Cyberbezpieczeństwo jako wyzwanie dla procesów komunikacyjnych w XXI wieku

Cyberbezpieczeństwo jako wyzwanie dla procesów komunikacyjnych w XXI wieku

Drugi dzień Kongresu Profesjonalistów PR w Rzeszowie upłynął pod znakiem gorącej dyskusji o cyberbezpieczeństwie jako wyzwania dla procesów komunikacyjnych XXI wieku, której PSPR był organizatorem. Merytoryczną i bogatą w praktyczne rozwiązania rozmowę poprowadziła Nell Przybylska, dyrektor ds. PR i Komunikacji w Fundacji Digital Polska.  Autorką relacji z panelu jest Monika Pabisek, członkini PSPR.

W panelu dyskusyjnym wzięli udział eksperci: Alicja Skraburska – Cybersecurity Technical Lead w HSBC; Piotr Ślusarczyk – Product Manager w netPR.pl; płk dr Piotr Potejko – specjalista w obszarze bezpieczeństwa, ekspert Instytutu Staszica oraz Prezes Zarządu ASIS Polska;  płk rez. dr Dariusz Kryszk z Zakładu Komunikacji Strategicznej Akademia Sztuki Wojennej oraz Łukasz Świerżewski członek Zarządu Polskiej Agencji Prasowej (PAP).  

Panel został zorganizowany pod patronatem Polskiego Stowarzyszenia Public Relations oraz PAP.  

„Higiena cyfrowa” czyli jak często zmieniać hasło do skrzynki mailowej?  

Płk dr Piotr Potejko podkreślił konieczność rozdzielenia sfery prywatnej od służbowej. Służbowo zasady bezpieczeństwa, w tym zmianę haseł wymusza polityka firmy w tym zakresie. W życiu prywatnym nie tyle co częstotliwość zmiany hasła, ważna jest jego jakość oraz zachowanie różnorodności haseł przy logowaniu do poszczególnych serwisów. Jedną z możliwości wspomagania pamięci jest zapisanie wszystkich haseł na zaszyfrowanym dysku podpinanym do komputera tylko i wyłącznie wtedy, kiedy zapomnimy hasła. Z kolei Piotr Ślusarczyk przyznał, że… nie zmienia regularnie haseł, za to korzysta z menadżera haseł, który ma tę zaletę, że podpowiada czy nasze hasło jest bezpieczne. Alicja Skraburska zwróciła uwagę na zalety uwierzytelniania dwuskładnikowego. Piotr Ślusarczyk dodał, żeby nie wybierać sms – Jeśli są dostępne inne opcje 
 uwierzytelnienia. 

Niebezpieczny samochód i bezpieczny kierowca czy bezpieczny samochód i niebezpieczny kierowca? 

Podczas dyskusji padło pytanie co jest rozumiane pod pojęciem „cyberbezpieczeństwo” – płk rez. dr Dariusz Kryszk powiedział, że cyberbezpieczeństwa wymaga ograniczeń także komunikacyjnych, współpracy i często jest elementem walki informacyjnej. Piotr Ślusarczyk stwierdził, że trzeba zacząć od podstaw czyli od: kultury organizacyjnej, edukacji i bezpiecznych narzędzi – bezpiecznych czyli aktualnych i certyfikowanych.  Alicja Skraburska zwróciła uwagę, że człowiek jest najsłabszym ogniwem, zwróciła uwagę na social engineering i konieczności budowania świadomości użytkownika w zakresie bezpieczeństwa hasła i narzędzi.  Aktualizacji wymagają nie tylko laptop i telefon, ale także urządzenia IoT takie jak Termomix, smart TV, ponieważ także one mogą stać się “furtką” do naszej sieci domowej. 

Eksperci podkreślili, że tzw. „starsze pokolenie” jest niejednokrotnie bardziej ostrożne podczas korzystania z cyberprzestrzeni niż „młodsze”, które  funkcjonuje w tej cyberprzestrzeni niemal od zawsze. Płk dr Piotr Potejko zwrócił uwagę, że cyberbezpieczeństwo to przede wszystkim ochrona danych. Opowiedział o badaniach, które prowadzi ze studentami, polegające na zakupie używanych smartfonów w komisach w Warszawie. Po sprawdzeniu urządzeń okazało się, że tylko jedna osoba skutecznie usunęła dane, co więcej w kilku smartfonach zostawiono karty pamięci. W konsekwencji, dzięki nieroztropności użytkowników udało się sporządzić listę poprzednich właścicieli, w tym także osób ze świata polityki i biznesu. 

