Jak rozmawiać o bezpieczeństwie IT z Zarządem i C-level management?

Odmienne osobowości i charaktery, odmienne style zarządzania. Każdy menadżer jest inny. Mimo różnic łączy ich troska o dobro przedsiębiorstwa lub instytucji, którą zarządzają. Na co dzień pochłania ich wiele kwestii, niestety te dotyczące bezpieczeństwa IT nieczęsto znajdują się w głównej sferze ich zainteresowań.

Eksperci Stormshield, wytwórcy rozwiązań z obszaru cyberbezpieczeństwa, prezentują cztery istotne aspekty, które ułatwią przekonanie osób decyzyjnych, że sfera IT to obszar o strategicznym znaczeniu.

Z perspektywy osób pełniących funkcje menadżerskie kluczowe kwestie codziennej pracy to m.in. troska o inwestycje, pozyskanie środków finansowych na ich realizację i kwestie personalne. Niestety cyberbezpieczeństwo nierzadko znajduje się na końcu listy spraw, względem ich ciężaru gatunkowego. Z jednej strony dzieje się tak ponieważ te zagadnienia wymagają specjalistycznej wiedzy, a po drugie dział bezpieczeństwa IT to głównie koszty (zwykle nie są one małe), a w odróżnieniu od pozostałych bezpośrednio nie generuje przychodów. Jednak wobec powszechności rodzaju cyfrowych zagrożeń traktowanie bezpieczeństwa IT jedynie jako ostatecznego kosztu jest poważnym błędem.

Na co specjalista IT powinien zwrócić uwagę osobom C-level?

1. Język kosztów i korzyści

Większość działów w firmie korzysta z rozwiązań IT. Dedykowane systemy wspierają pracę magazynu, sprzedaży czy księgowości. Rozwój tych jednostek traktowany jest w kategoriach inwestycji, które mają szansę się zwrócić. A zabezpieczenia IT? Na co dzień nikt ich nie widzi, a nawet niespecjalnie zdaje sobie sprawę z ich istnienia. Nie oznacza to jednak, że można je zignorować. Podobnie jest ze strażą pożarną. Inwestycja w szkolenie strażaków i rozwój bazy sprzętowej będącej ich dyspozycji jest naturalna dla wszystkich, od decydentów po mieszkańców, którzy chcą czuć się bezpieczni. Szczególnie w sytuacji, gdy będzie miał miejsce jakiś „pożar”.

A koszty działania konieczne do wdrożenia w sytuacji „pożaru”, tj. gdy staniemy się celem cyberataku, mogą być bardzo wysokie. Nie tylko do powstrzymania napastników, lecz również przywrócenia funkcjonowania firmowych systemów niezbędne są zasoby ludzkie i finansowe. Przykłady? Cyberatak ransomware kosztujący przestępców ok. 30 dolarów może im przynieść zyski na poziomie nawet 25 tysięcy. Cybercrime Magazine przewiduje, że do 2031 roku przedsiębiorstwa będą padały ofiarą ataku co dwie sekundy.*

***

Ile może kosztować atak?

Magazyn CRN informuje, że koszt ataku dla polskich firm to średnio 1,49 mln zł, a choć 46 proc. polskich średnich i dużych przedsiębiorstw w wyniku ataku ransomware straciła mniej – od 50 do 254 tys. zł, to wciąż są to kwoty wysokie. Z drugiej strony 31 proc. podmiotów określiło te koszty pomiędzy 2,5 a 5 mln zł**

Dobre zabezpieczenie firewallem lub systemem End Point Security np. marki Stormshield i jego utrzymanie liczone jako wartość TCO (Total Cost Ownership), to dużo mniejszy wydatek w porównaniu do potencjalnych strat mierzonych finansowo i reputacyjnie.

***

Wnikliwie analizujemy informacje o aktualnych zagrożeniach, rekomendując wdrażanie odpowiednich rozwiązań mających na celu minimalizacje ryzyka związanego z ich pojawieniem się. Obejmuje to ochronę brzegów sieci, wymianę sprzętu czy aktualizacje systemów. Ta ostatnia jest wskazana m.in. ze względu na rozwój aplikacji, z których korzystamy. Aktualizacje usprawniają działanie i funkcjonalności, jednak wymagają szybszych procesorów, pracy wielowątkowej z wykorzystaniem wielu rdzeni procesora, więcej RAM’u, więcej zasobów i szybszych dysków. Ten nieustanny rozwój wiąże się z koniecznością stałego trzymania ręki na pulsie, tak by jakieś istotne nowości – mogące mieć wpływ na nasze bezpieczeństwo IT – zwyczajnie nam nie umknęły.

Wniosek? Specjalista odpowiedzialny za kwestie bezpieczeństwa IT musi rozmawiać z menadżerem właśnie językiem kosztów i korzyści. Firmy nie lubią być zaskakiwane koniecznością doraźnego wysupłania ogromnej kwoty, niezbędnej np. do przywrócenia bezpieczeństwa IT czy w ogóle możliwości funkcjonowania elementów infrastruktury produkcyjnej. Preferują stabilność. Dbając o opisane powyżej obszary zapewniamy organizacji stabilność, także w obszarze finansowym. Bo inwestycja w rozwiązania zabezpieczające firmowy system IT, musi być traktowana jak każda inna. Zwrotem w jej przypadku jest brak kosztów związanych ze skutecznym atakiem. A to również ma swoją wagę w bilansie rocznym.   

