Według raportu Polskiej Izby Ubezpieczeń 35% polskich firm obawia się cyberataków, ale niemal połowa nadal uważa, że zagrożenia cyfrowe ich nie dotyczą. Dodatkowo 44% przedsiębiorstw ocenia, że prawdopodobieństwo wycieku wrażliwych danych klientów jest niskie. Ekspert Veeam zwraca uwagę, że w obliczu rosnącej liczby cyberataków i coraz częstszych wycieków danych, firmy powinny traktować ochronę informacji jako priorytet - nie tylko przy okazji Dnia Ochrony Danych Osobowych, ale każdego dnia.
Tomasz Krajewski, dyrektor techniczny sprzedaży na Europę Wschodnią w firmie Veeam, zwraca uwagę na fakt, iż DODO w Polsce obchodzony był w tle styczniowego cyberataku, w wyniku którego przestępcy uzyskali dostęp do danych obywateli. Należy spodziewać się, że w kolejnych latach tego typu ataki ransomware na przedsiębiorstwa w kraju będą się nasilać. Wraz z rozwojem branży e-commerce czy postępującą digitalizacją sektora publicznego i wzrostem usług oferowanych online, coraz więcej danych osobowych Polaków trafia do przestrzeni cyfrowej. Im więcej punktów dostępu do danych - takich jak serwisy internetowe, aplikacje mobilne czy systemy rejestracji użytkowników w usługach publicznych i prywatnych - tym większe ryzyko ich naruszenia.
Dosłownie z imienia i nazwiska
Dane osobowe to szczególny zestaw wskaźników, które pozwala jednoznacznie identyfikować konkretnego użytkownika na podstawie takich informacji jak imię i nazwisko, data urodzenia, numer PESEL czy adres zamieszkania. Gdy takie dane przejmą w wyniku ataku cyberprzestępcy, mogą wykorzystać je do zaciągania kredytów konsumenckich, zakupu produktów online czy przejmowania kont w mediach społecznościowych. W grę wchodzą także oszustwa podatkowe lub medyczne z wykorzystaniem danych osobowych innych osób. Do tych ostatnich należy przykładowo uzyskiwanie recept na leki refundowane czy podszywanie się pod pacjentów w celu wyłudzenia kosztownych procedur medycznych.
Perspektywa przedsiębiorcy
Lista zagrożeń jest długa, a przedsiębiorstwa coraz bardziej zdają sobie z niej sprawę. Raport Polskiej Izby Ubezpieczeń wskazuje, że co trzecia firma w Polsce obawia się utraty danych, a 35% traktuje cyberataki jako poważne ryzyko dla ich biznesu. Jednocześnie jednak 44% ocenia, że prawdopodobieństwo wycieku danych wrażliwych związanych z klientami jest niskie. Dodatkowo niemal połowa (47%) uważa, że zagrożenia cyfrowe nie dotyczą ich działalności.
Podobnie jak w medycynie diagnoza choroby jest punktem wyjściowym do leczenia, tak w cyberbezpieczeństwie świadomość zagrożeń jest niezbędna do skutecznego wdrożenia środków ochrony. A jest się przed czym bronić. Z raportu Veeam Data Protection Trends 2024 wynika, że trzy na cztery firmy na świecie doświadczyły co najmniej jednego cyberataku w ciągu roku poprzedzającego badanie, a 26% padło jego ofiarą przynajmniej cztery razy. Rekordziści (3%) zostali zaatakowani aż sześć razy.
Dekalog odporności danych
Aby skutecznie chronić swoje zasoby firmy muszą wdrożyć kompleksowe strategie zarządzania ryzykiem, które pozwolą im minimalizować ryzyko wystąpienia oraz skutki ataku cybernetycznego. Dobrym przewodnikiem w tym procesie jest unijna dyrektywa NIS2 i zawarte w niej dziesięć minimalnych środków bezpieczeństwa. Obejmują one elementy takie jak audyt obecnego stanu cyberbezpieczeństwa w firmie oraz stosowanie dobrych praktyk w zakresie zarządzania danymi. Chodzi m.in. o poprawne oznaczanie danych, ich odpowiednią lokalizację i bezpieczne przechowywanie, a także tworzenie i regularne aktualizowanie kopii zapasowych.
W kontekście rozwoju odporności danych i samego biznesu warto wskazać również wdrożenie w firmie zasad Zero Trust Data Resilience, które rozszerzają regułę zerowego zaufania na systemy backupu i odzyskiwania danych. Podstawowe elementy Zero Trust zakładają jak najniższy poziom uprawnień użytkowników, wieloetapowe uwierzytelnianie oraz działanie w taki sposób, jakby firma już została zaatakowana. Podejście ZTDR wprowadza do tego zestawu dodatkowe środki ochrony danych obejmujące izolację systemów zarządzania i przechowywania backupu, zapewnienie niezmienności kopii zapasowych oraz wdrożenie zasady 3-2-1-1-0.
Zgodnie z tą regułą przedsiębiorstwa powinny posiadać co najmniej trzy kopie danych na dwóch różnych nośnikach, z czego jedna powinna być przechowywana offline w innej lokalizacji. Takie podejście znacząco ogranicza ryzyko utraty danych, nawet jeśli atakujący uzyskają dostęp do infrastruktury IT firmy. Niezwykle istotne jest także regularne testowanie procedur odzyskiwania danych, aby zapewnić skuteczność planu awaryjnego.
Edukacja to podstawa
W obliczu rosnących zagrożeń firmy powinny inwestować w edukację pracowników i wdrażanie najlepszych praktyk cyberhigieny. Regularne szkolenia z rozpoznawania ataków phishingowych, stosowanie uwierzytelniania wieloskładnikowego oraz testowanie zabezpieczeń mogą znacząco zwiększyć poziom ochrony. Użytkownicy powinni być świadomi narzędzi, które pomagają chronić ich dane - jednym z nich jest możliwość zastrzeżenia numeru PESEL, co zapobiega oszustwom finansowym.
Ochrona danych to proces, który powinien być priorytetem każdego dnia, a nie tylko przy okazji świąt branżowych. Świadomość zagrożeń i wdrażanie skutecznych mechanizmów obronnych mogą znacząco zmniejszyć ryzyko utraty cennych informacji i negatywnych konsekwencji dla firm oraz klientów.