Kwestia bezpieczeństwa IT firmy to coraz częściej powracający temat. Sytuacje takie jak ta, która przydarzyła się liniom lotniczym Ryanair (cyberprzestępcy przejęli ich przelew o wartości pięciu milionów dolarów) pokazują, że każde drobne uchybienie w tym względzie może sporo kosztować. Annual Security Report CISCO 2015 dostarcza w powyższej materii wielu nowych informacji i cennych wskazówek. Zainteresują one nie tylko pracowników działu IT, ale również managerów czy właścicieli firm. Innymi słowy: wszystkich, dla których finanse i wizerunek firmy to kwestie priorytetowe.
Jak dowiadujemy się z raportu, około 3/4 dyrektorów ds. bezpieczeństwa IT uważa, że narzędzia, którymi zapewnia bezpieczeństwo IT w swojej organizacji są „wysoce skuteczne”. Zaledwie 1/4 uważa je za efektywne „jedynie w pewnym zakresie”. Czy istnieją realne podstawy dla takiego zadowolenia? Więcej, czy doskonale przygotowane oprogramowanie to pewny sposób na pełną ochronę zasobów firmy? Spam atakujący skrzynki pocztowe w ciągu zaledwie jedenastu miesięcy (pomiędzy styczniem a listopadem 2014 r.) wzrósł o 250%. Większość wiadomości to nieszkodliwe, a jedynie – irytujące, reklamy, ale nie brakuje i takich, które nakłaniają odbiorcę np. do pobrania zainfekowanego załącznika. Warto zauważyć, że nie każda niechciana wiadomość od razu trafia do folderu „SPAM”. Nieuczciwi nadawcy coraz częściej dzielą swoje przesyłki na mniejsze porcje i wysyłają je korzystając z dużej bazy adresów IP. W ten sposób udaje im się uniknąć wykrycia przez programy antyspamowe. Kiedy już podejrzany e-mail znajdzie się wśród zwyczajnej, służbowej korespondencji, najważniejsze jest rozsądne i ostrożne zachowanie odbiorcy. Pozostaje więc pytanie – jak sami „szeregowi pracownicy” postrzegają kwestie bezpieczeństwa?
Z raportu dowiadujemy się, że jedynie 26 proc. badanych zna i respektuje zasady polityki bezpieczeństwa swojej organizacji, kolejne 38 proc. słyszało coś o jej istnieniu, ale nie miało okazji zapoznać się z nią bardziej szczegółowo. Szczególną uwagę powinna zwrócić 32 proc. grupa badanych, która uważa, że polityka bezpieczeństwa przyjęta w organizacji ogranicza lub spowalnia ich w wykonywaniu codziennych obowiązków. Co to oznacza? Że omijają jej zasady, kiedy tylko w ich odczuciu jest to uzasadnione. Liczba ta nie uwzględnia oczywiście osób, które w swoim mniemaniu przestrzegają zasad i skrupulatnie wykonują polecenia specjalistów IT, na przykład te dotyczące regularnej zmiany haseł. Żeby jednak uporać się ze wszystkimi nieprzyjemnymi obowiązkami, ułatwiają sobie życie. Na przykład, poproszeni o comiesięczną zmianę hasła, będą wykonywać to polecenie w najprostszy sposób – chociażby według wzoru nazwafirmykwiecien2015, nazwafirmymaj2015…
Co robi użytkownik systemu, kiedy już uda mu się ominąć niewygodne ograniczenia, narzucone przez zwierzchników? Aż 83 proc. przebadanych pracowników przyznaje się do korzystania z firmowej sieci w celach prywatnych, w tym 43 proc. deklaruje korzystanie z prywatnej poczty oraz portali społecznościowych. Zakładając nawet, że oprogramowanie antywirusowe w naszej firmie jest najwyższej jakości, użytkownicy systemu jeszcze przed dopiciem pierwszej porannej kawy zdążyli dobrowolnie (choć nieświadomie) zwiększyć ryzyko ataku na zasoby firmy. W międzyczasie mogą jeszcze zainstalować przydatne rozszerzenie do przeglądarki – w założeniu, że dostarczają je przecież znane i zaufane firmy. Niestety, zainfekowane rozszerzenia do przeglądarek to jeden z popularniejszych sposobów działania cyberprzestępców.
Autorzy raportu wielokrotnie podkreślają, że bezpieczeństwo IT powinno być postrzegane przede wszystkim jako zagadnienie związane z działalnością człowieka. Podejście technocentryczne okazuje się niewystarczające. Technologia powinna być jedynie narzędziem w rękach ludzi, którzy wiedzą w jaki sposób i w jakim celu można z niej korzystać. Gdzie mogą się tego nauczyć? W Polsce powoli rośnie rynek szkoleń z zakresu bezpieczeństwa IT (spotkać można się też z terminem „security awareness”), stworzonych z myślą właśnie o szeregowych użytkownikach systemu. Tego typu usługę oferuje między innymi Niebezpiecznik (szkolenie stacjonarne Bezpieczny Pracownik IT), można też zakupić dostęp do platform e-learningowych przygotowanych przez LogicalTrust (SecurityInside.pl) czy Clico.pl (Security Awareness). Jak wybrać dobre szkolenie? Warto poprosić dostawcę usługi o zaprezentowanie lekcji próbnej i samemu ocenić, czy zaprezentowane informacje przedstawione są w sposób atrakcyjny i zrozumiały, nawet dla laika. Jeśli decydujemy się na naukę on-line, warto dopytać również o możliwość monitorowania postępów uczniów.
Nie mniej ważną kwestią od samej edukacji jest systematyczny dialog pomiędzy użytkownikami systemu informatycznego a działem IT. Potrzebę tę zilustrowano w raporcie przykładem zablokowania podejrzanej strony. W większości przypadków pracownik działu IT zadowala się wstawieniem na witrynę komunikatu „brak dostępu”. Pracownicy nie poznają prawdziwej przyczyny tej decyzji (Czy to mój błąd? A może jakaś kara?) i prawdopodobnie stracą czas, starając się obejść zaporę. Po nieudanych próbach upewnią się jedynie w przekonaniu, że głównym obowiązkiem działu IT jest (niewątpliwie motywowane czystą złośliwością) utrudnianie życia uczciwie pracującym ludziom. Dużo lepszym wyjściem byłby komunikat: „Strona w ciągu ostatnich 48 godzin udostępniała złośliwe oprogramowanie. Ze względów bezpieczeństwa dostęp tymczasowo zablokowany.” Koszty zmiany komunikatu na bardziej czytelny – zerowe, budowanie świadomości zespołu – gratis. Im więcej użytkownik dowie się o działaniu systemu, tym łatwiej będzie mu odróżnić sytuację normalną od podejrzanej. Dzięki nawiązanemu wcześniej dialogowi nie będzie obawiał się zgłosić swoich wątpliwości czy przyznać do błędu, a to z kolei może mieć kluczowe znaczenie gdy incydent bezpieczeństwa już zaistnieje, a walka toczyć się będzie o zminimalizowanie jego szkód.
Jak podsumowują twórcy raportu – pytanie nie dotyczy już dłużej tego, czy zasoby Twojej firmy są zagrożone. To, że są (lub: że wkrótce będą), to pewne. Prawdziwe pytanie, które powinniśmy sobie teraz wszyscy postawić, brzmi: jak w sytuacji zagrożenia systemu powinni zachować się jego użytkownicy? I zadbać o to, żeby oni również jak najszybciej poznali prawidłową odpowiedź.
Autor. Małgorzata Wasiak, ekspert ds. bezpieczeństwa IT w LogicalTrust