2. Prawdopodobieństwo rośnie – przestępcy inwestują z myślą o przyszłych zyskach

Zwróćmy uwagę, że hakerzy również nie próżnują. O coraz większej skali zagrożenia decyduje wzrost liczebności grup przestępczych i profesjonalizacja ich działalności. Lepszy sprzęt, analiza podatności na błędy nowego oprogramowania, rozwój usług towarzyszących. Żyjemy w erze Ransomware-as-a-Service i Malware-as-a-Service. Dane karty kredytowej można nabyć za 10 dolarów, identyfikatory logowania są dostępne w cenach od 100 do 1000 dolarów, a złośliwe oprogramowanie nawet za kilkadziesiąt. Topowym towarem są np. wady dnia zerowego, które można nabyć za niebagatelną cenę od 500 tys. do 2 mln dolarów. Oczywiście ceny są pokłosiem potencjalnych zysków, jakie można uzyskać.

Wniosek? Kadra menadżerska musi mieć świadomość, że cyberprzestępcy działają w podobnym trybie jak kierowane przez nich przedsiębiorstwa – inwestują z myślą o zyskach. Zyskach, które de facto zostaną sfinansowane ze środków firmy w sytuacji skutecznego naruszenia jej bezpieczeństwa.

3. Sprzyjające realia ze względu na zaniedbania

Przestępcom sprzyja fakt, że wiele przedsiębiorstw i instytucji jest niedofinansowanych w obszarze IT. Objawia się to brakiem stosownej i jasno określonej polityki bezpieczeństwa, regulaminów, instrukcji, procedur. Z pewnością nie pomaga sytuacja, w której dział IT musi mierzyć się z niedoszacowaną liczbowo kadrą, która w obliczu nawet doraźnych zmian nie jest w stanie reagować ad hoc. Grzechem głównym jest brak corocznego audytu z zakresu bezpieczeństwa danych oraz kluczowych analiz ryzyka.

Specjaliści nadal rejestrują nieprawidłowości w zarządzaniu uprawnieniami użytkowników w systemach informatycznych. Przykładem są aktywne konta nieobecnych już pracowników czy niewłaściwe nadawanych uprawnień administratora. Dużym problemem jest wykorzystywanie niedostatecznie silnych haseł. Wielu decydentów nie korzysta z podstawowych funkcji, które wymuszają stosowanie zasad polityki haseł. Mniejszą uwagę zwraca się także na przechowanie oraz weryfikację kopii zapasowych danych – niestety nieprawidłowości w zakresie ich tworzenia nierzadko są stwierdzane, gdy dojdzie już do sytuacji krytycznej. Dotyczy to również fizycznych nośników pamięci, które nie są w żaden sposób szyfrowane i zabezpieczane na wypadek kradzieży i związanych z nimi próbami przejęcia danych.

Olbrzymie ryzyko niesie ze sobą korzystanie ze sprzętu czy oprogramowania, które nie posiadają wsparcia producenta. Szukanie oszczędności – bo przecież wszystko działa – może okazać się krótkowzroczne i bardzo bolesne dla przedsiębiorstwa. Dotyczy to zarówno systemów operacyjnych, jak i aplikacji, które po utraceniu wsparcia stanowią dla przestępców łatwą do sforsowania furtkę. To samo dotyczy aktualizacji urządzeń typu firewall chroniących sieci, systemy antywirusowe, poprawki dla systemów i programów, zwłaszcza tych oznaczonych jako krytyczne.

Wraz z rozpowszechnieniem pracy zdalnej i hybrydowej pojawiło się kolejne zagrożenie związane z korzystaniem przez pracowników z urządzeń mobilnych czy własnego sprzętu, które nie zawierają należytej ochrony. Prowadzi to do braku kontroli nad urządzeniami końcowymi, które często mają bezpośredni dostęp do strategicznych zasobów firmowych.

Wniosek? Powyższe przykłady wykazują brak systemowego podejścia do zarządzania bezpieczeństwem informacji. Rodzi to obawy o bezpieczeństwo danych, zwłaszcza, że coraz więcej zadań realizuje się drogą elektroniczną, a dane są gromadzone i przetwarzane coraz częściej w chmurze. W przypadku wystąpienia poważnej awarii może to znacząco utrudnić szybkie odtworzenie infrastruktury i zapewnienie ciągłości świadczenia usług.

4. Menadżer kluczem do firmowych zasobów

Osobom na kluczowych stanowiskach warto uzmysławiać, że to oni właśnie znajdują się na czele listy potencjalnych celów. Oczywiście to efekt uprawnień dostępowych jakie zostały im nadane. Złamanie tego ogniwa otwiera wrota sezamu. Nie każdy menadżer najwyższego szczebla jest w pełni świadomy wagi zagadnień bezpieczeństwa IT. Przekonanie ich do naszych racji nie musi być proste. Z własnych doświadczeń możemy powiedzieć, że świadomość tych osób kształtują w znacznej mierze media, na przykład branżowe. Dobrym sposobem dotarcia są również dedykowane spotkania, konferencje i szkolenia. Pozwalają uczestnikom skupić percepcję na określonych zagadnieniach. Dobrym narzędziem jest seria „Nie daj się cyberzbójom!” oraz blogi dystrybutorów systemów do zabezpieczeń sieci i danych IT/OT jak np. https://Stormshield.eu czy https://blog.dagma.eu.

Wniosek? W rozmowach z menadżerami, głównymi argumentami jakie powinno się wykorzystywać to te, że bezpieczeństwo IT to nie koszt a wymierna inwestycja!

* https://cybersecurityventures.com/stats/ 

** https://crn.pl/aktualnosci/atak-ransomware-kosztuje-polska-firme-srednio-15-mln-zl/