Jak przekonać decydentów o znaczeniu bezpieczeństwa IT?

Cyberzagrożenia to problem małych, średnich i dużych firm. Warto potraktować je w kategorii wyzwań na 2023 rok, bo cyberprzestępczość to jeden z niewielu sektorów gospodarki niepodatny na recesję.

Trzy istotne aspekty ułatwiające przekonanie osób decyzyjnych, że sfera IT to obszar o strategicznym znaczeniu z perspektywy każdego przedsiębiorstwa, prezentuje ekspert Stormshield, wytwórcy rozwiązań z obszaru cyberbezpieczeństwa.

Cyberbezpieczeństwo nierzadko znajduje się na końcu listy spraw, względem ich ważności w życiu firmy. Te zagadnienia wymagają specjalistycznej wiedzy, a po drugie dział bezpieczeństwa IT w odróżnieniu od pozostałych bezpośrednio nie generuje przychodów. Jednak wobec powszechności cyfrowych zagrożeń traktowanie bezpieczeństwa IT jedynie jako kosztu jest poważnym błędem. Na co specjalista powinien zwrócić uwagę menadżerom, chcąc przekonać ich o znaczeniu bezpieczeństwa IT w firmie?

1. Język kosztów i korzyści

Większość działów w firmie korzysta z rozwiązań IT. Dedykowane systemy wspierają pracę magazynu, sprzedaży czy księgowości. Rozwój tych jednostek traktowany jest w kategoriach inwestycji, które mają szansę się zwrócić.

A zabezpieczenia IT? Na co dzień widać tylko ich niewielki wycinek, a większość pracowników nawet niespecjalnie zdaje sobie sprawę z ich istnienia. Nie oznacza to jednak, że można je zignorować. Podobnie jest ze strażą pożarną. Inwestycja w szkolenie strażaków i rozwój bazy sprzętowej będącej w ich dyspozycji jest naturalna dla wszystkich. Strażacy szkolą się, aby w sytuacji pożaru móc szybko i skutecznie reagować. Cyberatak to z perspektywy przedsiębiorstwa właśnie taki pożar. Jego koszty dla firmy mogą być bardzo wysokie, a jak przewiduje Cybercrime Magazine do 2031 roku przedsiębiorstwa będą padały ofiarą ataku co dwie sekundy.* Ile może on kosztować? Koszty liczone mogą być w setkach tysięcy, a nawet milionach złotych**.

W tym kontekście istotne jest, że firmy nie lubią być zaskakiwane koniecznością wydania dużej kwoty, niezbędnej np. do przywrócenia bezpieczeństwa IT czy w ogóle możliwości funkcjonowania elementów infrastruktury produkcyjnej. Preferują stabilność.

– Specjalista odpowiedzialny za kwestie bezpieczeństwa IT musi rozmawiać z menadżerem językiem kosztów i korzyści. Inwestycja w rozwiązania zabezpieczające firmowy system IT, musi być traktowana jak każda inna. Zwrotem w jej przypadku jest brak kosztów związanych ze skutecznym atakiem. A to również ma swoją wagę w bilansie rocznym – komentuje Aleksander Kostuch, inżynier Stormshield.

2. Prawdopodobieństwo rośnie – przestępcy inwestują z myślą o przyszłych zyskach

Hakerzy również nie próżnują. Rosnąca liczebność grup przestępczych, lepszy sprzęt, analiza podatności na błędy nowego oprogramowania czy rozwój usług towarzyszących. Żyjemy w erze Ransomware-as-a-Service i Malware-as-a-Service. Dane karty kredytowej można nabyć za 10 dolarów, identyfikatory logowania są dostępne w cenach od 100 do 1000 dolarów, a złośliwe oprogramowanie nawet za kilkadziesiąt dolarów. Wady dnia zerowego – topowy towar – można nabyć za niebagatelne kwoty od 500 tys. do 2 mln dolarów, kwoty będące pokłosiem potencjalnych do zdobycia zysków.

– Kadra menadżerska musi mieć świadomość, że cyberprzestępcy działają w podobnym trybie jak kierowane przez nich przedsiębiorstwa – inwestują z myślą o zyskach. Zyskach, które de facto zostaną sfinansowane ze środków firmy w sytuacji skutecznego naruszenia jej bezpieczeństwa – podkreśla ekspert Stormshield.

3. Sprzyjające realia ze względu na zaniedbania

Przestępcom sprzyja fakt, że wiele przedsiębiorstw i instytucji jest niedofinansowanych w obszarze IT. Objawia się to brakiem stosownej i jasno określonej polityki bezpieczeństwa, regulaminów i procedur. Z pewnością nie pomaga sytuacja, w której dział IT musi mierzyć się z niedoszacowaną liczbowo kadrą. Szukanie oszczędności – bo przecież wszystko działa – dla przedsiębiorstwa może okazać się krótkowzroczne i bardzo bolesne.

Dotyczy to zarówno systemów operacyjnych, jak i aplikacji. Podobnie z aktualizacją urządzeń typu firewall chroniących sieci, systemami antywirusowymi, poprawkami dla systemów i programów, zwłaszcza tych oznaczonych jako krytyczne. Wraz z rozpowszechnieniem pracy zdalnej i hybrydowej pojawiło się kolejne zagrożenie związane z korzystaniem przez pracowników z urządzeń mobilnych czy własnego sprzętu. Może to oznaczać brak kontroli nad urządzeniami końcowymi, które często mają bezpośredni dostęp do strategicznych zasobów firmowych.

– Coraz więcej zadań realizuje się drogą elektroniczną, a dane coraz częściej są gromadzone i przetwarzane w chmurze. W przypadku wystąpienia poważnej awarii może to znacząco utrudnić szybkie odtworzenie infrastruktury i zapewnienie ciągłości świadczenia usług – ocenia Aleksander Kostuch. – Nie każdy menadżer najwyższego szczebla jest świadomy wagi zagadnień bezpieczeństwa IT. W rozmowach na ten temat, głównymi argumentami powinny być te, że to wymierna inwestycja. Każdy kto systematyczne wdraża środki w obszarze bezpieczeństwa IT zniechęca napastników. Póki co mają oni do dyspozycji wiele celów, które nie stosują takich rozwiązań, co sprawia, że w ich przypadku szanse powodzenia ataku są dużo większe. Bilans ryzyka i potencjalnych korzyści skłania cyberprzestępców do szukania szansy w pierwszej kolejności właśnie w takich miejscach – podsumowuje ekspert Stormshield, europejskiego lidera w sektorze bezpieczeństwa IT.

Źródła:

* https://cybersecurityventures.com/stats/ 

** https://crn.pl/aktualnosci/atak-ransomware-kosztuje-polska-firme-srednio-15-mln-zl/