Tegoroczne wiosenne ataki ransomware’u i dotyczące ich doniesienia medialne uświadomiły wreszcie właścicieli najmniejszych przedsiębiorstw, jakie mogą być skutki cyberataku i jego wpływ na ich funkcjonowanie. Dzięki temu, przynajmniej teoretycznie, rosną szanse na sprzedaż tej grupie klientów rozwiązań ochronnych bardziej zaawansowanych niż antywirus. Zwłaszcza że ten rynek jest bardzo duży i na razie słabo spenetrowany.

Małych firm, w których przeprowadzono chociażby podstawowe szkolenie dla pracowników z zakresu ochrony IT, wciąż można szukać ze świecą. Tam kwestie bezpieczeństwa najczęściej sprowadzają się do zainstalowania antywirusa na stacjach roboczych i włączenia firewalla w routerze. Potem decyduje ogólna wiedza informatyczna i zdrowy rozsądek (lub jego brak) pracowników. Małe firmy najczęściej nie zatrudniają informatyka, a czasem mają podpisany kontrakt z partnerem na ogólną obsługę, z reguły bez wyszczególnionej dbałości o ochronę firmowych zasobów IT.

Tak czy inaczej, wszystkie decyzje podejmowane są głównie przez jedną osobę – właściciela firmy – więc to z nim najczęściej będą prowadzone negocjacje. Według doświadczonych resellerów nie warto go zbytnio straszyć, żeby nie zniechęcić do siebie (najbardziej skuteczne jest „zasianie niepokoju”), ani też wskazywać nieodpowiedzialnych działań pracowników jako głównego źródła problemów. Taki argument się słabo „sprzedaje”, bo sugeruje brak podstawowych kompetencji technologicznych ze strony współpracowników prezesa czy też współwłaścicieli przedsiębiorstwa.

Przez najbliższy rok z pewnością najlepszym tematem na wstęp do rozmowy będzie RODO. Oczywiście większość właścicieli mniejszych firm słyszała o tym rozporządzeniu, ale niewielu zdaje sobie sprawę, że dotyczy ich w identycznym stopniu, co największych korporacji (chociaż oczywiście w innej skali). A że dzisiaj praktycznie w każdym przedsiębiorstwie znajdują się jakieś dane osobowe, to – mimo że takiej bazy nie trzeba już zgłaszać do centralnego rejestru – należy ją chronić w szczególny sposób.

 

Strategia ochrony

Paradoksalnie to nie od sprzętu i oprogramowania najczęściej zależy bezpieczeństwo firmowych danych, ale od przestrzegania kilku ważnych zasad przez użytkowników. Wystarczy obudzić ich czujność w kwestiach związanych z korzystaniem z Internetu, aby zminimalizować ryzyko udanego ataku o kilka rzędów wielkości. Eksperci podkreślają, że nie chodzi tu nawet o profesjonalne szkolenie z bezpieczeństwa IT, bo większość słuchaczy albo nie zrozumie jego treści, albo te treści zignoruje, wiedząc, że nie są przydatne do wykonywania obowiązków. Potrzebne jest przygotowanie wytycznych, które najpierw zostaną przedstawione w regulaminie pracy, a następnie stopniowo, ale nieustannie przypominane w akcjach mailingowych, czy też w trakcie wyjazdów integracyjnych.

 

Cyberprzestępcy nie ustają w wysiłkach, aby – korzystając z inżynierii społecznej – przechytrzyć odbiorców poczty elektronicznej lub osoby odwiedzające strony internetowe z podejrzanymi treściami. Jako że na wielomilionowy spadek od dalekiego wujka z Nigerii już raczej nikt się nie nabierze, pojawił się phishing do złudzenia przypominający oryginalną korespondencję z instytucjami zaufania publicznego (np. urzędami, bankami lub firmami kurierskimi). W takim przypadku potrzeba wyjątkowej czujności, aby nie przyczynić się do powodzenia ataku. Możemy być przy tym pewni, że cyberprzestępcy właśnie obmyślają jeszcze bardziej perfidne metody wyciągnięcia od internautów danych i pieniędzy. Dlatego konieczne jest stosowanie bardziej skutecznych niż ułomna ludzka intuicja rozwiązań, a czasem wręcz całej grupy współpracujących ze sobą produktów – zarówno sprzętu, jak i oprogramowania.

