Wiele firm myśli o cyberbezpieczeństwie głównie w kontekście technicznym. Serwery, backupy, antywirusy, firewalle. Dopóki wszystko działa, temat znika z agendy zarządu. Problem zaczyna się dopiero wtedy, gdy incydent przestaje być sprawą działu IT i trafia na biurka klientów, partnerów biznesowych albo… dziennikarzy.
Wtedy okazuje się, że problem nie polega już na tym, że ktoś wykradł dane czy uzyskał dostęp do systemu. Problem polega na tym, że firma traci wiarygodność.
I w praktyce właśnie tak wygląda droga od małego incydentu do kryzysu wizerunkowego.
Najczęściej zaczyna się bardzo zwyczajnie.
Mail wysłany nie do tej osoby.
Dokument z listą klientów, który trafia poza firmę.
Pracownik, który podaje informacje przez telefon komuś podszywającemu się pod dostawcę IT.
Technicznie to drobiazgi.
Wizerunkowo potrafią zniszczyć lata pracy.
Jak w firmach dochodzi do wycieku danych
Z zewnątrz wygląda to często jak poważny cyberatak. W praktyce w większości przypadków początek jest banalny.
Pracownik dostaje maila z prośbą o przesłanie dokumentu. Nadawcą jest ktoś, kto wygląda jak partner biznesowy albo kolega z innego działu. Adres mailowy różni się jednym znakiem. W pośpiechu nikt tego nie sprawdza.
Plik wychodzi poza organizację.
Czasami problem zaczyna się od telefonu. Ktoś dzwoni do recepcji albo działu księgowości i podaje się za administratora IT. Tłumaczy, że jest problem z systemem albo potrzebna jest szybka weryfikacja dostępu. Kilka pytań później ma już informacje, których normalnie nikt by mu nie podał.
Takie scenariusze są standardem w testach socjotechnicznych wykonywanych w firmach. Podczas takich symulacji sprawdza się, jak pracownicy reagują na próby manipulacji, podszywania się pod inne osoby albo wyłudzania informacji przez telefon czy mail.
Często okazuje się, że zabezpieczenia techniczne są całkiem przyzwoite, ale człowiek pozostaje najsłabszym ogniwem.
Nie dlatego, że ktoś chce złamać procedury. Po prostu większość firm nigdy nie sprawdziła, jak ich pracownicy zachowują się w takiej sytuacji.
Jeden plik potrafi uruchomić lawinę
W wielu organizacjach wrażliwe dane krążą między działami zupełnie swobodnie. Pliki z listą klientów są wysyłane mailem. Raporty sprzedaży lądują w załącznikach. Dokumenty z danymi osobowymi są kopiowane na pendrive albo przesyłane przez komunikatory.
Z punktu widzenia pracy operacyjnej to wygodne.
Z punktu widzenia bezpieczeństwa to ogromne ryzyko.
Właśnie dlatego coraz częściej wdraża się systemy DLP, czyli rozwiązania kontrolujące przepływ danych w organizacji.
Ich zadaniem jest wykrywanie sytuacji, w których poufne informacje próbują opuścić firmową infrastrukturę. System może zablokować wysyłkę pliku, oznaczyć go jako poufny albo powiadomić administratora.
Dla wielu firm to pierwszy moment, w którym zaczynają rozumieć skalę problemu. Okazuje się, że dokumenty z wrażliwymi informacjami są przesyłane setki razy dziennie. Czasami zupełnie nieświadomie.
Dopóki wszystko zostaje wewnątrz organizacji, nikt tego nie zauważa. Problem pojawia się w momencie, gdy taki plik trafi poza firmę.
Kryzys zaczyna się wtedy, gdy dowiadują się o nim inni
Sam incydent to jedno. Prawdziwy problem zaczyna się wtedy, gdy sprawa wychodzi na zewnątrz.
Klient dowiaduje się, że jego dane krążą po internecie.
Partner biznesowy odkrywa, że ktoś podszył się pod jego firmę.
Media dostają informację o wycieku danych.
W tym momencie sytuacja przestaje być techniczna.
Zarząd zaczyna odpowiadać na pytania klientów.
Dział prawny analizuje obowiązki wynikające z przepisów.
Marketing próbuje opanować narrację.
