Zaniedbania w zakresie cyberbezpieczeństwa

„Cyberbezpieczeństwo w liczbach” to raport o bezpieczeństwie informatycznym, który powstał we współpracy z brand eins i Statista. Andreas Lüning, Dyrektor Zarządzający G DATA w wywiadzie mówi, które statystyki zrobiły na nim największe wrażenie.

 Andreas Lüning ocenia projekt z punktu widzenia eksperta cyberbezpieczeństwa – przekazuje, w jaki sposób informacje mają zachęcić osoby odpowiedzialne do zajęcia się tematem cyberbezpieczeństwa oraz które statystyki i wnioski są najbardziej znaczące.

Andreas, dlaczego odwaga odgrywa tak ważną rolę w cyberbezpieczeństwie?

Przedsiębiorczość wymaga odwagi. Odwagi do rozważenia i podjęcia ryzyka. Odwagi do wzięcia odpowiedzialności i podejmowania trudnych decyzji. I odwagi, by odkrywać samego siebie na nowo jako przedsiębiorcę. To samo dotyczy cyberbezpieczeństwa. Niestety, ten temat jest bagatelizowany przez wiele firm. Jednak rosnąca liczba udanych cyberataków pokazuje, że pilnie potrzebna jest zmiana myślenia. Dlatego zebraliśmy dla naszych czytelników najważniejsze informacje dotyczące cyberbezpieczeństwa. Wynikają z nich konkretne zalecenia dotyczące koniecznych do podjęcia działań. Cyberbezpieczeństwo to coś więcej niż tylko technologia – to kultura jawności i przyznawania się do błędów oraz wzrost świadomości bezpieczeństwa. Technologia niewątpliwie odgrywa istotną rolę w promowaniu bezpieczeństwa cybernetycznego i w odporności na cyberataki, ale solidna kultura korporacyjna w połączeniu z otwartością jest również niezbędna do skutecznej ochrony zasobów cybernetycznych.

Jakie statystyki i związane z nimi spostrzeżenia najbardziej utkwiły Ci w pamięci?

Fakt, że 52,8% cyberataków nie zostało zgłoszonych organom ścigania, ponieważ ofiary uznały, że nie ma perspektyw wykrycia sprawców, jest niezwykle niepokojący. Chciałbym w tym miejscu podkreślić, co jest szczególnie ważne, że organy ścigania mogą z powodzeniem prowadzić śledztwa w sprawie cyberprzestępczości. Tym bardziej, że cyberprzestępcy – jak wielu podejrzewa – działają nie tylko w dalekiej zagranicy, ale także w sąsiadujących z nami krajach europejskich, a nawet w naszym kraju. W tym kontekście polityka otwartego mówienia o błędach popełnionych w firmie ma również kluczowe znaczenie dla wzmocnienia świadomości bezpieczeństwa i podejmowania wspólnych działań przeciwko cyberprzestępczości. Chodzi również o to, aby firmy przeprowadzały oceny i próby penetracyjne w celu identyfikacji luk i słabych punktów, aby zaradzić im w ukierunkowany sposób, zamiast bagatelizować je lub nie przyjmować odpowiedzialności. Firmy powinny mieć odwagę przejrzeć swoje praktyki w zakresie cyberbezpieczeństwa i być otwarte na ulepszenia, aby poprawić swoją odporność na cyberataki.

Szkody wyrządzone firmom przez oprogramowanie szantażujące („ransomware”) wynoszą 24,3 mld euro rocznie. Czy możesz skomentować, w jaki sposób cyberprzestępcy osiągają tak wysokie zyski?

Cóż, nie wiem, czy faktycznie „osiągają” takie zyski. Przecież hakerzy nie przedstawiają rachunku zysków i strat. Ale wydaje się całkiem oczywiste, że jest to bardzo lukratywny „biznes”. Dlaczego? Dobrze wykonany cyberatak długo pozostaje niezauważony i umożliwia hakerom obserwowanie szpiegowanej sieci, profilowanie branży, sprawdzanie liczby pracowników i obrotów, a być może nawet przepływów finansowych, aby następnie wyznaczyć odpowiedni okup. Instalacja właściwego oprogramowania ransomware oraz uzyskanie odpowiednio umiejscowionego, równoległego szyfrowania wykonywanego przez zaatakowane systemy zwykle trwa miesiące. Dopiero wtedy pojawia się właściwe żądanie okupu. – Nawiasem mówiąc, taki szantaż nie jest jedynym sposobem zarabiania pieniędzy na cyberataku. Również zbieranie i gromadzenie danych uwierzytelniających, osobowych, bankowych, baz danych klientów, prac badawczo-rozwojowych oraz „przekierowanie” transakcji finansowych stanowi dobre źródło dochodu cyberprzestępców. Jeśli ofiara raz zgodzi się na zapłacenie okupu, to szybko pojawiają się kolejne żądania zapłaty za nieujawnianie wyszpiegowanych danych (w tym również dotyczących osób prywatnych).

Ostatnie pytanie: Co sprawia, że raport jest dla Ciebie tak wyjątkowy?

Dla mnie jest on wyjątkowy, ponieważ wnosi cenny wkład w podnoszenie świadomości o cyberzagrożeniach. Oczywiście nie można oczekiwać, że po przeczytaniu raportu od razu pojawi się rozwiązanie na wszystkie problemy cyberbezpieczeństwa, ale w sposób istotny pomoże to we właściwym podejściu do spraw z tym związanych. Chcemy zachęcić czytelników do zainteresowania się tą tak różnorodną tematyką i w tym celu przeprowadzamy ankiety, udostępniamy statystyki i przedstawiamy artykuły dotyczące najważniejszych wyzwań związanych z cyberbezpieczeństwem. I co jest dla mnie szczególnie ważne – celowo w naszym magazynie nie podajemy konkretnych przykładów i nie wskazujemy winnych – nie chcemy u nikogo wywoływać poczucia strachu, winy ani poczucia niższości, bo to jest droga donikąd. Natomiast chcemy zachęcić czytelników do przyjrzenia się sobie i własnej firmie, a osobom podejmującym decyzje dać podstawę do wytyczenia drogi w kierunku poprawy poziomu cyberbezpieczeństwa.

Andreas Lüning - Założyciel i Dyrektor Zarządzający G DATA CyberDefense