Trzy czwarte przedsiębiorców wie, że można się włamać do ich systemów i... nic z tym nie robi

Pół doby wystarczy na włamanie do dowolnego systemu.

12 godzin - tyle maksymalnie potrzebują hakerzy, aby włamać się do dowolnego systemu. W firmie, która zatrudnia ponad sto osób, jest przeciętnie od 150 do 200 furtek, którymi przestępcy mogą obejść zabezpieczenia.

69 proc. tak zwanych etycznych hakerów ankietowanych przez firmę Nuix przyznało, że w przypadku włamań dokonywanych incognito ślady ich działania nigdy nie zostały zauważone przez ekspertów ds. cyberbezpieczeństwa zatrudnionych w sprawdzanych firmach. 

Powyższe statystyki to dwa z najciekawszych wniosków zawartych w przygotowanym przez firmę Nuix opracowaniu „The Black Report 2017”. I bardzo wiarygodne, bo jej reprezentanci postanowili przeprowadzić ankietę wśród specjalistów IT sprawdzających zabezpieczenia informatyczne w firmach. W trakcie takich wydarzeń, jak Black Hat USA czy DEFCON, pytano ich o osobiste doświadczenia związane z ich wieloletnią aktywnością jako „białych kapeluszy”, jak czasem określa się etycznych hackerów.

Eksperci ze wspomnianej firmy, dostarczającej narzędzia i rozwiązania wspierające tworzenie odpowiedzialnych polityk bezpieczeństwa informacji, słusznie zwrócili uwagę na fakt, że większość analogicznych raportów bazuje na obserwacjach i sugestiach menadżerów szczebla C czy członków rad nadzorczych. To sprawia, że  zawarte w nich informacje często bywają stronnicze i odległe od rzeczywistego stanu bezpieczeństwa firmowych danych. Poszukując rozwiązania, postanowili więc z pytaniami dotrzeć do samego źródła, a więc w tym przypadku bezpośrednio do ekspertów na co dzień zajmujących się detekcją luk i braków w sprzęcie i oprogramowaniu, które tworzą złożoną infrastrukturę IT przedsiębiorstwa.

Luki kryją się wszędzie

Rezultat badania dowodzi jednoznacznie, że systemy IT, na których przedsiębiorstwa w zdecydowanej większości opierają wszystkie swoje operacje biznesowe, łącznie z przetwarzaniem dużych zbiorów wrażliwych i krytycznych danych, mają wiele luk, które mogą zostać wykorzystane przez cyberprzestępców do przeprowadzenia ataku. Jego celem może być zarówno kradzież danych i ich sprzedaż na internetowym czarnym rynku, jak i blokada dostępu do kluczowych plików i baz danych powiązana z żądaniem wysokiego okupu za jego przywrócenie.

Nuix nie jest jedyną firmą, która zwraca uwagę na niski poziom zabezpieczeń. Eksperci z Check Point Software Technologies w ubiegłorocznym badaniu dowiedli, że aż 92 proc. przeanalizowanych przez nich urządzeń podłączonych do sieci jest podatnych na cyberataki. Nie bez powodu słynne oprogramowanie wynajdujące luki w oprogramowaniu – Angler Exploit Kit – atakowało dziennie aż 90 tysięcy celów w 2016 roku.

Na odbywającej się w maju konferencji CPX Milan, specjaliści z Check Point poinformowali, że zgodnie z ich prognozami infekcji wywoływanych exploit kitami ma być jeszcze więcej. Biorąc pod uwagę zasięg i skalę szkód wywołanych atakiem ransomware WannaCry, który dotknął ponad 200 tys. użytkowników sieci w ponad 150 krajach, trudno kwestionować te przewidywania.

- Zgodnie z analizami Deloitte, duże firmy zatrudniające ponad 100 osób mają średnio od 150 do 200 furtek, którymi cyberprzestępcy mogą obejść zabezpieczenia. Te tworzą się w dużej mierze wskutek nieaktualizowanego oprogramowania i starzejącej się infrastruktury sprzętowej. W tej sytuacji normą powinno być regularne sprawdzanie odporności firmowych zabezpieczeń na cyberataki. Najskuteczniejszym narzędziem są tzw. testy penetracyjne, służące do identyfikacji słabych punktów i wskazania adekwatnych środków naprawczych – przekonuje – zwraca uwagę Ewelina Hryszkiewicz z Atmana.

Niekonsekwentny biznes

Trzeba podkreślić, że samo przeprowadzenie tego typu testu nie oznacza automatycznej poprawy poziomu odporności na cyberataki. Kolejnym krokiem powinno być wdrożenie zaleceń rekomendowanych w raporcie powstałym po przeprowadzeniu penstestu. Według autorów „The Black Report 2017” nie jest to jednak oczywiste – 75 proc. ankietowanych pentesterów stwierdziło, że firmy nawet po otrzymaniu szczegółowych sugestii uszczelnienia swojej infrastruktury wdrażają jedynie śladowe i niewystarczające zmiany, a 64 proc. z nich nie kryło swojej frustracji. Powód? Trudno im zaakceptować fakt, że choć przedsiębiorstwa wiedzą, jaki jest stan bezpieczeństwa ich systemów, nie podejmują żadnych działań zmierzających do jego poprawy.

Pobierz ebook "Ebook z raportem: Jak wybrać software house dla działań marketingowych i e-commerce"