Na szczęście dziś pracownicy, menedżerowie i zarządy firm zazwyczaj uznają, że bezpieczeństwo informacji, danych i cyberprzestrzeni jest kwestią kluczową dla biznesu. Być może mają już strategie radzenia sobie z tym problemem. Wiele firm jest w trakcie opracowywania solidnego systemu zarządzania bezpieczeństwem informacji, ale duża liczba wciąż nie podjęła jeszcze pierwszych kroków. Jednak nawet organizacje, które uważają, że mają wszystko pod kontrolą, mogą być zagrożone. Gdy przetrwaniu firmy zagraża coś bardziej okreśłonego niż cyberatak, np. malejąca liczba klientów lub rosnące koszty, uwaga może zostać skupiona na innych tematach.
Dlaczego to może mieć fatalne skutki?
Ponieważ niezależnie od przyczyny cyberataku, czy jest to cyfrowy wandalizm, wyłudzanie pieniędzy, kradzież danych klientów, szpiegostwo z powodów handlowych, przemysłowych lub politycznych, czy też inny złośliwy cel, wynikiem prawie na pewno będzie poważne zakłócenie, którego będzie wymagała niewystarczających zasobów.
Konsekwencje mogą być ekonomiczne, społeczne lub techniczne, bądź też stanowić połączenie wszystkich trzech. Na przykład atak, który wykazuje słabe punkty sieci informacyjnej, wymaga zastosowania środków technicznych w celu wykorzenienia problemu i zapobiegnięcia jego ponownemu wystąpieniu. W niektórych przypadkach prace z tym związane mogą być tak czasochłonne, że lepszym rozwiązaniem może być wymiana całego sprzętu dotkniętego atakiem, aby mieć pewność, że zagrożenie nie nastąpi ponownie.
Takie rozwiązanie przyjął wiodący operator linii kontenerowych po ataku ransomware. System rezerwacji firmy nie działał przez kilka tygodni, co spowodowało utratę przychodów, a rekonfiguracja sieci IT wymagała wymiany 4000 serwerów, 45 000 komputerów PC i 2500 aplikacji. Całkowity koszt został oszacowany na około 300 milionów dolarów.
Nie można nie doceniać wpływu udanych ataków na wizerunek firmy. Klienci cenią sobie bezpieczeństwo swoich danych, niezależnie od tego, gdzie są przechowywane, i mogą zdecydować, że organizacje, które nie potrafią ich chronić, nie są warte współracy z nimi i mogą przejść do konkurencji.
Będąc bardzo dużym przedsiębiorstwem, firma obsługująca linie kontenerowe w ogromnym stopniu polega na swojej sieci informatycznej w zakresie kontroli rezerwacji dziesiątek milionów kontenerów i obsługi prawie tysiąca statków. Jednak w przypadku mniejszej firmy wpływ ten może zmusić firmę do wycofania się z działalności.
Każdy może stać się celem
Dziś każda organizacja komercyjna, nie tylko firmy teleinformatyczne, jest prawdopodobnym celem. Na celowniku znalazły się nawet szkoły medyczne i służba zdrowia. Te ostatnie są obecnie jednymi z najbardziej zagrożonych, być może ze względu na ogromną ilość przechowywanych danych osobowych.
W sierpniu 2022 roku numer alarmowy 111 brytyjskiej Narodowej Służby Zdrowia został poddany atakowi ransomware. Usługa 111 jest połączeniem wspierającym dla głównej usługi ratunkowej 999 dla osób potrzebujących mniej pilnej pomocy medycznej poza godzinami pracy. Atak oznaczał, że część pacjentów została pozbawiena pomocy, a część została odesłana do lekarzy ogólnych. Nie był to pierwszy atak. W 2017 roku NSZ uległ atakowi ransomware, który podobno kosztowały Służbę Zdrowia ponad 20 milionów funtów.
Całkowity koszt
Większość ataków pochodzi z sieci, często na skutek phishingu z wykorzystaniem systemów poczty elektronicznej, niezabezpieczonych lub skradzionych urządzeń, takich jak laptopy lub urządzenia mobilne, podłączonych do sieci. Nawet pamięć USB może być źródłem. Około połowa (49%) wszystkich organizacji w ostatnim badaniu zgłosiła, że padła ofiarą ataku internetowego, 43% wymieniło phishing, 35% zostało dotkniętych przez ogólne złośliwe oprogramowanie, a 26% przez wstrzyknięcie SQL. Jest to rodzaj ataku, który przenika do baz danych powodując błędy lub nawet pobierając całą bazę danych na komputer hakera. Odmowy świadczenia usług doświadczyła jedna na pięć organizacji.
W ubiegłym roku globalna koalicja firm technologicznych i organów ścigania, w tym FBI, Microsoft i Amazon, wzywała do "agresywnych i pilnych" działań przeciwko ransomware. Ransomware Task Force (RTF) twierdzi, że stało się ono poważnym zagrożeniem dla bezpieczeństwa narodowego oraz zdrowia i bezpieczeństwa publicznego. Ma ogromny wpływ na gospodarkę i zdolność zwykłych ludzi do uzyskania dostępu do kluczowych usług. Szacunki wskazują, że globalny koszt oprogramowania ransomware, w tym przerw w działalności gospodarczej i płatności okupu w samym 2020 roku, wyniósł pomiędzy 42 a 170 miliardów dolarów. Chociaż dokładna liczba nigdy nie będzie znana, ponieważ wiele ofiar woli milczeć na temat wpływu na ich działalność.
Odpowiednie przygotowanie
Przy tak dużych kosztach nie dziwi fakt, że organizacje zaczynają podejmować działania mające na celu zmniejszenie ryzyka. Jednak dla niektórych trudno jest określić, od czego zacząć. Prawdopodobnie najrozsądniejszym sposobem zrozumienia rzeczywistego obrazu ryzyka, wdrożenia środków zapobiegających naruszeniom bezpieczeństwa oraz procesów postępowania w przypadku wystąpienia incydentów jest opracowanie systemu zarządzania bezpieczeństwem informacji zgodnego z najlepszymi praktykami międzynarodowymi, takimi jak ISO/IEC 27001, najbardziej uznana norma dotycząca systemów zarządzania bezpieczeństwem informacji.
Zapewnia ona uporządkowane ramy dla opracowania i wdrożenia procesów i kontroli bezpieczeństwa, zapewnienia zaangażowania kierownictwa i na przykład szkolenia pracowników.
Wiele organizacji posiada już systemy zarządzania jakością, środowiskiem lub bezpieczeństwem i higieną pracy. Koncepcja i podejście są takie same, a nowa wersja ISO/IEC 27001 jest dostosowana do Struktury Wysokiego Poziomu ISO (HLS), aby ułatwić integrację.
Uzyskanie certyfikatu zgodności z normą ISO/IEC 27001 od niezależnej strony trzeciej daje wewnętrzną pewność i zaufanie interesariuszy, że w firmie funkcjonują solidne systemy zarządzania ryzykiem związanym z bezpieczeństwem informacji, danych i cyberprzestrzeni.