– Mniejsze firmy także mogą być zainteresowane kompleksowym podejściem do ochrony danych, zapewnianym np. przez wiele połączonych ze sobą produktów zabezpieczających, które dodatkowo informują się nawzajem o wykrytych podejrzanych działaniach w celu minimalizacji ryzyka i ewentualnych skutków ataku – mówi Sebastian Zamora, Channel Account Executive w Sophosie. – Takie rozwiązania mają jeden spójny system zarządzania, dzięki czemu nie trzeba zatrudniać sztabu administratorów. Wystarczy jeden informatyk lub firma partnerska wspierająca zdalnie swoich klientów.

Niestety, nawet w średnich firmach trudno dziś znaleźć dokument nazywany szumnie „polityką bezpieczeństwa”. A, wbrew powszechnej opinii, to właśnie w małych i średnich przedsiębiorstwach jest on najbardziej potrzebny. W większych firmach działają grupy ekspertów IT, którzy w przypadku wystąpienia problemów intuicyjnie wiedzą, co należy robić (polityka bezpieczeństwa może tylko „uporządkować” ich działania). Natomiast w mniejszych przedsiębiorstwach konieczne jest stworzenie wytycznych (dla zarządu, pracowników i osób odpowiedzialnych za IT – także z firm zewnętrznych), według których należy postępować zarówno na co dzień, jak też w pierwszych chwilach po zaobserwowaniu podejrzanej sytuacji. Zresztą stworzenie takiego dokumentu, który będzie zawierał ocenę ryzyka zagrożenia dla danych, wymusza m.in. RODO.

Zarządzanie nadzieją, czyli ochroniarz vs komandos

Sebastian Zamora, Channel Account Executive, Sophos

Dla ransomware’u nie ma znaczenia, czy atakowana jest duża czy mała firma. W tych mniejszych bywa on bardziej skuteczny, bo z reguły brak tam rozwiązań ochronnych, z wyjątkiem prostej, często domowej wersji antywirusa i firewalle’a wbudowanego w router. Zapewnienie bezpieczeństwa powinno się traktować w kategorii zarządzania ryzykiem, tymczasem w przypadku wielu mniejszych firm mamy do czynienia z zarządzaniem nadzieją – ich zarządcy mają nadzieję, że nic złego się nie wydarzy, więc nie inwestują w dodatkowe zabezpieczenia. A ransomware po prostu zaatakuje tam, gdzie to będzie możliwe, atakującym zaś będzie wszystko jedno, kto zapłaci okup.

Krzysztof Konieczny, prezes zarządu, Sun Capital

Próba skonfrontowania zwykłego routera z wbudowanym firewallem i urządzenia klasy UTM, nawet takiego najmniej wydajnego, zawsze wypadnie na korzyść tego drugiego. To jakby porównać starsze osoby z grupą inwalidzką, zatrudniane często przez agencje ochroniarskie do zabezpieczenia sklepu, z profesjonalnym komandosem, który dysponuje szeregiem narzędzi szybkiego reagowania. To zupełnie inna jakość i funkcjonalność, więc siłą rzeczy także cena będzie inna, ale wciąż na tyle niska, aby nawet bardzo małym firmom opłaciło się inwestować w profesjonalne rozwiązania ochronne.

Łukasz Nowatkowski, dyrektor IT, G Data Software

W małych firmach często przyjmowane jest błędne założenie, że w nowo kupionym routerze jest domyślnie poprawnie skonfigurowany firewall, tymczasem z reguły wymaga on wielu dodatkowych ustawień. W przedsiębiorstwach, gdzie znajduje się już kilkanaście stanowisk komputerowych, osoba odpowiedzialna za IT powinna korzystać z oprogramowania umożliwiającego kontrolę poziomu zabezpieczeń za pomocą konsoli zarządzającej. Dzięki temu możliwe staje się zarządzanie regułami polityki bezpieczeństwa, backupami, antyransomware’em oraz – co bardzo ważne – ochroną poczty elektronicznej, aby uniknąć wiadomości phishingowych, przy pomocy których rozsyłany jest złośliwy kod szyfrujący.

