„Cyberprzestępcy coraz częściej próbują atakować aplikacje. Sami tego doświadczyliśmy - mówi Scott Woodgate, dyrektor generalny Microsoft Security. Unia Europejska szykuje się do zaostrzenia wymogów bezpieczeństwa dla firm
Zazwyczaj przy implementacji tego typu przepisów występują trzy rodzaje firm: pierwszy to przedsiębiorstwa, które są na bieżąco z przepisami i z wyprzedzeniem przygotowują się do wdrożenia nowych zasad. Drugi to firmy, które nie do końca są świadome nowych regulacji, a trzeci to te, które sprzeciwiają się jakiejkolwiek zmianie. Podobne procesy zachodziły w innych miejscach na świecie, m.in. podczas wdrażania ustawy o ochronie cyfrowych danych osobowych w Indiach. Ostatecznie, każda z firm idzie jednak naprzód i musi dostosować. Obserwowanie różnic dynamiki w poszczególnych przedsiębiorstwach i tego, które dostosowują się jako pierwsze, jest zawsze interesujące. Praca nad osiągnięciem zgodności z NIS2 będzie wymagała dokładnego przygotowania i współpracy w całej organizacji. Liderzy powinni wziąć pod uwagę trzy obszary – przygotowanie ludzi, czyli budowanie zarówno kompetencji jak i kultury organizacyjnej, przygotowanie planu zapobiegania i odpowiadania na incydenty oraz współpracę z zaufanymi partnerami technologicznymi, bo cyberbezpieczeństwo to sport zespołowy.
Firmy często mają problem z niejednoznacznością przepisów, która niwelowana dopiero z czasem. Kolejną sprawą są narzędzia. Przedsiębiorstwa muszą sprawdzić, czy są zgodne z nowymi przepisami i ułatwiają ich wdrożenie. Do tego dochodzi aspekt ludzki – jak musi się zmienić kultura organizacyjna, żeby zaimplementować zmianę? Czy procesy biznesowe muszą się zmienić?
Jest to więc typowa transformacja procesów biznesowych, którą należy rozpocząć od zrozumienia, jakie są cele oraz jaka technologia jest potrzebna, by je zrealizować. Trzeba się upewnić, czy dostawcy usług oraz pracownicy są włączeni w zmianę. Wszystkie te procesy mogą zająć trochę czasu, to jasne.
Ich skala jest ogromna. Gdyby cyberprzestępstwa były osobnym krajem, byłyby trzecią największą gospodarką na świecie po Stanach Zjednoczonych i Chinach. Cybersecurity Ventures szacuje, że cyberprzestępczość kosztowała świat 8 bln dol. w 2023 r., a będzie kosztować 10,5 bln dol. do 2025 roku. Jeszcze bardziej niepokojące jest faktyczne tempo wzrostu cyberprzestępstw, wynoszące 15 proc. rok do roku. Ich wzrost jest więc większy niż najszybciej rozwijającej się z 20 największych gospodarek na świecie, czyli Indii. Obecnie śledzimy ponad 300 grup cyberprzestępców, a ich liczba cały czas rośnie, podobnie jak szybkość ich ataku.
Trudno jest jednak wskazać jedno konkretne cyberzagrożenie, ponieważ atakujący wykorzystują największe słabości przedsiębiorstw, czyli te, które najłatwiej mogą zaatakować. Zaczynają więc od najłatwiejszej drogi, aby dostać się do organizacji, a jeśli to się nie uda, próbują z nieco trudniejszą.
Jeśli więc naprawiona zostanie luka w bezpieczeństwie platformy, która do tej pory istniała, cyberprzestępcy będą szukać kolejnej. Jeśli nie zadziała phishing [oszustwo polegające na podszyciu się pod inną osobę lub instytucję, przede wszystkim w wiadomościach e-mail – red.] przez mail z kodem QR, wypróbują kolejny sposób. Trudno więc udzielić jednoznacznej, statycznej odpowiedzi na temat konkretnej technologii. Z pewnością jednak nadal dużo osób udaje się nabrać na phishing i jest to jeden z najłatwiejszych punktów wejścia dla przestępców. Firmy powinny więc robić symulacje ataku, wysyłając maile phishingowe i w ten sposób edukując kadrę. Jeśli pracownicy się na to nabierają, powinni być informowani: “właśnie kliknąłeś w link będący atakiem phishingowym. Nie powinieneś tego robić”.
