Mentionsy

A system twojej firmy po prostu pada.

Dzisiaj opowiem Wam historię firm, które zapłaciły miliony, miliony dolarów, bo zlekceważyły jedno proste pytanie.

Czy naprawdę mnie też to dotyczy?

To brzmi inaczej, prawda?

Czasami to cyberbezpieczeństwo wygląda zupełnie inaczej, a dowiadujemy się o tym, jak w naszym polskim przysłowiu mądry Polak po szkodzie, kiedy komuś innym coś się stało.

No bo przecież nie nam.

Przecież nigdy nic się nie stało.

Ładna nazwa, prawda?

No i ta luka pozwala przestępcom wejść do środka, jak przez otwarte drzwi.

A to niestety dopiero początek, bo przecież teraz taka firma jest skazana na utratę reputacji.

No a do tego wszystkiego, ponieważ to ma związek z liniami lotniczymi, z rezerwacją biletów, także regulator i przepisy.

A teraz chciałabym, abyśmy przenieśli się do kwietnia 2025 roku.

Lake Rizevatnet to nazwa, w której ktoś, manipulując zdalnie dostępnymi zaworami do przepływu wody z jeziora, zmienił ten przepływ tak, że wzrósł on o 497 litrów na sekundę.

4 godziny paniki, chaosu i tego, że nikt nie wiedział, co się tak naprawdę dzieje.

Gdyby nie to, że zareagowano naprawdę błyskawicznie.

O, wyobraźcie sobie te prawie 500 litrów wody na sekundę, które nagle pojawia się.

Dwie proste rzeczy, które naprawdę mogły zaoszczędzić wiele nerwów.

A co, gdyby to dotyczyło przepompowni ścieków?

Albo po prostu wodociągów w dużym mieście?

Po trzech tygodniach udało się ustalić przyczynę, udało się unormować, ustabilizować ten system, ale straty po tych trzech tygodniach wynosiły już 30 milionów funtów.

To naprawdę katastrofa biznesowa.

Backup krytycznych usług i scenariusz kryzysowy w przypadku takiej sytuacji.

Jak widzicie, to nie są jakieś trudne przykłady.

To nie są stare przykłady, którymi posługują się wszyscy.

I takich przykładów mogę wam podać dużo więcej.

Pytanie raczej brzmi, kiedy to nastąpi i czy twoja firma jest na to przygotowana.

A jak się przygotować?

Trzeba rozważyć wiele scenariuszy, trzeba przeprowadzić analizę ryzyka.

OK, wystarczy już tych przykładów.

Przykładów, które mam nadzieję przekonały was do tego, że niezależnie od wielkości firmy, jaką prowadzicie, niezależnie od sektora, w jakim pracujecie, wy też możecie się stać celem cyberprzestępców.

Ryzyko ataku, ryzyko tego, że staniecie się celem hakerów lub cyberprzestępców.

Pierwsza z korzyści to to, że po zainwestowaniu w cyberbezpieczeństwo, po zainwestowaniu w procedury macie szansę utrzymania swojej reputacji, a więc nie trafienia na nagłówki gazet, nie trafienia na cel konferencji dotyczącej cyberbezpieczeństwa, czy też do takiego podcastu jak mój.

A pieniądze, które musielibyście przeznaczyć na to, by działać razem z agencjami PR, by wystosować odpowiednie komunikaty, możecie przeznaczyć po prostu na reklamę swojej firmy w social mediach albo w jakichś wiadomościach.

Druga zdecydowanie dobra biznesowa korzyść to po prostu ciągłość operacji.

Bo jeżeli pracujesz, jeżeli twoja firma robi coś, na czym zarabia pieniądze, to to jest jej podstawowy cel.

To jest działalność, która przynosi zyski i dla zarządu, i dla prezesa, a także pozwala prowadzić tą działalność.

Kiedy ta ciągłość działania jest zachowana, to firma nie przynosi strat.

By tą ciągłość działania, by tą produkcję, by to, co robicie, utrzymać tak, jak to powinno wyglądać.

Trzecia sprawa to ubezpieczenia.

Kolejna sprawa, o której należy pamiętać, kiedy rozważacie inwestycje w cyberbezpieczeństwo, to to, że firma, która posiada odpowiednie zabezpieczenia, która posiada certyfikacje,

Często ma lepsze punkty, często jest wyżej pozycjonowania, chociażby w przetargach.

Albo może się nawet okazać, że jest to wymóg, który musicie spełnić, ażeby wziąć udział w jakimś przetargu, w jakimś konkursie, albo aby po prostu pozyskać nowych klientów, którzy pytają, jak wygląda, jaki jest poziom bezpieczeństwa w Państwa firmie.

A kiedy jesteśmy przy zyskach, kiedy jesteśmy przy korzyściach, być może rozważaliście sprzedaż waszej firmy albo pozyskanie nowych inwestorów.

Dane statystyczne mówią o tym, że podczas IPO, a więc wprowadzania spółek na giełdę, wartość firmy, która posiada odpowiednie certyfikacje z cyberbezpieczeństwa może być od razu wyższa aż o 10%.

Czy wiedzieliście o tym, że istnieją sondaże, w których pyta się pracowników, czy chcieliby i jak bardzo chętnie pracowaliby w firmie, w której doszło do wycieku danych?

Jak się domyślacie, ponad połowa respondentów odpowiedziała, że niechętnie pracowałaby dla takiej firmy.

Będziecie mieli pracowników, którzy będą chętniej pracowali dla takiej firmy, w której naprawdę troszczycie się o bezpieczeństwo danych i danych waszych kontrahentów.

Inwestycja w cyberbezpieczeństwo to również możliwość szybkiego przywrócenia danych, jeżeli dojdzie do najgorszego.

Bo niestety, nikt Wam nie obieca stuprocentowego cyberbezpieczeństwa, niezależnie od tego, ile zainwestujecie i jakich specjalistów zatrudnicie.

Tyle, że odpowiednio wdrożone środki bezpieczeństwa, odpowiednio wykwalifikowana kadra, osoby, które naprawdę znają się na cyberbezpieczeństwie, są w stanie zminimalizować straty, a także ryzyko tego ataku.

Wiele systemów jest w stanie odeprzeć taki atak jeszcze zanim do niego dojdzie.

Szkoleń, które dotyczą waszych pracowników, bo najlepszy system

Nie zatrzyma intruzów, którzy przekonają Waszą sekretarkę, dyrektora finansowego czy głównej księgowej do zrobienia jakiegoś przelewu albo kliknięcia w jakiś link.

CISA, a więc dyrektor do spraw bezpieczeństwa, uważa, że bezpieczeństwo danych, bezpieczeństwo systemów i funkcjonowanie firmy, bo przecież to jest podstawowa...

To również pracownicy będą czuli się bezpieczniej.

No i ostatnia najważniejsza sprawa.

Wdrożenie cyberbezpieczeństwa, wdrożenie odpowiednich procedur, wdrożenie odpowiednich norm, wdrożenie odpowiednich systemów, a także wspomnianych przeze mnie szkoleń, może uchronić was przed wielomilionowymi karami.

To nie może być jakaś przepisana z internetu procedura.

To naprawdę musi być odpowiedni poziom bezpieczeństwa.

A przecież nikt z was tego nie chce.

A przynajmniej nie w kontekście kar i utraty reputacji.

Nie chodzi o to, żeby kupić jakieś procedury, jakieś audyty, które niewiele znaczą.

Chodzi o to, abyście to wy mieli spokój i byście byli przekonani, że to, co zrobiliście, to, co wdrożyliście, inwestycje, których dokonaliście, faktycznie przełożą się na wyższe bezpieczeństwo

Weźmy taki prosty przykład.

Jednorazowa inwestycja w dobry audyt z odpowiednimi procedurami, z odpowiednimi szkoleniami to kwota około 50 tysięcy polskich złotych.

Na ile wycenilibyście taki audyt z procedurami i ze szkoleniami?

CISO to Scrut of Chief Information Security Officer, po polsku Dyrektor do Spraw Bezpieczeństwa IT lub Cyberbezpieczeństwa, a więc osoba, która spina to wszystko, jest w stanie powiedzieć, które procedury są OK, które nie, jak system działa, ale też ponosi pewną odpowiedzialność za to wszystko, co się dzieje, bo do niej raportują wszystkie osoby odpowiedzialne za cyberbezpieczeństwo.

W Polsce często odpowiedzialność tą przerzucamy na działy IT albo na kierowników czy dyrektorów z działów IT, którzy jednak nie mogą do końca odpowiadać za to wszystko.

Ta osoba, która je instaluje, ma też sama po sobie poprawiać, a potem jeszcze podpisać sobie dokument, że tak zrobiła?

To nie brzmi logicznie ani dobrze i tak naprawdę nikt rozsądny tego nie dopuści.

To chyba najlepszy dowód na to, że inwestowanie w cyberbezpieczeństwo może się opłacać i może przyciągać kolejnych klientów, a ci mogą pozwolić Wam zarobić więcej.

W pierwszej kolejności przemyślcie ofertę szkolenia warnesowych, bo statystyki są nieubłagane i wciąż numerem jeden, jeśli chodzi o ataki i o wycieki danych, to stary, dobrze znany phishing.

One potrafią prowadzić rozmowy.

Nazywam się Joanna Wziatek i co miesiąc publikuję tutaj treści, które dotyczą cyberbezpieczeństwa w sposób prosty i ludzki.

Już za miesiąc kolejny odcinek, a ja już dzisiaj zachęcam was do tego, byście zostawili komentarz, czy te treści są dla was interesujące i jaki kolejny temat chcielibyście, abym poruszyła dotyczący małych i średnich przedsiębiorstw.