Bezpieczeństwo jest jedną z podstawowych potrzeb człowieka i ma kluczowe znaczenie w naszym życiu. Dlatego nie dziwi, że zabezpieczamy życie i zdrowie swoje i swoich bliskich – zapinamy pasy bezpieczeństwa, profilaktycznie robimy badania, uczymy nasze dzieci podstawowych zasad bezpieczeństwa. Równie starannie zabezpieczamy swoje mienie – kupujemy polisy samochodowe i turystyczne, upewniamy się, czy zamknęliśmy auto i dom, a torebkę czy portfel staramy się trzymać zawsze na oku. Co zatem sprawia, że gdy chodzi o nasze firmy, owszem używamy zamków, rolet i krat, ale często zapominamy o zabezpieczeniu naszej coraz szerszej działalności elektronicznej – danych klientów i kontrahentów, korespondencji oraz umów?

Mała świadomość zagrożeń

Małe i średnie przedsiębiorstwa są narażone na różnego typu zagrożenia związane z przechowywaniem kluczowych dla prowadzonej działalności danych, w tym samym stopniu, co duże firmy. Mimo to, jak pokazuje badanie na temat rozwiązań informatycznych w sektorze MŚP przeprowadzone przez Millward Brown SMG/KRC na zlecenie Microsoft, mają one niewielką świadomość wagi zabezpieczania poufnych danych i efektów swojej pracy.

Technologie informatyczne są obecnie niezbędnym elementem w każdej praktycznie firmie, niezależnie od jej wielkości. Dlatego, beztroskie podejście do bezpieczeństwa informacji może wiązać się ze znaczącym ryzykiem od dotkliwej utraty danych, poprzez konsekwencje prawne czy finansowe aż po upadek firmy. Choć większość przedsiębiorstw stosuje zabezpieczenia, konieczna jest ciągła edukacja biznesu w tym zakresie. Firewall czy program antywirusowy to nie wszystko. Wiele stosowanych w przedsiębiorstwach technologii daje się, bez utrudniania codziennej pracy użytkownikom, stosunkowo prosto wzbogacić o funkcjonalności, dzięki którym dane będą naprawdę bezpieczne – mówi Grzegorz Tworek, ekspert ds. bezpieczeństwa informatycznego.

MŚP i bezpieczeństwo informatyczne

Badanie wykazało, że małe i średnie firmy ograniczają swoje działania dotyczące bezpieczeństwa informatycznego przede wszystkim do nadawania praw dostępu, przechowywania danych na serwerze oraz szkolenia pracowników. Niektóre przedsiębiorstwa wprowadziły dodatkowo specjalne procedury dotyczące korzystania ze sprzętu i kontrolę oprogramowania wykorzystywanego przez pracowników. Wciąż jednak 33% spośród małych i średnich firm w Polsce ma przekonanie, że wynajęcie zewnętrznej firmy odpowiedzialnej za serwisowanie sprzętu i zarządzanie informacjami wystarczy, aby cieszyć się pełnym bezpieczeństwem danych. Z drugiej strony większość, bo aż 60% badanych firm MSP deklaruje, że ochrona informacji poufnych jest najważniejszym aspektem bezpieczeństwa. Wydaje się zatem, że tak istotny obszar wymaga kompleksowego zabezpieczenia. I nie powinno się ono ograniczać jedynie do przeniesienia odpowiedzialności za całość bezpieczeństwa informatycznego na zewnętrzne firmy.

Kluczem do sukcesu jest staranny dobór narzędzi zapewniających bezpieczeństwo danych w firmie – podpowiada Ilona Tomaszewska, dyrektor ds. segmentu MSP w polskim oddziale Microsoft. - Niestety przeprowadzone przez nas badanie małych i średnich firm, pokazuje, że przedsiębiorcy nie zawsze wiedzą, jak o nie zadbać, a w ponad 1/3 firm panuje pogląd, że troska o bezpieczeństwo IT nie jest w ogóle potrzebna.