Anna Piechocka, dyrektor Dagma Bezpieczeństwo IT

Małe firmy ostatnio zaczęły interesować się rozwiązaniami, na które wcześniej rzadko zwracały ich uwagę. Wśród nich jest np. oprogramowanie do ochrony urządzeń mobilnych. Właściciele firm zaczęli wreszcie rozumieć, że telefony i tablety powinny być traktowane na równi z komputerami, bo zawierają wiele wrażliwych danych, a z technicznego punktu widzenia zapewniają podobne możliwości. Natomiast stanowiący coraz większe zagrożenie ransomware wpłynął na zwiększenie zainteresowania backupem, który przez większość małych przedsiębiorstw był traktowany po macoszemu, bo skoro nigdy nic złego się nie wydarzyło, to… po co go robić?

 

Zachowanie odpowiedniej „higieny” leży w interesie firm nie tylko ze względu na potrzebę eliminacji bezpośrednich zagrożeń dla danych, ale także z dbałości o reputację. Problemy mniejszych przedsiębiorstw wprawdzie rzadko będą przedstawiane w mediach, ale mogą dowiedzieć się o nich klienci i partnerzy, i w efekcie stracić tak trudne do zdobycia w dzisiejszych czasach zaufanie. Sporo niepotrzebnego zamieszania może narobić chociażby znajdujący się w sieci komputer wysyłający spam – nie dość, że jest to przestępstwo samo w sobie (nawet jeśli użytkownik nie jest świadomy tego procesu), to publiczny adres IP całej sieci może trafić na czarne listy. To zaś może oznaczać zablokowanie całej „legalnej” korespondencji wysyłanej przez pracowników.

 

Drugie życie backupu

Tymczasem ransomware, poza spowodowaniem wielu szkód, pozytywnie wpłynął na zwiększenie zainteresowania backupem. To dobra wiadomość dla sprzedawców, którzy powinni skorzystać z poprawy koniunktury, niezmiennie mając na uwadze potrzeby klientów. Dlatego projektując proces backupu, powinni wnikliwie przeanalizować wszystkie potencjalne problemy. Przede wszystkim należy unikać sytuacji, w której wcześniej wykonana kopia zostanie nadpisana nowymi, zaszyfrowanymi przez ransomware plikami. Jeśli to możliwe, należy korzystać z funkcji przechowywania kilku starszych wersji plików (ostatnia niezaszyfrowana będzie jedną z nich) albo z mechanizmu kopii migawkowych (snapshot). Warto również rozważyć (i to nie tylko z powodu popularności ransomware’u, ale także różnego typu katastrof) regularne tworzenie kopii zapasowych danych na zewnętrznych nośnikach, niepodłączonych do sieci.

>>> Trzy  pytania do…

Daniela Wszelakiego, właściciela firmy integratorskiej Wszelaki Software

CRN Jaką strategię ochrony swoich zasobów IT najczęściej przyjmują małe firmy?

Daniel Wszelaki Na szczęście antywirusy, nawet te z modułem firewalla, nie są już jedynymi produktami, na których klienci opierają zabezpieczenia swoich firm. Coraz łatwiej jest przekonać ich do inwestycji w małego UTM-a dla środowiska, w którym funkcjonuje kilkanaście hostów – w tym obszarze widać zdecydowany trend wzrostowy, czasem nawet nie ma problemu, aby namówić klienta do zakupu licencji z rozszerzoną funkcjonalnością. Przy czym odbiorcami tego typu urządzeń są nie tylko małe firmy, ale także różnego typu urzędy, a instalacja odbywa się w siedzibie głównej, jak również w jednostkach podległych, nawet tych najmniejszych.

 

CRN Czy ten wzrost sprzedaży wynika z lepszej świadomości klientów dotyczącej tych produktów, czy też nadal wymagają oni edukacji?

Daniel Wszelaki Ta świadomość jest połowiczna – ostatnie przypadki ataków ransomware’u, nagłośnione szeroko w mediach, obudziły czujność wielu osób, głównie z szeregów kierownictwa firm, ale do skutecznego zabezpieczenia ich infrastruktury jeszcze daleka droga. Z klientami nadal trzeba bardzo dużo rozmawiać, wyjaśniać im sporo kwestii. I jeżeli trafimy na świadomego zagrożeń rozmówcę, to późniejsza sprzedaż jest już łatwiejsza i można wdrażać dobre praktyki związane z zabezpieczaniem IT. Niestety, nadal zdarzają się dziwne pytania klienta, na przykład czy po wdrożeniu UTM-a lub firewalla nowej generacji będzie mógł zrezygnować z antywirusa…

 

CRN Tego typu produkty wymagają bieżącej obsługi – trzeba nimi zarządzać, przeglądać logi – nie wystarczy po prostu zainstalować je i o nich zapomnieć. Czy klienci potrafią to robić sami, czy też zdarza się, że wspomagają się doświadczeniem dostawcy?

