W ocenie dostawców ochrona sieci u klientów z sektora MŚP jest często niewystarczająca i nie gwarantuje im bezpieczeństwa nawet w minimalnym stopniu. Zazwyczaj ogranicza się do firewalli sprzętowych albo programowych oraz antywirusów. Co gorsza, mniejsze firmy nierzadko korzystają z produktów klasy konsumenckiej. Spora grupa użytkowników nie jest przy tym skłonna do inwestycji, oczywiście dopóki coś się nie wydarzy. Z ubiegłorocznych danych Cybersec Hub wynika, że co czwarta mała firma w Polsce przeznacza na ochronę cyfrową najwyżej nieco ponad… tysiąc zł rocznie. Połowa z tych środków idzie na antywirusy, ochronę przed spamem i spyware.

Dziurawe zabezpieczenia i skromne budżety to jeden ze skutków braku wiedzy o zagrożeniach oraz nieobecności specjalistów ds. bezpieczeństwa w małych i średnich firmach (co zresztą wynika też z bariery kosztowej). Według danych Hays dobry specjalista ds. bezpieczeństwa oczekuje wynagrodzenia rzędu 18–35 tys. zł brutto miesięcznie i jest to jedna z najlepiej opłacanych funkcji w branży. Firmy, których zwykle na taki luksus nie stać, jednocześnie rzadko korzystają ze wsparcia zewnętrznych fachowców. Ochroną cyfrową w małych podmiotach zajmują się więc zazwyczaj
administratorzy IT, którzy zwykle nie mają czasu ani wystarczającej wiedzy, by odpowiednio zadbać o cyberochronę. Nierzadko stosują po prostu ustawienia sugerowane przez producenta, a potem nikt już nie zarządza zabezpieczeniami.

To jeszcze pół biedy, bo bywa i tak, że kupionych rozwiązań ochronnych nie tylko nikt nie konfiguruje ani nie aktualizuje i nie jest to uznawane za problem. Pokazuje to przykład przytoczony przez jednego z producentów. Otóż jeden z podmiotów zainstalował firewalla, ale po pewnym czasie jego przepustowość okazała się niewystarczająca dla rosnącego ruchu sieciowego. Zamiast zainwestować w nowe rozwiązanie, wybrano najprostszą opcję, czyli wraz ze wzrostem obciążenia wyłączano firewalla. No cóż, uznano, że tak jest taniej.

 

Lista zaniedbań

W rozmowach z CRN Polska producenci wymienili całą listę obszarów, które według ich obserwacji wymagają poprawy w sektorze MŚP. To jednocześnie wskazówka dla dostawców usług, na jakie kwestie powinni zwrócić uwagę klientom. Chodzi m.in. o zaniedbania w ochronie danych, które są przechowywane w nieodpowiednich miejscach i nie są szyfrowane. Co istotne, małe firmy często nie mają polityki bezpieczeństwa, a jak już została ona nawet opracowana, widać dużą swobodę w jej przestrzeganiu (mało skomplikowane hasła, ściąganie aplikacji z nieznanych źródeł w sieci, wynoszenie wrażliwych danych na pendrive’ach, klikanie w załączniki e-mail od nieznanych adresatów itd.). Tymczasem bez pilnowania zasad ochrony przez pracowników (albo skutecznego nadzoru nad nimi) nie ma mowy o pełnym bezpieczeństwie.

MŚP zaniedbują też ochronę przestrzeni wewnątrz sieci, między rdzeniem a urządzeniem końcowym. Żeby wypełnić tę lukę, trzeba skupić uwagę na monitorowaniu wewnętrznego środowiska IT, aby zlokalizować jej słabe punkty.

Kolejny problem to rosnąca popularność urządzeń mobilnych. Trudno jest jednak wymusić na pracownikach konieczność stosowania się do polityki bezpieczeństwa w tej kwestii, zwłaszcza gdy korzystają z własnego sprzętu.

Największym niedociągnięciem jest niestosowanie podziału sieci dla różnych użytkowników z wykorzystaniem VLAN-ów – uważa Robert Gawroński, SMB Channel Manager w TP-Linku.

To poważna luka zwłaszcza w sieciach bezprzewodowych. Na ryzyko wystawia też brak sieci gościnnej odseparowanej od firmowej. Małe przedsiębiorstwa nie dbają ponadto o segmentację sieci, przez co infekcja jednego urządzenia wystarczy do uzyskania dostępu do całej sieci. Warto więc zwrócić na to uwagę, budując czy analizując infrastrukturę dla klienta.

