Żeby być bezpiecznym, należy dać się zhakować?

Autor opublikowano 11/10/2018 10:38
liczby ataków hakerskich

Każda firma, bez względu na wielkość i branżę, jest zagrożona atakiem hakerskim. Współcześnie udział w szkoleniu z RODO i hasła na 12 znaków nie są już wystarczającymi działaniami zapobiegającymi atakom cyberprzestępców. Czy istnieje sposób, by firmowe bazy danych były bezpieczne?

Kwestia cyfrowego bezpieczeństwa stanowi jeden z najważniejszych tematów naszych czasów. W ciągu ostatnich lat zaobserwowano nieustanne zwiększanie się liczby ataków hakerskich, co w Polsce niestety nie przełożyło się równolegle na zwiększenie działań im zapobiegających.

Atak hakera to dla firmy ogromne straty finansowe

W związku z niedawno wprowadzonymi regulacjami Unia Europejska ustanowiła kary za utratę danych osobowych, które sięgają nawet 20 milionów euro. Choć już ta kwota jest astronomiczna, to znacznie gorsza bywa utrata reputacji i zaufania klientów, skutkująca nierzadko rychłym upadkiem biznesu.

Bezpieczeństwo nie jest stanem stałym – mówi  Dawid Bałut, Head of Security w Test Army, w firmie zajmującej się sprawdzaniem bezpieczeństwa oprogramowania. – To, co jest bezpieczne dziś, niekoniecznie będzie bezpieczne jutro. Sposoby reagowania w sytuacji zagrożenia zmieniają się bardzo szybko, dlatego ciągle musimy w tej kwestii trzymać rękę na pulsie. W internecie pojawia się wielu potencjalnych atakujących, więc nie powinniśmy mówić tutaj o totalnym bezpieczeństwie. Natomiast każdy krok poczyniony w kierunku zwiększania tego bezpieczeństwa już jest na wagę złota – dodaje.

Co zatem zrobić aby zabezpieczyć się przed atakami hakerów? Choć może wydać się to zaskakujące trzeba dać się… zhakować! Oczywiście w warunkach kontrolowanych. Aby odkryć wszystkie newralgiczne miejsca, które potencjalnie narażone są na napaść cyberprzestępców, należy zaangażować profesjonalistów, którzy przeprowadzą sterowany atak hakerski.

Kto powinien się poddać się atakowi?

W szczególności firmy przechowujące dużą ilość danych swoich klientów lub zarządzające w imieniu swych kontrahentów danymi ich użytkowników czy współpracowników. Każdy klient oczekuje, by informacje o nim były w odpowiedni sposób zabezpieczone. Jeśli nie zostaną spełnione wszystkie możliwe wymagania w tym względzie, może dojść do dwóch znaczących kryzysów.

Kryzys wizerunkowy związany jest z konsumentami, którzy potrzebują poczucia bezpieczeństwa i stabilności. Zawiedzenie ich zaufania może być przyczyną utraty profesjonalnego wizerunku i reputacji. Drugi kryzys dotyczy z kolei samego funkcjonowania naszego biznesu i może w ekstremalnej sytuacji doprowadzić nawet do zachwiania finansów całej firmy. W przypadku potencjalnego rozpoczęcia współpracy z dużym podmiotem takim jak na przykład korporacja (posiadająca ogromne bazy danych), kwestia zapewnienia odpowiedniego poziomu bezpieczeństwa plików jest kluczowa. Jeśli podmiot taki wykryje już na wstępnym etapie wspólnych działań niezgodności, niedociągnięcia lub braki w naszym systemie, z pewnością przestanie być zainteresowany kooperacją naszą firmą.

– Duża baza danych, na której się pracuje to równocześnie duża odpowiedzialność – mówi PR & Marketing Manager Edyta Godziek z SerwerSMS.pl, firmy zajmującej się marketingiem mobilnym. –  Dla takiej firmy jak nasza, kwestia ochrony danych jest zdecydowanie sprawą  priorytetową. Z tego właśnie powodu wykonaliśmy testy OWASP i uzyskaliśmy wspomniany certyfikat bezpieczeństwa. Klienci oddając swoje dane w ręce firm zewnętrznych zawsze powinni być spokojni o jakość ich przetrzymywania – dodaje Godziek.

Czym jest OWASP?

­- OWASP to międzynarodowy standard badania bezpieczeństwa serwisów i powierzonych tam danych. Są to testy bezpieczeństwa, a konkretnie testy penetracyjne, posługujące się metodą OWASP ASVS, czyli Application Security Verification Standard. Dzięki testom penetracyjnym można wykryć potencjalne podatności, które mogłyby zostać wykorzystane przez atakujących –  tłumaczy Dawid Bałut. Te „potencjalne podatności” są niczym innym jak „dziurami w płocie”, narażającymi firmę na niebezpieczeństwo, a testy penetracyjne mają za zadanie sprawdzić, czy złodziej przez taką dziurę może się przemknąć na teren firmy. Serwer, aplikacja, czy strona internetowa firmy poddawana jest sterowanemu atakowi hakerskiemu, który weryfikuje czy zabezpieczenia są wystarczająco mocne, by powstrzymać cyberprzestępców i wskazuje miejsca, które mogą potencjalnie stać się celem ataku.

Na scenie polskiej niewiele jest firm, inwestujących w bezpieczeństwo, takich, które wkładają dodatkowe środki w poprawianie standardów w tej sferze i docieranie do stanu, kiedy dane użytkowników są rzeczywiście bezpieczniejsze – twierdzi Dawid Bułat.

