Pomimo panującego ostatnio trendu dotyczącego cyberataków na coraz mniejsze firmy i organizacje należące do sektora MŚP, nadal zagrożone są także duże podmioty. Ataki na nie zapewniają relatywnie wysokie zyski. Spektakularnym przykładem, jaki miał miejsce w ostatnim czasie, jest atak na sieć hoteli Starwood, należących do firmy Marriott. Przez cztery lata jego trwania przedsiębiorcy byli w stanie w sposób nieautoryzowany wykraść dane ok. 500 milionów klientów. W przypadku takiej sytuacji dla zaatakowanej firmy to nie tylko straty finansowe, ale i – być może bardziej dotkliwe – problemy wizerunkowe, spadek wartości akcji na giełdzie czy konieczność zadośćuczynienia roszczeniom wynikającym ze zbiorowego pozwu sądowego. W tym wypadku opiewał on na astronomiczną kwotę 12,5 miliarda dolarów. W przypadku małych organizacji, technologie mogą stanowić problem ze względu na koszty ich wdrażania i utrzymania. Na rynku pojawiają się oferty, dzięki którym niewielkie przedsiębiorstwa mogą uzyskiwać bezpieczeństwo na złożonym i zaawansowanym poziomie, dostępne w modelu subskrypcyjnym i serwowane bezpośrednio z chmury.
– Przykłady innych dużych firm pokazują, że nawet ugoda nie wyklucza wielomilionowych strat – powiedział serwisowi eNewsroom Radosław Wal z firmy Veronym – Innym przykładem cyberataku z tej samej branży – mniejszym jeśli chodzi o finanse, ale ciekawym z punktu widzenia zastosowanej socjotechniki – jest przejęcie kontroli w niewielkim rodzinnym hotelu. Przestępcy zaatakowali system sterowania elektronicznymi zamkami. Byli w stanie zaryglować wszystkie wejścia, przez co część gości nie mogła dostać się do swoich pokoi lub ich opuścić. Właściciele po krótkich negocjacjach zostali zmuszeni do zapłacenia okupu w wysokości kilkudziesięciu tysięcy euro celem odblokowania dostępu. Nie można stwierdzić ze stuprocentową pewnością, co zawiniło w obu tych przypadkach. Wiadomo na pewno, że w zminimalizowaniu ryzyka cyberataku pomóc może zadbanie jednocześnie o trzy obszary. Chodzi o bezpieczeństwo wynikające ze stosowanych technologii, procesów oraz ludzi. Jeśli chodzi o procesy sytuacja w Polsce nie jest najlepsza. Według statystyk jedynie 31 proc. firm ma usankcjonowaną politykę bezpieczeństwa i opracowane procedury reagowania na incydenty związane cyberatakami. Dla porównania – średnia światowa to ponad 90 proc., polskie podmioty mają więc wiele do nadrobienia. W kwestii ludzi ważne jest jak najszersze kształtowanie świadomości użytkowników w zakresie kultury bezpiecznego korzystania z Internetu. Dotyczy to podnoszenia kwalifikacji w obszarze security awareness i stałym utrzymywaniu higieny poruszania się w sieci. Póki co, nadal to człowiek wskazywany jest jako najsłabsze ogniwo całego łańcucha bezpieczeństwa – ocenił Wal.