Dobra wiadomość jest taka, że rośnie świadomość konieczności ochrony, do czego przyczyniają się nagłaśniane w mediach ataki wykorzystujące ransomware, a zwłaszcza wieści o olbrzymich stratach zaatakowanych firm. Także RODO w ostatnich latach zwiększyło zainteresowanie bezpieczeństwem cyfrowym, nie tylko jeśli chodzi o dane osobowe. Jednak większe zainteresowanie małych i średnich przedsiębiorców cyberbezpieczeństwem to jedno, a drugie to kwestia ograniczonych budżetów.

 

Szybko, łatwo i kompleksowo

Według producentów klienci w małych i średnich firmach potrzebują rozwiązań nieskomplikowanych w obsłudze, łatwych do wdrożenia, a przy tym kompleksowych. Warto stawiać chociażby na produkty upraszczające zarządzanie za pomocą jednej konsoli, co ułatwia opracowanie zasad polityki bezpieczeństwa, obejmujących zarówno infrastrukturę, jak i użytkowników.

Małe przedsiębiorstwa w większości przypadków ograniczają się do zastosowania skanera antywirusowego i firewalla. Tymczasem, by mówić o rozwiązaniu systemowym, konieczna wydaje się co najmniej wymiana informacji między tymi dwiema warstwami ochrony – radzi Maciej Kotowicz, Senior Channel Account Executive w Sophos.

Zauważa przy tym, że najgroźniejsze ataki, typu ransomware czy wykorzystujące tzw. ruch poboczny w sieci (lateral movement), mogą skutecznie „oszukać” pojedyncze zabezpieczenia.

Z tego względu sam firewall, nawet dobrej marki, nie pomoże w razie włamania do sieci. Skuteczniejsze są rozwiązania do przechwytywania albo analizy pakietów, co pomaga wykrywać naruszenia. Ponadto w przypadku firewalli dużą wagę firmy przywiązują zwykle do wyboru rozwiązania, a wdrożenie, prawidłowa konfiguracja i powiązanie z innymi systemami zabezpieczającymi schodzą na dalszy plan.

– Jednym z ważniejszych problemów jest to, że MŚP nie budują infrastruktury sieciowej od początku zgodnie z ideą security by design. Potrzebna jest lepsza współpraca między architektami systemów bezpieczeństwa, aplikacji i infrastruktury oraz projektowanie całej sieci z myślą o bezpieczeństwie – uważa Beata Haber, Business Development Manager we Flowmon Networks.

Za skuteczną ochronę uważa się również bramy UTM, choć nawet użytkownicy najlepszych modeli, niezależnie od wielkości, powinni być przygotowani na najgorsze oraz przestrzegać reguły 3-2-1 – przynajmniej trzy kopie danych, na dwóch różnych nośnikach, zaś jeden z nich przechowywany poza firmą.

Zdaniem integratora

Jacek Terpiłowski, dyrektor generalny SOC24 (grupa Infradata)

W sektorze MŚP będzie zwiększać się zapotrzebowanie na usługi firm specjalizujących się w bezpieczeństwie cyfrowym. Z roku na rok obserwujemy rosnącą świadomość zagrożeń także w mniejszych podmiotach, m.in. dzięki nagłaśnianym atakom i wymogom RODO, co przekłada się nierzadko na zwiększenie budżetów na cyberbezpieczeństwo. Ogólnie do wydatków są bardziej skłonne podmioty dysponujące większą ilością wrażliwych danych i zasobami cyfrowymi, które trzeba chronić. Dlatego np. małą firmę, która zajmuje się stolarką okienną, raczej trudno przekonać do zwiększenia wydatków na cyberochronę. Z kolei przedsiębiorstwa z sektora finansowego są jak najbardziej skłonne do inwestycji w tym obszarze, ale można też liczyć na zainteresowanie ze strony mniejszych podmiotów, takich jak biura księgowe, które dysponują całą masą wrażliwych informacji. Do skutecznej ochrony potrzebne jest kompleksowe podejście – audyty, testy zabezpieczeń, weryfikacja uprawnień, fachowe zarządzanie. Same antywirusy i firewalle to za mało. Zazwyczaj MŚP są obsługiwane w obszarze cyberochrony przez integratorów i resellerów, którzy sprzedają im i instalują wszystko, od komputerów po antywirusy. Taki outsourcing niekoniecznie poprawia ochronę firmy, jeżeli nie zajmują się nim specjaliści w tej dziedzinie.

