Czy warto inwestować w bezpieczeństwo IT?

produkty i usługi, cyberbezpieczeństwo

Coraz częściej słyszymy, że wzrasta liczbą ataków dokonywanych za pomocą komputerów i sieci internetowych. Coraz częściej namawiani jesteśmy przez ekspertów, dziennikarzy oraz przedstawicieli firm oferujących produkty i usługi z zakresu bezpieczeństwa IT do podejmowania działań i inwestycji w swoje bezpieczeństwo w sieci. Rośnie ilość konferencji, szkoleń i innego rodzaju wydarzeń poświęconych tym zagadnieniom. Co więcej, na rynku i w sieci możemy znaleźć coraz więcej „źródeł wiedzy” dedykowanych temu problemowi.

Tej wzmożonej aktywności zaczyna towarzyszyć wzrost świadomości i rzeczywistych działań (w tym inwestycji) w zakresie bezpieczeństwa. Ma to miejsce zarówno w sektorze publicznym, firmowym, jak i wśród prywatnych użytkowników komputerów.

Wszystko to sprawia, iż uzasadnione zdaje się stwierdzenie, że współczesny, wysoko rozwinięty świat Zachodu opanowała moda na cyberbezpieczeństwo. Moda ta jawi się jako wartościowa i sensowna, jak np. moda na bieganie, czy świadome  odżywianie, a – z uwagi na postępujący proces digitalizacji – wręcz niezbędna.

Tutaj jednak sceptycznie nastawione osoby (do których mogę się zaliczyć) pomyślą: „no dobrze, ale na ile opłaca mi się inwestować w swoje cyberbezpieczeństwo?”. Albo inaczej: „ile stracę jeśli nie zainwestuję, a zostanę zaatakowany”. Osoby cechujące się większym sceptycyzmem mogą dodać jeszcze coś w rodzaju „kto zagwarantuje mi że produkt/ usługa, na które wydałem duże pieniądze rzeczywiści sprawi, że będę bezpieczniejszy?”

Odpowiedź na tego typy pytania i wątpliwości nie jest łatwa.

Poszukując odpowiedzi na pytanie: czy i jeśli tak, to w jakim stopniu warto inwestować w swoje bezpieczeństwo w sieci,  należy najpierw uświadomić sobie kilka kluczowych faktów.

Nic i nikt nie jest w stanie zagwarantować pełnego bezpieczeństwa

Nie istnieją i pewnie nie powstaną nigdy metody, urządzenia i systemy gwarantujące pełne bezpieczeństwo. Warto o tym pamiętać szczególnie gdy jest się bombardowanym marketingowymi przekazami sugerującymi, iż zakup produktu bądź usługi sprawi, że Twoja firma będzie odporna na wszelkiego rodzaju niebezpieczeństwa.

Nie możemy mieć pewności co do tego, w jakim stopniu nasza organizacja jest bezpieczna

Niezwykle trudne a wręcz niemożliwe jest stwierdzenie ze 100% pewnością – czy i w jakim stopniu nasza organizacja jest bezpieczna. Niestety nie dysponujemy wiedzą obiektywną…. Skazani jesteśmy zatem na subiektywny (a więc niedoskonały/ niepełny) odbiór tego, co się wokół nas dzieje. Oczywiście istnieją narzędzia, dane i inne rozwiązania pozwalające przezwyciężyć część z tych ograniczeń, ale i one siłą rzeczy dalekie są od doskonałości.

Rosnący problem cyberprzestępczości

Przestępczość komputerowa to problem, który wciąż narasta. W 2008 roku FBI poinformowało opinię publiczną, że zyski przestępców czerpane z działalności w sieci przekroczyły zyski z handlu narkotykami. Z kolei wydany w 2015 r. raport, stworzony wspólnymi siłami przez Center for Strategic and International Studies i firmę McAfee szacując koszty cybeprzestępczości podaje sumę 445 mld dolarów (15-20% ogólnej wartości generowanej w Internecie). To jednak nie koniec złych informacji. Ośrodki i firmy analityczne szacujące przyszłe straty związane z zagrożeniami w sieci, choć różnią się wyliczeniami, zgodne są co do jednego – straty będą znacząco rosnąć.  Przykładowo firma Cybersecurity Ventures szacuje wzrost strat z 3 bilionów w 2015 roku do 6 bilionów dolarów w 2021r. (sic!).

Narażenie większej ilości zasobów i procesów firmowych

Postępująca cyfryzacja i przenoszenie przynajmniej części firmowej działalności do Internetu to fakt. Choć sieć pozwala na tańsze i efektywniejsze dotarcie do klientów, a także optymalizuje wiele organizacyjnych procesów, niesie też ze sobą ogromną liczbę ryzyk. Ryzyka te często posiadają potencjalnie katastrofalne skutki. Niezbędne zatem jest przynajmniej częściowe ograniczenie niebezpieczeństwa w tym obszarze.

