Prezes ma wszystkie dostępy, pracownicy klikają w linki. Firmy proszą się o cyberatak, ale jak się nie dać?

Choć starania o poprawę cyberbezpieczeństwa polskich firm trwają od lat, to zmienia się niewiele. Pracownicy wciąż klikają w fałszywe linki, oprogramowania zawierają luki, a zarządy często podejmują decyzje, które dają tylko iluzję kontroli nad sytuacją.

– Firmy edukowały pracowników i klientów prostymi komunikatami: nie klikamy w podejrzane maile, uważamy na fałszywe linki, sprawdzamy nadawców. A mimo wszystko ten słaby element łańcucha cały czas się gdzieś pojawia – powiedział moderator dyskusji, Cezary Szczepański, dziennikarz XYZ.

W świecie sztucznej inteligencji, deepfake’ów i coraz bardziej złożonych narzędzi ataku potrzebne jest nowe podejście do edukacji pracowników i nowe podejście do zarządzania cyberbezpieczeństwem w firmach.

Nowe podejście do cyberbezpieczeństwa

Takie nowe podejście nie polega jednak na porzuceniu podstaw. Przeciwnie: największy paradoks cyberbezpieczeństwa polega dziś na tym, że firmy mówią o AI, geopolityce i zaawansowanych atakach, ale wciąż potykają się o backupy, hasła, uprawnienia, aktualizacje i brak prostych procedur.

– Ludzie wciąż wymagają edukowania i organizowania. A zarządzający to też ludzie. Przykładowo, kiedy mamy jakiś incydent, trzeba podjąć konkretne działania. W bankach jest to bardzo dobrze zorganizowane, bo są to jednak instytucje mocno regulowane. W innych obszarach bywa różnie – ocenił Mariusz Kaczmarek, dyrektor zarządzający Pionem Transformacji Cyfrowej w Totalizatorze Sportowym.

Mariusz Kaczmarek postawił także pytanie, które wracało później w różnych wariantach – „ilu członków zarządu niezależnie od branży, naprawdę zna się na cyberbezpieczeństwie?”.

Szukanie winnego? Potrzebne procedury

Karolina Czwarno-Kos, dyrektorka Biura Zapobiegania Oszustwom Cyfrowym i Komunikacji Cyberbezpieczeństwa w Banku BNP Paribas zastrzegła, że w trudnych sytuacjach często nie da się wskazać jednego winnego. Z jednej strony to błąd ludzki jest najczęstszym powodem późniejszych strat: finansowych lub operacyjnych.

– Tylko z drugiej jednak strony to zarząd decyduje, czy organizacja będzie miała procesy, ćwiczenia, polityki dostępów i realną kulturę bezpieczeństwa. Oczywiście to ludzie będą nadal słabym elementem łańcucha, ale to coś, czym trzeba zarządzić – mówiła Małgorzata Domagała, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację, Mastercard Europe.

Jak zaznaczyła, jeśli jednak po stronie kierownictwa „nie będzie świadomości, że w ogóle trzeba się tym zająć”, to najbardziej oczywiste działania nie zostaną zrealizowane.

Tym bardziej że, jak wynika z badań Mastercard, większość pracowników małych firm nigdy nie była przeszkolona w temacie cyberbezpieczeństwa.

Cyberbezpieczeństwo to nie jest problem tylko IT

Ten wątek rozwinął Łukasz Fijałkowski, Business Development Manager Bitdefender. Przypomniał, że dawniej bezpieczeństwo było traktowane jako problem IT albo działu cyberbezpieczeństwa. To się zmieniło.

– Kiedyś bezpieczeństwo było problemem IT. W tym momencie przez np. NIS2 jest to obowiązek zarządu – powiedział Łukasz Fijałkowski.

Jego zdaniem potrzebna jest zmiana paradygmatu: odejście od reaktywnego myślenia o incydencie na rzecz podejścia proaktywnego, w którym organizacja z góry ogranicza wektory ataku, zarządza ekspozycją i minimalizuje uprawnienia. Zwłaszcza zarządu, który często ma najwyższe uprawnienia w zakresie IT, a nie zawsze idą za tym wysokie kompetencje.

– Zabierz prezesowi dostęp – skwitował moderator dyskusji.

