Polskie firmy w tym roku są narażone na wręcz zmasowany ostrzał cyberprzeprzestępców. We wrześniu br. krajowe organizacje były atakowane średnio 631 razy w tygodniu, czyli co około 26 minut – jak wynika z danych Check Point Research. Sytuacja się pogarsza, bo choć średnia za trzy kwartały 2021 r. to 567 ataków tygodniowo, to i tak oznacza o 38 proc. więcej niż w roku 2020. Eksperci odnotowują przy tym prawdziwy szturm przy wykorzystaniu programów typu ransomware. W Polsce wykryto ponad dwukrotnie więcej takich ataków niż wynosi średnia światowa, a we wrześniu br. wzrost (rok do roku) wyniósł 80 proc.

Jednocześnie pogarsza się dostępność specjalistów od bezpieczeństwa cyfrowego, co skutkuje tym, że w wielu organizacjach nie ma żadnego fachowca z tej działki. W 2020 r. ponad połowa polskich firm (52 proc.) nie korzystała z takich ekspertów wobec 42 proc. w roku 2019 r. – wynika z raportu Vecto.

– Bardzo wiele mniejszych firm nie ma własnych zespołów do spraw bezpieczeństwa albo nawet działu IT i polega na partnerach, którzy często pełnią rolę zaufanych doradców. Umiejętne budowanie i wykorzystywanie takich relacji może być więc dla integratorów podstawą długofalowego, stabilnego biznesu – przekonuje Tomasz Rot, dyrektor sprzedaży na Europę Środkowo-Wschodnią w Barracuda Networks.

Nieco lepsze, przynajmniej dla średnich podmiotów, dane na temat specjalistów od cyberochrony przynosi raport Urzędu Komunikacji Elektronicznej. Otóż 22 proc. mikro firm deklaruje, że zatrudnia osoby zajmujące się zabezpieczeniem sieci i danych (choć z badania nie wynika, jaki jest poziom fachowości takich osób). Jednak wśród firm małych (10 – 49 osób) i średnich (50 – 249 osób) ten odsetek sięga już około 75 proc.

Praca zdalna pełna luk

Jak przyznają dostawcy, w ostatnim roku największe zagrożenia dla MŚP (i nie tylko) są od lat te same – ransomware, ataki na e-mail (często z wykorzystaniem phishingu), nieautoryzowany dostęp i kradzież danych, jak też utrata ciągłości działania na skutek ataku. Nowe w ostatnich kwartałach jest to, że cyberprzestępcy nadal starają się wykorzystać zmianę modelu pracy, na którą wiele organizacji nie było przygotowanych. Na przykład Eset w okresie pandemii odnotował wzrost ilości ataków typu „brute force” na zdalny pulpit o 768 proc. (pomiędzy pierwszym i ostatnim kwartałem 2020 r.).

– Coraz częściej wyzwaniem dla administratorów jest zapewnianie bezpieczeństwa w warunkach pracy rozproszonej, gdzie podział na sieć wewnętrzną i Internet częściowo traci na znaczeniu – mówi Paweł Jurek, wicedyrektor ds. rozwoju w Dagmie.

Ryzyka powoduje zwłaszcza to, że obecnie działy IT nie mają pełnej kontroli nad zdalnymi połączeniami i urządzeniami, a wielu pracowników zdalnych jest na bakier z bezpieczeństwem. Nadal VPN nie stanowi normy, a domownicy mają słabe hasła dostępu do Wi-Fi i niechronione routery. Co więcej, nierzadko dzieci korzystają z laptopów rodziców i przypadkiem mogą zainstalować jakieś szkodniki. Kolejne kłopoty z cyberochroną może powodować to, że przedsiębiorstwa coraz częściej sięgają po usługi chmurowe, więc pracownicy przetwarzają poufne dane korzystając z narzędzi poza siecią firmy.

W związku z zagrożeniami związanymi z pracą zdalną i utrwalony już – jak się wydaje – model pracy hybrydowej, kluczowe staje się zdefiniowanie i wdrożenie takiej polityki bezpieczeństwa, która uwzględnia zdalne lokalizacje.

– Tylko wdrożona polityka bezpieczeństwa i dostępu do lokalnej sieci pozwala utrzymać odpowiedni poziom ochrony. Administratorzy muszą mieć możliwość nie tylko tworzenia polityk bezpieczeństwa stacji zdalnych – jak kontrola aplikacji, filtrowanie URL, blokada możliwości podpięcia urządzeń peryferyjnych, ale też decydowania o tym, jakie aplikacje są dostępne wewnątrz sieci – podkreśla Grzegorz Nocoń, inżynier systemowy w Sophosie.

Za duże uprawnienia, za mało nadzoru

Obecnie małe i średnie firmy zwykle koncentrują się na najważniejszych dla nich elementach bezpieczeństwa: mają jakąś ochronę poczty, antywirusową końcówek i sieci z pomocą UTM. Tymczasem, zdaniem specjalistów, w przypadku zdalnego dostępu często uprawnienia do korzystania z niego są nadawane zbyt szeroko i jest on pozostawiany bez właściwego nadzoru. A to sprawia, że pracownicy zdalni stają się jednym z głównych wektorów zagrożeń. W tym kontekście warto rozważyć zabezpieczenie zdalnego dostępu z użyciem modelu zerowego zaufania.

– Jednym z wyzwań zdalnego dostępu jest możliwość spójnego wymuszania polityki bezpieczeństwa dla wszystkich użytkowników, niezależnie od ich lokalizacji. To zadanie ułatwiają rozwiązania pozwalające na ochronę w warstwie DNS, a do tego firewall i proxy chmurowe – mówi Grzegorz Górniak, Business Unit Manager Cisco w Tech Dacie.

Ponieważ czynnik ludzki jest jednym z najsłabszych elementów bezpieczeństwa cyfrowego, klienci w sektorze MŚP muszą postawić na szkolenia, bez których nawet najlepsze zabezpieczenia technicznie nie wystarczą. A świadomi zagrożeń mogą stać się znakomitą pierwszą linią obrony.

Zdaniem integratora

Rafał Pezowicz, kierownik zespołu ds. bezpieczeństwa, Vida   

W tym roku zainteresowanie rozwiązaniami bezpieczeństwa w sektorze MŚP jest większe niż w roku ubiegłym. Szacuję, że ten wzrost wynosi jakieś 20–30 proc., co wiąże się z większą liczbą ataków. Często jest tak, że firmy zgłaszają się do nas po pomoc, gdy już pojawi się jakiś problem. Zwykle chodzi o ataki ransomware. Ponadto przedsiębiorcy oczekują poprawy ochrony pracy zdalnej. Niemało z nich zdaje sobie sprawę, w każdym razie wśród średnich organizacji, że wymaga ona wdrożenia odpowiednich zabezpieczeń. Działamy przede wszystkim w modelu transakcyjnym, bo w tym mamy doświadczenie i tego oczekują klienci. Oczywiście widzimy, że producenci zmierzają do modelu „as-a-service”, natomiast w tej chwili trudno mi ocenić, czy to jest dla nas bardziej korzystne. Wydaje mi się, że niezbędne byłoby wsparcie vendorów, abyśmy mogli zwiększyć zakres działalności jako dostawca usług bezpieczeństwa.

  

Więcej VPN i SD-WAN

Tym niemniej od początku pandemii dostawcy odnotowują wzrost zainteresowania rozwiązaniami zabezpieczającymi dostęp pracownikom zdalnym do sieci firmowej. A to sugeruje, że świadomość zagrożeń nie jest wcale tak mała, jak mogłoby się to wydawać. Według raportu Vecto jedynie 24 proc. pytanych firm uważa, że ich sieć jest dobrze zabezpieczona. Przed pandemią było zaś tego pewnych 44 proc. respondentów, co swoją drogą i tak nie stanowi powalającego odsetka.

– Administratorzy odpowiadający za bezpieczeństwo oraz integratorzy, którzy dostarczają rozwiązania i doradzają w zakresie cyberbezpieczeństwa, bardzo szybko zdefiniowali najważniejsze obszary, w których wymagane były zmiany – twierdzi Grzegorz Szmigiel, dyrektor techniczny w Veracomp – Exclusive Networks.

Jak wylicza, w minionych kwartałach duża część projektów dotyczyła rozbudowy infrastruktury VPN dla użytkowników mobilnych, budowy mechanizmów SD-WAN, poprawy bezpieczeństwa na stacjach końcowych (dzięki narzędziom wykorzystującym nowe techniki analizy zagrożeń) czy uzupełnienia mechanizmów kontroli dostępu o funkcje uwierzytelniania wieloskładnikowego.

Krakowski VAD odnotował też zapotrzebowanie na narzędzia, które miały pomagać w rozpoznawaniu nowych niebezpiecznych kodów (głównie sandboxing dla urządzeń sieciowych oraz urządzeń klienckich), a także chronić użytkowników przed bardzo popularnymi atakami socjotechnicznymi.

– Tendencja w zakresie opisanych technologii pierwszego wyboru raczej nie zmieni się w najbliższym czasie. W firmach, które uzupełnią swoje podstawowe potrzeby w zakresie cyberbezpieczeństwa, przyjdzie czas na implementację rozwiązań, które będą analizować zachowania zarówno na stacjach, jak i w infrastrukturze sieciowej: EDR oraz NDR – uważa Grzegorz Szmigiel.

Dodatkowe usługi zwiększą przychody

Choć rozwiązania do cyberochrony nadal najczęściej dostarczane są w modelu transakcyjnym, to dostawcy obserwują wzrost zainteresowania klientów zarządzanymi usługami bezpieczeństwa. Co oznacza, że zwłaszcza dla firm, które nie mają własnych specjalistów ds. bezpieczeństwa i działów IT, outsourcing może być wygodnym rozwiązaniem. Integratorzy w takim układzie mogą oferować swoje usługi i stawać się doradcami ds. bezpieczeństwa.

– Partnerom takie dodatkowe usługi pozwalają zwiększać przychody. Model MSSP umożliwia też dopasowanie do klienta oferty długo- i krótkoterminowej – mówi Grzegorz Nocoń.

Jak jednak podkreślają specjaliści, nie ma jednego optymalnego modelu dostarczania rozwiązań bezpieczeństwa – wiele zależy od specyfiki konkretnego klienta, w tym jego infrastruktury, branży, w której działa czy przepływów finansowych, ale także rotacji pracowników, specyfiki działania i innych czynników. Dlatego mimo trendu w kierunku „as-a-service” jednorazowe sprzedaże nadal będą mieć znaczący udział w rynku i prędko nie znikną. Zwłaszcza że, jak podkreśla Tomasz Rot, są klienci, którzy dysponują budżetem na IT na dany rok – lub nawet na kilka lat – i wolą ponieść jednorazowy wydatek na produkt z licencją wieloletnią. Przy czym firmy o stabilnym, przewidywalnym biznesie mogą preferować nakłady CAPEX, podczas gdy organizacje rozwijające się dynamicznie, działające w sezonowym biznesie czy w sytuacji wysokiej niepewności rynkowej, mogą preferować rozwiązania bardziej elastyczne, które pozwalają na bieżąco dostosowywać koszty do potrzeb i nie ponosić nakładów na kilka lat naprzód.

– Reseller, który rozumie biznes klienta i potrafi mu skutecznie doradzić jest w takich sytuacjach na wagę złota – podsumowuje Tomasz Rot.

Zdaniem specjalisty 

Paweł Jurek, wicedyrektor ds. rozwoju, Dagma Paweł Jurek, wicedyrektor ds. rozwoju, Dagma  

Jeden optymalny model dostarczania rozwiązań bezpieczeństwa nie istnieje – każdy partner wybiera ten, który jest dla niego najkorzystniejszy, uwzględniając własne doświadczenia, bazę obecnych klientów i swoje plany. Obecnie najczęściej dostarczane są licence on premise, co wiąże się też z przyzwyczajeniami zakupowymi klientów. Wielu naszych partnerów przez lata dostosowało do tego modelu swoje procesy biznesowe, cyklicznie powracając do klienta wraz z zakończeniem licencji terminowej. W Polsce stosunkowo nowym modelem zyskującym stopniowo na popularności jest dostawca zarządzanych usług bezpieczeństwa – MSSP. Taki partner może uruchomić i wyłączyć ochronę dla konkretnych klientów poprzez swoje konto w konsoli producenta, zdalnie zarządzać opcjami bezpieczeństwa, sprawdzać stan sieci swojego klienta i modyfikować polityki bezpieczeństwa.

  
Grzegorz Górniak, Business Unit Manager Cisco, Tech Data Grzegorz Górniak, Business Unit Manager Cisco, Tech Data  

Małe i średnie firmy są uważane przez cyberprzestępców za stosunkowo łatwe cele, bo nie dysponują dużymi budżetami na ochronę, brak im też praktyki i personelu do zarządzania oraz reagowania na zagrożenia. Dlatego coraz częściej współpracują z zewnętrznymi dostawcami usług bezpieczeństwa – MSSP, którzy mają zasoby do rozwiązywania problemów klienta i dbają o wdrażanie nowości technicznych. Główne wektory ataków są od dawna takie same, to jest poczta elektroniczna i kradzież tożsamości. Dlatego należy pamiętać o dodatkowych środkach zabezpieczenia e-maili zarówno w formie lokalnej – sprzętowej lub wirtualnej chmurowej bądź hybrydowej. Dla ochrony tożsamości konieczne staje się uwierzytelnianie wieloskładnikowe, bo nawet skomplikowane i często zmieniane hasła już nie stanowią wystarczającej ochrony.

  
Tomasz Rot, dyrektor sprzedaży na Europę Środkowo-Wschodnią, Barracuda Networks Tomasz Rot, dyrektor sprzedaży na Europę Środkowo-Wschodnią, Barracuda Networks  

Wobec lawinowego wzrostu użycia usług chmurowych klienci szukają sposobu na ich zabezpieczenie. Zwykle bowiem model odpowiedzialności jest skonstruowany tak, że to użytkownik usługi musi zadbać o jej konfigurację i bezpieczeństwo. Przykładem może być tutaj backup środowiska Office 365. Microsoft zapewnia retencję danych na poziomie 90 dni, natomiast klienci, którzy potrzebują dłuższego okresu utrzymywania danych – choćby w celu zapewnienia zgodności z obowiązującymi ich przepisami – muszą skorzystać z rozwiązań firm trzecich. Dużą rolę mogą tu pełnić partnerzy handlowi, pomagając klientowi w wyborze, wdrożeniu i skonfigurowaniu odpowiedniego rozwiązania zgodnie z jego potrzebami.

  
Grzegorz Szmigiel, dyrektor techniczny, Veracomp – Exclusive Networks Grzegorz Szmigiel, dyrektor techniczny, Veracomp – Exclusive Networks  

Elementy bezpieczeństwa infrastruktury pozostaną  z nami w obecnej formie tak długo, jak zasoby teleinformatyczne – aplikacje, serwery, bazy danych czy stacje użytkowników – będą utrzymywane lokalnie. Najwięcej zalet będą nadal oferowały komercyjne platformy sprzętowe, z uwagi na swoją wydajność i kompleksowość. Jeśli chodzi o systemy zarządzania bezpieczeństwem, analizę behawioralną, mechanizmy uwierzytelniania wieloskładnikowego, ochronę poczty oraz platformy szkoleniowe, to już teraz dostarczane są one w modelu chmurowym, który połączony z rozliczaniem abonamentowym jest dla wielu firm bardzo atrakcyjny. Z punktu widzenia kosztów proces budowania kompleksowych mechanizmów zabezpieczeń to duże wyzwanie, ale już teraz wielu operatorów MSSP ułatwia je, oferując usługi połączone z analityką, raportowaniem i zarządzaniem zasobami. Wydaje się, że najwięcej korzyści klientom z sektora MŚP może przynieść model MSSP.