Jak dbać o bezpieczeństwo danych w firmie? Postaw na chmurę

Bezpieczeństwo danych odgrywa w dzisiejszych czasach coraz bardziej istotną rolę - zarówno w segmencie konsumenckim, jak i w świecie biznesu. Cyberprzestępcy wpadają na coraz bardziej wyrafinowane sposoby wykradania poufnych informacji, więc i osoby po tej drugiej stronie barykady muszą cały czas zwiększać swoje kompetencje, a także w porę reagować, identyfikować nowe wektory ataku i starać się być o krok przed złodziejami danych.

Konsumenci muszą uważać na phishing, który może skończyć się utratą dostępu do kont internetowych lub pieniędzy, w świecie biznesu jest jeszcze gorzej. Firmy działające w internecie lub przenoszące się do globalnej wioski też muszą liczyć się z tym, iż mogą paść ofiarą cyberataków phishingowych oraz ransomware, a tym samym stracić pieniądze. Do tego dochodzą potencjalne wycieki poufnych informacji oraz DDoS-y, czyli ataki blokujące dostęp do stron www i usług.

Niestety ataków z roku na rok przeprowadzanych jest coraz więcej, a tendencja będzie się niestety w przyszłości nasilać. Już w 2024 r. aż 22,3 mld urządzeń będzie na całym świecie podłączonych do internetu rzeczy, co sprawi, że będą one bardziej narażone na naruszenia bezpieczeństwa. Według prognoz Cybersecurity Ventures do 2025 roku globalne straty spowodowane cyberprzestępczością wyniosą 10,5 biliona dolarów rocznie.

Według analityków Checkpoint Research liczba ataków w 2021 r. wzrosła na całym świecie o 50 proc. r./r., a w Polsce niemal o 75 proc. Przedsiębiorcy powinni szukać pomocy u partnerów. Na szczęście Polacy są dobrze przygotowani do tego, by odpierać próby wykradzenia informacji. Stan zaawansowania dostępnych rozwiązań chmurowych i związanych z cyberbezpieczeństwem w Polsce nie odbiega od tych globalnych. Ba, czasami nawet je wyprzedza!

W dzisiejszych czasach firmy nie mogą sobie pozwolić na to, by jedynie pasywnie reagować na zagrożenia. Każdy atak, na jaki przedsiębiorstwo nie było przygotowane, może się okazać brzemienny w skutkach. Straty mogą być zarówno wymierne (np. finansowe) jak i niewymienne (utrata reputacji). Zadaniem działów IT w firmie jest odpowiednie przygotowanie się na najczarniejsze scenariusze oraz znalezienie odpowiedniego partnera, który w tym pomoże.

Cyberbezpieczeństwo to niestety na tyle złożony temat, że samodzielnie poradzić mogą sobie z zabezpieczeniem systemów informatycznych tylko największe korporacje - bo wymaga to zarówno wiedzy, jak i doświadczenia oraz zatrudnienia najlepszych specjalistów, a także stałego monitorowania zmieniającej się sytuacji w internecie. Na szczęście można zdać się na pomoc specjalistów - ważne jednak, by robić to proaktywnie, a nie reaktywnie.

Przedsiębiorstwa, które przechowują dane wyłącznie lokalnie oraz bagatelizują kwestię cyberbezpieczeństwa, narażają się na wyciek oraz bezpowrotną utratę swoich informacji handlowych, finansowych, planów rozwoju przedsiębiorstwa, danych klientów i kontrahentów oraz informacji o produktach i usługach. W wyniku ataków organizacje na całym świecie tracą średnio ponad 4 milionów dolarów rocznie, a ataki cybernetyczne mogą zaważyć o… istnieniu firmy.

96 proc. firm posiadających kopię zapasową i plan na wypadek problemów z infrastrukturą IT jest w stanie przeżyć ataki ransomware, podczas gdy spośród przedsiębiorstw bez takich zabezpieczeń, w przypadku ataku na ich dane 90 proc. z tych podmiotów szybko bankrutuje. Do tego ofiarami padają zarówno ogromne korporacje, jak i mniejsze biznesy. Nie ma zabezpieczeń nie do złamania, ale kluczowa jest tutaj minimalizacja ryzyka.

Na świecie aż 55 proc. dużych firm nie powstrzymuje skutecznie cyberataków, a także nie potrafi ich sprawnie zidentyfikować, a potem szybko przywrócić sytuacji do normy i ograniczyć negatywnych skutków tych naruszeń. W naszym kraju zaś jedynie 41 proc. firm bada wpływ potencjalnych incydentów na funkcjonowanie biznesu, a zaledwie nieco ponad połowa, czyli 53 proc., realizuje analizy ryzyka pod kątem utrzymania ciągłości działania.

W ubiegłym roku w naszym kraju aż 6 na 10 firm odnotowało co najmniej jeden incydent związany z cyberbezpieczeństwem, a CERT Polska zarejestrował ponad 116 tys. zgłoszeń incydentów cyberbezpieczeństwa (co stanowi wzrost o 182 proc. w porównaniu do 2020 r.). Najczęstsze wyzwania, przed jakimi stają przedsiębiorcy, wiążą się z wyciekami danych z powodu złośliwego oprogramowania, wyłudzaniem danych uwierzytelniających lub utratą nośników z danymi.

Wymienione problemy jednak tylko wierzchołek góry lodowej. Ze względu na rosnące ryzyko ataków wytyczne regulatorów w krytycznych sektorach gospodarki zalecają takie kroki jak przygotowanie procedur, robienie przeglądu systemów, tworzenie trzech kopii zapasowych przechowywanych na różnych nośnikach i stosowanie uwierzytelnianie dwuskładnikowe. Dobrym pomysłem jest wdrożenie podobnych środków bezpieczeństwa w każdej firmie.

Należy tworzyć kopie zapasowe oraz opracować plany odzyskiwania danych typu Disaster Recovery, które umożliwią utrzymanie ciągłości działania firmy w wyniku wystąpienia jakiegoś incydentu. Istotna jest też tzw. georedundancja. Dzięki temu dane przechowywane są w kilku niezależnych od siebie lokalizacjach, co minimalizuje ryzyko ich utraty w wyniku ataku cybernetycznego, awarii, wybuchu wojny lub wystąpienia katastrofy naturalnej.

Jednocześnie to ludzie pozostają tym najsłabszym ogniwem wirtualnego łańcucha broniącego danych firmowych. 8 razy częściej powodem wycieku danych jest pojedynczy człowiek niż technologie. Wedle badań Ipswitch aż 84 proc. pracowników wykorzystuje służbowo prywatne maile, a ponad połowa wygrywa pliki i dokumenty na prywatne konta w chmurze. Właśnie dlatego warto inwestować też w kompetencje cyfrowe swoich pracowników.

Co istotne, skorzystanie z rozwiązań chmurowych nie tylko poprawia bezpieczeństwo informacji i przygotowuje firmę na nieoczekiwane sytuacje, ale również umożliwia optymalizację wydatków na utrzymanie infrastruktury IT. Nic dziwnego, że już w trzech czwartych firm badanych przez KPMG kwestie bezpieczeństwa danych w organizacji są realizowane przez zewnętrznych dostawców, co stanowi istotny wzrost w porównaniu z poprzednim rokiem.

W większości przypadków wybrany kontrahent jest odpowiedzialny za całościowe bezpieczeństwo, a nie tylko jedną funkcję lub proces. Wśród firm, które pomagają innym przedsiębiorstwom dbać o bezpieczeństwo informacji, są zaś operatorzy telefonii komórkowej. Zapewnianie abonentom możliwości wykonywania połączeń, wysyłania SMS-ów i łączenia się z internetem to tylko jedna z osi ich działalności. Przykładem takiego telekomu jest T-Mobile Polska.

Operator w celu rozwijania segmentu usług dla biznesu wybudował nowoczesne centra danych, które spełniają najwyższe standardy w zakresie wszystkich istotnych obszarów, od bezpieczeństwa fizycznego poprzez cyberbezpieczeństwo, parametry sieciowe i georedundancję (wszystkie placówki są ze sobą połączone wspólną siecią). Jedno z takich centrów danych jest zlokalizowane przy ul. Szlacheckiej w Warszawie.

Wybudowanie nowoczesnego centrum danych w postaci CPD Szlachecka B pozwoliło zwiększyć możliwości oferowanych usług kolokacyjnych, hostingu i cloud computing. Projektując nowoczesne centrum danych, zadbano m.in. o podwyższenie standardu obsługi klientów poprzez zapewnienie przyjaznego środowiska pracy administratorom i specjalistom realizującym tam swoje zadania.

CPD Szlachecka B jest najnowocześniejszym Data Center tego typu w kraju i jedynym obiektem w Polsce z podwójną certyfikacją na poziomie Rated 3 (certyfikaty ANSI TIA i EN50600O). Ze światem łączy się poprzez dwie niezależne i redundantne geograficznie trasy kabli światłowodowych. Wewnątrz budynku wydzielono też dwa działające niezależnie pomieszczenia telekomunikacyjne. Są to odseparowane fizycznie węzły.

Telekom przygotował szereg narzędzi, które pozwolą jego kontrahentom przygotować się na nieoczekiwane zagrożenia w tym np. profesjonalne usługi chmurowe oraz te z zakresu cyberbezpieczeństwa. W ofercie T-Mobile znalazły się takie usługi jak kolokacja, czyli udostępnieniu pomieszczeń, przestrzeni i infrastruktury centrum danych dla serwerów oraz innych urządzań klienta z możliwością ich przyłączenia do rozległej sieci telekomunikacyjnej.

Do tego dochodzą hosting serwerów fizycznych, Wirtualne Centrum Danych, chmura prywatna, chmura hybrydowa oraz chmura DRaaS, a klient ma możliwość całodobowego dostępu do centrum danych (po umówieniu się na wizytę). W obiekcie można skorzystać z windy i rampy transportowej pozwalających w sposób wygodny przemieszczać sprzęt. Na miejscu można wykonywać testy i wstępne konfiguracje.

Urządzenia dostarczone do centrum danych mogą zostać zainstalowane w szafach rack znajdujących się w docelowej komorze serwerów. Oprócz tego w CPD Szlachecka B udostępniono do użytku kilkanaście pokoi technicznych, pomieszczenie do aklimatyzacji sprzętu (macierze i serwery mogą być w nim przechowywane tuż po transporcie, by można je było zaadaptować do warunków temperaturowych przed podłączeniem), a klienci mają dostęp do pokojów socjalnych.

Fizyczna obecność pracowników na miejscu nie jest przy tym wymagana, by w bezpieczny sposób uzyskiwać dostęp do firmowych danych, więc hybrydowy lub zdalny tryb pracy nie jest żadną przeszkodą. Odpowiednio szybka, dedykowana, szerokopasmowa transmisja dzięki odseparowanej sieci Data Center Interconnect pomiędzy ośrodkami Data Center pozwala błyskawicznie przywracać sprawność usług/aplikacji klienta w zapasowej lokalizacji.

Użytkownicy z Polski z roku na rok coraz częściej decydują się na korzystanie z tego typu narzędzi i usług, a do tego są zadowoleni z tych oferowanych przez rodzimych dostawców. Ekspertów z Boston Consulting Group przeprowadzili analizuję, z której wynika, że już aż 68 proc. użytkowników - w tym biznesowych - chwali sobie korzystanie z polskich publicznych e-usług i systemów IT. W tym rankingu nasz kraj zajął 9. miejsce na 36 sklasyfikowanych państw.

Digitalizacja przedsiębiorstwa to przy tym nie tylko sposób na zwiększenie poziomu bezpieczeństwa przechowywanych przez nie informacji i plików, ale także innowacje technologiczne, np. związanych ze zbieraniem i przetwarzaniem informacji z całego biznesu. Na podstawie tego typu danych można oceniać bieżącą sytuację oraz podejmować decyzje dotyczące przyszłości, a tym samym wdrażać zmiany usprawniające procesy.