Gdzie leży problem w świecie cyber

Przemysław Jaroszewski, Head, Cyber Defence Center w Standard Chartered zwrócił uwagę na jeszcze jeden wymiar problemu. Jego zdaniem zbyt łatwo mówi się, że problem „znajduje się między klawiaturą a krzesłem”.

– Tymczasem pracownicy najczęściej nie chcą zaszkodzić firmie. Użytkownicy najczęściej chcieliby po prostu wykonywać swoją pracę. Błędy wynikają często z dobrych intencji: ktoś chce szybciej obsłużyć klienta, wykonać przelew, naprawić awarię, dokończyć zadanie. Jeśli bezpieczeństwo jest projektowane jako przeszkoda, ludzie będą je obchodzić – stwierdził Przemysław Jaroszewski.

Jak zaznaczył, cyberbezpieczeństwo nie jest jak BHP, gdzie standardy przez lata wyglądają podobnie.

– Tutaj to jest proces i ten proces żyje – podkreślał Przemysław Jaroszewski.

Rola IT w obronie firm

Ludzie od cyberbezpieczeństwa nie powinni być traktowani jako „hamulcowi”, lecz jako ci, którzy wspierają biznes. Cyberbezpieczeństwo jest często postrzegane jako ten hamulcowy, ten co przeszkadza. Tak wcale nie musi być. Ale to wymaga dojrzałości zarządu, który rozumie, że nie wystarczy „raz kupić pudełko”, zatrudnić ludzi i uznać, że problem został rozwiązany.

Kamil Migacz, Enterprise Technology Officer, Comarch zwrócił uwagę na aspekt finansowy.

– Małych i średnich firm często nie stać na szkolenia czy na narzędzia w obszarze cyber. Oczywiście są darmowe materiały, ale trzeba mieć dużo samozaparcia, żeby na przykład właściciel pizzerii szkolił się w obszarze cyber – powiedział Kamil Migacz.

Przemysław Jaroszewski stwierdził jednak, że przedsiębiorca nie musi znać się na wszystkim.

– Przecież takie kompetencje można outsource`ować – stwierdził przedstawiciel Standard Chartered.

– Tylko dziś każdy biznes musi się cyfryzować. Spójrzmy chociażby na KSEF. Przedsiębiorca musi mieć podstawową wiedzę – ripostował Kamil Migacz.

Wyzwania dla małych?

Uczestnicy debaty zwrócili uwagę na wyzwanie, jakim są ograniczone zasoby małych i średnich firm. Wiele z nich nie ma budżetów na zadbanie o cyberbezpieczeństwo. Jednocześnie nie myślą o nim w wymiarze must-have.

– Zdecydowana większość firm nie robi automatycznego backupu. Oprócz tych, którzy mieli wykupioną usługę w naszym oprogramowaniu. Temat backupu był tematem tabu, dopóki przez edukację nie udało nam się go zmienić – mówił Kamil Migacz z Comarchu.

Jak zaznaczył, tak prosta rzecz, jak kopia zapasowa, może ochronić przed wieloma poważnymi atakami.

– Chociażby ransomware. Jeśli zidentyfikujemy miejsce, z którego doszło do ataku, będziemy w stanie je odizolować i bez problemu przywrócimy dane z backupu. Szybko możemy w ten sposób przywrócić działalność operacyjną. I w taki właśnie sposób edukowaliśmy naszych klientów. Na przykładach – dodał Kamil Migacz.

Dlatego małe i średnie firmy powinny po pierwsze mieć świadomość zagrożeń. Po drugie wyznaczyć budżet, skrojony pod ich możliwości, który pomoże w sprostaniu tym wyzwaniom.

– Trzeba pokazywać wartość przedsiębiorcom. Na zaawansowane cyberbezpieczeństwo nie stać małych firm. Ale na backup stać każdego. Edukujmy, by klienci robili wszystko, co trzeba, w łatwy i przystępny sposób – apelował przedstawiciel Comarchu.

Kompetencje szefostwa

W czasie dyskusji gorącym wątkiem była kwestia kompetencji kierownictwa. Czy członkowie zarządu powinni znać się na wszystkim, by móc wybrać właściwych ludzi do obszaru cyberbezpieczeństwa?

