Poland
Języki

Cyberbezpieczeństwo w dobie pandemii

22 czerwca 2020

Pandemia koronawirusa wykreowała nowe podejście do sposobu zarządzania organizacją i jej zasobami. Powodzenie tych zmian, a tym samym przetrwanie organizacji jest mocno uzależnione od tego, jak zwinnie poukładamy procesy biznesowe i jak szybko przestawimy pracowników na nowy sposób pracy. W związku z ciągłymi zmianami i brakiem możliwości dokładnego zaplanowania tego procesu, organizacje naraziły się na cyberryzyko w znacznie większym stopniu, niż było to możliwe do tej pory. O tym, jak COVID-19 wpłynął na cyberbezpieczeństwo firm oraz jak zadbać o ochronę pracy zdalnej rozmawiali eksperci RSM Poland – Krzysztof CIESIELSKI, M&A and Corporate Advisory Director i Sebastian GOSCHORSKI, Business Development Partner.

Prowadzący:

https://www.linkedin.com/in/sebastiangoschorski/

Sebastian GOSCHORSKI

Sebastian GOSCHORSKI

Business Development Partner, Head of China Desk w RSM Poland

Sebastian jest specjalistą w kierowaniu i zarządzaniu działami księgowości, finansów, podatków oraz kadr i płac, a także w kształtowaniu i realizacji strategii rozwoju firm oraz optymalizacji procesów biznesowych i kosztów operacyjnych. Swoje doświadczenie zawodowe zdobywał w polskich i zagranicznych firmach obejmując stanowiska Business Support Managera oraz Dyrektora Finansowego zarówno w Wielkiej Brytanii, jak i w Polsce. Swoim doświadczeniem dzieli się jako wykładowca w Wyższej Szkole Bankowej, podczas wydarzeń organizowanych przez Północną Izbę Gospodarczą oraz Skandynawsko-Polską Izbę Gospodarczą. Sebastian jest członkiem zarządu szczecińskiego oddziału Stowarzyszenia Księgowych w Polsce oraz ekspertem ds. księgowości, podatków i finansów w Związku Pracodawców Pomorza Zachodniego Lewiatan.

https://www.linkedin.com/in/krzysztof-ciesielski-mba-fmva/

Krzysztof CIESIELSKI

Krzysztof CIESIELSKI

M&A and Corporate Advisory Director

Uczestniczył i kierował licznym projektami w zakresie corporate finance, obejmujących m.in. M&A, pozyskiwanie finansowania, IPO, opracowywanie biznesplanów i prognoz finansowych, wycenę przedsiębiorstw i wartości niematerialnych, fairness opinion, testy na utratę wartości przeprowadzane zgodnie z MSR 36 oraz KSR 4. Jest odpowiedzialny za kompleksowe prowadzenie transakcji M&A.

 

UWAGA! Treści prezentowane w niniejszym nagraniu nie stanowią oferty nabycia akcji lub innych instrumentów finansowych. Nie stanowią one również rekomendacji dla jakichkolwiek działań związanych z nabywaniem lub zbywaniem instrumentów finansowych. Opisy produktów/usług przedstawione w niniejszym nagraniu nie stanowią oferty w rozumieniu art. 66 Kodeksu cywilnego i mają wyłącznie charakter informacyjny.

Niniejsze nagranie nie stanowi podstawy do uznania jego adresatów za klientów RSM Poland z uwagi na fakt jego odsłuchania oraz nie stanowi podstawy do zawarcia umowy lub powstania zobowiązania po stronie odbiorcy. Prezentowane treści nie stanowią porady inwestycyjnej, prawnej lub podatkowej, ani też nie wskazują, że jakakolwiek inwestycja lub strategia jest odpowiednia w sytuacji danego inwestora.

Prezentowany materiał został przygotowany wyłącznie w celach informacyjnych i nie może być traktowany jako oferta lub rekomendacja do zawierania jakichkolwiek transakcji. RSM Poland nie ponosi odpowiedzialności za konsekwencje decyzji podjętych na podstawie informacji zawartych w niniejszym nagraniu. Uważa się, że każdy, kto odsłuchuje prezentowany materiał, zgadza się z treścią powyższych zastrzeżeń.

Newsletter

Zapisz się

Słuchaj również na:

 

 

 

Transkrypcja:

Krzysztof CIESIELSKI:

Dzień dobry Państwu. Dzisiaj chcielibyśmy zastanowić się chwilę i porozmawiać na temat cyberbezpieczeństwa w czasie koronawirusa. Ja nazywam się Krzysztof CIESIELSKI. Jestem dyrektorem w dziale M&A and Corporate Advisory firmy RSM. Razem ze mną w tej dyskusji uczestniczył będzie Sebastian GOSCHORSKI, Business Development Partner, RSM Poland. Cześć Sebastian.

Sebastian GOSCHORSKI:

Cześć. Witam Cię Krzysztofie.

