Aktualności Know How Technologia

Żeby być bezpiecznym, należy dać się zhakować!

Kwestia cyfrowego bezpieczeństwa stanowi jeden z najważniejszych tematów naszych
czasów. W ciągu ostatnich lat zaobserwowano nieustanne zwiększanie się liczby ataków
hakerskich, co w Polsce niestety nie przełożyło się równolegle na zwiększenie działań im
zapobiegających.

Atak hakera to dla firmy ogromne straty finansowe

W związku z niedawno wprowadzonymi regulacjami Unia Europejska ustanowiła kary za
utratę danych osobowych, które sięgają nawet 20 milionów euro. Choć już ta kwota jest
astronomiczna, to znacznie gorsza bywa utrata reputacji i zaufania klientów, skutkująca
nierzadko rychłym upadkiem biznesu.

– Bezpieczeństwo nie jest stanem stałym – mówi Dawid Bałut, Head of Security w Test
Army, w firmie zajmującej się sprawdzaniem bezpieczeństwa oprogramowania. – To, co jest
bezpieczne dziś, niekoniecznie będzie bezpieczne jutro. Sposoby reagowania w sytuacji
zagrożenia zmieniają się bardzo szybko, dlatego ciągle musimy w tej kwestii trzymać rękę na
pulsie. W internecie pojawia się wielu potencjalnych atakujących, więc nie powinniśmy
mówić tutaj o totalnym bezpieczeństwie. Natomiast każdy krok poczyniony w kierunku
zwiększania tego bezpieczeństwa już jest na wagę złota – dodaje.

Co zatem zrobić aby zabezpieczyć się przed atakami hakerów? Choć może wydać się to
zaskakujące trzeba dać się… zhakować! Oczywiście w warunkach kontrolowanych. Aby
odkryć wszystkie newralgiczne miejsca, które potencjalnie narażone są na napaść
cyberprzestępców, należy zaangażować profesjonalistów, którzy przeprowadzą sterowany
atak hakerski.

Kto powinien się poddać się atakowi?

W szczególności firmy przechowujące dużą ilość danych swoich klientów lub zarządzające w
imieniu swych kontrahentów danymi ich użytkowników czy współpracowników. Każdy
klient oczekuje, by informacje o nim były w odpowiedni sposób zabezpieczone. Jeśli nie
zostaną spełnione wszystkie możliwe wymagania w tym względzie, może dojść do dwóch
znaczących kryzysów.

Kryzys wizerunkowy związany jest z konsumentami, którzy potrzebują poczucia
bezpieczeństwa i stabilności. Zawiedzenie ich zaufania może być przyczyną utraty
profesjonalnego wizerunku i reputacji. Drugi kryzys dotyczy z kolei samego funkcjonowania naszego biznesu i może w ekstremalnej sytuacji doprowadzić nawet do zachwiania finansów
całej firmy. W przypadku potencjalnego rozpoczęcia współpracy z dużym podmiotem takim
jak na przykład korporacja (posiadająca ogromne bazy danych), kwestia zapewnienia
odpowiedniego poziomu bezpieczeństwa plików jest kluczowa. Jeśli podmiot taki wykryje już
na wstępnym etapie wspólnych działań niezgodności, niedociągnięcia lub braki w naszym
systemie, z pewnością przestanie być zainteresowany kooperacją naszą firmą.

– Duża baza danych, na której się pracuje to równocześnie duża odpowiedzialność – mówi PR
& Marketing Manager Edyta Godziek z SerwerSMS.pl, firmy zajmującej się marketingiem
mobilnym. – Dla takiej firmy jak nasza, kwestia ochrony danych jest zdecydowanie sprawą
priorytetową. Z tego właśnie powodu wykonaliśmy testy OWASP i uzyskaliśmy wspomniany
certyfikat bezpieczeństwa. Klienci oddając swoje dane w ręce firm zewnętrznych zawsze
powinni być spokojni o jakość ich przetrzymywania – dodaje Godziek.

Czym jest OWASP?

– OWASP to międzynarodowy standard badania bezpieczeństwa serwisów i powierzonych tam
danych. Są to testy bezpieczeństwa, a konkretnie testy penetracyjne, posługujące się metodą
OWASP ASVS, czyli Application Security Verification Standard. Dzięki testom penetracyjnym
można wykryć potencjalne podatności, które mogłyby zostać wykorzystane przez atakujących
– tłumaczy Dawid Bałut. Te „potencjalne podatności” są niczym innym jak „dziurami w
płocie”, narażającymi firmę na niebezpieczeństwo, a testy penetracyjne mają za zadanie
sprawdzić, czy złodziej przez taką dziurę może się przemknąć na teren firmy. Serwer,
aplikacja, czy strona internetowa firmy poddawana jest sterowanemu atakowi hakerskiemu,
który weryfikuje czy zabezpieczenia są wystarczająco mocne, by powstrzymać
cyberprzestępców i wskazuje miejsca, które mogą potencjalnie stać się celem ataku.

Na scenie polskiej niewiele jest firm, inwestujących w bezpieczeństwo, takich, które wkładają
dodatkowe środki w poprawianie standardów w tej sferze i docieranie do stanu, kiedy dane
użytkowników są rzeczywiście bezpieczniejsze – twierdzi Dawid Bułat.

5 kroków prowadzących na drogę cyberbezpieczeństwa

– Są pewne zachowania, których powinno się dopilnować w przypadku operowania danymi w
firmie. Oczywiście wymagają one zaangażowania zarówno ze strony zlecającej, jak i
wykonawcy, jednak dzięki ich implementacji, jakość usług i wizerunek mogą się wyłącznie
polepszyć – dopowiada Edyta Godziek.

1. Audyt bezpieczeństwa

Zlecenie profesjonalistom przygotowania audytu to pierwszy krok, który zwiększa poziom
bezpieczeństwa zarówno obecnych, jak i przyszłych klientów, odwiedzających stronę firmy.
Pokazuje on ponadto poziom dojrzałości organizacyjnej i poczucia odpowiedzialności
przedsiębiorcy.

2. Testy penetracyjne

Przeprowadzenie testów penetracyjnych pozwoli odnaleźć w systemie bezpieczeństwa
miejsca narażone na ataki, a także zwiększy świadomość odnośnie ryzyka związanego z
atakami cyberprzestępców.

3. Wdrożenie zmian

Czy jednak same testy wystarczą? Nie. Przeprowadzenie testów daje przedsiębiorcy jedynie
obraz tego, co stanowi słabe punkty w jego ochronie. To z kolei powinno być impulsem do
tego, aby te słabe strony umocnić – zadbać o dodatkowe zabezpieczenie miejsc potencjalnie
zagrożonych, naprawić błędy i zwiększyć technologiczną warstwę bezpieczeństwa.

4. Szkolenie pracowników

Dokształcanie pracowników jest bardzo ważnym elementem dbania o właściwą ochronę
danych. W Polsce mamy do czynienia z bardzo niską świadomością zagrożeń związanych z
cyberprzestępczością, co przekładać się może na niefrasobliwość lub zbytnią naiwność przy
kontakcie z potencjalnym hakerem.

5. Edukacja klientów

Edukowanie klientów, użytkowników strony czy też aplikacji, odnośnie tego, jak powinni
korzystać z platformy, żeby wszystkie operacje na niej przeprowadzane były bezpieczne jest
niezwykle istotne. Problemem przy zabezpieczaniu danych może nie być niechęć
użytkowników do dbania o własne bezpieczeństwo, lecz fakt, iż nie wiedzą jak to robić, gdyż
firma nie dostarcza im o tym odpowiednich informacji.

Kilka miesięcy po wprowadzeniu RODO każdy przedsiębiorca powinien mieć już
wprowadzony w swojej firmie temat ochrony przed cyberprzestępcami. Jest to istotne
zarówno ze względu na możliwość utraty pozytywnego i profesjonalnego wizerunku oraz
reputacji, jak i na dotkliwe kary finansowe, które mogą dotknąć firmę, zbyt niefrasobliwie
podchodzącą do kwestii zabezpieczania baz danych.

Komentarze

WP Facebook Auto Publish Powered By : XYZScripts.com