 

Bezpieczniej małym kosztem

Małe i średnie przedsiębiorstwa często korzystają z chmury (przynamniej na potrzeby poczty elektronicznej czy CRM-a). Jednak poleganie na zabezpieczeniach oferowanych przed administratora chmury może być ryzykowne.

W przypadku kluczowych dla firmy zasobów warto zadbać o dwustopniowe uwierzytelnianie. Dzięki temu stosunkowo małym kosztem można znacznie podnieść poziom bezpieczeństwa – twierdzi Mateusz Pastewski, Cybersecurity Sales Manager w Cisco.

Ważna jest przy tym kompleksowość zabezpieczeń, ponieważ ochrona cyfrowa to system, który składa się z wielu elementów. Jak zauważa Artur Madejski, Product Manager w Veracompie, bezpieczna sieć składa się z pięciu elementów. Pierwszym, stanowiącym podstawę kolejnych, jest wysokiej klasy, certyfikowany UTM. Kolejny to uproszczone zarządzanie funkcjami bezpieczeństwa i siecią z jednej platformy, punktu lub konsoli. To bezpośrednio łączy się z trzecim istotnym punktem, który stanowi obecnie duże wyzwanie dla MŚP, czyli dostępem na podstawie tożsamości lub ról w firmie.

Połączenie tych elementów prowadzi do czwartego elementu – widoczności. Wszystkie poprzednie muszą wzajemnie wspierać prezentowanie informacji oraz umożliwiać ich korelowanie za pomocą spójnej platformy, która w zwieńczeniu – jako piąty element – daje możliwość automatyzacji części prac administracyjnych i decyzji w przypadku wystąpienia ataku.

Kluczem do minimalizacji ryzyka powodzenia ataków jest uświadomienie sobie faktu, że cyberbezpieczeństwo nie jest trwałym stanem, będącym efektem jednorazowych działań, lecz procesem, wymagającym cyklicznej weryfikacji wdrożonych rozwiązań i procedur. Ta kwestia jest często pomijana przez MŚP – zauważa Maciej Twardy, dyrektor techniczny w Bakotechu.

 

Zdaniem producenta

Maciej Kotowicz, Senior Channel Account Executive, Sophos

Rozwiązania dotyczące bezpieczeństwa sieci MŚP dają partnerom wyjątkową okazję do tego, by klient widział w nich zaufanego doradcę. Skuteczne zabezpieczenie zasobów firmy wymaga – poza umiejętnością zaprezentowania czy wdrożenia produktów – również znajomości specyfiki samego klienta, jego branży, najczęstszych zagrożeń, rodzaju i zakresu koniecznej ochrony urządzeń i danych. Właściwe zaadresowanie wyzwań w tym obszarze zazwyczaj skutkuje realizacją u klienta nie tylko projektu z bezpieczeństwa IT, lecz także innych, które integrator może zaoferować użytkownikowi.

Mateusz Pastewski, Cybersecurity Sales Manager, Cisco

Przyszłością są usługi cyberbezpieczeństwa w modelu subskrypcyjnym. Integrator może proponować klientowi, który nie posiada zasobów ani ludzi, by nie kupował na własność produktów, bo może je wynająć. Do nich partner może dodawać swoją usługę. Modeli działania może być wiele, od tych polegających na wdrożeniu u klienta rozwiązań rozliczanych w abonamencie, po bazujące na chmurze, do których partner będzie dokładać swoje usługi zarządzane. Cyberbezpieczeństwo zawsze było i jest branżą o wysokiej marży. Trzeba jednak zaznaczyć, że to bardzo trudny segment rynku, gdyż z każdym rokiem przybywa rozwiązań, a ataki są coraz bardziej złożone i wyrafinowane.

Tomasz Rot, dyrektor sprzedaży na Europę Środkowo-Wschodnią, Barracuda Networks

Bezpieczeństwo sieci to kompleksowy system, w którym każdy komponent ma do odegrania jakąś rolę: firewall, IPS, rozwiązania antywirusowe, przełączniki pozwalające na segmentację sieci, routery, a także obowiązujące w firmie procedury i nawyki pracowników. Cały system jest tylko tak bezpieczny jak jego najsłabsze ogniwo. Nawet najlepsze rozwiązania nie pomogą, jeżeli firewall ma źle skonfigurowaną politykę bezpieczeństwa, wyłączony moduł antywirusowy czy aktywne fabryczne hasło administratora. Zdarza się, że pracownicy logują się na konta z uprawnieniami administratora czy podłączają do komputerów obce pendrive’y poza wszelką kontrolą. Ogromną rolę mają tu do odegrania partnerzy, którzy powinni edukować klientów i sprzedawać im swoją wiedzę w postaci audytów bezpieczeństwa, pomocy w stworzeniu odpowiedniej polityki i kompleksowej opieki nad bezpieczeństwem klienta.

