Przedsiębiorstwa prowadzące swoją działalność w Polsce same przyznają, że w zapewnieniu oczekiwanego poziomu bezpieczeństwa największym wyzwaniem wciąż pozostaje człowiek.

Ataki przy użyciu poczty elektronicznej, shadow IT, a także luki w zabezpieczeniach wynikające z zakończenia wsparcia dla wciąż używanych przez wiele firm systemów operacyjnych to pułapki, w które najczęściej wpadają organizacje prowadzące swoją działalność w Polsce. Jak podaje raport KPMG, w 2018 roku blisko 70% z nich odnotowało przynajmniej jeden cyberincydent. Przedsiębiorstwa same przyznają, że w zapewnieniu oczekiwanego poziomu bezpieczeństwa największym wyzwaniem wciąż pozostaje człowiek.

14 stycznia zakończyło się wsparcie techniczne dla systemu Windows 7, który jak czytamy w NetApplications, w listopadzie 2019 roku zainstalowany był jeszcze na około 26% komputerów na świecie. Wiele z tych urządzeń niestety “pracuje” na co dzień w dużych organizacjach. Co to oznacza dla nich w kontekście bezpieczeństwa IT? Brak aktualizacji grożący między innymi atakami hakerskimi prowadzącymi do utraty danych i reputacji. Najbardziej ryzykują duże przedsiębiorstwa, których cenne zasoby mogą stać się łatwym celem dla cyberprzestępców. Jednak ataków spodziewać się mogą też mniejsi – ci mający bardziej ograniczoną infrastrukturę i słabsze, często ignorowane procedury bezpieczeństwa. 

Czy można skutecznie poradzić sobie z takim zagrożeniem?

Zła wiadomość to dobra wiadomość

Przedsiębiorcy mogą odetchnąć z ulgą – jest przynajmniej kilka sposobów na uniknięcie problemów wynikających z końca wsparcia dla systemu Windows 7. Najważniejsze jest jednak samo uświadomienie sobie zagrożenia.

– Firmy muszą mieć świadomość tego, że każdy komputer z Windows 7, czyli taki, który pozbawiony jest wsparcia Microsoft, stanowi zagrożenie dla całej firmy i innych urządzeń – także tych, które mają już zainstalowany nowy software. Nie warto więc zwlekać z podejmowaniem odpowiednich kroków – tłumaczy Grzegorz Mamorski, Senior Account Manager z Innergo Systems.

Rozwiązań jest kilka. Jedno z nich to inwestycja w nowszą wersję systemu Windows. W tym przypadku lepiej zdecydować się na “dziesiątkę”, bo Windows 8 przestanie być wspierany w 2023 roku. Ponieważ jednak taka zmiana systemu wiąże się z jednej strony z kosztami, z drugiej z koniecznością nauczenia się zupełnie nowego narzędzia, warto przemyśleć także opcję drugą, czyli wdrożenie w firmie systemu innego producenta, np. macOS.

Jakie korzyści przynosi taki krok? Przede wszystkim gwarantuje odpowiedni poziom bezpieczeństwa dzięki ciągłym aktualizacjom.

– System operacyjny i wszelkie zainstalowane na komputerach oprogramowanie muszą być systematycznie aktualizowane. To pozwala załatać nowo wykryte luki, które mogłyby zostać wykorzystane przez hakerów – mów Rafał Mazur, Technical Engineer z Innergo Systems. – Bezpłatne aktualizacje dostępne są na przykład w systemie macOS, a ich instalowanie dział IT może odgórnie wymusić na wszystkich firmowych komputerach. Daje to pewność, że sprzęt pozostaje pod stałą ochroną, a pracownicy mogą swobodnie korzystać z najnowszych funkcji urządzeń, nie narażając się na utratę danych.

Niebezpieczeństwo czai się w cieniu

Aktualnie coraz częściej zaciera się granica pomiędzy sprzętem firmowym a prywatnym. Związane jest to z wieloma zjawiskami, m.in. również z shadow IT, przy pomocy którego, jak twierdzi Gartner, już dziś przeprowadzany jest prawie co trzeci atak hakerski.

– To, że pracownicy sięgają po rozwiązania inne niż te zatwierdzone przez firmę, jest powszechną praktyką w organizacjach. Często pobrane i nieautoryzowane przez dział IT i tym samym nieodpowiednio zabezpieczone aplikacje służą im do tego, aby sprawniej realizować codzienne zadania – dodaje Rafał Mazur, Technical Engineer z Innergo Systems.

Aby uniknąć problemu, nie wystarczy zadbać o dostarczenie pracownikom odpowiednich narzędzi pracy, tak aby nie musieli oni szukać dodatkowych aplikacji i instalować ich na firmowym sprzęcie. Warto pozwolić im także na kontrolowaną kreatywność w tym temacie.

– Na rynku jest sporo rozwiązań, które dbają o instalowanie wyłącznie zaufanych aplikacji oraz pomagają w obronie przed złośliwym oprogramowaniem. Takim „strażnikiem aplikacji” w macOS jest Gatekeeper, pozwalający określać źródła, z których mogą być instalowane aplikacje. Prościej mówiąc, to funkcja, która dba o to, żeby każda nowo instalowana aplikacja była przed uruchomieniem sprawdzona pod kątem znanych zagrożeń bezpieczeństwa – tłumaczy Rafał Mazur, Technical Engineer z Innergo Systems.

W pułapki wpadają… ludzie

Firmy mogą i powinny zadbać o aktualizowanie oprogramowania oraz wprowadzenie odpowiednich polityk bezpieczeństwa, procedur reagowania i planów zarządzania kryzysowego na wypadek wystąpienia cyberataku. Najsłabszym ogniwem w tym łańcuchu zabezpieczeń pozostają jednak ludzie, którzy na co dzień używają systemów i aplikacji. Co ciekawe, to właśnie pracownicy wskazywani są przez przedsiębiorstwa jako problem w zakresie cyberbezpieczeństwa nawet częściej niż na przykład ograniczenia finansowe (KPMG: 63% vs 61%). Zatrudnieni – nieświadomi czyhających na nich zagrożeń – stają się marionetkami w rękach hakerów, którzy wykorzystują ich, by dostać się do najbardziej wrażliwych danych przedsiębiorstwa.

Można temu zapobiec, szkoląc pracowników i uczulając ich na niebezpieczne sytuacje. Na co w szczególności powinni uważać? Muszą być czujni przede wszystkim w momencie podejmowania ostatecznych decyzji dotyczących otwarcia podejrzanego e-maila, pobrania pliku lub aplikacji z nieznanego źródła czy kliknięcia w otrzymane powiadomienie bez sprawdzenia jego wiarygodności. Niebezpieczne może okazać się także użycie do celów służbowych prywatnego pendrive’a, podłączenie firmowego laptopa do ogólnodostępnych punktów wi-fi czy zalogowanie się do firmowej sieci z własnego komputera lub telefonu.  Takie zachowania mogą narazić firmę na niebezpieczeństwo i to od wiedzy i świadomości pracownika zależy, czy uda się go uniknąć.

Hakerzy nie ustają w poszukiwaniach nowych metod dostępu do cennych informacji – podobnie “zbroić” powinna się druga strona, bo ignorując ostrzeżenia specjalistów, sami wystawiamy się na niepotrzebne zagrożenia, które mogą firmę dużo kosztować. Warto więc korzystać z wiedzy specjalistów, odpowiednio dobierając technologię oraz inwestując w ciągłe podnoszenie wiedzy i świadomości swoich pracowników.