Uwaga: Do rozdania mamy 3 egzemplarze książki. Pytanie konkursowe pojawi się w naszym najbliższym newsletterze (zapisy do newslettera – TUTAJ). Bądźcie czujni!
O książce
Zobacz również
Cyberatak stanowi dzisiaj jedno z poważniejszych zagrożeń dla biznesu, a przygotowanie firmy na atak hakerów, który wcześniej czy później nastąpi, to jedno z największych wyzwań dla kadry zarządzającej. Cyberbezpieczeństwo jako priorytet współczesnych firm wymaga aktywnego zaangażowania także od menedżerów, którzy często nie czują się kompetentni w kwestiach technologii oraz specjalistycznej terminologii i wolą delegować nadzór nad cyberbezpieczeństwem na fachowców. Książka Zdążyć przed hakerem jest próbą przełamania tej bariery informacyjnej. Udowodnia, że zagadnienia związane z cyberbezpieczeństwem wcale nie są tak skomplikowane, jak się powszechnie uważa. Jej tematyka skupia się na elementach z zakresu zarządzania bezpieczeństwem informatycznym wybranych tak, aby nie wymagały wiedzy specjalistycznej, a jednocześnie pokazywały związek między technologią informatyczną i nowoczesnym biznesem. Cyberbezpieczeństwo jest pokazane z perspektywy procesów zarządczych, standardów dobrej praktyki i wybranych regulacji. I choć po jej lekturze menedżerowie nie zostaną od niego ekspertami, to zdobędą ogólną wiedzę na ten temat, co powinno pozwolić im nawiązać dialog z ekspertami, a w razie potrzeby zadać kilka cennych pytań na temat toczącego się projektu lub akceptowanego przez nich budżetu. Dowiedzą się także, jak postępować, aby w sytuacji, kiedy firma padła ofiarą cyberataku, swoimi działaniami nie pogłębiać kryzysu i zachować swój wizerunek sprawnego i kompetentnego menedżera, który jest w stanie sprostać nawet tak trudnemu wyzwaniu.
Jakub Bojanowski przez ponad 20 lat kierował działem Cyber w firmie Deloitte, specjalizującym się w doradzaniu przedsiębiorcom, jak chronić się przed atakami hakerów. Pisząc tę książkę, chciał pokazać, że kadra menedżerska może aktywnie uczestniczyć w zarządzaniu bezpieczeństwem. Jeśli więc chcesz zrozumieć, na jakie cyberzagrożenia musimy być przygotowani, to w Zdążyć przed hakerem znajdziesz informację m.in. o tym:
- w jaki sposób hakerzy wybierają swoje ofiary, jak działają i jaką mają motywację;
- jak zidentyfikować zasoby informatyczne firmy, które są szczególnie narażone na cyberzagrożenia;
- jakie są standardy i kanony dobrej praktyki w zarządzaniu bezpieczeństwem informacji;
- w jaki sposób i dlaczego pieniądz elektroniczny i systemy płatności on-line są narażone na ataki hakerów i dlaczego stosowane w tym obszarze zabezpieczenia i technologie muszą być cały czas rozwijane;
- jakie działania należy podejmować, aby ataki hakerów wykrywać odpowiednio wcześnie i ograniczać ich negatywne skutki.
Zawarta w książce wiedza pozwoli każdemu menedżerowi, nawet z bardzo podstawową znajomością informatyki, odegrać ważną rolę w tworzeniu firmowego programu cyberbezpieczeństwa i podejmować dialog z ekspertami.
#NMPoleca: Jak piękny design zwiększa konwersję w e-commerce? Tips & Tricks od IdoSell
O autorze
Słuchaj podcastu NowyMarketing
Jakub Bojanowski
Doświadczony menedżer i doradca specjalizujący się w zarządzaniu ryzykiem informatycznym. Przez wiele lat w międzynarodowej firmie doradczej Deloitte współpracował z licznymi instytucjami, doradzając im w zakresie bezpieczeństwa informacji i zapobiegania skutkom cyberprzestępczości. Nadzorował zespół „etycznych hakerów” wykonujący kontrolowane próby włamania do systemów informatycznych. Już w 2000 roku był audytorem jednego z pierwszych uruchomionych w Polsce systemów bankowości elektronicznej.