Daniel Wszelaki Jeśli mówimy o małych firmach, to zwykle nie mają zatrudnionych informatyków na etacie, posiłkują się kimś z zewnątrz. My kierujemy się zasadą, że nie sprzedajemy tylko samych pudełek, ale zawsze w ramach wartości dodanej oferujemy przede wszystkim wdrożenie, jak też opiekę powdrożeniową, bo tego wymaga praktycznie każde rozwiązanie z zakresu bezpieczeństwa. Często konieczne jest zaprojektowanie polityki bezpieczeństwa, zaimplementowanie jej w urządzeniu oraz uważna obserwacja jego pracy przez pierwsze dni po wdrożeniu (w celu wprowadzenia ewentualnych poprawek), jak też późniejszy stały nadzór. Rozwiązanie UTM „żyje”, aktualizowane są sygnatury IPS-a, powstają nowe wersje oprogramowania z nowymi funkcjami, które należy zaimplementować itd. Dzięki temu mamy szereg klientów z okresowymi umowami na opiekę. Są to nie tylko firmy komercyjne, ale także podmioty administracji samorządowej.

 

Kolejną konieczną do uwzględnienia kwestią są testy poprawności pracy rozwiązań, które mają dbać o bezpieczeństwo firmowych danych. Backup i możliwość odzyskania danych z kopii znajdują się w tym przypadku na pierwszym miejscu, bo właśnie na tym polu najczęściej administratorzy doznają porażki, gdy trzeba przywrócić do pracy środowisko produkcyjne (a przyczyn nieprawidłowo wykonanej kopii danych lub braku możliwości ich odzyskania jest mnóstwo). Od czasu do czasu warto także poddać audytowi narzędzia odpowiedzialne za bezpieczeństwo danych – dla zachowania neutralności działania te powinna przeprowadzić firma zewnętrzna. Nic nie stoi na przeszkodzie, aby był to współpracujący z klientem integrator.

 

Malware wciąż atakuje

Niekiedy można spotkać się z użytkownikami, którzy odmawiają współpracy, argumentując: „odinstalowałem antywirusa i przez pół roku nic nie złapałem”. Klientom stosującym taką argumentację i broniącym się przed kupnem licencji na kolejny rok warto wskazywać analogiczny przykład: „wymontowałem zamek w drzwiach wejściowych do domu i nikt się nie włamał”.

Faktem jest, że wiele zagrożeń zostaje wyeliminowanych, jeszcze zanim dotrą do potencjalnej ofiary. Właściciele serwerów poczty elektronicznej nie ustają w wysiłkach, które mają na celu odsianie spamu i phishingu – nie tylko ze względu na niesione przez te wiadomości zagrożenia, ale też w celu zmniejszenia ruchu na serwerach. Natomiast operatorzy nigdy nie osiągną stuprocentowej skuteczności, dlatego warto korzystać z dodatkowej warstwy ochrony. Klasyczne oprogramowanie antymalware dobrze sprawdza się przy zwalczaniu ransomware’u. Szyfrujące wirusy mają swoje sygnatury i działają według określonego schematu, można je więc dość łatwo zidentyfikować.

Moduł firewall w routerze vs UTM

Wbudowane w routery moduły firewalla nie są wystarczającym zabezpieczeniem chroniącym sieć przed zagrożeniami. Oto garść argumentów, dzięki którym można przekonać klientów do kupna rozwiązania klasy UTM.

>> Zwykły firewall blokuje podejrzany ruch w sposób, który atakujący doskonale znają. Są oni w stanie przygotować boty omijające tego typu zabezpieczenie, wykorzystując znane, często przez lata niezamknięte luki.

>> Domyślne ustawienia konfiguracyjne (adresy IP, hasła administratorów itp.) powszechnie wykorzystywanych routerów są bardzo rzadko zmieniane przez użytkowników i dobrze znane atakującym.

>> Dla routerów moduły firewall są tylko dodatkiem do podstawowych funkcji i rzadko producenci poświęcają im należytą uwagę. Tymczasem w UTM-ach jest to jedna z najważniejszych funkcji i jednocześnie jedna z wielu, które cały czas są rozwijane oraz – w przypadku wykrycia nieprawidłowej pracy – natychmiast naprawiane. Dla zwykłych routerów aktualizacje firmware’u zawierające poprawki bezpieczeństwa publikowane są wyjątkowo rzadko, jeśli w ogóle.

>> Popularne routery sprzedawane są na świecie w milionach sztuk, więc ewentualne wykrycie jakiejś luki naraża dużą grupę klientów na niebezpieczeństwo. Tym bardziej że większość z nich nie interesuje się zagadnieniami związanymi z ochroną IT. Sprzedaż UTM-ów jest o kilka rzędów wielkości mniejsza, zatem siłą rzeczy atakujący są mniej nimi zainteresowani – nie tylko ze względu na brak efektu skali, ale także lepsze wewnętrzne zabezpieczenia przed włamaniem.

 

Do niektórych antywirusów producenci wbudowują moduły ostrzegające o braku aktualizacji systemu operacyjnego czy kluczowego, najczęściej atakowanego oprogramowania (jak np. pakiety firmy Adobe). Warto zwrócić uwagę na tę funkcję lub wyposażyć klienta w dodatkowe narzędzie weryfikujące dostępność aktualizacji, ponieważ brak zainstalowanych łatek stanowi najlepsze zaproszenie dla ransomware’u i innego złośliwego kodu.

Jak podkreślają dostawcy oprogramowania antymalware, wciąż bardzo małe jest zainteresowanie pakietami do ochrony urządzeń mobilnych. W większych przedsiębiorstwach najczęściej funkcjonują narzędzia klasy MDM (Mobile Device Management), które wymuszają stosowanie ochrony antywirusowej i aktualizowanie systemu oraz aplikacji. Tymczasem zabezpieczanie telefonów i tabletów przez pracowników mniejszych firm i użytkowników prywatnych stanie się modne prawdopodobnie dopiero wtedy, gdy dojdzie do jakiegoś spektakularnego ataku i kradzieży dużej ilości danych lub zaszyfrowania milionów urządzeń na całym świecie.

 

Ochrona sieci

Od kilku lat w ofercie prawie wszystkich dostawców zaawansowanych rozwiązań do ochrony sieci na jej styku z Internetem (UTM-ów i firewalli następnej generacji) są dostępne urządzenia w wersji mikro i mini. W zależności od wydajności danego modelu są w stanie zabezpieczyć od kilku do kilkudziesięciu stacji roboczych korzystających z Internetu. Są wyposażone w szereg funkcji ochronnych, m.in. moduły firewall, VPN, IPS, antywirusowy, a czasami także antyspamowy.

Wiele modeli tych urządzeń zostało zaprojektowanych tak, aby mogły zastąpić zwykłe routery (korzyści takiego rozwiązania przedstawiamy w ramce powyżej). Dlatego większość z nich ma wbudowany także przełącznik Ethernet oraz punkt dostępowy Wi-Fi. Dzięki temu mogą służyć nawet najmniejszym odbiorcom.

– Coraz częściej spotykamy się z sytuacją, że nasi partnerzy sprzedają UTM-y zwykłym indywidualnym użytkownikom domowym – mówi Krzysztof Konieczny, prezes zarządu Sun Capital. – Jeżeli ktoś zbudował inteligentny dom i wyposażył go w mnóstwo urządzeń, to musi się liczyć z tym, że część z nich będzie słabo zabezpieczonych lub wcale. W rezultacie można narazić się na różnego typu zagrożenia – ktoś może „bawić się” naszym domowym sprzętem, ale też wykorzystać jego luki do dokonania przestępstwa, np. włamania. Wystarczy zdalnie zablokować system wideomonitoringu, aby nie dopuścić do nagrania złodzieja i otworzyć elektronicznie blokowane okna…

Cena małego UTM-a – kilka tysięcy złotych – z reguły „zwraca się” po pierwszym zablokowanym poważnym ataku. Należy jednak pamiętać, że praca urządzenia wymaga ciągłego nadzoru, prowadzonego przez osobę z doświadczeniem w zakresie bezpieczeństwa IT. Konieczne jest śledzenie informacji zbieranych w logach, a także weryfikacja poprawności przebiegu aktualizacji sygnatur antywirusowych oraz wbudowanego oprogramowania. Co roku trzeba też odnawiać licencje na dostęp do najnowszych szczepionek oraz do innych modułów wymagających ciągłych aktualizacji.