– Zarówno człowiek, jak i technologia, może być najsilniejszą albo najsłabszą częścią biznesu. Skoro prowadzę firmę, mam księgowego, który robi przelewy, to musi mi zależeć, by ten proces był bezpieczny. Podobnie w przypadku ekspertów w dziedzinie cyberbezpieczeństwa, słucham ich opinii i biorę je pod uwagę podczas podejmowania decyzji – mówił Robert Grabowski, szef CERT Orange Polska.

Robert Grabowski ocenił, że cyberbezpieczeństwo nie jest tylko kwestią budżetu. Z jednej strony można mieć pieniądze i nie wiedzieć, czy wydaje się je sensownie, z drugiej, korzystając z dostępnych, darmowych materiałów i narzędzi można bardzo znacząco podnieść bezpieczeństwo swojej firmy.

– Wystarczy mieć szalonych ludzi w cyberbezpieczeństwie i można wydawać miliony złotych bezproduktywnie, bo każdą potrzebę da się opakować metodykami, regulacjami i audytami. Problem polega na tym, że nawet najbardziej efektowna dokumentacja nie uchroni firmy, jeśli administrator używa tych samych haseł, loguje się z prywatnego komputera albo tworzy niekontrolowane obejścia – skwitował Mariusz Kaczmarek z Totalizatora Sportowego.

Jak się bronić?

Karolina Czwarno-Kos z Banku BNP Paribas zwróciła uwagę na szeroki zakres możliwości do skutecznej obrony. Nie chodzi tylko o kompetencje wewnątrz organizacji. Można także korzystać z ekspertów z zewnątrz.

– Czasem może pojawić się potrzeba know how, którego nie mamy w środku. Można poszukać go na zewnątrz. A jak to sfinansować? Wcześniejszym ubezpieczeniem – wskazała Karolina Czwarno-Kos.

Czy firmy są świadome zagrożeń?

– Są trzy modele przygotowania firm do cyberataków. Pierwszy to „wiem, ale do mnie i tak nie przyjdą”. Drugi to „zostałem zapewniony, że jest dobrze”. A trzeci to podejście dojrzałych firm z rozwiniętą obroną – powiedział Robert Grabowski.

Ale zawsze pojawiają się wyjątki. Na przykład błędy w oprogramowaniu albo „żyjące” dłużej niż potrzeba środowiska testowe.

– Najczęściej ignorowane są sygnały albo mylne przekonanie o cyberbezpieczeństwie – dodał przedstawiciel Orange.

– Dlatego nie ignorujmy małych firm – skwitowała Małgorzata Domagała.

Efekt domina

Dziś cały łańcuch dostaw staje się kluczowy. Błąd u małego przedsiębiorcy może doprowadzić do poważnych problemów dużych korporacji.

Ten mechanizm pokazał Mariusz Kaczmarek, dyrektor zarządzający Pionem Transformacji Cyfrowej w Totalizatorze Sportowym, przywołując historię dużej polskiej firmy, do której – jak relacjonował – przestępcy mieli wejść przez azjatyckiego partnera.

– Nie było tam wielkiego ataku, było selektywne wybieranie danych, kopiowanie – mówił Mariusz Kaczmarek.

Dopiero po rozpoznaniu środowiska przestępcy mieli przystąpić do destrukcji. Schemat był typowy: wejście przez słabsze ogniwo, rozpoznanie, pozyskanie danych, utworzenie kolejnych dostępów, a na końcu szantaż.

Łukasz Fijałkowski powiedział, że to klasyczny przykład współczesnego ataku, który nie musi polegać na spektakularnym malware. Coraz częściej wykorzystywane są legalne narzędzia administracyjne, już obecne w organizacji.

– Do lamusa odchodzi atak przeprowadzany z jakimś wyszukiwanym kodem, z jakimś wyszukiwanym malware’em – mówił przedstawiciel Bitdefendera.

Według niego znaczna część ataków odbywa się metodą living off the land, czyli przy użyciu natywnych narzędzi systemowych.

Co powinni zrobić zarządzający

Dyskusja podjęła także temat konkretnych działań, które powinny podjąć władze firm. Kamil Migacz przywołał badanie wśród klientów dotyczące backupu. Wynik był alarmujący.

