Nowa normalność, nowe bezpieczeństwo

Światowe media przynajmniej kilka razy w miesiącu informują o włamaniach do sieci, naruszeniach poufności danych czy spektakularnych atakach z wykorzystaniem złośliwego oprogramowania ransomware. Bohaterami tych historii są światowe koncerny (m.in. eBay, British Airways, Equifax czy Marriott International). A kiedy tak grube ryby wpadają do sieci, wiadomości bardzo szybko się rozchodzą. Taki obraz, przekazywany przez niezaznajomionych ze szczegółami dziennikarzy, stwarza fałszywe przekonanie, że małe biznesy znajdują się poza orbitą zainteresowania hakerów. Tymczasem, według różnego rodzaju badań, od 40 do 50 proc. cyberataków jest ukierunkowanych właśnie na MŚP, gdyż cyberprzestępcy postrzegają mniejsze przedsiębiorstwa jako stosunkowo łatwy cel.

Jak wynika z informacji zawartych w Data Breach Investigation Report 2020, do wycieków danych w małych i średnich przedsiębiorstwach najczęściej dochodziło na skutek ataków phishingowych. Kolejnym poważnym zagrożeniem dla MŚP jest ransomware. Eksperci z ESET-u w podsumowaniu dotyczącym II kw. br. zauważają, że choć liczba tego typu incydentów nie rośnie, to niepokoić może ich ukierunkowany charakter, a wraz z nim rosnąca skuteczność.

Zgubna wiara we własne siły

Cyberataki stały się nieodłącznym elementem biznesowego krajobrazu. Jednak wciąż wielu przedsiębiorców nie posiada zdefiniowanej polityki bezpieczeństwa, działając według zasady „jakoś to będzie”. W tym kontekście warto zwrócić uwagę na wyniki niedawnych badań Infrascale, według których aż 92 proc. menedżerów z małych i średnich firm deklaruje gotowość do odparcia cyberataku i przekonanie, że w razie poważnej awarii informatycznej będzie możliwe uporanie się z jej skutkami bez dużej szkody dla firmy. Według wielu specjalistów z branży IT takie podejście należy uznać za zuchwałe.

– Lista błędów popełnianych przez MŚP jest bardzo długa. Pandemia obnażyła słabości realizowanej przez nie polityki bezpieczeństwa, a czasami po prostu jej brak. Jednym z przykładów był brak zabezpieczeń oprogramowania do wideokonferencji, w efekcie czego praktycznie każdy mógł dołączyć do spotkania i dezorganizować je. Spotkałem się też z sytuacją, gdy jeden z pracowników naszego klienta zgubił komputer ze zdefiniowanym połączeniem VPN z siecią firmową i… zapisanymi na stałe hasłami – mówi Grzegorz Michałek, CEO Arcabitu.

Tego typu historie można mnożyć niemal w nieskończoność. Przykładowo, analitycy Netskope zauważyli, że wraz ze wzrostem popularności pracy zdalnej ruch na stronach „dla dorosłych” wzrósł o 600 proc. Kolejne ciekawe spostrzeżenie dotyczy źródła ataków. Analiza przeprowadzona od stycznia do czerwca 2020 r.wykazała, że 63 proc. złośliwych narzędzi trafiło do użytkowników sieci przez aplikacje chmurowe, m.in.  Microsoft One-Drive for Business, SharePoint, Google Drive i Amazon S3. Wraz z przyrostem liczby zdalnych pracowników ryzyko wystąpienia ataków uległo zwielokrotnieniu.

Przy okazji wyszło na jaw, że część użytkowników z sektora MŚP nie korzysta z rozwiązań do backupu czy procedur przywracania operacyjności z systemów kopii zapasowych. A przecież nie ma problemu z dostępnością sprzętu bądź oprogramowania służącego do ochrony urządzeń końcowych, sieci czy danych. Kłopot polega na tym, że nie wiadomo, czy przedsiębiorcy znajdą środki na zakup zabezpieczeń, a także na zatrudnienie odpowiednich specjalistów. Grzegorz Michałek uważa, że właściciele małych i średnich firm, zanim zdecydują się na wprowadzanie istotnych zmian w systemie ochrony, powinni odpowiedzieć sobie co najmniej na dwa pytania: czy potrafią wdrożyć we własnym zakresie takie rozwiązania i czy będą w stanie utrzymać bieżące działanie tego typu narzędzia na optymalnym poziomie?

Zdaniem integratora

Dla kogo EDR?

Cyberataki stają się coraz bardziej dynamiczne, czego świetnym przykładem jest oprogramowanie WannaCry, które może zaszyfrować plik w mniej niż trzy sekundy. Niesłychanie niebezpieczny i szybki jest także EKANS – ransomware atakujący systemy przemysłowe. Jego ofiarą padła prawdopodobnie Honda, która musiała wstrzymać pracę biura w Japonii oraz kilku oddziałów na świecie. Analitycy IDC wykazali, że 70 proc. wszystkich udanych naruszeń sieci rozpoczyna się od urządzeń końcowych, których liczba ciągle rośnie, między innymi za sprawą rozwoju Internetu rzeczy. Sytuację dodatkowo pogarszają skutki COVID-19, bo osoby pracujące w domu nierzadko korzystają z urządzeń, których zabezpieczenia pozostawiają wiele do życzenia.

Narzędziem, który potrafi uporać się z powyższymi wyzwaniami jest EDR (Endpoint Detection and Response). Jego podstawowe zadania polegają na wyszukiwaniu incydentów i prowadzeniu pogłębionych analiz, wykrywaniu i informowaniu o podejrzanych zdarzeniach, jak też zatrzymywaniu złośliwych aktywności na stacjach końcowych. EDR realizuje skomplikowane operacje, w związku z czym do jego obsługi potrzebni są specjaliści od bezpieczeństwa. Taką narracją posługiwali się – przynajmniej do niedawna – producenci i dystrybutorzy, a samo narzędzie pozycjonowane było jako rozwiązanie dla klientów korporacyjnych. Niemniej w ostatnim czasie coraz częściej mówi się o zastosowaniu EDR w małych i średnich przedsiębiorstwach.

– Jedną z przyczyn małej popularności rozwiązań EDR w sektorze MŚP jest przekonanie, że takie systemy są drogie i skomplikowane we wdrożeniu oraz obsłudze. Nie jest to prawda i większość małych i średnich firm może z takich systemów korzystać. Niemniej, żeby tak się stało, niezbędna jest praca edukacyjna ze strony integratorów – przekonuje Anna Piechocka, dyrektor zarządzająca w Dagmie.

Spore pole do popisu mają też producenci, który powinni dążyć do tego, aby maksymalnie uprościć działanie systemów EDR. Tym bardziej, że brak rąk do obsługi może hamować tempo ich adopcji wśród klientów MŚP. Według Karola Labe, CEO Miecznetu, nawet doświadczony informatyk w małej firmie nie znajdzie czasu na ciągłą analizę ruchu sieciowego. Dlatego też vendorzy cały czas poszukują rozwiązań, które pozwolą systemom EDR na wyjście poza wąski krąg użytkowników korporacyjnych.

– Istnieje możliwość automatyzacji niektórych funkcji EDR, dzięki czemu człowiek angażowany jest tylko do wykonywania najbardziej niezbędnych czynności. Rozwiązanie może być też dostarczane w ramach usługi Managed Threat Response – podkreśla Łukasz Formas, kierownik zespołu inżynierów w Sophosie.

UTM – wymarzony dla MŚP

O ile małe i średnie firmy bardzo ostrożnie podchodzą do oprogramowania EDR, o tyle nie obawiają się inwestycji w systemy UTM (Unified Threat Management). Cieszą się one w tej grupie odbiorców nieustającą popularnością. Na ogół zakup tych produktów jest podyktowany rozsądnym podejściem, uwzględniającym ograniczenia budżetowe i kadrowe, które często występują w sektorze MŚP.