5 kroków prowadzących na drogę cyberbezpieczeństwa

Są pewne zachowania, których powinno się dopilnować w przypadku operowania danymi w firmie. Oczywiście wymagają one zaangażowania zarówno ze strony zlecającej, jak i wykonawcy, jednak dzięki ich implementacji, jakość usług i wizerunek mogą się wyłącznie polepszyć – dopowiada Edyta Godziek.

  1. Audyt bezpieczeństwa

Zlecenie profesjonalistom przygotowania audytu to pierwszy krok, który zwiększa poziom bezpieczeństwa zarówno obecnych, jak i przyszłych klientów, odwiedzających stronę firmy. Pokazuje on ponadto poziom dojrzałości organizacyjnej i poczucia odpowiedzialności przedsiębiorcy.

  1. Testy penetracyjne

Przeprowadzenie testów penetracyjnych pozwoli odnaleźć w systemie bezpieczeństwa miejsca narażone na ataki, a także zwiększy świadomość odnośnie ryzyka związanego z atakami cyberprzestępców.

  1. Wdrożenie zmian

Czy jednak same testy wystarczą? Nie. Przeprowadzenie testów daje przedsiębiorcy jedynie obraz tego, co stanowi słabe punkty w jego ochronie. To z kolei powinno być impulsem do tego, aby te słabe strony umocnić – zadbać o dodatkowe zabezpieczenie miejsc potencjalnie zagrożonych, naprawić błędy i zwiększyć technologiczną warstwę bezpieczeństwa.

  1. Szkolenie pracowników

Dokształcanie pracowników jest bardzo ważnym elementem dbania o właściwą ochronę danych. W Polsce mamy do czynienia z bardzo niską świadomością zagrożeń związanych z cyberprzestępczością, co przekładać się może na niefrasobliwość lub zbytnią naiwność przy kontakcie z potencjalnym hakerem.

  1. Edukacja klientów

Edukowanie klientów, użytkowników strony czy też aplikacji, odnośnie tego, jak powinni korzystać z platformy, żeby wszystkie operacje na niej przeprowadzane były bezpieczne jest niezwykle istotne. Problemem przy zabezpieczaniu danych może nie być niechęć użytkowników do dbania o własne bezpieczeństwo, lecz fakt, iż nie wiedzą jak to robić, gdyż firma nie dostarcza im o tym odpowiednich informacji.

Kilka miesięcy po wprowadzeniu RODO każdy przedsiębiorca powinien mieć już wprowadzony w swojej firmie temat ochrony przed cyberprzestępcami. Jest to istotne zarówno ze względu na możliwość utraty pozytywnego i profesjonalnego wizerunku oraz reputacji, jak i na dotkliwe kary finansowe, które mogą dotknąć firmę, zbyt niefrasobliwie podchodzącą do kwestii zabezpieczania baz danych.

Żeby być bezpiecznym, należy dać się zhakować?
5 (100%) 2 votes

 

Jestem zaciekawiony światem nowości technologicznych. Twardo stąpam po ziemi. Uwielbiam czytać, słuchać muzyki, podróżować i markę Xiaomi. W wolnych chwilach jeżdżę na rolkach. Kocham delikatną kawę i żelki.

Najnowsze posty

Dzisiaj w Katowicach Xiaomi otwiera kolejny salon, takie promocje czekają

Dzisiaj w Katowicach Xiaomi otwiera Mi Store, takie promocje czekają

Dzisiaj o godzinie 10:00 w Katowicach Xiaomi otworzy swój piąty autoryzowany Mi Store. Salon mieścić się będzie w Galerii Katowickiej.

Xiaomi Mi MIX 3 5G Snapdragon 855

Xiaomi Mi MIX 3 z 5G i Snapdragonem 855 pokazany w Chinach

Xiaomi zaprezentowało wersję 5G Mi MIX 3 na konferencji w China Mobile Global Partner. Jest to jeden z pierwszych smartfonów

Icy Dock Flex-Fit Quinto MB344SPO

Wykorzystaj zatokę 5,25″ z Icy Dock Flex-Fit Quinto MB344SPO

Icy Dock Flex-Fit Quinto MB344SPO to akcesorium mieszczące w sobie napęd optyczny oraz dyski 2,5″ w jednej zatoce 5,25″. Maksymalna

produkty marki Green Cell

Doładuj się na Święta

Wielkimi krokami zbliża się 6 grudnia, a wraz z nim Mikołajki. Z tej okazji Świat Baterii przygotował specjalne promocje. Świąteczne

To zagrożenie jest praktycznie wszędzie! Publiczne WiFi.

Zanim połączysz się z publiczną siecią WiFi – przeczytaj o zagrożeniach i wskazówkach jak ich uniknąć Zastanów się kiedy ostatnio

15 lat masowej wysyłki

15 lat masowej wysyłki SMS-ów

W tym roku SerwerSMS.pl, firma, która jako pierwsza w Polsce stworzyła i udostępniła narzędzie do masowej wysyłki wiadomości SMS, obchodzi

Icy Dock EZ-Fit Lite MB290SP-B

Icy Dock EZ-Fit Lite MB290SP-B – lekkość i chłodzenie w jednym

Icy Dock EZ-Fit Lite MB290SP-B to adapter, dzięki któremu użytkownik może zastosować w swoim systemie 2x dyski 2,5″ HDD/SSD IDE

Spelling error report

The following text will be sent to our editors: