Premier przedłużył obowiązujący od 21 lutego trzeci stopień stanu alarmowego CHARLIE-CRP, obowiązywać on będzie co najmniej do 15 marca, a patrząc na to, co dzieje się za naszą wschodnią granicą, pozostanie z nami długo dłużej. Jak mocno startupy, małe i średnie przedsiębiorstwa powinny zainteresować się ochroną przed cyberatakami i jak przeprowadzić tę operację nie rujnując budżetu? Odpowiedzi dla MS udzieliło Fudo Security, polski startup z branży cyberbezpieczeństwa.
Damian Borkowski, Fudo SecurityNa ile polskie firmy (z sektora MŚP, nasi Czytelnicy) przygotowane są w tym momencie na cyberatak? Czy porównując stan 2022 roku do np. początku 2021 roku jest dużo lepiej?
Małe i średnie firmy są zwykle bardziej podatne na zagrożenia, ponieważ mają ograniczone zasoby i często nie przejmują się wdrażaniem strategii bezpieczeństwa. Jeśli atak nie zostanie wykryty na czas, powrót do standardowych operacji może być dla nich bardzo kosztowny. W dodatku może zająć kilka dni, jeśli nie miesięcy zanim taki cyberatak zostanie odkryty. W 2021 r. CISA poinformowało, że 43% małych i średnich przedsiębiorstw (MŚP) było celem cyberataków. W 2022 roku w Polsce obserwujemy coraz więcej cyberataków. Obserwujemy też jednak większe zaangażowanie w programy takie jak „Strategia cyberbezpieczeństwa RP na lata 2019-2024”, co generalnie powinno przełożyć się na większe bezpieczeństwo. Zasadniczo powiedziałbym, że poziom zagrożenia wzrósł w związku z atakiem Rosji na Ukrainę. Jednak przede wszystkim dotyczy to serwerów rządowych. Wpływ cyberzagrożeń na MŚP pozostaje mniej więcej na tym samym poziomie jak wcześniej.
Czy firmy z sektora MŚP są zagrożone atakami? Czy małe firmy również powinny się zabezpieczać, a jeżeli tak, to z których branż najmocniej?
Zagrożone są wszystkie firmy. Widzimy doniesienia z większych firm, takich jak PGE SA, gdzie prezes Wojciech Dąbrowski poinformował, że w ich sieciach informatycznych przeprowadzono cyberataki. W mniejszych firmach też one są, ale jako że wykrywalność tego typu ataków jest w nich mniejsza, to i o nich tak często nie słyszymy. Generalnie zarówno mniejsze, jak i większe firmy powinny inwestować czas i pieniądze w środki bezpieczeństwa cybernetycznego, choćby nawet w te podstawowe, takie jak odpowiednio przeszkolony personel, odpowiednie zabezpieczenie urządzeń pracy, kopie zapasowe, czy wdrożone firmowe procedury bezpieczeństwa. Oczywiście nie ma zasady, ale powiedziałbym, że branże najbardziej narażone na ataki, to dziś sektory opieki zdrowotnej i finansów/bankowości. Jednak tuż za nimi znajdują się sektor przemysłowy, czy instytucje rządowe.
Najprostsze i najtańsze kroki do zabezpieczenia ataku na małą firmę softwarową to …
Najważniejsza jest wiedza i świadomość zagrożeń – i to na każdym szczeblu organizacji. Dzięki odpowiednim szkoleniom i edukacji, osoby odpowiedzialne za bezpieczeństwo w firmie, mogą później tę wiedzę przekazywać dalej, czy też tworzyć i wdrażać odpowiednie procedury bezpieczeństwa. W następnej kolejności należy pamiętać o innych podstawowych zabezpieczeniach, takich jak regularne aktualizowanie oprogramowania, z którego korzystamy, wprowadzenie w firmowych systemach MFA (multi factor authentication), wdrożenie mechanizmów automatycznego tworzenia kopii zapasowych, firewalle, oprogramowanie antywirusowe, mechanizmy szyfrowania danych, czy dostęp do firmowych zasobów schowany za VPN. W przypadku większych firm lub firm bardziej narażonych na ataki warto również zaopatrzyć się w dodatkowe zabezpieczenia takie jak chociażby wdrożenie w firmie oprogramowania PAM (privileged access management), czy cybersecurity asset management. Na pewno poleciłbym też wprowadzenie w firmie regularnych testów bezpieczeństwa (np. testów penetracyjnych, czy vulnerability scanów).