Rynek małych i średnich przedsiębiorstw stanowi łakomy kąsek także dla dostawców firewalli, ale rozpoczęcie sprzedaży produktów z tego segmentu nie jest łatwe właśnie ze względu na dominację UTM-ów. Niemniej, zwolennicy fierwalli podkreślają, że przeszły one w ostatnich latach głęboką metamorfozę, czego najlepszym przykładem są rozwiązania nowej generacji, określane jako Next Generation Firewall (NGFW). To platformy, które są wyposażone w system antywirusowy, filtr antyspamowy, a także mechanizmy zapewniające ochronę przed włamaniami. Jak widać, nowoczesne firewalle coraz bardziej upodobniają się do UTM-ów, co jednak nie znaczy, że zyskają nad nimi przewagę.

– UTM to rozwiązanie szyte na miarę małych i średnich firm. Mimo że zapewnia wiele narzędzi do ochrony sieci, jest bardzo łatwe w konfiguracji i obsłudze. Systemy tej klasy będą pierwszym wyborem wśród odbiorców MŚP i ten trend szybko się nie zmieni – przekonuje Karol Labe.

A może usługa?

W Stanach Zjednoczonych, a także w Europie Zachodniej, gdzie deficyt specjalistów od ochrony danych staje się ogromnym problemem, bardzo szybko rośnie popularność zarządzanych usług bezpieczeństwa. Agencja badawcza MarketsandMarkets szacuje, że globalny rynek Managed Security Services (MSS) osiągnie na koniec tego roku wartość 31,6 mld dol., zaś w ciągu najbliższych pięciu lat urośnie do poziomu 46,6 mld dol. Również w Polsce powoli otwiera się przestrzeń do wprowadzenia na szerszą skalę tego modelu sprzedaży. I choć to ciekawy obszar do działania dla rodzimych integratorów, nie jest wcale łatwy, co jednak nie zniechęca tych, którzy już próbują swoich sił w tym zakresie. Zwykle oferują swoje usługi na bazie rozwiązań Cisco lub ESET-a.

– W obecnej rzeczywistości, kiedy działy IT odpowiadają za wdrożenia lawinowo przyrastających aplikacji, systemy należące do niższej warstwy, a więc infrastruktura, a od niedawna również bezpieczeństwo, są coraz częściej nabywane w ramach usługi rozliczanej miesięcznie z gwarantowanym SLA – mówi Jarosław Jaworski, właściciel firmy Vayana Technologie Informatyczne.

Czynnikiem motywującym do współpracy z zewnętrznym usługodawcą jest natłok zadań, jakie mają do wykonania pracownicy działów IT w małych i średnich przedsiębiorstwach. Przemęczenie i stres, obok braku know-how, jak najbardziej mogą bowiem prowadzić do popełnienia błędów w zakresie cyberochrony. Zresztą podobne kłopoty mają osoby zatrudnione w Operacyjnych Centrach Bezpieczeństwa (SOC). Według Ponemon Institute aż 60 proc. pracowników takich jednostek rozważa rezygnację. Pomimo zalet, jakie niesie ze sobą model MSS, nie wszyscy wierzą w jego szybką adaptację w Polsce. Jednym z największych wyzwań, jakie stoją przed integratorami, jest zapewnienie bardzo wysokiego poziomu usług.

– Niestety, w Polsce wciąż nadrzędna jest zasada, że cena czyni cuda. A przecież usługi bezpieczeństwa nie mają prawa być tanie. System wdrożony przez integratora, który wygrał przetarg dzięki najkorzystniejszej ofercie cenowej, zawiedzie wraz z pierwszym poważnym incydentem – podsumowuje Grzegorz Michałek.

Zdaniem specjalisty

Łukasz Formas, kierownik zespołu inżynierów, Sophos  

Zauważalnie postępuje wzrost liczby inwestycji w narzędzia do zarządzania dostępem i bezpieczeństwem firmowej sieci oraz informacji. Trend przyspieszyło wprowadzenie przepisów RODO, chroniących wrażliwe dane osobowe i nakładających wysokie kary za niestosowanie się do wymogów. Dodatkowym katalizatorem dla firm było przestawianie działalności na model pracy zdalnej. W efekcie potrzebne stały się inwestycje w rozwiązania chroniące zdalny dostęp i dane „wystawione” poza firmę. W ostatnich miesiącach dostrzeżono wiele zalet zdalnej pracy, takich jak oszczędności czy wzrost wydajności. Prawdopodobnie, nawet gdy zagrożenie minie, nie wrócimy całkowicie do starego modelu pracy z biura – oczywiście tam, gdzie będzie to możliwe. Przyczyni się to do dalszego rozwoju usług z zakresu bezpieczeństwa wrażliwych informacji oraz kontroli dostępu do systemów IT.

  

Tomasz Rot, dyrektor sprzedaży na Europę Środkowo-Wschodnią, Barracuda Networks  

Niezależnie od tego, jak będzie wyglądać „nowa normalność”, już dziś wiemy, że postawi ona przed osobami odpowiedzialnymi za bezpieczeństwo IT wiele nowych wyzwań. COVID-19 przyśpieszył jedynie istniejące już od kilku lat w IT trendy, szczególnie jeżeli chodzi o adopcję rozwiązań bazujących na chmurze publicznej. Właśnie w tym obszarze następuje zmiana, więc rodzime małe i średnie firmy powinny bliżej przyjrzeć się, na ile już korzystają z usług chmurowych, między innymi w postaci aplikacji typu SaaS. Drugim istotnym aspektem, na który warto zwrócić uwagę, są pracownicy będący łatwym celem ataków wykorzystujących metody socjotechniczne. Ich liczba wzrosła o ponad 600 proc. od czasu wybuchu pandemii. Jest to zatem najwyższy czas, aby zastanowić się, czy firmy dysponują narzędziami rozpoznającymi takie ataki, a ich personel jest dobrze przeszkolony i ma wyrobione odpowiednie nawyki, które pozwalają zminimalizować na przykład ryzyko wycieku danych.

  

Silviu Stahie, Security Analyst, Bitdefender  

Pandemia udzieliła surowej lekcji firmom z sektora małych i średnich przedsiębiorstw. Teraz każda z nich musi przejść na technologię cyfrową i to za wszelką cenę, nawet jeśli wiąże się to z nakładami na zapewnienie cyberbezpieczeństwa. Niestety, tegoroczne badanie Bitdefendera ujawniło, że 50 proc. firm nadal nie ma planów awaryjnych na wypadek COVID-19. Z jednej strony nie ma więc wątpliwości, że pandemia zmusza firmy do lepszego przygotowania się i większych inwestycji w cyberbezpieczeństwo, a z drugiej trudno ocenić, czy te inwestycje będą bardziej znaczące, niż byłyby, gdyby pandemia nigdy się nie wydarzyła.

  

Mateusz Pastewski, Cybersecurity Sales Specialist, Cisco  

Z pewnością coraz więcej zadań integratorów będzie wiązało się z wdrożeniem i optymalizacją rozwiązań do pracy zdalnej, a także zapewnianiem ich bezpieczeństwa. Zespoły IT musiały w ostatnim czasie zarządzać dużo bardziej rozproszonym środowiskiem, co niejednokrotnie stanowiło poważnie wyzwanie. Nie mówimy już jedynie o bezpieczeństwie kilku oddziałów firmy, ale bezpieczeństwie każdego pracownika, niezależnie skąd wykonuje swoje obowiązki. Konieczne stało się zapewnienie chociażby dostępu do VPN-a, aby każdy mógł korzystać z bezpiecznej sieci. Wzrosła także popularność uwierzytelniania wieloskładnikowego, jak też rozwiązań chroniących warstwę DNS czy urządzenia końcowe.

  

Anna Piechocka, dyrektor zarządzająca, Dagma  

Pandemia przyspieszyła tempo zmian w świecie IT i wpłynęła na nasilenie aktywności hakerów, którzy próbują wykorzystać bieżącą sytuację. Jednak od strony technicznej, świat IT, a w szczególności bezpieczeństwa IT, jest gotowy na zmiany, jakie zaszły. Na rynku są dostępne różne narzędzia, w tym systemy EDR i DLP, zapewniające ochronę poufnych informacji i właściwe monitorowanie pod kątem pojawiających się zagrożeń w rozproszonych sieciach, do których podłącza się wiele osób pracujących zdalnie. Z różnych przyczyn były one umiarkowanie popularne wśród odbiorców z rynku MŚP. Teraz ta sytuacja powinna ulec radykalnej zmianie i coś, co jeszcze niedawno było kwestią odległej przyszłości, jest potrzebne tu i teraz.