Utraty danych boi się co trzecia firma w Polsce

Przeczytaj także: Polskie firmy nie są liderami cyberbezpieczeństwa

Dosłownie z imienia i nazwiska

Dane osobowe to szczególny zestaw wskaźników, które pozwala jednoznacznie identyfikować konkretnego użytkownika na podstawie takich informacji jak imię i nazwisko, data urodzenia, numer PESEL czy adres zamieszkania. Gdy takie dane przejmą w wyniku ataku cyberprzestępcy, mogą wykorzystać je do zaciągania kredytów konsumenckich, zakupu produktów online czy przejmowania kont w mediach społecznościowych. W grę wchodzą także oszustwa podatkowe lub medyczne z wykorzystaniem danych osobowych innych osób. Do tych ostatnich należy przykładowo uzyskiwanie recept na leki refundowane czy podszywanie się pod pacjentów w celu wyłudzenia kosztownych procedur medycznych.

Perspektywa przedsiębiorcy

Lista zagrożeń jest długa, a przedsiębiorstwa coraz bardziej zdają sobie z niej sprawę. Raport Polskiej Izby Ubezpieczeń wskazuje, że co trzecia firma w Polsce obawia się utraty danych, a 35% traktuje cyberataki jako poważne ryzyko dla ich biznesu. Jednocześnie jednak 44% ocenia, że prawdopodobieństwo wycieku danych wrażliwych związanych z klientami jest niskie. Dodatkowo niemal połowa (47%) uważa, że zagrożenia cyfrowe nie dotyczą ich działalności.

Podobnie jak w medycynie diagnoza choroby jest punktem wyjściowym do leczenia, tak w cyberbezpieczeństwie świadomość zagrożeń jest niezbędna do skutecznego wdrożenia środków ochrony. A jest się przed czym bronić. Z raportu Veeam Data Protection Trends 2024 wynika, że trzy na cztery firmy na świecie doświadczyły co najmniej jednego cyberataku w ciągu roku poprzedzającego badanie, a 26% padło jego ofiarą przynajmniej cztery razy. Rekordziści (3%) zostali zaatakowani aż sześć razy.

Dekalog odporności danych

Aby skutecznie chronić swoje zasoby firmy muszą wdrożyć kompleksowe strategie zarządzania ryzykiem, które pozwolą im minimalizować ryzyko wystąpienia oraz skutki ataku cybernetycznego. Dobrym przewodnikiem w tym procesie jest unijna dyrektywa NIS2 i zawarte w niej dziesięć minimalnych środków bezpieczeństwa. Obejmują one elementy takie jak audyt obecnego stanu cyberbezpieczeństwa w firmie oraz stosowanie dobrych praktyk w zakresie zarządzania danymi. Chodzi m.in. o poprawne oznaczanie danych, ich odpowiednią lokalizację i bezpieczne przechowywanie, a także tworzenie i regularne aktualizowanie kopii zapasowych.

W kontekście rozwoju odporności danych i samego biznesu warto wskazać również wdrożenie w firmie zasad Zero Trust Data Resilience, które rozszerzają regułę zerowego zaufania na systemy backupu i odzyskiwania danych. Podstawowe elementy Zero Trust zakładają jak najniższy poziom uprawnień użytkowników, wieloetapowe uwierzytelnianie oraz działanie w taki sposób, jakby firma już została zaatakowana. Podejście ZTDR wprowadza do tego zestawu dodatkowe środki ochrony danych obejmujące izolację systemów zarządzania i przechowywania backupu, zapewnienie niezmienności kopii zapasowych oraz wdrożenie zasady 3-2-1-1-0.

Zgodnie z tą ostatnią przedsiębiorstwo powinno posiadać co najmniej trzy kopie danych na dwóch różnych nośnikach, z czego jedna powinna być przechowywana offline, w innej lokalizacji niż siedziba firmy. Takie podejście pozwala na maksymalne bezpieczeństwo repozytoriów backupu, uniemożliwiając ich usunięcie lub uszkodzenie, nawet jeśli cyberprzestępcy uzyskają dostęp do infrastruktury firmy. Istotne jest również regularne sprawdzanie, czy kopie zapasowe zostały wykonane bezbłędnie i testowanie w praktyce procesu odzyskiwania zasobów, aby przywrócenie danych mogło zostać przeprowadzone zgodnie z planem (co jest reprezentowane przez „0”).

Regularna edukacja 365 dni w roku

W obliczu rosnących zagrożeń przedsiębiorstwa powinny także inwestować w edukację swoich pracowników i wdrażanie najlepszych praktyk w zakresie cyberhigieny. Regularne szkolenia z zakresu rozpoznawania ataków phishingowych, wprowadzanie uwierzytelniania wieloskładnikowego, a także tzw. „ćwiczenia z odporności” pozwolą testować skuteczność istniejących zabezpieczeń i wspierać edukację pracowników w zakresie tego, jak się zachować w sytuacji potencjalnego ataku. Warto również, by użytkownicy byli świadomi narzędzi, które pozwolą im zadbać o własne dane osobowe gromadzone w sieci. Jednym z takich działań jest zastrzeżenie numeru PESEL. To prosta procedura, która w przypadku wycieku danych pomoże zapobiec fałszywym przelewom czy zaciągnięciu kredytu na nasze nazwisko. Firma jest skutecznie zabezpieczona wtedy, gdy codziennie wzmacnia ochronę danych, a jej pracownicy są świadomi zagrożeń cyfrowych i wiedzą, jak na nie reagować tak w sytuacjach zawodowych, jak prywatnych.

Tomasz Krajewski, dyrektor techniczny sprzedaży na Europę Wschodnią w firmie