 

Co mogą zrobić partnerzy

Dostawcy zgodnie twierdzą, że partnerzy powinni być zaufanymi doradcami przedsiębiorców, zająć się audytem infrastruktury, monitorowaniem zagrożeń, szkoleniami, doborem rozwiązań i pomocą w tworzeniu polityki bezpieczeństwa, której brak (lub nieprzestrzeganie) należy do największych bolączek MŚP. Tylko nieco połowa firm z tego sektora deklaruje, że ma strategię cyberbezpieczeństwa (według Cybersec Hub). Do takiej kompleksowej opieki niezbędne są jednak kompetencje w dziedzinie bezpieczeństwa IT. Będą one coraz cenniejsze, gdyż deficyt fachowców w tym obszarze będzie się powiększał. Według Infosecurity w Europie Środkowej za trzy lata zabraknie 142 tys. specjalistów ds. cyberochrony.

Widzimy ogromne zapotrzebowanie na usługi audytorskie dla MŚP, wysokiej jakości usługi wdrożeniowe czy usługi w obszarze zabezpieczania rozwiązań chmurowych oraz ich łączenia z rozwiązaniami on-site. Chmura umożliwia ograniczanie jednych ryzyk, ale wprowadza inne, więc zawsze trzeba w odpowiedni sposób zarządzać korzystaniem z niej – podkreśla Tomasz Rot, dyrektor sprzedaży na Europę Środkowo-Wschodnią w Barracuda Networks.

Wskazywano również, że główną rolą partnerów może być dostarczanie zarządzanych usług z cyberochrony. Przykładowo w modelu Security as a Service (SECaaS) producent dostarcza firewall wraz z licencjami, a partner zajmuje się konfiguracją i zarządzaniem usługą. Wówczas klient rozlicza się w modelu abonamentowym, a finansowanie bierze na siebie producent. Wszystkim można zarządzać z jednej konsoli (np. urządzeniami i ruchem sieciowym), co ułatwia partnerom, którzy nie mają rozbudowanej kadry specjalistów do dyspozycji, nadzór nad zabezpieczeniami większej grupy klientów.

Nawet sprzętowe firewalle, które użytkownik może zainstalować przy użyciu funkcji Zero Touch Deployment, nie zagrożą dostawcom usług, ale ułatwią im pracę, bo będzie konieczne angażowanie ludzi do wdrożenia, później zaś ktoś jednak musi zarządzać i monitorować zabezpieczenia – uważa Sebastian Cygan, Security Sales Manager w SonicWallu.

Kolejna ważna kwestia to konieczność poprawy ochrony wewnątrz firmy. Pracownik jest zazwyczaj najsłabszym ogniwem zabezpieczeń, dlatego rola edukacyjna partnerów zdaniem dostawców jest nie do przecenienia. Regularne szkolenia, a także tworzenie polityki bezpieczeństwa powinny być częścią oferty. Trzeba też uświadamiać klientom ryzyko zagrożeń i strat finansowych, a także wizerunkowych związanych z niedostatecznie zabezpieczoną siecią. Najczęściej przedsiębiorstwa interesują się ochroną, gdy już dojdzie do włamania.

Partnerzy mogą także wypożyczać (czyli udostępniać w modelu usługowym) urządzenia do monitorowania sieci, by np. przeprowadzić audyt w poszukiwaniu słabych punktów w ochronie cyfrowej. Niektórzy dostawcy twierdzą, że główną rolą partnera może być analiza zagrożeń, a następnie dobór odpowiedniego rozwiązania.

Nie warto poprzestać na wdrożeniu i wstępnej konfiguracji, lecz także zaproponować klientowi usługę regularnego monitorowania i sprawdzania funkcjonowania zabezpieczeń sieci – radzi Aleksander Styś, VAR Account Manager w Zyxel Communications.

 

Kolejną funkcją jest integracja rozwiązań w ramach jednego ekosystemu, ponieważ rozwiązania jednego dostawcy raczej nie rozwiążą problemów z cyberbezpieczeństwem.

Firmy często nie są w stanie samodzielnie sprostać wszystkim wymaganiom związanym z zabezpieczeniami sieci IT. Kluczową rolę odgrywają tutaj partnerzy, którzy, bazując na audycie i potrzebach przedsiębiorstwa, powinni podpowiadać właściwe rozwiązania – radzi Mateusz Macierzyński, kierownik ds. produktów ITS w Konica Minolta.

Możliwości jest więc sporo, tyle że słychać również narzekania niektórych dostawców na to, że partnerzy nie zawsze chcą dzielić się wiedzą i sprzedają klientowi to, o co poprosi, bo tak jest łatwiej. Poza tym wciąż część przedsiębiorców i mniejszych urzędów obawia się przekazania na zewnątrz zadań dotyczących ochrony informatycznej. Ale to akurat powoli i systematycznie się zmienia.

Podstawowe problemy w ochronie sieci MŚP

• Brak działów bezpieczeństwa i specjalistów oraz zasobów na ten cel
• Brak polityki bezpieczeństwa lub jej nieprzestrzeganie
• Błędy w zarządzaniu zabezpieczeniami
• Punktowa ochrona zamiast kompleksowej
• Niska świadomość ryzyka wśród pracowników
• Brak segmentacji sieci
• Pomijanie kontroli dostępu i szyfrowania
• Stosowanie prostych haseł
• Brak standaryzacji urządzeń lub oprogramowania w sieci

 

Zdaniem dystrybutora

Paweł Jurek, wicedyrektor ds. rozwoju, Dagma

Strategia partnerów, która polega na tym, że koncentrują się oni na odsprzedaży pojedynczych rozwiązań, ale nie dostarczają przy tym wielu usług, jest ryzykowna. Klient może łatwo zmienić zarówno resellera, jak i produkty. Wygrywają partnerzy, którzy są w stanie nie tylko wdrożyć rozwiązania, lecz także nimi zarządzać. Zauważamy, że ci, którzy zbudowali takie kompetencje i wzbogacili ofertę, rozwijają się znacznie szybciej niż pozostali. Po fali zmian związanych z RODO widzimy zwiększone zainteresowanie budowaniem polityk bezpieczeństwa. Po audycie ich dotyczącym zwykle ujawnia się wiele niedociągnięć, które trzeba rozwiązać. To bardzo dobry kierunek dla partnerów. Niektóre średnie firmy zwracają coraz większą uwagę na systemy ochrony przed wyciekiem danych (Data Loss Prevention). Ten rynek jest bardzo młody, ale rosnący. Partnerzy, którzy teraz budują rynek rozwiązań DLP w MŚP, prowadząc edukację klientów, już wkrótce zbiorą tego owoce.

Michał Sobieski, Product Manager, Alstor SDS

MŚP na ogół nie mają u siebie sztabu specjalistów od zabezpieczeń sieci przed cyberatakami. Nie chcą inwestować lub nie mają budżetu na narzędzia monitorujące sieć zarówno pod kątem wydajności, jak i zagrożeń. Tu jest pole do działania dla partnerów. Mogą oni wykorzystać swoje kompetencje i uzyskać zwrot z inwestycji w narzędzia diagnostyczne. Z rozmów z partnerami wynika, że część z nich dostrzega tu szansę biznesową, zwracając uwagę na potrzebę odpowiednich rozwiązań diagnostycznych – w przystępnych cenach, funkcjonalnych i generujących przejrzyste raporty niezbędne dla dokumentacji wykonanej usługi.

Michał Jurczak, Product Manager, Veracomp

Bardzo często do ochrony stacji roboczych i serwerów stosowane jest oprogramowanie antywirusowe, zaś do zabezpieczania brzegu sieci – zapora UTM. To wystarczający poziom ochrony, o ile spełnionych zostanie kilka warunków. Przede wszystkim trzeba pamiętać o tym, że obecnie głównym zagrożeniem są ataki wykorzystujące podatności typu zero-day. Zwykła ochrona sygnaturowa już nie wystarcza, a „detonacja” w sandboxie może trwać zbyt długo. Potrzebne są zaawansowane mechanizmy, jak ochrona w czasie rzeczywistym oparta na uczeniu maszynowych lub modułach TDR (automatycznym wykrywaniu zagrożeń i reagowaniu na nie). Takie rozwiązania wcale nie muszą być drogie czy skomplikowane we wdrożeniu i mogą być dostępne w ramach jednego pakietu UTM. Wciąż dużym zagrożeniem dla MŚP są ataki związane z nieodpowiednim zabezpieczaniem haseł i autoryzacją użytkowników. Żeby temu zaradzić, warto pomyśleć o uwierzytelnianiu wieloskładnikowym.