O wyzwaniach czekających firmy w świetle coraz większych zagrożeń cybernetycznych, z Andrzejem Pilarzem, prezesem zarządu Kaspersky Lab Polska Sp. z o.o. rozmawia Jakub Lisiecki
W minionych miesiącach szybko rośnie liczba przesyłanych danych i transakcji zawieranych on-line. To zawsze rodzi pytania o cyberbezpieczeństwo. Jak Kaspersky odpowiada na te wyzwania?
Lawinowe przenoszenie aktywności do świata online, a w szczególności praca zdalna, na którą wiele firm musiało przejść w związku z pandemią nieuchronnie pociągnęło za sobą zwiększenie aktywności cyberprzestępców. Przykładem może być ogromny wzrost, aż o ponad 240% w porównaniu z rokiem ubiegłym, liczby cyberataków na mechanizmy umożliwiające zdalny dostęp do danych. Kaspersky Lab Polska staje na wysokości zadania i trzyma rękę na pulsie, dostarczając klientom skuteczne mechanizmy ochrony oraz wiedzę dotyczącą ewoluującego krajobrazu cyberprzestępczego. W tym celu już od dwudziestu lat prowadzimy unikatowe w skali kraju serwisy online będące skarbnicą wiedzy, która pozwala eliminować najsłabsze ogniwo łańcucha zabezpieczeń, czyli czynnik ludzki, który odpowiada za ponad 80% cyberataków na firmy w ostatnich latach.
Dlaczego warto wybierać produkty Kaspersky?
Wybierając rozwiązanie bezpieczeństwa do firmy warto kierować się zdrowym rozsądkiem i niezależnymi, rzetelnymi testami takich organizacji jak np. AV-TEST, AV-Comparatives czy polski AVLab, a niekoniecznie opiniami pojawiającymi się w mediach. Produkty firmy Kaspersky to najczęściej testowane i nagradzane rozwiązania w branży, doceniane zarówno przez specjalistów, jak i konsumentów za bezkompromisową skuteczność w odpieraniu cyberzagrożeń przy minimalnej liczbie fałszywych alarmów. Ponadto jako prywatna firma Kaspersky nie poddaje się żadnym wpływom; zresztą – jako jedyny producent z branży – postawiła na pełną transparentność, w ramach której zainteresowane strony mają możliwość wglądu w kody źródłowe firmy oraz w wewnętrzne procedury stosowane w organizacji, które zostały także poddane niezależnemu audytowi wykonanemu przez czołowe, globalne firmy audytorskie. Dodatkowo niezależni badacze są przez firmę nagradzani za wykrywanie błędów w jej oprogramowaniu.
Czy upublicznienie kodów źródłowych, czego zazwyczaj nie robią inne firmy z branży, przełożyło się na korzyści dla firmy i klientów?
Tak, dzięki takim działaniom firma Kaspersky jest postrzegana jako wizjoner, który jako pierwszy wprowadza na rynek pewne rozwiązania, a za takie należy uznać pełną transparentność, łącznie z dostępem do kodów źródłowych. Takie podejście buduje także wiarygodność firmy w oczach klientów.
Jak działa zautomatyzowany system edukacyjny – Kaspersky ASAP?
Kaspersky ASAP jest narzędziem online, nie wymaga instalowania żadnych aplikacji u klienta, które pozwala nabyć silne i praktyczne umiejętności cyberhigieny przez użytkowników infrastruktury informatycznej. Uruchomienie platformy i zarządzanie nią nie wymaga specjalnych zasobów, przygotowań, ani przekazywania istotnych danych – wystarczające jest podanie jakiegokolwiek adresu e-mail, nawet takiego, który został założony specjalnie z myślą o szkoleniu.
Zawartość platformy opiera się na modelu kompetencji składającym się z 350 praktycznych i niezbędnych umiejętności cyberbezpieczeństwa, które powinni opanować wszyscy pracownicy. Zagadnienia edukacyjne są podzielone na trzy poziomy: początkujący, podstawowy i średniozaawansowany, a każdy poziom zawiera lekcje z następujących ośmiu zagadnień: hasła i konta, poczta e-mail, korzystanie z internetu, media społecznościowe i komunikatory, bezpieczeństwo komputera PC, urządzenia mobilne, dane poufne oraz RODO. A dzięki temu, że poszczególne lekcje są krótkie i atrakcyjne treściowo oraz wizualnie, uczestnicy szkolenia nie są przeładowywani wiedzą, co z kolei umożliwia lepsze zapamiętywanie przekazywanych informacji i odruchowe stosowanie ich w praktyce. W tym celu podczas projektowania mechanizmów szkoleniowych wykorzystaliśmy matematyczny model nauczania wsparty wiedzą z dziedziny psychologii edukacji.
Powiedzmy, że jestem początkującym przedsiębiorcą. O czym powinienem myśleć w kontekście cyberzabezpieczeń, projektując komputeryzację firmy?
Przede wszystkim o tym, że wybór jakiegokolwiek rozwiązania to bardzo nieodpowiedzialne podejście, ponieważ nie ma nic gorszego niż złudne poczucie bezpieczeństwa. Pamiętajmy, że każdy system ochrony jest tak silny, jak wytrzymałe jest jego najsłabsze ogniwo. Konieczne jest zadbanie o kompleksowe zabezpieczenie wszystkich elementów firmowej sieci – od serwerów, przez stacje robocze i laptopy, aż po urządzenia mobilne stosowane przez pracowników. Wybierając dostawcę ochrony warto zwrócić się w kierunku producenta, który jest w stanie zagwarantować ją dla wszystkich platform, przy łatwym zarządzaniu parametrami bezpieczeństwa, a także ma możliwość zaoferowania eksperckiej wiedzy i pomocy w nietypowych atakach, które profesjonalizujący się cyberprzestępcy przeprowadzają coraz częściej. Poza samymi systemami zabezpieczającymi konieczne jest też zwrócenie uwagi na konieczność regularnej aktualizacji użytkowanego oprogramowania i zadbanie o to, by w firmie nie były stosowane aplikacje, które nie są niezbędne do prowadzenia biznesu. Komputeryzując firmę należy skupić się także na sukcesywnym podnoszeniu świadomości z zakresu cyberzagrożeń przy użyciu skutecznych platform szkoleniowych.
Jakie główne „grzechy zaniedbania” popełniają firmy w tym kontekście?
Głównym „grzechem” jest myślenie w stylu „jakoś to będzie” lub „a dlaczego cyberprzestępcy mieliby się zainteresować akurat nasza firmą?”. Niestety zdarza się, że takim nieodpowiedzialnym podejściem wykazują się nawet duże, znane na całym świecie firmy. Doświadczenie pokazuje, że jest to bardzo krótkowzroczne, chociażby ze względu na skalę ataków – obecnie co sekundę powstają ponad cztery nowe szkodliwe programy – uderzenie może nastąpić w każdą firmę, nawet jeżeli nie jest ona bezpośrednim celem. Ponadto nawet małe firmy mogą posiadać cenne dla cyberprzestępców dane, gdy np. współpracują w roli zleceniobiorcy z większymi organizacjami. Udany cyberatak to nie tylko problemy związane z utrudnieniem pracy firmy, czy bezpośrednie straty finansowe, ale także w wielu przypadkach zszargana reputacja, której odbudowanie jest niezmiernie trudne.
Co doradza pan w kwestii elementarnej nauki zabezpieczeń IT?
Szkolenia w zakresie cyberbezpieczeństwa, szczególnie z wykorzystaniem zautomatyzowanych platform, to już obecnie nie opcja, a obowiązek w przypadku każdej firmy, której pracownicy mają dostęp do internetu i urządzeń cyfrowych. Bez wprowadzenia do firmy kultury cyberhigieny nawet najbardziej zaawansowane systemy zabezpieczające mogą zawieść.
Jak wygląda strategia firmy Kaspersky w kontekście technologii przyszłości?
Kaspersky aktywnie inwestuje w rozwój nowatorskich technologii, które już w nieodległej przyszłości mogą stać się normą. Przykładem może być rozwiązanie Kaspersky Polys pozwalające na przeprowadzanie bezpiecznych głosowań online z użyciem technologii blockchain, która uniemożliwia fałszowanie głosów, czy też technologia Kaspersky Anti-Drone umożliwiająca zabezpieczenie się przed niechcianym ruchem powietrznym dronów. Firma skupia się także na technologiach przyszłości związanych z bezpieczeństwem urządzeń IoT, motoryzacji, branży przemysłowej i infrastruktury krytycznej.
