Największym błędem taktyka wojennego jest niedocenienie wroga. Podobnie w świecie handlu, mającego wiele wspólnego z polem bitwy, każdy z przedsiębiorców stale oceniać musi poziom ryzyka, wypatrując skąd nadejdzie zagrożenie. Jak pokazują badania, wielu z właścicieli mniejszych przedsiębiorstw nawet nie zdaje sobie sprawy, że atak hakerski jest realnym i prawdopodobnym zagrożeniem, które doprowadzić może firmę do ruiny w ciągu zaledwie kilku minut.
Atak z zaskoczenia
W świetle badań przeprowadzonych na grupie niespełna 2 tysięcy respondentów, aż połowa przedstawicieli małych i średnich przedsiębiorstw uważa, że jest dostatecznie chroniona przed cyberatakami. Jak się jednak okazuje – nie stosują oni nawet najprostszych zabezpieczeń – jak oprogramowanie antywirusowe oraz ochrona poczty elektronicznej. Dziwić może zwłaszcza fakt, że 63% przebadanych firm nie zabezpiecza w jakikolwiek sposób komputerów wykorzystywanych do obsługi bankowości elektronicznej.
Dodatkowo, jak pokazują dane uzyskane przez RSM Tenon, po przebadaniu 300 firm Europejskich z sektora MŚP, jedynie 27% managerów wyższego stopnia przeprowadza kontrolę bezpieczeństwa sieci w ich firmie. 16% przebadanych nie wiedziało nawet czy zainstalowane zostało oprogramowanie antywirusowe, co stanowi zupełną podstawę ochrony. Z czego wynika bagatelizowanie kwestii bezpieczeństwa nawet w najprostszej formie?
Atak na MŚP się opłaca
W wielu klientach zakorzeniony jest błędny osąd, jakoby chroniła ich jedynie wielkość przedsiębiorstwa. Jest to oczywisty błąd. Tak jak złodzieje nie odczuwają oporów przed okradaniem domów wyglądających ubogo albo aut średniej wartości, tak nie powstrzyma ich sama wielkość przedsiębiorstwa. Patrząc nadal analogicznie – które z aut będzie łatwiejsze do kradzieży – nowe, cenne, rzucające się w oczy, wyposażone w rozwinięty system ochronny czy typowy samochodów rodzinny, posiadający łatwe do sforsowania zabezpieczenia?
Sektor MŚP radzi sobie tak dobrze jak nigdy, wciąż nabierając wartości. Choć jeszcze w 2008 roku rynek małych i średnich wart był w Europie 145,9 mld dolarów, to w 2011 już 182,6 mld, by w 2012 przewidywana wartość podskoczyła do 202 mld. Kwoty wyliczane w twardej walucie to jednak nie jedyna wartość rynku.
Dla hackera największą wartość posiadają informacje o nas, a co gorsze – o produktach, a także o naszych pracownikach i klientach – dane osobowe, numery kont bankowych klientów i pracowników, dokumenty pracownicze (ksera dowodów tożsamości, szczegółowe dane teleadresowe, wzory podpisów, a dzięki formularzom urlopowym – także dokładne daty przebywania poza mieszkaniem [sic!]). I to wszystko przechowywane na w ogóle nie zabezpieczonym serwisie.
Najczęstsze ataki
Coraz częściej w polskiej sferze WWW dokonywane są ataki typu DDoS, poznane lepiej dzięki blokowaniu stron rządowych przez przeciwników ACTA, początkiem 2012 roku. Poprzez wygenerowanie ilości wejść, z którą system nie będzie w stanie sobie poradzić, strona jest blokowana, uniemożliwiając internautom dostęp do niej. Jak pokazują badania, firmy z sektora MŚP w większości nawet nie biorą pod uwagę możliwości, że staną się celem podobnego ataku. 28% firm stwierdza w badaniach, że nie posiadają planu na wypadek ataku DDoS, ponieważ problem ten dotyczy jedynie dużych przedsiębiorstw.
Najpopularniejszym modelem ataku jest tzw. phishing. Internauta zwabiany jest przez oszusta (zazwyczaj poprzez e-mail z podstawionym linkiem) na stronę, która udawać ma zaufaną witrynę, np. banku czy sklepu internetowego. Informacje wprowadzone przez oszukanego zostają momentalnie wykorzystane.
Ochrona interesów internautów leży po stronie właściciela witryny, której klienci zaufali. Firmy z sektora MŚP używające certyfikatów SSL wywiązują się z Ustawowego obowiązku zabezpieczania transmisji danych osobowych.
W jaki sposób firma z sektora MŚP może ucierpieć na braku zabezpieczeń w postaci certyfikatu SSL? Łatwo możemy sobie to wyobrazić na przykładzie wziętym z życia: planowanie rodzinnego wyjazdu na wakacje.
Załóżmy, że naszym celem jest zagranica. Pobyt na 10 dni, dla 4 osób. Do zapytania dołączamy nasz adres. Biuro podróży, z którym komunikujemy się przez formularz kontaktowy nie zadbało o certyfikat SSL i zabezpieczenie swojej strony www. Przestępca, który odczytuje paczkę danych zostaje natychmiast wyposażony w bardzo przydatne informacje. Po pierwsze jest w stanie ocenić nasz status majątkowy. Po drugie wie, w jakim czasie nie będzie nas w domu, po trzecie wie gdzie mieszkamy. Dalszy ciąg łatwo sobie wyobrazić.. Powszechnie wiadomo, że od leczenia lepsza jest prewencja. W powyższym przypadku wystarczyło działać zgodnie z prawem i zabezpieczać transmisję danych. Brak tego działania mógł narazić małe biuro podróży na poważne odszkodowanie oraz negatywne opinie publikowane przez poszkodowanych – dopowiada Jakub Skowroński, Koordynator ds. marketingu internetowego w Unizeto Technologies SA.
Źródło: Unizeto Technologies SA