Wizerunek firmy – prawdopodobnie największa ofiara cyberzagrożeń

Firmowy wizerunek to specyficzny, ale zarazem trudny do przecenienia zasób, jakim dysponuje współczesne przedsiębiorstwo. Nie tylko decyduje to o tym czy przyjdą do nas klienci, ale także wpływa na relacje w zasadzie ze wszystkimi istotniejszymi dla organizacji podmiotami z jej otoczenia. Udane ataki hakerskie, wycieki danych, czy inne kompromitujące „wpadki”  w obszarze bezpieczeństwa IT silnie oddziałują na nasz wizerunek. Oczywiście i na tym polu idealne zabezpieczenie się to nieosiągalna idea. Niemniej, inaczej odbierana przez opinię publiczną jest zaatakowana firma, która podjęła działania w trosce o swoje bezpieczeństwo (nawiązując do dobrych praktyk czy uznanych standardów), ale mimo tego nie udało się jej w pełni uchronić. Zupełnie inaczej zaś postrzegane jest przedsiębiorstwo, które po ataku obudziło się z przysłowiową „ręką w nocniku” przekonując się zarazem w sposób brutalny, że i ono może stać się ofiarą. Taki brak odpowiedzialności jest jasnym sygnałem dla interesariuszy tej organizacji, świadczącym o jej niepoważnym podejściu do biznesu.

W tym drugim przypadku (w przeciwieństwie do pierwszego) mało prawdopodobne jest, że przedsiębiorstwo uchroni swoją reputację.

Odpowiedzialność prawna

Przedsiębiorstwo nie funkcjonuje w próżni. Brzmi to trochę jak truizm, ale często nie pamiętamy o wszystkich następstwach tego faktu. Jednym z nich jest odpowiedzialność prawna za pewne nadużycia, czy niedopełnienie ciążących na nas obowiązków.

Szeroko rozumiana ochrona informacji przewija się przez wiele aktów prawnych. Zagadnieniom takim jak zabezpieczenie danych osobowych, czy ochrona informacji niejawnych poświęcono wręcz osobne ustawy. Wiele ostatnio dzieje się również w tym obszarze prawa (patrz dyrektywa NIS i RODO).

Nie wchodząc w ten złożony temat warto zaznaczyć, iż w związku z brakiem podjęcia odpowiednich, często niedookreślonych przez prawo (sic!), działań naszej organizacji może grozić odpowiedzialność prawna (zarówno cywilna, administracyjna jak i karna). W razie narażenia na poniesienie takiej odpowiedzialności jedynym co nam pozostaje, aby się obronić (tym razem przed surowością aparatu państwa) jest wykazanie, iż nasza organizacja podjęła odpowiednie działania z myślą o ochronie przechowywanych i przetwarzanych informacji.

100% prawdopodobieństwa ataku

Z uwagi m.in. na postępującą cyfryzację, rozwój cyberprzestępczości oraz rosnącą dynamikę i złożoność cyfrowego świata zasadnym wydaje się zadanie sobie pytania nie o to: czy zostanę zaatakowany, tylko kiedy to się stanie? Założenie o stuprocentowym prawdopodobieństwie ataku jest  racjonalne i bezwzględnie wskazane.

Konsekwencją  powinna tutaj być refleksja nad tym co mogę zrobić żeby zwiększyć swoją odporność i ograniczyć potencjalne straty.

To ile wydasz na zabezpieczenia tak naprawdę się nie liczy

Niezależnie jak duże pieniądze przeznaczysz na zabezpieczenia,  jedno jest pewne – nigdy nie kupisz pełnego bezpieczeństwa. Na rynku jest dużo wartościowych usług i produktów, które rozsądnie wykorzystane mają potencjał ograniczenia ryzyka. Niemniej jednak, kto korzystając z nich kieruje się filozofią typu: „kupiłem najnowsze i najdroższe rozwiązania, więc mogę czuć się bezpieczny”, to najprawdopodobniej wyrzucił pieniądze w błoto. Powodem tego jest brak systemowego i sytuacyjnego spojrzenia na problem, a tylko taka orientacja prowadzi do realnego wzrostu bezpieczeństwa. Innymi słowy, zabezpieczenia powinny zostać dobrane po rzetelnej analizie zagrożeń i organizacyjnych uwarunkowań. Musimy wiedzieć co najbardziej powinniśmy  chronić i dlaczego warto to robić. Odnaleźć słabe punkty w całym systemie i ograniczyć ich ekspozycję na ryzyka. Często takie działania nie są specjalnie kosztowane (szczególnie porównując ich cenę z „najnowszym produktem, który sprawi, że Twoja firma będzie superbezpieczna”).

Punkt wyjścia – analiza ryzyka

Niebezpieczeństwo w sieci i rosnąca ekspozycja na nie współczesnego biznesu to fakt. Bezdyskusyjne jest również, że trzeba się jakoś chronić. Należy jednak wiedzieć co i w jakim stopniu wymaga ochrony. Żeby to stwierdzić, przydatne okazuje się odwołanie się do klasycznej analizy ryzyka. Nawet nie najlepiej przeprowadzona – powinna przybliżyć nas do właściwej odpowiedzi na powyższe pytania. Pozwoli także uniknąć przeznaczania pieniędzy na rzeczy, które w zasadzie niewiele pomogą.

Podsumowanie

Przegląd tych faktów nie pozostawia wątpliwości. W bezpieczeństwo IT warto, a nawet trzeba inwestować. Nie zawsze muszą to jednak być najdroższe, „topowe” rozwiązania. O wiele istotniejsze jest dostosowanie podjętych działań do specyfiki firmy (branża, organizacja, sposób działania itd.). W analizie ryzyka, która jest podstawą procesu zwiększania firmowego bezpieczeństwa,  nie wolno zapomnieć też o przepisać prawnych i regulacjach, gdyż w przeciwnym przypadku zaszkodzić mogą nam nie tylko przestępcy, ale i aparat państwa.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

3 × 1 =