Jest absolwentem informatyki na Uniwersytecie Warszawskim i IESE Business School. Wykłada w Akademii Leona Koźmińskiego oraz na studiach MBA w Polsko-Japońskiej Akademii Technik Komputerowych. Chętnie uczestniczy jako wykładowca w konferencjach biznesowych i komercyjnych programach edukacyjnych skierowanych do kadry menedżerskiej.
Fragment książki
Menedżer w obliczu cyberincydentu
W czerwcu 2021 r. dochodzi do – jak dotychczas – najbardziej spektakularnego cyberincydentu w Polsce. Jeden z portali publikuje e-maile Szefa Kancelarii Prezesa Rady Ministrów. Skutkiem jest ujawnienie wewnętrznych dokumentów rządowych i poważny kryzys wizerunkowy. Przez kolejne miesiące stopniowo publikowane są kolejne dokumenty, które odsłaniają kolejne fakty na temat przyczyn i zasięgu incydentu.
Zasięg medialny incydentu był na tyle duży, że możemy założyć, iż każdy z czytelników nie tylko o nim słyszał, lecz także zapoznał się z różnymi komentarzami i opiniami ekspertów zawierającymi zarówno fakty, oceny, jak i spekulacje na temat tego zdarzenia. Dalsze piętnowanie oczywistych słabości, które zostały ujawnione przy okazji tego incydentu, nie jest intencją autora. Zamiast tego spróbujmy wykorzystać tę sytuację w sposób pozytywny – jako przykład, który skłoni nas do pomyślenia o tym, w jaki sposób możemy podnieść poziom naszego cyberbezpieczeństwa w systemach informatycznych wykorzystywanych przez nas na co dzień w życiu zawodowym i prywatnym.
Zakładam, że przynajmniej dla niektórych czytelników informacja o incydencie była okazją do osobistej refleksji na temat tego, co by się stało, gdyby podobna sytuacja zdarzyła się w odniesieniu do jego prywatnych danych albo gdyby miała miejsce w instytucji, w której pracuje (lub którą kieruje). Tak szeroko nagłośniony incydent jest bardzo dobrą okazją do podjęcia dyskusji na temat cyberzagrożeń i można go wykorzystać na wielu poziomach:
- menedżera – jako argument pozwalający na wprowadzenie tematu cyberbezpieczeństwa do programu obrad zarządu czy rady nadzorczej;
- pracownika – jako ciekawy przykład do omówienia na szkoleniu z zakresu bezpieczeństwa informacji;
- specjalisty – jako przykładowy scenariusz pomocny przy weryfikacji, w jaki sposób w podobnej sytuacji sprawdziłyby się firmowe procedury komunikacji i zarządzania kryzysowego.
Analogie między incydentem a sytuacją, w której znajduje się dowolna instytucja, niezależnie od tego, czy działa w sektorze publicznym, czy jest firmą komercyjną, są bardzo silne. Tym bardziej, że tak naprawdę historia w KPRM nie była szczególnie wyjątkowa. Oficjalnie niewiele wiadomo na temat szczegółów technicznych samego włamania, a w zalewie spekulacji ciężko jest ocenić, które z publikowanych informacji są rzetelne, a które stanowią fake news. Dotychczas jednak żadne doniesienia nie wskazują na to, że za incydentem stoi jakaś wyrafinowana wiedza lub technologia. Jego przyczyną było sprzęgnięcie się ze sobą nie najlepszych praktyk w eksploatacji rozwiązań technologicznych.
Rzetelna refleksja i zaakceptowanie, że w każdej instytucji można zaobserwować takie słabości, jakie wystąpiły w KPRM, są początkowym etapem budowania świadomego programu ochrony przez cyberprzestępcami. Wróćmy więc na chwilę do postaw i zachowań, które zostały ujawnione podczas omawianego cyberincydentu, ale oceńmy je nie przez pryzmat zdarzeń komentowanych przez media, a przez analogię do praktyki biznesowej, którą możemy zaobserwować w każdej (także naszej) instytucji.
Zaklinanie rzeczywistości
- Przekonanie, że działalność naszej instytucji jest na tyle nieinteresująca dla cyberprzestępców, że nie powinniśmy się spodziewać ataku, nie jest może prawidłowym założeniem w odniesieniu do KPRM, ale leży u podstaw zaniedbań w budowaniu programu cyberbezpieczeństwa także w wielu innych instytucjach.
