Cyberprzestępczość staje się jedną z największych gałęzi światowego biznesu. Straty liczone są już nie w miliardach, ale w bilionach dolarów. Wbrew powszechnemu przekonaniu, ofiarami nie padają wyłącznie banki czy duże międzynarodowe korporacje. Coraz częściej atakowane są małe i średnie firmy, które nie zawsze posiadają zaawansowane mechanizmy ochrony.
W najnowszym odcinku podcastu TechnoTerapia eksperci Orange Polska, Daniel Kamiński i Krzysztof Bronarski wyjaśniają, dlaczego cyberbezpieczeństwo musi być dziś traktowane jak ryzyko biznesowe, a także jak budować kulturę cyberodporności w naszej organizacji.
Zagrożony jest każdy - od małej firmy po wielką elektrownię
Jeszcze do niedawna wielu przedsiębiorców uważało, że cyberbezpieczeństwo to zadanie wyłącznie dla działu IT. To poważny błąd, bo wiele ataków zaczyna się od człowieka, a nie od technologii. Wystarczy jedno kliknięcie w fałszywy link czy pochopne udostępnienie wrażliwych danych, aby otworzyć cyberprzestępcy drogę do systemu.
Statystyki tylko potwierdzają skalę zagrożenia: raport CERT Polska za 2024 rok wskazuje na ponad 100 tys. potwierdzonych incydentów cyberbezpieczeństwa, a dane CERT Orange Polska pokazują skokowy wzrost ataków DDoS i ransomware
Szczególnie wrażliwym na ataki obszarem stają się technologie operacyjne (OT), czyli infrastruktura związana z energetyką, transportem, automatyką przemysłową czy wodociągami.
W przypadku infrastruktury krytycznej w grę wchodzą nie tylko cyberprzestępcy, ale i wrogie państwa. Celem nie jest już zysk, lecz zakłócenie usług, sianie paniki i destabilizacja polityczna
- tłumaczy Krzysztof Bronarski, ekspert bezpieczeństwa OT w Orange Polska.
Człowiek wciąż najsłabszym ogniwem
Najpopularniejszym rodzajem ataku pozostaje phishing, który odpowiada za ponad 45 proc. incydentów. Metody podszywania się pod banki, firmy kurierskie czy współpracowników stają się coraz bardziej wyrafinowane.
Daniel Kamiński, trener ds. cyberodporności i gospodarz Centrum Doświadczeń Cyberbezpieczeństwa w Orange Polska wskazuje na największy mit dotyczący cyberbezpieczeństwa w firmie:
To mnie nie dotyczy. To problem dużych korporacji, ale nie mój
Innym częstym błędem jest bezwarunkowe zaufanie zewnętrznym dostawcom:
Wielu przedsiębiorców mówi: mamy firmę, która się tym zajmuje. Ale czy ktoś sprawdził, jak ta firma dba o cyberbezpieczeństwo? Czy zdefiniowano jakiekolwiek wymagania?
- ostrzega Krzysztof Bronarski. Eksperci podkreślają, że niezależnie od systemów ochronnych, to człowiek pozostaje najsłabszym ogniwem - podatnym na pośpiech, emocje oraz stres.
Jak ochronić firmę przed atakami?
Zmiana myślenia polega na traktowaniu cyberbezpieczeństwa nie jako kosztu, lecz inwestycji w stabilność biznesu. W Centrum Doświadczeń Cyberbezpieczeństwa Orange Polska prowadzone są symulacje ataków dla zarządów firm. Pokazują one, jak często zupełnie inne priorytety mają poszczególnie menadżerowie w sytuacji kryzysowej.
Z punktu widzenia dyrektora zarządzającego cyberbezpieczeństwo stało się dziś ryzykiem biznesowym
– podkreśla Daniel Kamiński. Dużym zaskoczeniem może być również czas, jaki hakerzy mogą spędzić wewnątrz firmowej sieci, pozostając niezauważeni.
Średnio jest to 186 dni. Gdy mówię o tym zarządom, trudno im uwierzyć. Pytają: czy to znaczy, że cyberprzestępcy mogą być w naszej sieci już teraz?
– relacjonuje Kamiński.
Pierwsze kroki w stronę cyberodporności
Budowa cyberodporności nie zawsze wymaga ogromnych inwestycji finansowych. Daniel Kamiński i Krzysztof Bronarski wskazują na cztery podstawowe działania, które może podjąć każda firma:
- regularne kopie bezpieczeństwa (backup),
- silne hasła i uwierzytelnianie wieloskładnikowe (MFA),
- aktualizacje systemów i oprogramowania,
- budowanie kultury bezpieczeństwa, w której pracownicy nie boją się zgłaszać incydentów, a przykład idzie od zarządu.
Jak podsumowują eksperci Orange Polska, technologia to tylko część większej układanki - równie ważne są świadomość ludzi i procedury w całej organizacji.
SPONSOR: ORANGE POLSKA
