Cyberbezpieczeństwo na wagę złota

Średni koszt naruszenia bezpieczeństwa wynosił w 2022 prawie 4,5 miliona dolarów. Polskie firmy i instytucje, w tym finansowe, są ostatnio atakowane aż 2 tys. razy w tygodniu

Dzięki swojemu zasięgowi i wzajemnemu połączeniu system finansowy dostarcza usługi w skali globalnej. To jego wielka zaleta dająca dostęp do przelewów międzynarodowych, rynków finansowych zza oceanu, czy codziennych płatności kartą w sklepie spożywczym. Jednocześnie najsłabsze ogniwa w tym systemie naczyń połączonych są zagrożeniem dla całej struktury. Gdy w 2016 roku cyberprzestępcy zaatakowali Bank Centralny Bangladeszu, wykorzystali lukę w międzynarodowym systemie płatności SWIFT. Jak podaje Międzynarodowy Fundusz Walutowy, z kont zniknęło 101 milionów dolarów, a zagrożony był ponad miliard. Niezależnie od skali działalności pojedynczego przedsiębiorstwa powiązanie z globalnymi strukturami finansowymi rodzi ryzyko zarówno dla dużych, jak i mniejszych firm.

Sektor finansowy, świadomy tych zagrożeń, jest jednym z liderów we wdrażaniu rozwiązań z zakresu bezpieczeństwa cyfrowego. Ponadto cała branża jest pod szczególnym nadzorem państwowych i międzynarodowych regulatorów. Mimo to co jakiś czas duże banki, fintechy i instytucje finansowe informują o atakach, w których efekcie wyciekają dane klientów, informacje o transakcjach lub algorytmy. W branży wymagającej ciągłego zabiegania o zaufanie klientów każda z tych informacji jest na wagę złota.

 

Kingston 1

 

Jak się chronić?

Pierwszą osłoną przed zagrożeniami są rozwiązania infrastrukturalne – np. centra danych rejestrujące już na poziomie połączenia, czy zachodzą anomalie, które mogą prowadzić do incydentu bezpieczeństwa. Instytucje finansowe korzystają też z szeregu rozwiązań hardware’owych i software’owych chroniącymi przed phishingiem, czyli atakami przeprowadzanymi często poprzez skrzynki mailowe pracowników. Ważną funkcję pełni też edukacja i wyposażenie w odpowiednie narzędzia. W szczególności pracowników mających na co dzień dostęp do danych poufnych, ale nie specjalizujący się w zagadnieniach związanych z cyberbezpieczeństwem. W wielu przypadkach pracownicy muszą mieć dostęp do danych nawet wtedy, gdy znajdują się poza bezpieczną siecią firmową, a wgląd do chmury poprzez sieci publiczne wiąże się ze znacznym ryzykiem. Ponieważ to właśnie troska o dane w punktach końcowych jest kluczowa dla bezpieczeństwa całej organizacji. W tej roli doskonale sprawdzają się rozwiązania hardware’owe jak np. szyfrowane nośniki danych. Co warto wiedzieć przed ich wdrożeniem?

– Po pierwsze należy opracować zasady stosowania szyfrowanych pamięci USB, nawet jeżeli nie wymagają ich obecne regulacje. Warto stworzyć praktyki stosowania szyfrowanych nośników i wprowadzić procedurę wydawania tych urządzeń nowym pracownikom wraz z identyfikatorem lub służbowym komputerem podczas wstępnego szkolenia. Zagwarantuje to dostęp do kluczowych danych w podróży lub podczas bezpośrednich kontaktów z klientami poza biurem. Jednocześnie przejrzyste procedury ograniczą próby omijania ustalonych zasad – podkreśla Robert Sepeta, Business Development Manager w Kingston Technology.

Opracowując procedury należy rozpocząć od identyfikacji osób i zespołów, które muszą posiadać dostęp do danych poufnych oraz mogą pobierać je na szyfrowane pamięci USB i dyski zewnętrzne. Istotne jest również opracowanie tych zasad w formie wewnętrznego regulaminu, który przekazany będzie zespołom IT i użytkownikom końcowym (np. pracownikom oddziałów). Ostatnim krokiem jest odpowiednie przeszkolenie pracowników i zobowiązanie pisemne do przestrzegania wytycznych bezpieczeństwa.

Na tym nie kończy się jednak troska o bezpieczeństwo danych firmowych. Praca pod presją czasu i sytuacje losowe mogą sprawić, że nośnik z danymi poufnymi zostanie zgubiony lub skradziony. Badania amerykańskiego Ponemon Institute pokazują, że 50% organizacji wskazało, że w ciągu ostatnich 24 miesięcy utraciło nośniki, na których znajdowały się poufne informacje. Dlatego tak istotnym jest zadbanie o odpowiednie szyfrowanie nośników, tak, aby nawet w takiej sytuacji dane nie trafiły w niepowołane ręce.

 

– Decydując się na szyfrowanie sprzętowe zyskujemy większą gwarancję niż w przypadku urządzeń zabezpieczonych programowo. Ważny jest też typ szyfrowania, np. 256 bitowy Advance Encryption Standard (AES). Złamanie takiego zabezpieczenia jest praktycznie niemożliwe. Wybierając szyfrowany nośnik na potrzeby firmowe warto też zwrócić uwagę na certyfikaty FIPS 197, FIPS 140-2 poziomu 3 lub najnowszy FIPS 140-3 poziomu 3. Wśród innych ważnych funkcji, które zwiększają bezpieczeństwo są: opcja wielu haseł (admin i użytkownik), tryb frazy pozwalający tworzyć długie hasła, tryb tylko do odczytu i możliwość zarządzania całą bazą nośników przez administratora. Połączenie tych funkcji zapewni maksymalne bezpieczeństwo nawet w przypadku wyrafinowanych ataków – podsumowuje Robert Sepeta z Kingston Technology.



Zostaw komentarz

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.