Krzysztof CIESIELSKI:

Sebastian, tak jak wspomniałem przed chwilą, jesteśmy dzisiaj w takim czasie, kiedy gospodarka, powiedzmy, zatacza ciekawe kręgi. Znaleźliśmy się w okresie koronawirusa i wywołanego przez niego kryzysu gospodarczego. I tak jak można rozmawiać o każdej dziedzinie ekonomii, o gospodarce w szczegółach, tak ja chciałbym dzisiaj poruszyć z Tobą temat cyberbezpieczeństwa. Bo tak jak wiemy, koronawirus i zawirowania w gospodarcespowodowały, że tak powiem, zmianę naszych dotychczasowych doświadczeń i przyzwyczajeń. Tak jak wszyscy byliśmy przyzwyczajeni do tego, żeby pracować przede wszystkim w biurze, gdzie o nasze bezpieczeństwo, cyberbezpieczeństwo, troszczyli się ludzie z tzw. IT, tak teraz w dobie koronawirusa większość z nas przesiadła się w tryb tzw. home office, czyli pracujemy z domu. Sebastian, powiedz, jaki wpływ według Ciebie, jako osoby, która zajmuje się tematami cyberbezpieczeństwa na co dzień, ma karonawirus na to, co się dzieje obecnie pod kątem wykonywania pracy, funkcjonowania firm. Jaki jest wpływ koronawirusa na cyberbezpieczeństwo?

Sebastian GOSCHORSKI:

Tutaj mamy do czynienia z takim bardzo znacznym wpływem na obecną sytuację, bo do tej pory, praca z domu czy praca zdalna, pojawiała się oczywiście w przedsiębiorstwach, ale nie na taką skalę, jak teraz. W wyniku wszelkiego typu lock down’u zostaliśmy zmuszeni do tego, żeby zostać w domu. Część osób się do tego bardzo szybko przyzwyczaiła, część miała z tym problemy. Dużo organizacji, które zauważyły, że jednak są w stanie funkcjonować w taki sposób, że osoby nie pokazują się w biurze, a pracują zdalnie, uzmysłowiły sobie bardzo szybko, że może to i czas to przedłużyć. Niektóre organizacje, które czują się bardziej wrażliwe na wszelkiego typu takie zawirowania, koronawirusy czy być może jakieś kolejne fale, nawet postanowiły już w tym momencie, że przedłużają ten okres, kiedy pracownicy mogą pracować zdalnie, i ma to miejsce na wszelkiego typu uniwersytetach, tak jak np. w Oksfordzie, czy też w organizacjach, które do tej pory świetnie sobie też radziły, pracując zdalnie, czyli np. Facebook czy innego typu media społecznościowe. Także myślę, że tutaj koronawirus przyspieszył pewien proces, który i tak miałby miejsce, który i tak by nadszedł w najbliższej przyszłości, szczególnie biorąc pod uwagę, że ludzie coraz większe znaczenie przykładają do takiego swoistego balansu w życiu – life work balance – w związku z tym osoby, które dostały taką możliwość pracy z domu, w znacznej większości uznały, że jest to dla nich bardzo ciekawe. No i tu oczywiście zrodził się taki jeden duży problem – czy wszyscy byliśmy na to przygotowani, czy wszyscy jesteśmy na to gotowi, czy ta nowa sytuacja wpływa na nas w taki sposób, że czujemy się bezpiecznie, pracując z domu?

Krzysztof CIESIELSKI:

No więc właśnie, nie oszukujmy się, pracownicy będąc w biurach w zasadzie nie mają takiej konieczności, nie czują obowiązku, żeby jakoś specjalnie się troszczyć o zasady bezpieczeństwa. Tak jak wspomniałem, siedzą zazwyczaj w biurach, chociaż są to osoby najmniej widoczne, specjaliści IT, którzy de facto dbają o bezpieczeństwo przedsiębiorstwa, o zasoby i tak dalej. Natomiast teraz to chyba bardziej jest tak, że to na pracownika przerzucono ten obszar bezpieczeństwa w zakresie cybersecurity.

Sebastian GOSCHORSKI:

Poniekąd tak. Poniekąd można powiedzieć w ten sposób, że pracownik przychodzący do firmy zakładał, że jest ktoś ukryty w jakiejś sali czy też siedzący w rogu pokoju, w rogu open space, który dba o to, żeby to środowisko, w którym on pracuje, było jak najbardziej bezpieczne, było pozbawione wszelkiego typu rzeczy, które mogą negatywnie wpłynąć, które mogą spowodować utratę danych. Aczkolwiek należy pamiętać, że pewnego typu wrażliwość na to, co się dzieje dookoła, szczególnie w tej cyberprzestrzeni, była jakby wymagana od pracowników. Bo oczywiście, jeżeli następowały typowe ataki, to był ktoś, kto był w stanie nas bronić. Natomiast, jeżeli otrzymywaliśmy maila, a w mailu był wirus, który przez przypadek otworzyliśmy, to jednak tutaj narażaliśmy organizację na jakieś niebezpieczeństwa, które przychodziły z zewnątrz. Więc tutaj kluczowa myślę, że jest jakby pewna wrażliwość pracowników, którzy pracują z nami. No i teraz, patrząc na tę obecną sytuację, kiedy musimy pracować zdalnie albo chcemy pracować zdalnie, bo teraz też myślę z taką sytuacją mamy do czynienia, musimy chyba bardziej uwrażliwić się na to wszystko, co się dzieje dookoła, na to, w jaki sposób organizujemy swoje stanowisko pracy, w jaki sposób współpracujemy z organizacją i być przygotowanymi na to, że jesteśmy trochę bardziej odsłonięci na wszelkiego typu ataki, które mogą nastąpić.

Krzysztof CIESIELSKI:

Okej, w takim razie rozumiem z tej wypowiedzi, że plan na wypadek ataku chyba warto mieć. Warto czy nie warto?

Sebastian GOSCHORSKI:

Jeżeli chodzi o plan, to jak najbardziej warto mieć taki plan przygotowany. Jest on bardzo ważny, można by powiedzieć – kluczowy dla organizacji, bo obecnie praktycznie wszystkie firmy tak naprawdę potrzebują czy dostępu do Internetu czy dostępu do zasobów sieciowych danej organizacji. Także taki plan jest ważny. Powinien on być napisany dosyć dobrze, dosyć skrupulatnie, uwzględniając wszelkiego typu aspekty działalności firmy i też biorąc pod uwagę, w jaki sposób przedsiębiorstwo jest zarządzane, w jaki sposób osoby, które są w przedsiębiorstwie, powinny zareagować. Dokładnie, krok po kroku, co powinno się wydarzyć w takiej a nie i w innej sytuacji. Co ciekawe, warto też rozważyć, żeby taki plan wydrukować, bo jeżeli nasze komputery przestaną działać, no to musimy mieć ten plan już przygotowany i zapisany.

Krzysztof CIESIELSKI:

Rozumiem. Powiedz, a Ty myślisz, że tego typu plany lepiej robić in house czy może jednak lepiej posługiwać się tutaj kimś z zewnątrz? Ja nie ukrywam, to pytanie jakby wynika z tego, że ja osobiście miałem zawsze takie przekonanie, że, okej, czuję się świetnie w swoim środowisku, ale być może to, że się właśnie tak świetnie czuję, powoduje to, że pewnych rzeczy mogę nie dostrzegać. Dlatego nie ukrywam, że ja osobiście bardzo często lubiłem, kiedy na to co robię patrzy jeszcze ktoś z zewnątrz.

Sebastian GOSCHORSKI:

Zdecydowanie tutaj jest warto zatrudnić firmę zewnętrzną. Firmę, która pojawi się w organizacji i przetestuje wszelkiego typu zabezpieczenia, które w niej są, w sposób taki nie rutynowy, nie taki przewidywalny. Bo nawet, jeżeli wewnątrz organizacji przeprowadzamy różnego typu testy bezpieczeństwa to po pewnym czasie wpadamy w swoistego rodzaju rutynę, zakładając, że to co robimy jest najlepsze, jakie może być. Ja dosyć często spotykam się, rozmawiając z klientami, z taką informacją, że: „no, ale przecież przeprowadziliśmy taki test, a tak w ogóle firma, która na przykład dla nas przygotowała te zabezpieczenia, to jest najlepsza firma na świecie i w związku z tym nasze zabezpieczenia są też najlepsze na świecie”. I tu należy pamiętać, że pycha kroczy przed upadkiem no i trzeba wziąć pod uwagę, że warto od czasu do czasu zatrudnić zewnętrzną, absolutnie nową firmę, która przeprowadzi swoistego rodzaju atak na naszą infrastrukturę w sposób nietypowy. W ten sposób odsłoni się wszelkiego typu luki bezpieczeństwa, które powstały w miejscach, w naszej sieci firmowej i będzie można je w sposób dosyć szybki i prosty załatać, bądź też wymyślić, w jaki sposób na pewne zagrożenia jako organizacja będziemy gotowi odpowiedzieć. Tutaj należy pamiętać, że – jak byśmy bardzo się nie przygotowali – to zawsze po drugiej stronie nasz przeciwnik, czyli ten cyberprzestępca, może być znacznie lepiej od nas przygotowany. I mieliśmy nawet niedawno taki przypadek związany z EasyJet’em, gdzie po prostu hakerom udało się dojść do danych kontaktowych klientów, a wręcz udało im się uzyskać dostęp do dodanych finansowych czyli kart kredytowych. Także tu jest kluczowe i bardzo ważne, żebyśmy przeprowadzali takie testy z zewnętrzną organizacją co jakiś czas, tzw. testy penetracyjne, gdzie zewnętrzna firma sprawdza, jak bardzo może wniknąć w nasze zasoby sieciowe i co tak naprawdę jest odsłonięte i co można pozyskać w sposób taki dosyć prosty i szybki. Tu jeszcze pamiętać należy, że w obecnym okresie, czyli koronawirusa, często zdarzały się takie sytuacje, że osoby, które zaczynały pracę z domu dostawały dostęp do danych zewnętrznych nie do końca w taki sposób, w jaki to dział IT by widział, więc myślę, że tych luk bezpieczeństwa jest znacznie więcej niż się nam tak naprawdę wydaje.

Krzysztof CIESIELSKI:

Jasne, rozumiem. No nie da się ukryć, że w dzisiejszych czasach i zwłaszcza pracy zdalnej tych zagrożeń jest bardzo dużo. Ale, jak rozumiem, w cenie jest przede wszystkim informacja oraz to, że powstają nowe sposoby, żeby tę informację, że tak powiem, wydobyć czy to od samego pracownika czy też drążąc troszkę głębiej w zasobach organizacji. Bo mówię oczywiście o atakach hackerskich. Rozumiem, że w tej sytuacji trzeba być wręcz na bieżąco ze wszystkim w zasadzie, co się dzieje. I mówię pod kątem oczywiście informacji. Dlatego uważam, iż to jest pytanie w zasadzie do Ciebie, warto śledzić na bieżąco to, co się dzieje? Warto śledzić po prostu to, co się dzieje w sieci?

Sebastian GOSCHORSKI:

Tak, jak najbardziej, jest to bardzo istotne, żebyśmy cały czas patrzyli, jakiego nowego rodzaju zagrożenia się pojawiają i na co zwracać uwagę. Pamiętajmy też, że ataki to nie tylko są takie ataki, gdzie ktoś po prostu dostaje się w sposób zdalny do naszego systemu, ale często też, takie osoby próbują uzyskać od nas informacje poprzez rozmowę z naszymi pracownikami bądź też, podszywając się pod osoby, które pracują w organizacji. Zatem kluczowe jest śledzenie tego co się dzieje. Tak naprawdę tych ataków jest bardzo dużo. Są to ataki liczone w setkach tysięcy dziennie. A wynika to przede wszystkim z tego, że znaczną część programów służących do ataków można kupić za parę dolarów, w związku z tym jest znaczna grupa osób, które z tego po prostu korzystają. Kupują taki program i próbują przeprowadzić taki atak na nasze zasoby – a może się uda, tak? Więc potencjalnie dosyć niskim kosztem są w stanie uzyskać dane, które są warte bardzo dużo, które stanowią tajemnicę firmy. I tutaj bardzo ważne jest znaczenie tego, że około 50 % ataków dotyczy głównie małego biznesu. Czyli mały biznes, biznes, który tak nie do końca zawsze jest przygotowany na to, że taki atak nastąpi, jest dosyć łatwym celem. Według danych, do których dotarłem, według magazynu Forbes, koszty takich ataków to około 6 miliardów dolarów rocznie. Czyli firmy, które są atakowane, tracą te 6 miliardów. To oczywiście nie zawsze jest wyrażone w formie gotówki, bo czasami jest to tajemnica firmy, czasami jest to sposób działania organizacji, czasami jest to baza klientów, która dokładnie mówi, jaki na przykład dany klient ma cennik. No i niestety te dane, jeżeli zostaną przez nas utracone, mogą spowodować znaczne szkody, a wręcz utratę biznesu, który posiadamy.

Krzysztof CIESIELSKI:

To bardzo ciekawe w zasadzie, co mówisz, bo ja studiując, przeglądając różne informacje na temat cyberbezpieczeństwa w sieci, akurat spotkałem się z taką opinią, zwłaszcza właśnie ze strony średnich i małych przedsiębiorstw, że w ich świadomości funkcjonuje takie przeświadczenie, że akurat ten poziom biznesu właśnie nie jest narażony na ataki. Oni są wręcz przekonani, w zdecydowanej większości, że problem cyberbezpieczeństwa i ataków na organizacje w zasadzie dotyczy dużych korporacji. Więc, wydaje się, że rzeczywiście może tutaj trzeba bardziej postawić na budowanie świadomości.

Sebastian GOSCHORSKI:

To ja jeszcze tutaj dodam, że jakby patrząc na to, oczywiście, jeżeli tym targetem, czyli celem tych cyberprzestępców jest duża firma, to oczywiście temat jest bardziej nośny medialnie i mamy więcej informacji, które możemy przeczytać w prasie czy nawet zobaczyć w telewizji. Tak jak to miało na przykład miejsce w przypadku firmy zajmującej się oceną zdolności kredytowej Equifax, która w 2017 roku utraciła dane ponad 145 milionów osób. Czyli wow, no robi wrażenie, tak? 145 milionów osób, ma swoje ściśle tajne dane, dotyczące ich zdolności kredytowej, mówiące o tym, jakie kredyty zaciągnęły, jakie są ich zobowiązania, czyli takie dosyć cenne dane z punktu widzenia osoby, która by potencjalnie chciała dokonać jakiegoś przestępstwa. I oczywiście wszyscy o tym wiedzą. Natomiast jeżeli weźmiemy po uwagę, że mamy mały lokalny biznes, na przykład niech to będzie jakaś sieć kwiaciarni, która dostarcza kwiaty w określonej cenie do iluś różnego typu instytucji, niech to będą instytucje państwowe, i bierze udział w przetargach, no i nagle takie dane znajdują się w rękach osoby, która potencjalnie chciałby ten rynek przejąć, no to ma niesamowite możliwości ku temu, żeby na przykład dać dużo lepszą cenę, albo tylko troszeczkę lepszą cenę, gdzie jest w stanie taki kontrakt na przykład wygrać. A pamiętajmy, że na przykład większość przetargów tak naprawdę opiera się na tym, kto da lepszą cenę, a nie na jakichkolwiek innych czynnikach. Także tutaj, myślę, że po prostu trochę ten mały biznes o tym nie myśli, a jak już – że tak powiem – jest zaatakowany, to po pierwsze oczywiście się nie chwali, nie jest to medialny temat, a myślę, że też jest im trochę w pewien sposób wstyd, że dali się w taki czy inny sposób okraść, więc jak gdyby nie jest to informacja publicznie dostępna.

Krzysztof CIESIELSKI:

Rozumiem. Okej, ale wróćmy teraz na chwilę do naszego otoczenia. Jesteśmy w czasach koronawirusa. Patrząc na aktualne statystyki nie wydaje się, żeby to mogło się szybko skończyć, niestety. Więc nadal, mimo tego, że gospodarka się odmraża stopniowo, w zasadzie już jesteśmy na samym końcu tego odmrażania, to jednak nadal mnóstwo osób pracuje z domu. Co ważne, oczywiście przekłada się to na, jakby nie patrzeć, na różne sposoby na działy IT i nie tylko. I takie pytanie, może przekorne: praca z domu – błogosławieństwo czy przekleństwo dla IT?

Sebastian GOSCHORSKI:

Myślę, że przede wszystkim osoby pracujące w działach IT zostały postawione przed absolutnie nowymi wyzwaniami. Przed wyzwaniami, które i tak by ich spotkały, aczkolwiek myślę, że nie spodziewali się, że tak szybko. Bo jest oczywiste, że pracownicy coraz częściej pytają się o możliwość pracy z domu. Bo w pewien sposób jest to na przykład dla nich wygodne, albo pozwala bardziej im się skupić na wykonywanym zadaniu. Z drugiej strony, pracownicy też bardzo często pytają się o możliwość korzystania z własnego sprzętu. Jest tak w firmach, że oczywiście wszystkie działy IT, uwielbiają sprzęt, który bazuje na Windows’ie. Natomiast bardzo często osoby, które pracują w domu na innych systemach operacyjnych, z chęcią by też na takim systemie pracowały w firmie. Takie zapytania się pojawiają i takie problemy te działy IT muszą rozwiązać; w jaki sposób wpuścić takie zewnętrzne urządzenie, które nie zostało do końca przez nich przetestowane do ich środowiska, do środowiska IT w firmie. Także tutaj, te działy myślę, że mogły się trochę spodziewać, że coś takiego się wydarzy, natomiast, czy były gotowe? Myślę, że nie do końca, patrząc na to, co się dzieje i patrząc na to, w jaki sposób to wszystko na ten moment funkcjonuje. Także tutaj kluczowe jest myślę zastosowanie zasad bezpieczeństwa, takich przemyślanych zasad bezpieczeństwa, które z tych działów IT powinny wyjść.

Krzysztof CIESIELSKI:

No tak, ale to jest jakby jedna strona medalu. Bo tak jak powiedziałeś przed chwilą, z jednej strony mamy działy IT, ale z drugiej strony mamy pracowników. O ile IT, no wiadomo to są ludzie, którzy musieli się szybko przestawić, musieli szybko sprostać nowym wymaganiom, o tyle mamy z drugiej strony pracowników, którzy dalej chcą pracować tak, jak pracowali. Oczywiście zmienia im się otoczenie, bo tak jak do tej pory pracowali w biurze, tak teraz pracują z domu, no ale, nie oszukujmy się, przynajmniej z moich obserwacji wynika, że poza zmianą otoczenia, chyba nie do końca zazwyczaj idzie też świadomość nowych zagrożeń właśnie w zakresie cyberbezpieczeństwa. Twoim zdaniem, warto szkolić pracowników w tym zakresie?

Sebastian GOSCHORSKI:

Jak najbardziej warto szkolić pracowników z zakresu cyberbezpieczeństwa. Trzeba ich nauczyć cyfrowych nawyków, trzeba im pokazać, jakie są potencjalne zagrożenia związane z ich pracą z domu. Oczywiście, oprócz takich rzeczy, z którymi już mieli do czynienia, czyli wszelkiego typu maile z nieznanych źródeł, czy telefony od osób, które na przykład podszywały się pod inne osoby, czy dziwnych maili proszących o przelewy dużych kwot na jakieś nieznane wcześniej konta, to pojawiły się też oczywiście wszelkiego typu nowe pomysły. Bo oczywiście cyberprzestępcy też nie śpią i będą starali się wykorzystać obecną sytuację do tego, żeby w jak najlepszy sposób przygotować się i w jak najlepszy sposób na nas wpłynąć. Bo cały czas musimy pamiętać, że najsłabszym elementem tego całego cyberbezpieczeństwa, w takiej powiedzmy dobrze ułożonej pod tym względem firmie, to jest ten czynnik ludzki. To jednak ten czynnik ludzki najczęściej może być przyczyną tego, że ta cała sieć, która funkcjonuje w naszej firmie, ulegnie atakowi i niestety jakieś dane, które są dla nas istotne, uciekną z naszych serwerów.

Krzysztof CIESIELSKI:

No tak, ja nie ukrywam, że też przeglądałem różnego rodzaju opracowania branżowe właśnie pod kątem cyberbezpieczeństwa i, co ciekawe, ten problem dotyczący wycieku danych czy samych problemów właśnie z cyberbezpieczeństwem to przede wszystkim jest tak naprawdę błąd ludzki i wina człowieka, tak, który świadomie bądź nieświadomie, bardzo często raczej nieświadomie, dopuszcza do możliwości przeprowadzenia takiego niechcianego ataku. No dobra, ale w takim razie, rozmawiamy w zasadzie o tym, że pracowników warto szkolić, ale rozumiem, że w tej sytuacji warto też wpoić czy wypracować jakieś cyfrowe nawyki. Rozumiem, że w związku z tym warto by było mieć pewnego rodzaju listę kontrolną, która mogłaby takie elementy właśnie tutaj zawierać, tak, związane z zasadami cyberbezpieczeństwa.

Sebastian GOSCHORSKI:

Tak, jak najbardziej. My nawet jako firma przygotowaliśmy infografikę, która ma za zadanie pomóc osobom, które po raz pierwszy spotykają się z taką pracę zdalną, które po raz pierwszy muszą pracować z domu. I ta infografika będzie dostępna do ściągnięcia dla Państwa w linku, który podamy pod opisem podcastu. I teraz tak, jeżeli chodzi o te cyfrowe nawyki to możemy powiedzieć, że jest tutaj tak około 12 -13 rzeczy, których powinniśmy przestrzegać, o których powinniśmy pamiętać. Po pierwsze, to jest ograniczenie dostępu fizycznego do urządzenia IT. Czyli jeżeli Państwo mają komputer, który jest przyniesiony z firmy, czy też mają swój domowy komputer, na którym pracują, bardzo ważne jest ograniczenie dostępu – takie fizyczne – do niego, czyli praca w takim miejscu, które jest w miarę bezpieczne. I tutaj chodzi przede wszystkim o wszelkiego typu takie nagłe sytuacje, które mogą się zdarzyć, które nie do końca były przewidziane. Czyli jeżeli Państwo pracują nad czymś ważnym, i nagle są Państwo w domu z dziećmi i to dziecko nagle przyjdzie, coś zamknie, co nie zostało zapisane albo np. coś wyleje na ten komputer, to musimy tu zwrócić uwagę, że pewnego rodzaju kontrola tych urządzeń musi być, musimy o to dbać, żeby nasze środowisko pracy, o ile oczywiście nie może być ergonomiczne, powinno być bezpieczne i powinno zapewniać takie absolutne minimum ku temu, żeby ten sprzęt nie został uszkodzony. Druga sprawa – dostęp do systemu firmowego tylko przez VPN-a. Bardzo ważna rzecz, żeby taki VPN stworzyć, taką sieć wewnętrzną. Jest to o tyle istotne, że poprawia to zdecydowanie bezpieczeństwo, i jakby stworzenie tego dostępu przez VPN-a jest też stosunkowo proste, ponieważ jest dostępne dosyć dużo oprogramowania, które Państwa dział IT czy firma współpracująca z Państwem może doradzić. Więc tutaj też zaznaczamy, że kluczowe jest odpowiednie dobranie dostawcy takiego VPN-a. Osoby czy też firma, która jest sprawdzona, która jest rekomendowana i są Państwo przekonani co do bezpieczeństwa tego systemu. Kolejna sprawa to dbałość o hasła loginy, czyli takie bezpieczeństwo i higiena pracy. Jeżeli chodzi o wszelkiego typu dostępy do systemów czy wszelkiego typu hasła, powinny być bezpieczne, nie powinny być zapisywane na kartkach, które walają się w domu, nie powinny być zapisywane w miejscach łatwo dostępnych i też nie powinny być wymyślane w taki sposób, że są łatwe do odgadnięcia. Tutaj kluczowe jest też zadbanie o to, żeby te hasła były dosyć regularnie zmieniane. Żeby przynajmniej raz na te 30 dni system wręcz wymuszał zmianę hasła i loginu na coś innego, na coś bardziej skomplikowanego, nie coś co będzie najbardziej popularnym hasłem na świecie, tylko coś, co będzie zawierało w sobie i duże i małe litery, będzie też miało cyfry bądź też znaki specjalne. Kolejna sprawa to zdalny dostęp tylko przez ograniczony czas. Czyli dbamy o to, że jeżeli dajemy komuś ten zdalny dostęp to tak, żeby po określonym czasie ten dostęp wygasał, bądź też prosił o ponowne zalogowanie się. Ponieważ może się okazać, że nagle bardzo dużo osób jest podpiętych do serwera, a tak naprawdę na przykład z niego zupełnie nie korzysta. Z tej prostej przyczyny, że są na przykład jakieś godziny, w których te osoby nie pracują albo wręcz te osoby miały dzień wolny. Także to jest istotne, żeby ograniczyć ten czas, a wręcz wprowadzić taki system restartów, tak, czyli jeżeli powiedzmy o godzinie jedenastej w nocy wiemy, że już z założenia nikt nie powinien pracować to może jest ten moment, żeby tak naprawdę odciąć wszystkie osoby, które w dalszym ciągu są podłączone, a wynika to głównie z tego, że po prostu się źle wylogowały. Bardzo ważną sprawą jest też aktualizacja systemów operacyjnych i oprogramowania. Należy pamiętać o tym, że te aktualizacje bardzo często powstają z tej przyczyny, że ktoś odkrył jakiś sposób, jak może dostać się do naszego systemu, w jaki sposób może wniknąć, wykorzystując jakąś lukę, która nie została zabezpieczona. Zatem aktualizacja systemów operacyjnych i oprogramowania powinna być tutaj bardzo ważna i powinna też być ustawiona z automatu, tak. Czyli jeżeli Państwo korzystają ze sprzętu firmowego to osoba, która się nim zajmuje, jak najbardziej może ustawić swoistego rodzaju automatyzację ściągania dostępnych aktualizacji i instalowania ich na komputerze. Jak już mówimy o oprogramowaniu, bardzo dobrze mieć jest program antywirusowy. Te programy antywirusowe są już na obecną chwilę dosyć inteligentne, więc są w stanie na przykład wyłapać rzeczy, które na przykład przychodzą do Państwa mailem. Czyli wszelkiego typu na przykład trojany czy innego typu niebezpieczne maile z automatu są przechwytywane przez taki system i z automatu odsyłane do folderu, z informacją, że jest to swoistego rodzaju spam. I to jest dosyć ważne, ponieważ spotykamy się obecnie z mailami, które coraz bardziej wyglądają jak maile, które dostajemy w firmie. I na przykład jeżeli dostajemy od danego dostawcy faktury na przykład związane z jakąś usługą, którą dla nas świadczy, to może się zdarzyć, że któregoś dnia przyjdzie mail, który będzie wyglądał bardzo podobnie, który będzie miał w sobie załącznik, który wygląda podobnie do tego załącznika, które do tej pory otrzymywaliśmy, a niestety będzie jakimś złośliwym programem wirusowym, który może doprowadzić do utraty danych, bądź też zaszyfrowania dysku twardego, co może nas jako organizację narazić na dosyć spore problemy. Kolejna sprawa to kopia zapasowa. Bardzo ważna, tak. Bardzo często, jeżeli pracujemy na komputerze, zapisujemy wszelkiego typu swoją pracę, czy to jest w Wordzie czy w Excelu czy w jakimkolwiek innym programie stacjonarnie na komputerze, nie myśląc o stworzeniu kopii zapasowej. I tutaj też można to w pewien sposób zautomatyzować, tak. Jeżeli możemy ustawić tworzenie backup-ów, backup-u wszystkiego co mamy na komputerze, backup-u nowych plików, możemy skorzystać z rozwiązania chmurowego. Tego jest bardzo dużo, jest dużo możliwości, gdzie tę kopię zapasową można utworzyć, gdzie tę kopię zapasową można zrobić. I w razie wystąpienia jakichś nieoczekiwanych sytuacji, gdzie na przykład sprzęt zostaje uszkodzony bądź na przykład następuje zakażenie jakimś programem wirusowym, który na przykład czyści nam dysk twardy, takie dane mamy, praca którą na przykład wykonujemy, nie zostanie stracona. No niestety jest to często bardzo bolesne i trzeba bardzo uważać i bardzo pamiętać o tym, że te kopie zapasowe są dla nas kluczowe, ponieważ ich brak może nas cofnąć na przykład o kilka tygodni do tyłu i będziemy zmuszeni wykonać daną pracę od początku. Wszelkie incydenty, które wystąpią na komputerze, czy jeżeli pojawi się coś nieoczekiwanego, wyskoczy jakiś komunikat, którego Państwo do tej pory nie widzieli, no jest ważne, żeby one były zgłaszane do działu IT. To ma jakby wiele wymiarów. Przede wszystkim, jeżeli Państwo to zgłoszą, to jest szansa, że inne osoby w firmie dostaną informację, że taki typ pliku, jeżeliby się pojawił, to należy go skasować, usunąć i tej wiadomości nie otwierać. Jeżeli pojawi się coś innego, nietypowego to Państwa, dział IT, bądź też firma, która taką usługę świadczy, będzie w stanie bardzo szybko zareagować i jakby też zatrzymać to zdarzenie, jakby zminimalizować straty, które może ono spowodować. Podejrzane maile. Jeżeli otrzymają Państwo podejrzanego maila, bardzo ważne jest sprawdzić – tu bym raczej sugerował nie sprawdzanie samemu, tylko poproszenie właśnie osoby, która się na tym zna, na przykład z działu IT, żeby taki mail został sprawdzony. I tutaj, jeżeli mamy jakiś załącznik, to ten załącznik powinien być bardzo dokładnie przejrzany, sprawdzony przez specjalistę, tak. Jeżeli nie jesteśmy pewni danego załącznika, być może jest od klienta, nie jest od klienta, nie mamy jak sprawdzić, to poprośmy ten dział IT, żeby nam jednak to sprawdził. Kolejną sprawą jest ograniczenie przesyłania załączników, tak. Starajmy się w ramach organizacji nie przysyłać zbyt dużej ilości załączników. Możemy tutaj śmiało skorzystać z rozwiązania chmurowego, które na przykład będzie dostępne dla wszystkich użytkowników danej sieci. Pliki nad którymi jest praca będzie można otworzyć z dowolnego komputera i przejrzeć. To daje przede wszystkim takie bezpieczeństwo, że jest tam robiony backup, więc ten plik nie zginie. Daje nam możliwość korzystania wszystkim albo posiadania też jakby dostępu do najbardziej aktualnej wersji danego pliku. Teraz kolejną sprawą jest to, że narzędzia powinny mieć funkcję szyfrowania danych, tak. To jest kluczowe. Też obecnie coraz częściej się o tym mówi. Niektóre systemy operacyjne mają taką możliwość już wbudowaną. Natomiast my powinniśmy zadbać, że wszelkiego typu pliki, które mamy, które są ważne dla naszej organizacji, które zawierają dane sensytywne, że powinny być szyfrowane. Na końcu pamiętajmy, że przestrzegamy RODO, aczkolwiek my o RODO nie będziemy aż tak dużo mówić w czasie tego podcastu, ale warto sprawdzić, jakie są zasady organizacji, jakie są zasady RODO, żeby je przestrzegać. No i jeżeli to wszystko robimy sprawnie to myślę, że tu jest duża szansa na to, że ominiemy bardzo dużo potencjalnych zagrożeń.

Krzysztof CIESIELSKI:

Sebastian, no teraz tak, jak rozmawialiśmy wcześniej, mnóstwo osób pracuje zdalnie, co za tym idzie właściwie zdecydowana większość korzysta również z rozwiązań różnego rodzaju wideokonferencji. Czy tego typu rozwiązania są bezpieczne? Czy one mogą istotnie nas narażać na jakiś ryzyka z tytułu ataku hakerskiego?

Sebastian GOSCHORSKI:

Tutaj należy wziąć pod uwagę, że te narzędzia w większości już były dostępne na rynku. To, co jakby nastąpiło, to jest to, że ich wykorzystanie jest znacznie większe niż było do tej pory. No i niestety, jak jest takie znaczne wykorzystanie, to te systemy są testowane, w związku z tym pojawiają się różnego typu problemy. Pierwszy z tych problemów, z którym mamy do czynienia to fakt, że te systemy nie zawsze dają radę, jeżeli chodzi od strony wydajności. Bo nie były przygotowane na taką liczbę osób korzystających, jak ma to miejsce teraz. W związku z tym nie zawsze tutaj mamy bardzo dobrą jakość. A z drugiej strony też jest duża pokusa ze stron oferujących to oprogramowanie, że jeżeli pisały, że do tej pory, bo na przykład program miał szyfrowanie danych, które są wysyłane, to takie wyłączenie szyfrowania, no powoduje, że jednak może on być dostępny dla większej grupy uczestników. W związku z tym pojawiły się takie sytuacje i to nawet w stosunku do bardzo popularnych narzędzi, że niestety to szyfrowanie nie zadziałało w taki sposób, jak trzeba. Więc tutaj pojawił się niestety taki problem, że informacje, które były przekazywane w czasie tych wideokonferencji, no niestety mogły dostać się w niepowołane ręce i mogły zostać wykorzystane. Więc w związku z tym jest też bardzo istotne, że zanim zostanie wybrany program, który będzie używany w organizacji, to warto dosyć dokładnie prześwietlić, w jaki sposób odbywa się szyfrowanie tej całej komunikacji, czy na przykład bezpłatna wersja oprogramowania to zapewnia, czy trzeba dopłacić czy dane oprogramowanie miało jakieś problemy z bezpieczeństwem czy też nie miało. Tych narzędzi jest dosyć sporo, więc myślę, że warto przejrzeć, warto się zastanowić, i wybrać coś, co najbardziej odpowiada organizacji, ale nie tylko pod względem jakości dostarczonej przez to oprogramowanie, ale przede wszystkim bezpieczeństwa, które jest z nim związane.

Krzysztof CIESIELSKI:

Właśnie, dzisiaj rozmawialiśmy m.in. o tym, czy warto śledzić sytuację w sieci. I tak zupełnie na gorąco – przed godziną ukazał się jeden z komunikatów, który mówi właśnie o tym, że zagrożenia takie występują. I nawet w trakcie naszego podcastu zagrożenie wystąpiło w jednym z największych komunikatorów. Wyciekły bardzo duże ilości danych dotyczących numerów telefonów. Także, jak widać, nawet w trakcie tego podcastu to zagrożenie jest cały czas, ono występuje, przypadki się zdarzają. Co za tym idzie, pojawiają się ryzyka. Teraz jest pytanie, czy warto ubezpieczać się od takich ryzyk, od tych ryzyk, które są wywołane właśnie tutaj, tymi atakami, od ryzyk, które pojawiają się w sferze cyberbezpieczeństwa?

Sebastian GOSCHORSKI:

Myślę, że najbardziej tak. Tych polis, co prawda, tych towarzystw, które to oferują nie ma zbyt dużo, ale są bardzo ciekawe produkty, które zostały sprowadzone do Polski z rynków zagranicznych i one obejmują jakby wszelkiego typu aspekty związane z tym cyberbezpieczeństwem. I tutaj na przykład są takie kwestie związane z RODO, są kwestie poinformowania na przykład naszych kontrahentów o tym, że dane wyciekły, współdziałania agencji PR-owej, która pomoże na przykład w zarządzaniu informacją, która wyjdzie do naszych klientów czy naszych kontrahentów, że coś takiego miało miejsce. I myślę, że organizacje powinny rozważyć zakup takiej polisy. Ponieważ często ona nie jest specjalnie droga, natomiast daje nam poczucie bezpieczeństwa w taki sposób, że jeżeli mielibyśmy do czynienia z takim ataku, który potencjalnie może kosztować nas bardzo dużo, to w określonym przez tę polisę aspekcie mamy pokrycie.

Krzysztof CIESIELSKI:

Sebastian, w takim razie bardzo dziękuję Ci za dzisiejszą rozmowę. Drodzy Państwo, to był kolejny odcinek naszych podcastów, które są emitowane, będą emitowane regularnie. Oczywiście zachęcam do odwiedzania naszej strony, zachęcam także do pobierania grafiki, o której wcześniej wspominał Sebastian. Ona będzie dostępna w linku. No i cóż, bardzo dziękuję i do usłyszenia w kolejnym odcinku.