Najgorsze jest to, że bardzo często firma nie ma odpowiedzi na podstawowe pytania.
Co dokładnie wyciekło.
Kiedy to się stało.
Kto miał dostęp do tych danych.
Jeżeli organizacja nie monitoruje przepływu informacji i nie ma kontroli nad danymi, ustalenie takich rzeczy bywa bardzo trudne.
A brak odpowiedzi w sytuacji kryzysowej zawsze wygląda źle.
Dlaczego małe i średnie firmy są szczególnie narażone
Duże organizacje mają zwykle całe zespoły bezpieczeństwa. W średnich i mniejszych firmach wygląda to inaczej.
Często jeden administrator odpowiada za wszystko. Sieć, serwery, wsparcie użytkowników, backupy. Tematy związane z ochroną danych albo testami socjotechnicznymi odkłada się na później.
Z mojego doświadczenia wynika, że większość firm zaczyna interesować się tym obszarem dopiero po incydencie.
Wtedy pojawiają się pytania:
Dlaczego nikt wcześniej tego nie sprawdził.
Dlaczego pracownicy nie wiedzieli, jak reagować.
Dlaczego dane można było tak łatwo wynieść z firmy.
Odpowiedź jest zazwyczaj prosta. Nikt nie zrobił testu. Nikt nie sprawdził procedur. Nikt nie kontrolował przepływu danych.
Jak firmy zaczynają odzyskiwać kontrolę nad danymi
Pierwszy krok to zrozumienie, gdzie w ogóle znajdują się wrażliwe informacje.
W wielu organizacjach nikt nie ma pełnego obrazu tego, jakie dane są przetwarzane i gdzie są przechowywane. Dokumenty znajdują się na serwerach plików, laptopach pracowników, w chmurze albo w archiwach mailowych.
Dopiero analiza środowiska IT pokazuje skalę problemu.
Drugim krokiem jest sprawdzenie, czy pracownicy potrafią rozpoznać próbę manipulacji. Symulacje socjotechniczne pozwalają zobaczyć, jak organizacja reaguje na phishing, vishing albo próby wyłudzenia informacji przez telefon.
Czasami wynik jest zaskakujący. Wystarczy kilka telefonów albo dobrze przygotowany mail, żeby zdobyć dostęp do informacji, które nie powinny opuścić firmy.
Trzecim elementem jest kontrola przepływu danych. Systemy DLP pozwalają wykrywać i blokować sytuacje, w których poufne dokumenty są wysyłane poza organizację.
To nie jest rozwiązanie, które zastąpi zdrowy rozsądek pracowników. Ale potrafi zatrzymać wiele błędów zanim staną się incydentem.
Reputację buduje się latami, traci w jeden dzień
Właściciele firm często inwestują ogromne pieniądze w marketing, sprzedaż i rozwój produktu. Budują relacje z klientami przez lata.
Potem wystarczy jeden incydent z danymi, żeby to wszystko zaczęło się sypać.
Klienci zaczynają zadawać pytania o bezpieczeństwo.
Partnerzy biznesowi chcą wiedzieć, jak chronione są informacje.
Nowi kontrahenci sprawdzają, czy firma miała wcześniej problemy z wyciekami danych.
Reputacja w biznesie jest bardzo krucha.
Dlatego coraz więcej organizacji zaczyna traktować cyberbezpieczeństwo nie jako koszt, ale jako element ochrony marki.
Testy socjotechniczne pokazują, jak łatwo można manipulować pracownikami. Systemy kontroli danych pomagają ograniczyć ryzyko wycieku informacji. Razem tworzą mechanizm, który pozwala firmie wcześniej zauważyć problem i zareagować.
Bo najgorszy scenariusz to ten, w którym o incydencie firma dowiaduje się z artykułu w internecie.
Zastanawiasz się, czy dane w Twojej firmie są odpowiednio chronione?
Sprawdzimy, jak pracownicy reagują na próby manipulacji i czy poufne informacje mogą opuścić organizację bez kontroli. Pokażemy Ci, gdzie w praktyce pojawiają się największe ryzyka.
Porozmawiaj z nami i zobacz, jak wygląda weryfikacja bezpieczeństwa w praktyce.
Odezwij się do nas!
