Tajemnicą poliszynela jest to, że ponad dekadę temu miałem przyjemność kierować pewną dużą instytucją państwową, która zajmowała się informatyzacją ochrony zdrowia. Zostało mi z tamtego okresu kilka trwałych odkryć. Jedno z nich brzmi mniej więcej tak: prawdziwa ochrona danych w Polsce jest dobrem luksusowym. Zarezerwowanym dla tych, których stać na odpowiednią armię specjalistów i kilka szaf z serwerami za parę milionów złotych. Dla reszty, czyli dla całego sektora MŚP, ale też dla sporej części dużych firm prywatnych, pozostaje zazwyczaj kombinacja backupu na zewnętrznym dysku i… nadziei.

Przez ostatnie lata ta dysproporcja tylko się pogłębiała. Z jednej strony liczba ataków rośnie w tempie, z którego śledzeniem nie nadążają nawet firmy walczące z tym zawodowo. Z drugiej, koszt profesjonalnego zabezpieczenia utrzymywał się na poziomie skutecznie odstraszającym. Dwa i pół miliona złotych zakupu infrastruktury, kilkanaście tysięcy miesięcznie na utrzymanie oraz dwóch/trzech specjalistów od disaster recovery, których na rynku brakuje, jak lekarzy w POZ… Tymczasem ransomware nie patrzy na wielkość firmy. Szpital powiatowy, kancelaria prawna i średniej wielkości producent z Podkarpacia to cele nie mniej atrakcyjne, jak wielki bank – tyle, że łatwiejsze.

Mówi się, że średni koszt przestoju po poważnym incydencie w polskich realiach to dziś grubo powyżej miliona złotych. Nie wiem, jak liczono tę średnią i czy uwzględnia ona drobnych przedsiębiorców, dla których milion to już absolutnie niewyobrażalna kwota, ale kierunek jest jasny: jeden udany atak potrafi wywrócić firmę do góry nogami albo zakończyć jej istnienie. Nie w sensie przenośnym.

Ransomware kontra dysk z biurka

Znam przedsiębiorców, którzy do momentu pierwszego poważnego incydentu są święcie przekonani, że są dobrze zabezpieczeni, bo mają backup. I faktycznie mają – najczęściej na zewnętrznym dysku, który leży w biurku obok serwera, albo (w wersji nieco bardziej zaawansowanej) na oddzielnej maszynie w tej samej sieci. Z punktu widzenia ransomware’u to mniej więcej tak bezpieczne, jak trzymanie zapasowych kluczy pod wycieraczką.

Znam też takich, którzy, kiedy już przyszło co do czego – odkryli, że owszem, kopie zapasowe się wykonywały, tylko że razem z resztą firmowej infrastruktury zostały elegancko zaszyfrowane. Albo że ostatni poprawny backup, do którego można wrócić, pochodzi sprzed trzech tygodni, bo przez ten czas atakujący po cichu siedzieli w sieci i czekali na dobry moment. Pytanie, czy ktoś chciałby odtwarzać firmę z trzytygodniowego stanu, jest retoryczne.

Tymczasem prawdziwa ochrona wymaga czegoś, co w fachowym żargonie nazywa się fizyczną izolacją. Upraszczając: dane muszą być w miejscu, do którego firmowa sieć nie ma jak się dostać. Żeby atakujący, który przejął kontrolę nad infrastrukturą, nie mógł usunąć albo zaszyfrować kopii zapasowych. Nazywa się to powszechnie na rynku Bunkrem Cyfrowym i do niedawna było dostępne wyłącznie dla wybranych, gdzie budżety mierzy się w milionach. W bankach, w instytucjach rządowych, w korporacjach.

Dwa lata temu moja firma, Engave, rozpoczęła budowę takiego bunkra dla ZUS-u, czyli dla instytucji siedzącej na danych osobowych praktycznie wszystkich Polaków. Projekt ogromny, kosztowny, skomplikowany, a patrząc z perspektywy czasu – powiem nieskromnie – dobrze zrobiony. Siedzieliśmy nad nim długo, a kiedy stanął, miałem poczucie zawodowej satysfakcji zmieszane z pewną frustracją. Bo doskonale wiedziałem, że żaden z moich znajomych przedsiębiorców z sektora MŚP takiego poziomu ochrony u siebie nigdy nie zobaczy. Po prostu ich na to nie stać.

Dominik Żochowski Dominik Żochowski  

Biznesmen, założyciel i współwłaściciel Engave, ekspert w dziedzinie IT i cyfryzacji ochrony zdrowia. Jako Dyrektor Generalny CSIOZ odpowiadał za strategię cyfryzacji sektora zdrowia i wdrażanie kluczowych systemów informatycznych. Ceniony ekspert, znany z bezkompromisowego podejścia i strategicznego myślenia. Doskonale łączy kompetencje techniczne z biznesowym wyczuciem, budując długoterminowe relacje z klientami i partnerami. Jego praca miała znaczący wpływ na cyfryzację sektora zdrowia i rozwój nowoczesnych systemów IT w Polsce.