Świadomość zagrożeń wirusami

Istotnym elementem troski o bezpieczeństwo firmowych komputerów jest oprogramowanie antywirusowe. Badanie małych i średnich firm wykazało, że 32% przedsiębiorstw z tego segmentu rynku posiada więcej niż jeden rodzaj programu antywirusowego na firmowych komputerach. Kolejnym, obok braku standaryzacji oprogramowania antywirusowego, zaniechaniem jest rzadka aktualizacja programów. Jak pokazuje badanie, aktualizacja oprogramowania w firmach z segmentu MŚP nie jest przeprowadzana automatycznie, ale w sytuacji, gdy istnieje do tego przesłanka praktyczna, najczęściej po około roku od zakupu. Niekiedy po prostu dopiero po zaistnieniu jakiegoś zdarzenia albo ryzyka utraty danych.

Zabezpieczenia

W dobie cyfryzacji dane stanowią największą wartość firmy. Przechowywanie informacji na temat finansów, wyników sprzedaży, danych klientów i dostawców jest niezbędnym elementem w działalności przedsiębiorstw. Konsekwencje przypadkowej utraty danych mogą być nieodwracalne. Ponieważ coraz częściej i więcej informacji przechowujemy w formie elektronicznej, ich staranne zabezpieczenie staje się wymogiem naszych czasów. Tymczasem z przeprowadzonego przez Microsoft badania wynika, że tylko 32% małych i średnich firm szyfruje firmowe dyski, a 18% szyfruje wysyłane za pomocą poczty elektronicznej dokumenty.

Zaniedbania w zakresie bezpieczeństwa informatycznego firmy mogą mieć ogromne konsekwencje. Nietrudno wyobrazić sobie sytuację, w której pracownik firmy traci całą zawartość twardego dysku na skutek np. upadku laptopa. Dane mogą wypłynąć z firmy z powodu zagubienia firmowego pendrive’a albo przypadkowo wysłanego e-maila. Na szczęście istnieją nowoczesne sposoby zabezpieczenia swoich zasobów firmowych. Jednym z nich jest pakiet Office Całe Biuro skonstruowany właśnie z myślą o firmach MSP. Proste i niewymagające dużych nakładów inwestycyjnych rozwiązania są w zasięgu ręki, a nasi konsultanci są do dyspozycji, żeby doradzić najodpowiedniejsze rozwiązanie. Najważniejsze, żeby przedsiębiorcy zaczęli serio myśleć o bezpieczeństwie swoich firm – wyjaśnia Ilona Tomaszewska z polskiego biura Microsoft.

Aplikacje dostępne w ramach pakietu Office Całe Biuro pozwalają znacząco podnieść bezpieczeństwo swoich zasobów elektronicznych. Pozwolą na przykład tworzyć automatycznie kopie zapasowe, które gwarantują ochronę danych w razie wypadku –awarii czy utraty sprzętu. Natomiast elastyczne ustawienia prywatności poczty elektronicznej i plików zabezpieczą przed przypadkowym rozesłaniem poufnego dokumentu.

W budowaniu bezpieczeństwa małych i średnich firm bardzo pomocne mogą być również narzędzia oferowane przez najnowszą wersję pakietu Microsoft Office 365. W jego skład wchodzą zaufane aplikacje, które są dobrze znane w biznesie, a teraz dostępne także jako usługi online. Umożliwiają one efektywną i bezpieczną pracę oraz łączność z niezbędnymi osobami nawet spoza biura, przy jednoczesnym zachowaniu wysokich standardów bezpieczeństwa. Najnowsza wersja Microsoft Office 365 zawiera system zabezpieczeń, który chroni dane firmowe przed dostępem niepowołanych osób. Szyfrowanie dokumentów pozwala na bezpieczną wymianę poufnych informacji wewnątrz firmy, jak i po za nią. Program Microsoft Outlook sprawdza bezpieczeństwo plików wysyłanych pocztą e-mail, zanim jeszcze zostaną otwarte i zaczną stanowić zagrożenie.

