Jak chronić małą firmę bez zespołu IT?

W Polsce zarejestrowanych jest  ponad 3,5 mln jednoosobowych działalności gospodarczych[1]. Polacy i Polki decydują się na tę formę pracy, ponieważ cenią sobie wolność, którą zapewnia – 56% wskazuje, że jej największą zaletą jest elastyczny czas pracy[2]. Drugą stroną medalu jest jednak znacznie większa odpowiedzialność m.in. za bezpieczeństwo danych, zarówno swoich jak i klientów. Eksperci firmy ESET radzą jak małe firmy mogą zadbać o cyberbezpieczeństwo.

Duża odpowiedzialność za bardzo ważne dane to temat, o którym rzadko się wspomina w kontekście wad i zalet prowadzenia jednoosobowych działalności gospodarczych. Tymczasem cyberprzestępcy doskonale zdają sobie sprawę z tego, że im mniejsza firma, tym większa szansa na luki w zabezpieczeniach. Poza tym więcej pieniędzy można wyłudzić czy ukraść od firm – nawet małych – niż od osób fizycznych. Cyberprzestępcy są w dużej mierze oportunistami. Oznacza to, że szukają łatwych zdobyczy — kont internetowych, które nie są odpowiednio chronione, urządzeń, na których nie zainstalowano oprogramowania zabezpieczającego lub komputerów, na których nie działa zaktualizowany system operacyjny, przeglądarka czy inny rodzaj oprogramowania.

Niewiele jest danych na temat liczby cyberataków wymierzonych w osoby prowadzące jednoosobową działalność gospodarczą. Pewne jest jednak, że przy mniejszych zasobach i niewielkim lub zerowym wewnętrznym wsparciu IT są one bardziej narażone na cyberzagrożenia. Oto list potencjalnych ataków, które mogą okazać się bardzo dotkliwe dla najmniejszych firm:

• Atak ransomware, który blokuje dostęp do plików, w tym do zsynchronizowanej pamięci masowej w chmurze.
• Atak (często towarzyszy mu ransomware), w którym cyberprzestępcy kradną i grożą wyciekiem najbardziej poufnych plików lub sprzedają je w darknecie. Zagrożone mogą być nawet objęte szczególną ochroną dane osobowe.
• Ataki polegające na przejęciu konta poprzez kradzież hasła lub techniki „brute force”. Przejęte konto firmowe może zostać wykorzystane w dalszych atakach phishingowych na klientów (business email compromise) lub do włamania do służbowych skrzynek mailowych kontrahentów.
• Przejęcie danych logowania do firmowego konta bankowego za pomocą złośliwego oprogramowania. Celem jest oczywiście kradzież zgromadzonych tam środków.

Według danych rządu Wielkiej Brytanii średni koszt ataków cyberprzestępczych na najmniejsze firmy w ciągu ostatnich 12 miesięcy został obliczony na ponad 3000 funtów[3]. To znaczny wydatek dla firm tej wielkości. Dlatego właśnie czas poświęcony przez osoby prowadzące jednoosobową działalność gospodarczą na opanowanie podstaw cyberbezpieczeństwa powinien być traktowany jako inwestycja, a nie koszt.. Oto podstawowe zasady, których należy przestrzegać:

Tworzenie kopii zapasowych najważniejszych danych. Przechowywanie w chmurze (np. OneDrive czy Dysk Google) to wygodne rozwiązanie, ponieważ kopie zapasowe są tworzone automatycznie i nie ma potrzeby początkowej inwestycji w sprzęt. Większość głównych dostawców oferuje możliwość przywracania z poprzednich wersji, nawet jeśli ransomware obejmie dane w chmurze. Jednak dla dodatkowego spokoju warto również wykonać kopię zapasową na zewnętrznym twardym dysku i upewnić się, że pozostanie on odłączony od komputera do czasu, gdy będzie potrzebny.

Instalowanie programów chroniących przed złośliwym oprogramowaniem: należy wybrać produkt od renomowanego dostawcy i upewnić się, że obejmuje nie tylko komputery, ale również wszystkie inne urządzenia. Warto sprawdzić czy automatyczne aktualizacje są włączone, aby zawsze działała najnowsza wersja.

Aktualizowanie wszystkich komputerów i urządzeń: aby mieć pewność, że wszystkie systemy operacyjne i inne oprogramowanie mają najnowszą wersję, należy włączyć automatyczne aktualizacje.

Dbanie o bezpieczeństwo kont: należy używać tylko silnych, unikalnych haseł przechowywanych w menedżerze haseł i gdy tylko jest to możliwe, włączać uwierzytelnianie wieloskładnikowe. Zmniejszy to ryzyko phishingu i wykradania haseł.

Ochrona urządzeń mobilnych: Nigdy nie należy pobierać aplikacji z nieoficjalnych sklepów. Urządzenia powinny być chronione silnymi hasłami oraz metodami uwierzytelniania biometrycznego. Powinny również być wyposażone w możliwość zdalnego śledzenia i wyczyszczenia danych w przypadku utraty lub kradzieży urządzenia.

Plan na wypadek, gdyby coś poszło nie tak: taki plan nie musi być wyczerpujący. Po prostu warto zawczasu dowiedzieć się, z jakich usług IT korzysta firma, a następnie przygotować listę kontaktów pomocnych w przypadku ataku. Przyspieszy to czas reakcji. Warto mieć również papierową wersję planu na wypadek, gdyby systemy zostały zmuszone do wyłączenia.

– Codziennie średnio 30 000 stron internetowych pada ofiarami ataków, a to oznacza, że co 3 sekundy ma miejsce takie włamanie. Tylko w 2021 roku doszło do wycieków 22 miliardów rekordów danych, a 95% z wycieków było spowodowanych błędem ludzkim lub niedoszacowaniem własnych potrzeb w zakresie cyberbezpieczeństwa[4]. Przy tak dużej skali ataków nie warto ryzykować. Aby zachować bezpieczeństwo swojej działalności, nie jest konieczny sztab specjalistów i specjalistek IT. Wystarczy trzymać się określonych zasad i być na bieżąco z nowymi zagrożeniami cyberbezpieczeństwa – radzi Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET

[1] https://stat.gov.pl/obszary-tematyczne/podmioty-gospodarcze-wyniki-finansowe/zmiany-strukturalne-grup-podmiotow/informacja-o-podmiotach-gospodarki-narodowej-wpisanych-do-rejestru-regon-grudzien-2022,8,34.html

[2] https://www.livecareer.pl/porady-zawodowe/umowa-o-prace-vs-b2b-badanie

[3] https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022/cyber-security-breaches-survey-2022

[4] https://www.welivesecurity.com/2023/04/14/safety-first-5-cybersecurity-tips-bloggers/