Kamera –  zasłaniać?  

Kamery są także w urządzeniach domowych takich jak smart TV czy… odkurzacz. Do tych urządzeń również można się włamać, dlatego trzeba budować świadomość użytkowników. Podczas spotkań warto odkładać telefon na stół lub schować go do kieszeni; pamiętać że kamera umieszczona  jest w smartfonach z dwóch stron, a kamery w laptopach mogą być sterowane, tak aby np. można było odczytać dokumenty.  

Intruz obecny w sieci 

Z badań KPMG wynika, że 69% firm doświadczyło cyberataku w 2021 roku. Alicja Skraburska podkreśliła, że nie ma szans, aby w pełni zabezpieczyć organizację. W nowoczesnych organizacjach zawsze zakłada się, „ktoś już jest w środku”. Nie ufamy nikomu, żadnemu z używanych narzędzi, ponieważ pojawiają się nowe technologie i nowe możliwości ataku. Intruz średnio przez 364 dni niezauważalnie buszuje po systemie jako „niewidzialny administrator”.  Dlatego ważna jest edukacja i zabezpieczanie danych. W każdej firmie trzeba oszacować ryzyko, i zdecydować, które dane są najważniejsze. 

Podczas dalszej dyskusji jeden z uczestników podał przykład firmy produkcyjnej, której właściciel oszacował, że produkcja jest najbardziej wrażliwym elementem w firmie. Podczas audytu bezpieczeństwa włamano się do oprogramowania maszyn produkcyjnych i odwrócono proces produkcji. Dokonano tego dzięki prostemu błędowi, który popełniono podczas serwisowania urządzeń.  

Płk rez. dr Dariusz Kryszk zwrócił uwagę, że ataki socjotechniczne skłaniają osoby do konkretnego zachowania. Odwołał się do przykładu ataku socjotechnicznego w Akademii, kiedy to na stronie uczelni opublikowano „list” rektora. W treści wykorzystano w większości autentyczne teksty innych ludzi. Tekst bardzo szybko został rozpowszechniony – dlatego podkreślił – ważne jest, aby uczyć rozpoznawać także stosowane w cyberatakach manipulacje słowne.  

Łukasz Świerżewski z PAP zwrócił uwagę, że dla agencji prasowej cyberatak to nie tylko ryzyko operacyjne i kosztowe. Jeśli konta dziennikarzy zostałyby przechwycone i zasilone fake-newsami, mogłoby nastąpić przejecie kanałów informacyjnych. Dlatego w PAP przeprowadzane są szkolenia pracowników, a w czasie pandemii uruchomiono serwis fakehunter.pap.pl  

Piotr Ślusarczyk podkreślił, że szkolenia są ważne – częste, ale nie cykliczne (nowa wiedza nie może czekać na zaplanowane szkolenie, musi być przekazana szybko). Podkreślił ważność skrócenia drogi do kontaktu z osobami odpowiedzialnymi w firmie za bezpieczeństwo.  

Innym narzędziem podnoszącym świadomość pracowników jest mailing. W PAP z inicjatywy IT wysyłane są wiadomości do pracowników o najnowszych zagrożeniach w cyberprzestrzeni. Z kolei Alicja Skraburska podkreśliła, że oprócz komunikowania ważna jest nauka przez praktykę np. poprzez symulację ataków; płk dr Piotr Potejko również stwierdził, że szkolenia powinny zawierać element praktyczny. A jeśli trudno jest wygospodarować czas na szkolenie – to alternatywą jest skorzystanie ze szkolenie umieszczonego na platformie szkoleniowej, które trzeba zakończyć testem.  

Impulsywne działania 

Uczestnicy przywołali najczęściej stosowane techniki manipulacji podczas cyberataków: wywołanie strachu, wskazanie konieczności podjęcia szybkiego działania, czy…wykorzystanie ludzkiej ciekawości.  W przestępstwach związanych z bankowością elektroniczną do ataku dochodzi najczęściej w strefie pomiędzy użytkownikiem a bankiem, a nie w samym banku. Jednym ze sposobów wyłudzenia danych jest telefon od „administratora”, „informatyka”, który aktualizuje system i prosi o kliknięcie link w ciągu 15 minut lub… wysłanie maila z załącznikiem w postaci CV kandydata rekomendowanego na stanowisko przez „prezesa”.  

MIT – cyberbezpieczeństwo za miliony 

Uczestnicy dyskusji podkreślili, że dojrzałość firmy budowana jest przez lata. Doradztwo nie kosztuje przysłowiowych „milionów”, a inwestycje w cyberbezpieczeństwo można podzielić na etapy.  

W trakcie rozmowy podkreślono, że duże i małe firmy mogą wspierać się specjalistycznymi zespołami – wewnątrz firmy lub zewnętrznymi. W mikroprzedsiębiorstwach można na początek zainstalować odpowiednie oprogramowanie. Piotr Ślusarczyk powiedział, że warto świadomie wybierać dostawców, np. jeśli jednoosobowa działalność wspiera się zewnętrznym produktem – trzeba sprawdzić certyfikat dostawcy. Płk dr Piotr Potejko dodał, że warto sprawdzić, czy podwykonawca usług przeprowadza u siebie audyty cyberbezpieczeństwie i wprowadzić odpowiednie zapisy w umowie, które będą chroniły naszą firmę. 

Alicja Skraburska zwróciła uwagę, na właściwe oszacowanie poziomu ryzyka tak, żeby na zabezpieczenie danych nie wydano więcej pieniędzy niż są one warte.  

Komunikować czy milczeć o cyberataku, jak to zrobić najlepiej? 

Alicja Skraburska podkreśliła, że w instytucjach finansowych są szczegółowe regulacje, które określają komu, kiedy i w jaki sposób komunikować. Warto ogólnie komunikować incydenty pracownikom – dzięki temu podnoszona jest świadomość użytkowników. Płk dr Piotr Potejko  dodał – popełniłeś błąd, nie bój się  o tym powiedzieć.  

Łukasz Świerżewski podkreśla, że właściwa informacja powinna trafić do właściwych osób odpowiednio szybko. Niezbędne jest zabezpieczanie kluczowego przebiegu informacji z kluczowymi dostawcami, klientami, akcjonariuszami itp. W firmie powinien istnieć sztab  i muszą zostać wdrożone procedury system zarzadzania kryzysowego. 

W dużych firmach warto zastanowić się nad liczbą osób obecnych w sztabie kryzysowym. 

Piotr Ślusarczyk zaleca spokojne działania – „bez paniki”. Dodatkowo powiedział, że warto aby wewnętrzny zespół był co jakiś czas audytowany przez zewnętrznych specjalistów tak, aby do prowadzonych działań nie wdarła się rutyna.  

Płk rez. dr Dariusz Krysz podkreślił że audyt cyberbezpieczeństwa powinien koncentrować się nie tylko na części związanej z oprogramowaniem ale i na socjotechnicznym.  

W dalszej części dyskusji podjęto również temat bezpieczeństwa w Polsce. Uczestnicy dyskusji stwierdzili, że możemy być dumni ze specjalistów od cyberbezpieczeństwa w Polsce - istnieje tu wiele dużych centrów cybersecurity. Ale czuć się bezpiecznie to już zupełnie inna sprawa. Nigdy nie powinniśmy czuć się w pełni bezpiecznymi. Należy iść z duchem czasu i szukać rozwiązań odpowiednich dla określonego poziomu bezpieczeństwa. 

Na koniec Nell Przybylska, prowadząca dyskusję zebrała TOP 10 zachowań sprzyjających higienie cyfrowej: 

  • Zakładajmy, że nie wiemy – korzystajmy z dobrych i sprawdzonych źródeł takich jak np. specjaliści od cyberbezpieczeństwa
  • Edukujmy, szkólmy pracowników bo człowiek jest najsłabszym ogniwem
  • Ograniczmy do minimum działania impulsywne – nie otwierajmy automatycznie maili, nawet w natłoku korespondencji elektronicznej 
  • Nie panikujmy – nie dajmy się zmusić do działań irracjonalnych pod presją czasu
  • Ustalmy obszar odpowiedzialności pomiędzy specjalistami PR a cyberbezpieczeństwa
  • Aktualizujmy oprogramowania urządzeń IoT, zwracajmy uwagę na te, które mają wbudowane kamery (np. odkurzacze)
  • Zabezpieczajmy dostęp wszystkich urządzeń do sieci dobrym hasłem
  • Korzystajmy z menadżera haseł i dwuskładnikowego uwierzytelniania podczas logowania (ale NIE korzystajmy z SMS-ów)
  • Wybierajmy świadomie dostawców
  • Oszacujmy ryzyko: kto może nas zaatakować, z jakiego powodu

 

drukuj