Biorąc pod uwagę rosnącą liczbę zagrożeń, na które narażone są dziś przedsiębiorstwa każdej wielkości, firmy dysponujące ograniczonym budżetem mogą i powinny podjąć podstawowe działania w celu zabezpieczenia infrastruktury informatycznej. Oto kilka standardowych punktów, które pomogą zminimalizować zagrożenia oraz zapewnić bezpieczeństwo i rozwój firmy:

1. Skanowanie podatności: Wczesne wykrywanie i priorytetowe traktowanie potencjalnych powierzchni ataków oraz określanie niezbędnych do podjęcia działań.
2. Aktualizacje oprogramowania: regularne i terminowe łatanie luk w zabezpieczeniach.
3. Kopie zapasowe: regularne tworzenie kopii zapasowych i ochrona danych przed nieuprawnionym dostępem.
4. Dostawcy usług: wzmocnij ochronę dzięki fachowej pomocy wykfalifikowanych specjalistów i wymianie informacji.
5. Świadomość: regularne szkolenie pracowników.
6. Plan awaryjny: utwórz, przećwicz i dostosuj w razie potrzeby.
7. Ubezpieczenie od zagrożeń cyfrowych: wykup odpowiednią ochronę.

Chodzi nie tylko o lepsze przygotowanie do zapobiegania atakom, ale także o ograniczenie szkód z nich wynikających. Pierwsze trzy powyższe działania można łatwo i skutecznie zrealizować stosując kompleksowy system UEM z wydajnymi i elastycznymi funkcjami automatyzacji, taki jak baramundi Management Suite (bMS).

Ponieważ natura ludzka jest taka, jaka jest, niektóre firmy mogą nadal "nie traktować bezpieczeństwa zbyt poważnie" i polegać na zawyżonych miarach własnej gotowości, zamiast na solidnych zabezpieczeniach wspieranych przez UEM. Jednak, jak większość specjalistów IT wie aż za dobrze, samo magiczne myślenie nie uchroni hakerów przed zniszczeniem sieci - lub firmy.