Przez lata, pracując jako informatyk, widziałem sporo. Wiele firm, szczególnie tych małych i średnich, żyje w błogiej nieświadomości. Często słyszałem “Nas to nie dotyczy, bo my jesteśmy za mali, żeby ktoś się nami interesował.” To jest mit, i to niebezpieczny. Cyberprzestępcy doskonale wiedzą, że właśnie małe i średnie firmy są dla nich najłatwiejszym i najbardziej dochodowym celem.
Przejdźmy przez 3 powody, dla których Wasze firmy to dla nich łakomy kąsek.
Powód 1: Niska świadomość i brak odpowiednich zabezpieczeń
To wydaje się najczęstszym problemem. Właściciele małych firm często traktują IT jako koszt, a nie inwestycję. W efekcie, budżet na cyberbezpieczeństwo jest symboliczny, albo w ogóle go nie ma a to przecież otwiera drzwi dla przestępców.
Co pokazuje praktyka?
- Brak podstawowych szkoleń dla pracowników. W jednej z firm, z którą współpracowałem, zrobiliśmy test. Wysłałem do pracowników maila z prostym phishingiem. Udawał on wiadomość od HR z informacją o premiach, który prosił o kliknięcie w link, żeby podejrzeć dokument. Wynik? 23% osób kliknęło! Co gorsza, wielu z nich wpisało swoje dane logowania na fałszywej stronie. Przeszkolenie pracowników to jest podstawa. Prosta i jednocześnie skuteczna.
- Nieaktualizowane systemy i oprogramowanie. Przeglądając zasoby Shodan widać całą masę starych, niewspieranych już systemów Windows 7, Windows Server 2012. Samo posiadanie starego systemu już jest ryzykowne, a pamiętajmy, że Shodan pokazuje systemy, które są widoczne z zewnątrz sieci. A dodatkowo oprogramowanie użytkowe na komputerach pracowników, np. luka w niezaktualizowanym systemie albo programie (np. MS Outlook) to często punkt wejścia do firmy.
- Brak firewalla i antywirusa / EDR na firmowych urządzeniach. Tak, to nadal się zdarza. Sieć firmowa z wieloma urządzeniami podłączonymi do internetu bez firewalla to kolejne ryzyko. Bez solidnej ochrony, jeden złośliwy plik może sparaliżować całą firmę.
Powód 2: Brak specjalistów i dedykowanych działów IT
Duże korporacje dysponują dużymi zespołami ludzi, którzy zajmują się tylko i wyłącznie bezpieczeństwem. W mniejszych firmach często jest jedna osoba, która zajmuje się wszystkim – od wymiany tonera w drukarce, po naprawę problemów sieciowych. Oczywiście, taki człowiek ma wiedzę, ale nie ma szans być ekspertem od wszystkiego. A już na pewno nie ma czasu na ciągłe śledzenie nowych zagrożeń i zaopiekowanie się każdym obszarem IT.
Konsekwencje tego braku to:
- Brak reakcji na incydenty. Gdy coś się dzieje, panuje chaos. Nikt nie wie, co zrobić. Brakuje procedur, brakuje planu działania na wypadek ataku, a w panice popełniane są kolejne, krytyczne błędy.
- Brak kopii zapasowych lub ich niewłaściwe przechowywanie. To jest temat rzeka. Wielokrotnie widziałem, jak backupy były robione raz na miesiąc, albo, co gorsza, na dysku podłączonym do tej samej maszyny, która zawiera główne dane. Taki backup jest bezużyteczny, gdy uderza ransomware. Dlatego tak bardzo podkreślam, że backup musi być offline albo w chmurze, i to regularny.
- Brak polityki bezpieczeństwa. W dużych firmach są jasne zasady, np. jak zmieniać hasła, jak korzystać z poczty służbowej albo czego nie robić na firmowym sprzęcie. W małych? Często nie ma żadnych reguł. Dodatkowo hasła, „styczen2025” albo „firma123” to wciąż bardzo popularny wybór.
Powód 3: Wartość danych i łatwy dostęp
Ostatni, ale równie ważny powód. Cyberprzestępcy nie są głupi. Wiedzą, że małe firmy przechowują cenne dane – dane klientów, plany biznesowe, faktury. Sprzedają je potem na czarnym rynku albo żądają okupu (ransomware).
- Dane klientów to waluta. W wyciekach z firm, których bazy danych udało się wykraść, często znajdują się dane osobowe tysięcy klientów. Imię, nazwisko, adres, numer telefonu. Te informacje na czarnym rynku są warte złota.
- Łatwość w dostaniu się do kluczowych systemów. W małych firmach często nie ma podziału na strefy w sieci. Komputer na recepcji ma dostęp do serwera z danymi księgowymi. Włamując się do jednego, atakujący dostaje się do wszystkiego. W dużych firmach, jest to mocno ograniczone. Atakujący musiałby pokonać kilka warstw zabezpieczeń, co znacznie utrudnia mu życie.
Nie ma co ukrywać, bezpieczeństwo IT to trudny temat. I pomimo, że masz dużo na głowie nie możesz ignorować tego zagrożenia. To nie jest pytanie „czy”, ale „kiedy” Was to dopadnie. Dlatego, jeśli masz małą czy średnią firmę, zacznij od małych, ale skutecznych kroków. Zainwestuj w porządny antywirus / EDR i firewall. Przeszkol swoich ludzi. Ustal procedury dotyczące haseł. Jeśli nie wiesz, jak to zrobić, zatrudnij eksperta.
Taka inwestycja jest zdecydowanie dużo lepsza niż zapłata okupu czy utrata reputacji w wyniku wycieku danych.
Specjalnie dla Ciebie przygotowałem poradnik zawierających 11 prostych kroków, które po implementacji zwiększą bezpieczeństwo Twojej firmy. Zachęcam, abyś się z nim zapoznał.
