Żeby być bezpiecznym, należy dać się zhakować?

Autor opublikowano 11/10/2018 10:38
liczby ataków hakerskich

Każda firma, bez względu na wielkość i branżę, jest zagrożona atakiem hakerskim. Współcześnie udział w szkoleniu z RODO i hasła na 12 znaków nie są już wystarczającymi działaniami zapobiegającymi atakom cyberprzestępców. Czy istnieje sposób, by firmowe bazy danych były bezpieczne?

Kwestia cyfrowego bezpieczeństwa stanowi jeden z najważniejszych tematów naszych czasów. W ciągu ostatnich lat zaobserwowano nieustanne zwiększanie się liczby ataków hakerskich, co w Polsce niestety nie przełożyło się równolegle na zwiększenie działań im zapobiegających.

Atak hakera to dla firmy ogromne straty finansowe

W związku z niedawno wprowadzonymi regulacjami Unia Europejska ustanowiła kary za utratę danych osobowych, które sięgają nawet 20 milionów euro. Choć już ta kwota jest astronomiczna, to znacznie gorsza bywa utrata reputacji i zaufania klientów, skutkująca nierzadko rychłym upadkiem biznesu.

Bezpieczeństwo nie jest stanem stałym – mówi  Dawid Bałut, Head of Security w Test Army, w firmie zajmującej się sprawdzaniem bezpieczeństwa oprogramowania. – To, co jest bezpieczne dziś, niekoniecznie będzie bezpieczne jutro. Sposoby reagowania w sytuacji zagrożenia zmieniają się bardzo szybko, dlatego ciągle musimy w tej kwestii trzymać rękę na pulsie. W internecie pojawia się wielu potencjalnych atakujących, więc nie powinniśmy mówić tutaj o totalnym bezpieczeństwie. Natomiast każdy krok poczyniony w kierunku zwiększania tego bezpieczeństwa już jest na wagę złota – dodaje.

Co zatem zrobić aby zabezpieczyć się przed atakami hakerów? Choć może wydać się to zaskakujące trzeba dać się… zhakować! Oczywiście w warunkach kontrolowanych. Aby odkryć wszystkie newralgiczne miejsca, które potencjalnie narażone są na napaść cyberprzestępców, należy zaangażować profesjonalistów, którzy przeprowadzą sterowany atak hakerski.

Kto powinien się poddać się atakowi?

W szczególności firmy przechowujące dużą ilość danych swoich klientów lub zarządzające w imieniu swych kontrahentów danymi ich użytkowników czy współpracowników. Każdy klient oczekuje, by informacje o nim były w odpowiedni sposób zabezpieczone. Jeśli nie zostaną spełnione wszystkie możliwe wymagania w tym względzie, może dojść do dwóch znaczących kryzysów.

Kryzys wizerunkowy związany jest z konsumentami, którzy potrzebują poczucia bezpieczeństwa i stabilności. Zawiedzenie ich zaufania może być przyczyną utraty profesjonalnego wizerunku i reputacji. Drugi kryzys dotyczy z kolei samego funkcjonowania naszego biznesu i może w ekstremalnej sytuacji doprowadzić nawet do zachwiania finansów całej firmy. W przypadku potencjalnego rozpoczęcia współpracy z dużym podmiotem takim jak na przykład korporacja (posiadająca ogromne bazy danych), kwestia zapewnienia odpowiedniego poziomu bezpieczeństwa plików jest kluczowa. Jeśli podmiot taki wykryje już na wstępnym etapie wspólnych działań niezgodności, niedociągnięcia lub braki w naszym systemie, z pewnością przestanie być zainteresowany kooperacją naszą firmą.

– Duża baza danych, na której się pracuje to równocześnie duża odpowiedzialność – mówi PR & Marketing Manager Edyta Godziek z SerwerSMS.pl, firmy zajmującej się marketingiem mobilnym. –  Dla takiej firmy jak nasza, kwestia ochrony danych jest zdecydowanie sprawą  priorytetową. Z tego właśnie powodu wykonaliśmy testy OWASP i uzyskaliśmy wspomniany certyfikat bezpieczeństwa. Klienci oddając swoje dane w ręce firm zewnętrznych zawsze powinni być spokojni o jakość ich przetrzymywania – dodaje Godziek.

Czym jest OWASP?

­- OWASP to międzynarodowy standard badania bezpieczeństwa serwisów i powierzonych tam danych. Są to testy bezpieczeństwa, a konkretnie testy penetracyjne, posługujące się metodą OWASP ASVS, czyli Application Security Verification Standard. Dzięki testom penetracyjnym można wykryć potencjalne podatności, które mogłyby zostać wykorzystane przez atakujących –  tłumaczy Dawid Bałut. Te „potencjalne podatności” są niczym innym jak „dziurami w płocie”, narażającymi firmę na niebezpieczeństwo, a testy penetracyjne mają za zadanie sprawdzić, czy złodziej przez taką dziurę może się przemknąć na teren firmy. Serwer, aplikacja, czy strona internetowa firmy poddawana jest sterowanemu atakowi hakerskiemu, który weryfikuje czy zabezpieczenia są wystarczająco mocne, by powstrzymać cyberprzestępców i wskazuje miejsca, które mogą potencjalnie stać się celem ataku.

