Nie pytajmy czy, ale kiedy

Nauczenie się, jak bronić się przed hakerami, jest jednym z największych wyzwań, z którymi biznes i władze państwowe muszą zmierzyć się w tym roku.

Czy 400 tys. ataków rocznie to dużo? Dla porównania, w 2013 r. aktywność cyberprzetępców była o połowę mniejsza, przy czym bierzemy pod lupę tylko tzw. ataki znaczące, czyli takie, które zagrażają ciągłości procesów operacyjnych i biznesowych.

O tym, jak ogromna może być skala rażenia internetowych przestępców, przekonało się w ostatnim czasie wielu światowych gigantów. Ofiarą jednego z największych ataków padł w ubiegłym roku japoński producent elektroniki. Hakerzy włamali się do systemu PlayStation, z którego wyciekły nazwiska, hasła i dane kart kredytowych ponad 70 mln użytkowników. Japończykom usunięcie awarii i przywrócenie wszystkich funkcjonalności zajęło ponad miesiąc.

Ile firmę kosztował ten atak? Sami Japończycy oficjalnie wycenili wartość strat na 170 mln dol., ale eksperci branżowi oceniają, że koszty były nawet cztero-, pięciokrotnie większe.

Pod koniec roku koncern znów nie miał szczęścia – w grudniu hakerzy zaatakowali japońską firmę, tym razem biorąc sobie za cel wytwórnię filmową Sony Pictures. Do sieci wyciekło pięć filmów, które miały być hitami na grudzień.

Ofiarą cyberprzestępców padły też amerykańskie dwie potężne sieci handlowe. W obydwu przypadkach z systemu wykradzione zostały dane kart płatniczych klientów – łącznie chodziło o ponad 95 mln kart kredytowych i debetowych. Skala przestępstwa najpierw zelektryzowała amerykańską opinię publiczną aż do momentu, gdy Departament Bezpieczeństwa Wewnętrznego poinformował, że hakerzy zaatakowali w tym czasie ponad 1000 amerykańskich firm. Jaka była skala strat? Home Depot poinformowało, że łączne koszty to 62 mln dol.

Biorąc pod uwagę skalę i liczbę przeprowadzonych ataków hakerskich, firmy nie powinny zastanawiać się nad tym, czy kiedyś one staną się celem cyberprzestępców, tylko – kiedy ten atak nastąpi.

Dla cyfrowych gigantów, takich jak Amazon czy Google, sztuka skutecznego bronienia się przed cyberprzestępcami to kwestia być lub nie być. Jak do niej podchodzą?

Google czy Facebook wierzą, że najskuteczniejszą metodą obrony jest atak. Atakują sami siebie, by w sytuacji prawdziwego zagrożenia być gotowym do działania. Google stworzył jednostkę do zadań specjalnych – zespół „dobrych" hakerów, których zadaniem jest atakowanie systemów firmy. Chodzi o to, żeby zidentyfikować słabe punkty firmy, zanim zrobi to ktoś inny.

Tak profesjonalne podejście należy jednak do rzadkości. Większość dużych korporacji  nie ma w zarządzie osoby odpowiedzialnej za cyberbezpieczeństwo. Często nie mają też świadomości, co potencjalnie może im grozić.

W jaki sposób firmy mogą się bronić?  Po pierwsze, systemowo podchodzić do oceny ryzyka i identyfikować obszary o krytycznym znaczeniu dla biznesu. Przykładowo, w bankowości takim obszarem są wszystkie punkty styku z klientem, bo awaria bankomatów czy internetowego systemu transakcyjnego może podważyć zaufanie klientów.