Jak wypełnić lukę bezpieczeństwa w małych i średnich przedsiębiorstwach

#KingstonCognate przedstawia prof. Sally Eaves

Prof. Sally Eaves jest przewodniczącą organizacji Cyber Trust i starszym doradcą ds. polityki w fundacji Global Foundation of Cyber Studies and Research. Uznawana za „orędowniczkę etycznego wykorzystania technologii” jest pierwszą laureatką nagrody Frontier Technology and Social Impact Award, przyznawanej przez Organizację Narodów Zjednoczonych. Pełniąca w przeszłości funkcję dyrektora ds. technologii, a obecnie profesora akademickiego w dziedzinie zaawansowanych technologii oraz doradcy ds. globalnej strategii zastosowania nowych technologii, Sally Eaves jest nagradzaną międzynarodową autorką, organizatorką, mówczynią i liderką opinii w dziedzinie transformacji cyfrowej (AI, 5G, usługi w chmurze, blockchain, cyberbezpieczeństwo, zarządzanie, IoT, danologia) w kontekście kultury, umiejętności, różnorodności, równości i integracji oraz zrównoważonego rozwoju i wpływu na społeczeństwo.

Sally aktywnie kształci i wspiera jako mentor nowe pokolenie talentów w dziedzinie technologii – założyła fundację Aspirational Futures, działającą na rzecz wzmocnienia integracji, różnorodności i równości w obszarze edukacji i technologii. Wkrótce ukaże się także jej najnowsza książka pt. „Tech For Good”. Sally jest konsekwentnie doceniana za globalne dokonania w przestrzeni technologicznej przez wiodące organizacje, takie jak Onalytica, i wymieniana w pierwszej dziesiątce najbardziej wpływowych osób na świecie w wielu dziedzinach – poczynając od sztucznej inteligencji, poprzez technologię 5G, a kończąc na zrównoważonym rozwoju.

Zmieniający się krajobraz zagrożeń dla MŚP

Nowe badania ukazują prawdziwe rozmiary zagrożenia dla MŚP w porównaniu z większymi przedsiębiorstwami. Bolesnym faktem jest to, że 65% cyberataków na MŚP w latach 2019-20, w porównaniu z 46% ataków na wszystkie firmy (Towergate), było atakami wielokrotnymi! Małe i średnie przedsiębiorstwa, które padły ofiarą naruszenia danych, były w tym okresie atakowane średnio 6-krotnie, tj. co dwa miesiące! (NatWest).

Jakie są więc najważniejsze taktyki stanowiące zagrożenie dla MŚP?

Na czoło wybijają się dwa główne wektory zagrożeń zewnętrznych – phishing i socjotechnika w kontekście ekosystemu łańcucha dostaw. W połączeniu z wektorami zagrożeń wewnętrznych, w tym brakiem oceny ryzyka, słabą kontrolą dostępu, ochroną danych, urządzeń i haseł, niskim poziomem inwestycji oraz niewystarczającym szkoleniem i świadomością, kulturą i umiejętnościami w dziedzinie higieny cybernetycznej, pozostawia to potencjalnie rozległą powierzchnię dla ataku.

Phishing i socjotechnika
85% cyberataków jest następstwem prób phishingu, które mają na celu nakłonienie użytkowników do „niewłaściwego postępowania” (np. pobrania złośliwego oprogramowania) – najczęściej za pomocą wiadomości e-mail. Mają one coraz bardziej wyrafinowany charakter. Rzeczywiście – najnowsze testy wykazały, że sztuczna inteligencja pozwala pisać lepsze wiadomości phishingowe! Socjotechnika, często powiązana z phishingiem, to proces manipulowania ludźmi poprzez podszywanie się, perswazję, a nawet zastraszanie w celu podjęcia określonego działania lub ujawnienia poufnych informacji. Przykładem może być pandemia, podczas której cyberprzestępcy „żywią się” naszą zbiorową podatnością i próbują włamywać się na konta, używając phishingowych wiadomości e-mail, SMS lub WhatsApp z tematem „Covid-19”, a nawet dołączając załącznik pochodzący rzekomo od Światowej Organizacji Zdrowia (WHO). Biorąc to wszystko pod uwagę, poziom transformacji tego typu cyberzagrożeń jest imponujący – wystarczy porównać je z pierwszym zarejestrowanym cyberatakiem o nazwie „Morris Worm” w 1988 r. Dotknął on 6000 komputerów, które stanowiły wtedy około 10% całego Internetu. Jakże zmieniły się czasy!

Łańcuch dostaw
Stając się ulubionym wektorem ataków cyberprzestępców, większość naruszeń ma swoje źródło w oprogramowaniu, a nie w sprzęcie – np. w złośliwym oprogramowaniu infiltrującym regularne aktualizacje oprogramowania. Ataki mają na celu uderzenie w MŚP za pośrednictwem ich własnych łańcuchów dostaw lub, częściej, narażenie MŚP na szwank, aby następnie wziąć na cel większe organizacje. Innym zagrożonym obszarem w łańcuchu dostaw są biblioteki oprogramowania typu open source. Natomiast jeśli chodzi o przyszłość, to fakt, że do 2025 r. Internet rzeczy powiększy się ponad dwukrotnie do 75 miliardów urządzeń, sam w sobie stwarza nowe zagrożenia cybernetyczne. Do sieci można podłączać tanie urządzenia, z których wiele jest podatnych na atak. Jeśli spojrzymy na to z perspektywy zaawansowanej konwergencji IT/OT i ekosystemu łańcucha dostaw, głównym problemem jest rozszerzanie się obszaru zagrożeń.

Bariery dla zagrożeń cybernetycznych w sektorze MŚP

Rodzi to zasadnicze pytanie, co powoduje, że MŚP nie stosują najnowszych zabezpieczeń, aby bardziej aktywnie chronić się przed zagrożeniami cybernetycznymi? Po pierwsze istnieje wyraźna rozbieżność między świadomością a skłonnością do modernizacji, czego dowodzi najnowsze badanie, które wykazało, że podczas gdy 93% małych i średnich przedsiębiorstw uważa, że cyberbezpieczeństwo ma kluczowe znaczenie dla ciągłości ich działalności, tylko 64% z nich faktycznie korzystało z rozwiązań, które je zapewniają. Ponadto europejskie badanie wykazało inny problem: wiele małych i średnich przedsiębiorstw uważa błędnie, że mechanizmy kontroli cyberbezpieczeństwa są zawarte w zakupionych przez nie produktach informatycznych i nie są potrzebne dodatkowe środki bezpieczeństwa – o ile nie wymuszają ich wymogi lub przepisy dotyczące zapewnienia zgodności (enisa 2021).

Kolejnym wyzwaniem są możliwości inwestycyjne. Według portalu Statista (2020) wartość inwestycji w cyberbezpieczeństwo wynosiła średnio 5100 funtów, co może skłaniać MŚP do przekonania, że są one na właściwym poziomie. Jednak wartość ta jest zniekształcona przez samą wielkość aktywów mikro- i małych firm, która wynosi średnio 3490 funtów. W przypadku większych organizacji, które są zapewne lepiej przygotowane – lub przynajmniej dysponują większymi zasobami – średnia inwestycja miała wartość 277 000 funtów, co wskazuje na ogromną lukę, którą chętnie wykorzystują cyberprzestępcy!

Innymi czynnikami są: słabo rozwinięta „cyberkultura”, przekonanie o nadmiernej złożoności, obawy i często błędne wyobrażenia dotyczące bezpieczeństwa rozwiązań w chmurze, a także ogólny brak świadomości dostępności technologii i wsparcia, które w rzeczywistości są w zasięgu MŚP. Prawdopodobnie najbardziej niepokojące jest to, że 54% uczestników ostatniego badania stwierdziło, że ich firmy nie szkolą personelu w zakresie bezpieczeństwa danych i zagrożeń dla cyberbezpieczeństwa (Vodafone Business 2021).