„Firmy i instytucje angażują coraz więcej czasu, pieniędzy i energii na odpieranie cyberataków, co wkrótce może stać się dla nich zbyt kosztowne” — powiedział Michael Callahan, wiceprezes ds. marketingu produktów w dziale zabezpieczeń dla firm (Enterprise Security Products) HP. „Są oczywiste dowody na to, że wdrożenie zaawansowanych, inteligentnych zabezpieczeń umożliwia znaczne zmniejszenie częstotliwości i skutków tych ataków, a także kosztów ich likwidacji”.

Tegoroczne badanie szacujące straty wywołane cyberprzestępczością (2012 Cost of Cyber Crime Study), przeprowadzone wśród amerykańskich firm przez Ponemon Institute na zlecenie HP, wykazało, że średnie roczne koszty likwidacji skutków cyberataków ponoszone przez amerykańskie organizacje z grupy porównawczej wynoszą 8,9 mln USD. Oznacza to wzrost o 6% w porównaniu ze średnimi kosztami podanymi w raporciez 2011 r. oraz o 38% w stosunku do roku 2010. Tegoroczne badanie wykazało także wzrost liczby cyberataków o 42% . W badanych przedsiębiorstwach i instytucjach miały miejsce średnio 102 udane ataki tygodniowo wobec  72 w roku 2011 i 50 ataków tygodniowo w roku 2010. 

Największe straty powodują nadal cyberprzestępstwa związane z takimi atakami, jak szkodliwe oprogramowanie, blokowanie usług i kradzież lub przejęcie kontroli na urządzeniami, a także ataki dokonywane przez osoby działające wewnątrz firmy. W sumie odpowiadają one za ponad 78% rocznych kosztów likwidacji skutków cyberprzestępczości ponoszonych przez organizacje.

Inne ważne wnioski wynikające z badania to m.in.:

• Największe straty powodują nadal kradzieże informacji i zakłócenia w działalności biznesowej. W skali roku kradzieże informacji są przyczyną 44% łącznych kosztów zewnętrznych ponoszonych w wyniku  cyberprzestępstw, co oznacza wzrost o 4% w porównaniu z rokiem 2011. Zakłócenia w działalności biznesowej lub zmniejszenie produktywności są przyczyną 30% kosztów zewnętrznych ponoszonych na skutek cyberataków (wzrost o 1% w porównaniu z rokiem 2011).


• Wdrożenie zaawansowanych, inteligentnych zabezpieczeń może zmniejszyć skutki cyberataków. Instytucje, które wdrożyły rozwiązania do zarządzania informacją bezpieczeństwa i zdarzeniami (security information and event management — SIEM), zmniejszyły koszty o prawie 1,6 miliona USD rocznie. W rezultacie ponosiły one znacznie niższe koszty odtwarzania działań zaradczych, wykrywania i przeciwdziałania w porównaniu z organizacjami, które nie wdrożyły rozwiązań SIEM.


• Cyberataki mogą być bardzo kosztowne, jeżeli nie są szybko unieszkodliwiane. Średni czas rozwiązania problemu spowodowanego cyberatakiem wynosi 24 dni, ale z tegorocznego badania wynika, że w niektórych przypadkach może on się wydłużyć nawet do 50 dni. Średni koszt likwidacji skutków ponoszony w czasie tych 24 dni wynosił 591 780 USD, co oznacza wzrost o 42% w porównaniu z ubiegłorocznym szacunkowym średnim kosztem w wysokości 415 748 USD, ponoszonym w 18-dniowym średnim okresie rozwiązania.


• Najkosztowniejszymi działaniami wewnętrznymi związanymi z cyberprzestępczością są nadal przywracanie działania po awarii oraz wykrywanie zagrożeń. W skali roku działania te tworzą prawie połowę łącznych kosztów wewnętrznych przeznaczanych na walkę z cyberprzestępczością. Większość z nich stanowią koszty operacyjne i koszty osobowe.