Bezpieczeństwo IT – czy traktujemy je poważnie?

{loadpositiona Wiadomosci_Dzial}

 

Wciąż spotykamy się z doniesieniami o skandalicznych wyciekach danych, informacji zarówno z dużych firm jak i instytucji państwowych, jak np. niedawno Trybunał Konstytucyjny. Incydenty te mają poważne skutki, prowadzone są śledztwa i kontrole, poszukiwane przyczyny. Niestety najczęściej po fakcie. Choć o bezpieczeństwie IT mówi się dużo, to myślenie o nim zanim się coś wydarzy, jest już rzadsze, a profesjonalne działania zapobiegające są wciąż niewystarczające.

Dlaczego tak jest? Nie z powodu braku możliwości czy narzędzi. Częściej przyczyną jest brak decyzji na skorzystanie z nich, brak świadomości, że nas taka sytuacja też może dotyczyć. Odpowiedzią na ten problem może być nie tylko mówienie o problemie, ale pokazywanie właściwych rozwiązań, uczenie, jak można je wdrażać.

Takie inicjatywy na szczęście są. Jedną z nich zapowiada szczecińska firma BTC – od wielu lat rozwijająca kompetencje w sferze zarządzania i bezpieczeństwa IT, a także prowadząca projekty szkoleniowe z tego tematu. Tej jesieni, BTC w partnerstwie z Intel Inc. oraz Microsoft, organizują duży projekt BTC Roadshow 2016 "ITM Vantage Point", w ramach którego odbędzie się cykl bezpłatnych szkoleń i warsztatów z zakresu zarządzania i bezpieczeństwa zasobów informatycznych w 11 miastach Polski. Czy jest potrzeba takich szkoleń? Z doświadczenia organizatorów wynika, że bardzo duża.

Rzeczywistość pokazuje, że istniejące zabezpieczenia często nie zapewniają właściwej ochrony dla systemów IT, wspomagających najważniejsze obszary działania organizacji. Nie można też wdrożyć skutecznych zabezpieczeń np. DLP (ang. Data Loss Prevention) bez wiedzy o posiadanych danych i ich odpowiedniej klasyfikacji. Brak wiedzy jest z kolei powodem nieuzasadnionych wydatków na zabezpieczenia techniczne. Do tego wszystkiego dochodzi jeszcze element trudny do rozwiązania technicznego, bo czynnik ludzki – wyjaśnia Maciej Kaczyński, prezes BTC sp. z o.o.

Z raportu dotyczącego bezpieczeństwa IT, opublikowanego na początku roku przez PWC wynika, że w 31% polskich firm incydenty naruszenia bezpieczeństwa były związane z ujawnieniem lub modyfikacją danych. W 33% przełożyły się na straty finansowe, utratę klientów lub spór sądowy z tytułu naruszenia bezpieczeństwa informacji. Często wskazywaną konsekwencją cyberataku była także utrata reputacji – problem taki dotknął 16% polskich firm. Co istotne, aż 70% respondentów wskazuje, że głównym źródłem zagrożeń dla bezpieczeństwa byli pracownicy.

Ten sam raport wskazuje też, że jedynie 46% firm w Polsce kieruje się jasno zdefiniowanymi formalnymi regułami bezpieczeństwa.

Jeszcze gorzej wygląda to w przypadku samorządów. Z raportu przedstawionego w maju br. przez Polskie Towarzystwo Informatyczne, dotyczącego stanu bezpieczeństwa IT w administracji samorządowej, wynika że zaniechania dotyczące bezpieczeństwa są w samorządach znaczące. Choć 88% urzędów posiada polityki bezpieczeństwa, to 62% z nich jest nieaktualnych. Wymagane przez Krajowe Ramy Interoperacyjności, raportowanie incydentów naruszenia bezpieczeństwa informacji, choć prowadzone przez 53,69% badanych jednostek samorządowych, to w 39% przypadkach były puste, gdyż nie odnotowano w nich żadnego incydentu. Aktualny rejestr posiadało tylko 14% urzędów.

Jak więc widać, najczęstszą przyczyną wycieku informacji czy danych z firmy jest czynnik ludzki. Dlatego samym zabezpieczeniem przed atakiem zewnętrznym na zasoby IT nie powstrzymamy działań wewnętrznych, czy to umyślnych czy nieświadomych. Wyniesienie z firmy komputera czy pendrive'a, jest w zasadzie codziennością i często nie zastanawiamy się, co na takim sprzęcie mamy. Podobnie z wysyłaniem plików mailem lub do chmury. Niedawny raport analityczny Kaspersky Lab dotyczący branży komunikacyjnej wykazał, że nawet cyberprzestępcy najczęściej wykorzystują pracowników w celu wykradzenia danych.

Jak można zabezpieczyć się przed atakiem? Na pewno można zminimalizować ryzyko wycieku danych. Systemy klasy DLP (Data Loss Prevention) nowej generacji są już w naszym zasięgu, o czym między innymi dowiedzą się szczegółowo uczestnicy spotkań warsztatowych BTC Roadshow 2016. Więcej szczegółów na temat szkoleń BTC Roadshow "ITM Vantage Point" organizator zapowiada na koniec sierpnia. Poznamy też ekspertów, którzy podzielą się swoim doświadczeniem z uczestnikami.

Mamy dużą nadzieję, że naszą inicjatywą uruchomimy poważne myślenie o bezpieczeństwie IT, a także pokażemy, że to nie jest taki duży wysiłek dla organizacji. Dlatego uczestnicy będą mogli bezpłatnie korzystać przez rok (wraz z pełnym wsparciem) z profesjonalnych narzędzi, żeby samemu przekonać się tym. – podsumowuje Maciej Kaczyński, prezes BTC.

Źródło: BTC