Kolejnym sposobem są niezatwierdzone i niezauktualizowane systemy, do których firmy nie wprowadziły niezbędnych poprawek i aktualizacji. To powinno być jedna z pierwszych rzeczy do poprawy.
Widzimy, że wraz z coraz lepszą ochroną punktów końcowych [urządzeń fizyczne, które łączą się z systemem sieciowym, np. komputery stacjonarne – red.], cyberprzestępcy coraz częściej próbują atakować aplikacje. Sami tego doświadczyliśmy podczas ataku Midnight Blizzard [atak rosyjskiej grupy hakerów ze stycznia 2024 r., którzy uzyskali dostęp do kont niektórych pracowników – red.], w którym do ataku wykorzystano aplikację. Cyberprzestępcy odkryli, że obecnie jest to prostsze. Gdy zamyka się jedne drzwi, próbują dostać się przez kolejne. Obecnie poświęcamy więc dużo energii na to, żeby zwiększać bezpieczeństwo aplikacji.
Wraz z wchodzeniem w życie NIS, bezpieczeństwo danych i zarządzanie nimi staje się coraz ważniejsze. Poświęcamy dużo energii na budowę innowacji w ramach linii Microsoft Purview, które zwiększają bezpieczeństwo danych naszych klientów. Rzeczywiście pojawiły się na nie duże zapotrzebowanie ze strony tych klientów, którzy niekoniecznie mieli solidną i odporną strategię zarządzania danymi. Zmienia się to nie tylko dzięki nowym regulacjom, ale także przez AI, która może przeszukiwać ich zbiory danych. Oczywiście sami również musimy upewnić się, że aktualizujemy nasze produkty, aby klienci mogli raportować zgodność z nowymi przepisami.
Nasza zasada Zero Trust i podejście platformowe dobrze pasują do celów NIS2, a sama dyrektywa stanowi również dobrą okazję dla całego ekosystemu partnerów Microsoft (w Polsce jest to ponad 7,5 tysiąca firm), aby pomóc klientom zbudować solidne podstawy cyberbezpieczeństwa i przygotować się do jej przestrzegania.
Oczywiście zależy to od tego, z jakimi regionami porównamy Europę. Różni się to także na szczeblu lokalnym. Co do zasady, uważam jednak, że w Europie jest duża świadomość potrzeby ochrony przed cyberprzestępcami – czy to samodzielnie, czy przy pomocy partnera.
Budowa odporności w każdym punkcie jest kluczowa. Awaria była winą Crowdstrike, jednak wpłynęła na odporność działania Windows. Teraz pracujemy razem z Crowdstrike oraz resztą branży, żeby zobaczyć, czy możemy szerzej przygotować się do takich sytuacji oraz zmienić sposób, w jaki korzystają z Widndows. Nawet jeśli nasz partner ma wadliwy sterownik, to Windows powinien lepiej odzyskać sprawność w przyszłości. Wyciągamy jednak wnioski i uczymy się na podstawie takich sytuacji. Miesiąc temu mieliśmy spotkanie w Redmond, żeby przedyskutować strategię na przyszłość. Chcemy zmienić status quo i stale się polepszać.
Zaletą infrastruktury chmurowej jest jednak to, że może wdrożyć usługi w wielu regionach. Posiadamy centra danych w różnych miejscach na świecie, więc nie zależymy od tylko jednej lokalizacji. Więc choć może istnieje jeden dostawca o nazwie „Microsoft”, to szeroka dystrybucja, odporność oprogramowania i sprzętu oraz redundancja danych w różnych centrach chmurowych zapewniają większe bezpieczeństwo.
Redagowała Anita Dmitruczuk