– Większość naszych klientów praktycznie nie robiła backupu. Automatyczne kopie zapasowe były rzadkością. Tymczasem przy ransomware backup bywa różnicą między kilkugodzinnym przestojem a wielotygodniową odbudową firmy. Mogę podać przykład firmy produkcyjnej, której zaszyfrowano maszyny. Dzięki kopiom zapasowym udało się przywrócić działanie szybko, bez płacenia okupu – powiedział przedstawiciel Comarchu.

– 54 proc. małych firm nigdy nie szkoliła pracowników w temacie cyber. Mnóstwo średnich czy dużych firm robi to jednorazowo. Edukacja pracowników i testowe, regularne działania, powinny spowodować realne efekty – zaznaczyła Małgorzata Domagała.

Lista podstawowych działań była długa, ale powtarzalna: MFA, minimalne uprawnienia, aktualizacje, patch management, kontrola dostępów, segmentacja sieci, monitoring, ograniczenie shadow IT.

Łukasz Fijałkowski uzupełnił tę listę o zarządzanie ekspozycją: organizacja musi wiedzieć, co ma wystawione na zewnątrz, gdzie są ryzyka. Jego zdaniem celem nie jest tylko wykrywanie incydentów, ale ograniczenie liczby sytuacji, w których incydent może się w ogóle rozwinąć.

Cyber i co dalej

Kolejny wątek dotyczył zmieniającego się świata zagrożeń.

– Może potrzeba szerszych regulacji? – zapytała Karolina Czwarno-Kos.

Jak zaznaczyła, DORA zwróciła uwagę na łańcuch dostaw.

– Mimo że takie regulacje są wyzwaniem, to są zmianą w dobrym kierunku. I firmy zaczynają sobie z tym radzić. Najpierw z danymi, potem ze sztuczną inteligencją. A może przedsiębiorca zakładający firmę powinien przechodzić obowiązkowe szkolenie? W bankach możemy mieć najlepsze zabezpieczenia, ale potem ktoś sam robi zły przelew lub klika w niezaufany link – powiedziała przedstawicielka Banku BNP Paribas.

Małgorzata Domagała z Mastercard dodała, że przedsiębiorcy muszą zwrócić uwagę na cyberbezpieczeństwo. Dziś to poważne wyzwanie, na które należy znaleźć odpowiedź. Bo przedsiębiorca czy członek zarządu, niezależnie od swojej funkcji, jest także „zwykłym człowiekiem”, który również może zostać oszukany.

Główne wnioski

1. Największym problemem polskich firm w obszarze cyberbezpieczeństwa nie jest wyłącznie technologia ani błędy pojedynczych pracowników, lecz brak konsekwentnego zarządzania tym ryzykiem na poziomie władz organizacji. Uczestnicy debaty wskazują, że zarządy często nie mają wystarczającej świadomości, kompetencji lub determinacji, by wdrażać realne procedury, regularne ćwiczenia, kontrolę dostępów i kulturę bezpieczeństwa. Cyberbezpieczeństwo przestało być domeną działów IT. Stało się odpowiedzialnością biznesową, szczególnie w kontekście regulacji takich jak NIS2 czy DORA.
2. Firmy nadal potykają się o podstawowe elementy ochrony, mimo że dyskusja publiczna coraz częściej koncentruje się na sztucznej inteligencji, deepfake’ach i zaawansowanych cyberatakach. Eksperci podkreślają, że skuteczna obrona zaczyna się od prostych działań: backupu, MFA, minimalnych uprawnień, aktualizacji, segmentacji sieci, monitoringu i ograniczania niekontrolowanych obejść. Szczególnie małe i średnie przedsiębiorstwa często nie mają budżetów ani kompetencji, ale nawet one mogą znacząco poprawić bezpieczeństwo dzięki podstawowym, dobrze wdrożonym rozwiązaniom.
3. Coraz większe znaczenie ma bezpieczeństwo całego łańcucha dostaw, ponieważ słabsze ogniwo w małej firmie może stać się punktem wejścia do dużej organizacji. Uczestnicy debaty zwracają uwagę, że współczesne ataki nie zawsze opierają się na spektakularnym malware. Coraz częściej przestępcy wykorzystują legalne narzędzia administracyjne, rozpoznają środowisko, kopiują dane i dopiero później przechodzą do destrukcji lub szantażu. To oznacza, że firmy muszą przejść od reaktywnego reagowania na incydenty do proaktywnego ograniczania ryzyk i ekspozycji.