Na scenie polskiej niewiele jest firm, inwestujących w bezpieczeństwo, takich, które wkładają dodatkowe środki w poprawianie standardów w tej sferze i docieranie do stanu, kiedy dane użytkowników są rzeczywiście bezpieczniejsze – twierdzi Dawid Bułat.

5 kroków prowadzących na drogę cyberbezpieczeństwa

Są pewne zachowania, których powinno się dopilnować w przypadku operowania danymi w firmie. Oczywiście wymagają one zaangażowania zarówno ze strony zlecającej, jak i wykonawcy, jednak dzięki ich implementacji, jakość usług i wizerunek mogą się wyłącznie polepszyć – dopowiada Edyta Godziek.

  1. Audyt bezpieczeństwa

Zlecenie profesjonalistom przygotowania audytu to pierwszy krok, który zwiększa poziom bezpieczeństwa zarówno obecnych, jak i przyszłych klientów, odwiedzających stronę firmy. Pokazuje on ponadto poziom dojrzałości organizacyjnej i poczucia odpowiedzialności przedsiębiorcy.

  1. Testy penetracyjne

Przeprowadzenie testów penetracyjnych pozwoli odnaleźć w systemie bezpieczeństwa miejsca narażone na ataki, a także zwiększy świadomość odnośnie ryzyka związanego z atakami cyberprzestępców.

  1. Wdrożenie zmian

Czy jednak same testy wystarczą? Nie. Przeprowadzenie testów daje przedsiębiorcy jedynie obraz tego, co stanowi słabe punkty w jego ochronie. To z kolei powinno być impulsem do tego, aby te słabe strony umocnić – zadbać o dodatkowe zabezpieczenie miejsc potencjalnie zagrożonych, naprawić błędy i zwiększyć technologiczną warstwę bezpieczeństwa.

  1. Szkolenie pracowników

Dokształcanie pracowników jest bardzo ważnym elementem dbania o właściwą ochronę danych. W Polsce mamy do czynienia z bardzo niską świadomością zagrożeń związanych z cyberprzestępczością, co przekładać się może na niefrasobliwość lub zbytnią naiwność przy kontakcie z potencjalnym hakerem.

  1. Edukacja klientów

Edukowanie klientów, użytkowników strony czy też aplikacji, odnośnie tego, jak powinni korzystać z platformy, żeby wszystkie operacje na niej przeprowadzane były bezpieczne jest niezwykle istotne. Problemem przy zabezpieczaniu danych może nie być niechęć użytkowników do dbania o własne bezpieczeństwo, lecz fakt, iż nie wiedzą jak to robić, gdyż firma nie dostarcza im o tym odpowiednich informacji.

Kilka miesięcy po wprowadzeniu RODO każdy przedsiębiorca powinien mieć już wprowadzony w swojej firmie temat ochrony przed cyberprzestępcami. Jest to istotne zarówno ze względu na możliwość utraty pozytywnego i profesjonalnego wizerunku oraz reputacji, jak i na dotkliwe kary finansowe, które mogą dotknąć firmę, zbyt niefrasobliwie podchodzącą do kwestii zabezpieczania baz danych.

Żeby być bezpiecznym, należy dać się zhakować?
5 (100%) 2 votes

 

Zaciekawiony światem nowości technologicznych. Twardo stąpający po ziemi fan gadżetów i marki Xiaomi.

Najnowsze posty

Icy Dock EZConvert Air MB382SP-3B – pełen oddech dla dysków

Icy Dock EZConvert Air MB382SP-3B to adapter przekształcający dysk 2,5″ tak, aby mieścił się w zatoce 3,5″. Akcesorium wyróżnia przewiewna

rabaty czastech

Drogi czytelniku… Mamy dla Ciebie niespodziankę! Uruchomiliśmy stronę o rabatach, kodach promocyjnych i zniżkach!

Otrzymujemy od Was wiele wiadomości w których pytacie się o kody i rabaty na smartfony i inne mobilne przedmioty. Dlatego

green cell PGA 2018

Doładuj się na PGA 2018

Poznań Game Arena, czyli największe w Polsce targi gier komputerowych oraz technologii, co roku przyciągają rzesze fanów gamingu i urządzeń

klimatyzator ścienny czy przenośny

Wybieramy klimatyzator: ścienny czy przenośny?

Decydując się na urządzenie do naszego domu, rzadko kiedy zdajemy sobie sprawę jak wiele jest rodzajów danego urządzenia. Jak wybrać

Icy Dock MB994IKO-3SB

Icy Dock MB994IKO-3SB – dyski i napęd optyczny w jednej kieszeni

MB994IKO-3SB to wytrzymała, w pełni metalowa, podwójna kieszeń na 2,5-calowe dyski SATA/SAS i napęd optyczny (ODD) do użytku w pojedynczej

rcs google

Wykorzystaj technologię RCS od Google do komunikacji ze swoimi klientami

Specjaliści GSMA Intelligence szacują, że do 2020 r. na świecie będzie 4,3 miliarda urządzeń obsługujących SMS-y nowej generacji, czyli RCS

Velop

Nowy model w rodzinie Velop!

Łatwy w konfiguracji i zaprojektowany, by pasować wszędzie, Velop zapewnia ultra-szybkie, w pełni wytrzymałe WiFi mesh dla Twojego domu w

Spelling error report

The following text will be sent to our editors: