Wraz z postępem technologicznym następuje powszechna informatyzacja i cyfryzacja przedsiębiorstw, co daje ogromną szansę na dynamiczny rozwój biznesu. Prócz niezaprzeczalnych możliwości jakie niesie postęp informatyczny, przedsiębiorcy muszą być jednak świadomi i przygotowani na cyberzagrożenia związane z tym postępem.
Dane statystyczne publikowane przez podmioty zajmujące się monitoringiem cyberprzestrzeni i cyberbezpieczeństwa mogą być porażające. Jak wynika z raportu VMware Carbon Black, w 2020 roku 92% firm na świecie stało się ofiarą cyberataków z wykorzystaniem złośliwego oprogramowania[1]. Co istotne cyberatakami zagrożone są nie tylko duże podmioty gospodarcze, ale również mali i średni przedsiębiorcy (MŚP). Wspomniany raport wskazuje chociażby, że w 2020 roku największy – średnio o 61% – wzrost liczby cyberataków odnotowały firmy zatrudniające od 500 do 1000 osób. Z kolei jak donosi w swoim raporcie firma Vecto, w 2020 roku 64,17% polskich firm potwierdziło odnotowanie zdarzenia, które stanowiło zagrożenie lub wprost doprowadziło do utraty lub zaszyfrowania danych firmowych, co w porównaniu do 2019 r. oznacza wzrost o 19%[2].
Wśród największych cyberzagrożeń dla firm należy wskazać m.in. wycieki danych/baz danych. Cyberprzestępcy wykradają dane przy wykorzystaniu najróżniejszych metod i technik (często wzajemnie powiązanych i krzyżujących się) jak np.: exploity (wykorzystywanie luk w oprogramowaniu), vulnerabilities (podatności aplikacji np. SQL Injection), phishing (pozyskiwanie wrażliwych informacji i danych z wykorzystaniem przede wszystkim poczty elektronicznej oraz wiadomości SMS), social engineering (socjotechnika bazująca na metodach manipulacyjnych), malware (złośliwe oprogramowanie).
Innym poważnym zagrożeniem dla przedsiębiorców są ataki ransomware. Ransomware to rodzaj złośliwego oprogramowania, którego celem jest zaszyfrowanie danych na dysku i wymuszenie na ofierze okupu za odszyfrowanie danych oraz ich nieupublicznianie.
Warto również wymienić ataki typu DDoS, których mechanizm polega na sztucznym generowaniu wzmożonego ruchu na serwerze ofiary np. przy pomocy botnetu (sieci zainfekowanych komputerów), co w konsekwencji prowadzi do jego zablokowania (odmowy dostępu).
Jak wykazał raport Cisco z 2020 roku MŚP narażeni są i muszą zmagać się z tymi samymi cyberzagrożeniami co duże firmy[3].
Straty finansowe jakie ponoszą przedsiębiorcy w związku z cyberatakami są ogromne. Przykładowo średnia wartość okupu za ransomware to obecnie już kwota ponad 1 mln $. W 2019 roku ransomware spowodował globalne straty szacowane na 11,5 miliarda dolarów. Znaczne wydatki związane z cyberatakiem generuje identyfikacja i ocena zagrożenia, a także pomoc prawna i zarządzanie kryzysowe. Przywrócenie infrastruktury IT do stanu pierwotnego (sprzed cyberataku) może zabierać nawet 3-4 tygodnie, co wiąże się z dodatkowymi kosztami i spadkiem obrotów. Co więcej firmy muszą liczyć się z wysokimi karami za naruszenie RODO realnie sięgającymi w Polsce milionowych kwot (przykłady z 2020 roku: morele.net – 2,8 mln zł, Virgin Mobile Polska – 2 mln zł).
Specjaliści podkreślają, że żaden system nie jest w 100% bezpieczny i odporny na cyberzagrożenia, co nie zmienia faktu, iż można i należy te zagrożenia minimalizować. Wobec tego nieodzowne stają się szkolenie pracowników i kadry menedżerskiej m.in. z zakresu prawnych i technicznych aspektów cyberbezpieczeństwa. Odpowiedzialne firmy powinny regularne przeprowadzać audyt bezpieczeństwa systemów informatycznych i sieci komputerowych, jak również prowadzić działania związane z opracowaniem analizy ryzyka oraz planu postępowania z ryzykiem. Standardem powinno być opracowanie polityki bezpieczeństwa m.in. odpowiadającej wymogom RODO. Mając na uwadze potencjalne incydenty bezpieczeństwa danych osobowych, firmy powinny zadbać o klarowną procedurę ich obsługi. Warto również, aby przedsiębiorcy zwrócili swoją uwagę w kierunku coraz powszechniej oferowanych ubezpieczeń od zagrożeń cybernetycznych.
Izabella Żyglicka, Radca Prawny Żyglicka i Wspólnicy
Michał Korszla, Adwokat Żyglicka i Wspólnicy
Radca Prawny Izabella Żyglicka pełni funkcję Rzecznika Praw Przedsiębiorców w kadencji 2018-2023.
e-mail: rzecznik@rig.katowice.pl
Artykuł ukazał się w marcowym wydaniu magazynu Business HUB „Wolny Rynek”.
Wersja online numeru do pobrania: CZYTAJ TUTAJ.
[1] https://www.carbonblack.com/resources/2020-cybersecurity-outlook-report/
[2] https://vecto.pl/doc/Vecto-Cyberbezpieczenstwo-polskich-firm-2021.pdf
[3] https://www.cisco.com/c/dam/en/us/products/collateral/security/2020-smb-cybersecurity-series-may-2020.pdf?CCID=cc000160&DTID=odicdc000509&OID=rptsc021237