Tegoroczne wiosenne ataki ransomware’u i dotyczące ich doniesienia medialne uświadomiły wreszcie właścicieli najmniejszych przedsiębiorstw, jakie mogą być skutki cyberataku i jego wpływ na ich funkcjonowanie. Dzięki temu, przynajmniej teoretycznie, rosną szanse na sprzedaż tej grupie klientów rozwiązań ochronnych bardziej zaawansowanych niż antywirus. Zwłaszcza że ten rynek jest bardzo duży i na razie słabo spenetrowany.

Małych firm, w których przeprowadzono chociażby podstawowe szkolenie dla pracowników z zakresu ochrony IT, wciąż można szukać ze świecą. Tam kwestie bezpieczeństwa najczęściej sprowadzają się do zainstalowania antywirusa na stacjach roboczych i włączenia firewalla w routerze. Potem decyduje ogólna wiedza informatyczna i zdrowy rozsądek (lub jego brak) pracowników. Małe firmy najczęściej nie zatrudniają informatyka, a czasem mają podpisany kontrakt z partnerem na ogólną obsługę, z reguły bez wyszczególnionej dbałości o ochronę firmowych zasobów IT.

Tak czy inaczej, wszystkie decyzje podejmowane są głównie przez jedną osobę – właściciela firmy – więc to z nim najczęściej będą prowadzone negocjacje. Według doświadczonych resellerów nie warto go zbytnio straszyć, żeby nie zniechęcić do siebie (najbardziej skuteczne jest „zasianie niepokoju”), ani też wskazywać nieodpowiedzialnych działań pracowników jako głównego źródła problemów. Taki argument się słabo „sprzedaje”, bo sugeruje brak podstawowych kompetencji technologicznych ze strony współpracowników prezesa czy też współwłaścicieli przedsiębiorstwa.

Przez najbliższy rok z pewnością najlepszym tematem na wstęp do rozmowy będzie RODO. Oczywiście większość właścicieli mniejszych firm słyszała o tym rozporządzeniu, ale niewielu zdaje sobie sprawę, że dotyczy ich w identycznym stopniu, co największych korporacji (chociaż oczywiście w innej skali). A że dzisiaj praktycznie w każdym przedsiębiorstwie znajdują się jakieś dane osobowe, to – mimo że takiej bazy nie trzeba już zgłaszać do centralnego rejestru – należy ją chronić w szczególny sposób.

 

Strategia ochrony

Paradoksalnie to nie od sprzętu i oprogramowania najczęściej zależy bezpieczeństwo firmowych danych, ale od przestrzegania kilku ważnych zasad przez użytkowników. Wystarczy obudzić ich czujność w kwestiach związanych z korzystaniem z Internetu, aby zminimalizować ryzyko udanego ataku o kilka rzędów wielkości. Eksperci podkreślają, że nie chodzi tu nawet o profesjonalne szkolenie z bezpieczeństwa IT, bo większość słuchaczy albo nie zrozumie jego treści, albo te treści zignoruje, wiedząc, że nie są przydatne do wykonywania obowiązków. Potrzebne jest przygotowanie wytycznych, które najpierw zostaną przedstawione w regulaminie pracy, a następnie stopniowo, ale nieustannie przypominane w akcjach mailingowych, czy też w trakcie wyjazdów integracyjnych.