Pierwszy i podstawowy błąd popełniany przez większość ofiar ataków cybernetycznych to bagatelizowanie zagrożenia, jakim jest działalność cyberprzestępców. W sytuacji, w której mamy świadomość, że działalność hakerów pozostaje poza naszą kontrolą, ignorowanie informacji na temat cyberzagrożeń daje nam pozorne poczucie komfortu. Alternatywą dla tego względnego spokoju jest stałe poczucie zagrożenia ze strony cyberprzestępców. Dlatego większość z nas odrzuca scenariusze, w których jesteśmy celem ataku hakerskiego.
Taką postawę przyjmujemy zarówno w życiu prywatnym (nie uruchamiając nawet podstawowych zabezpieczeń na wykorzystywanych przez nas urządzeniach technicznych: telefonie, tablecie czy domowym komputerze), jak i zawodowym (nie wdrażając kompleksowego programu ochrony przed cyberatakiem).
Ciągłe doniesienia medialne na temat kolejnych incydentów zamiast stanowić ostrzeżenie, często paradoksalnie wzmacniają bierne podejście do cyberzagrożeń. W sytuacji, w której media w naturalny dla nich sposób koncentrują się na najbardziej spektakularnych incydentach, łatwo jest dojść do wniosku, że ataki hakerów są domeną filmów szpiegowskich lub sensacyjnych i nie dotyczą zwykłej firmy czy statystycznego Kowalskiego. Scenariusz brzemiennego w skutkach włamania do systemów, gdzie wykradane są ważne dane albo unieruchamiane kluczowe systemy, wydaje się dla typowego odbiorcy całkowicie nierealny. Wywołuje zainteresowanie, ale nie obawę o własne dane czy systemy.
W rzeczywistości zagrożenia cybernetyczne są powszechne. Sprawcy (czy, jak mówią fachowcy, „aktorzy”) cyberincydentów mogą się rekrutować z różnych środowisk i w rezultacie ich ofiarami mogą być osoby i instytucje o różnym profilu. Oczywiście nie każdy zasługuje na to, aby być celem ataku ze strony obcych służb wywiadowczych, ale przyczyny cyberataków mogą być bardzo różne. Dość często zdarza się, że ataki lub drobniejsze incydenty cybernetyczne (szczególnie wobec większych korporacji) są reakcją grup społecznych (tzw. haktywistów) na negatywne wydarzenia medialne dotyczące firmy lub działaniem ze strony niezadowolonych pracowników. Wykradanie poufnych informacji przez konkurencję pozornie tylko jest domeną powieści sensacyjnych – zdarza się zaskakująco często. Mniejsze instytucje, które są na tyle małe, że pozornie nikt nie będzie się nimi interesował, są natomiast podatne na ataki połączone z szantażem i żądania okupu (które stanowią obecnie trend dominujący w cyberprzestępczości).
Deprecjonowanie skali incydentu
- Wspólną cechą pierwszych wypowiedzi decydentów po incydencie w KPRM była próba przedstawienia go jako niewielkiego w skutkach drobnego zdarzenia i argumentowania, że ujawnione informacje miały niewielkie znaczenie dla funkcjonowania rządu. Jest to bardzo typowa postawa, którą można zaobserwować w większości tego typu wydarzeń.
Świadomość, że zagrożenia są realne, pojawia się dopiero wtedy, kiedy stajemy się ofiarą skutecznego ataku, choć także na tym etapie dość często pojawiają się próby odrzucania faktów. Prezentowanie incydentu jako niewielkiego, bieżącego problemu, który szybko zostanie rozwiązany, jest na tyle powszechne wśród kadry zarządzającej, że można nawet pokusić się o wskazanie takiej postawy jako standardowej reakcji menedżerów na cyberincydenty.
Reakcja decydentów (kierownictwa) na sytuację kryzysową jest bardzo często papierkiem lakmusowym dla kultury organizacyjnej danej instytucji. Osoby prezentujące autokratyczny styl zarządzania i przyzwyczajone do znajdowania posłuchu wśród pracowników wpadają w typową pułapkę autorytetu. Próbują rozwiązać incydent przez posługiwanie się możliwością podejmowania decyzji i siłą wynikającą z zajmowanej pozycji. Takie podejście może sprawdzać się w sytuacjach, które mają swoje przyczyny wewnątrz organizacji (awarii sprzętu), gdzie łatwo jest wskazać osobę odpowiedzialną i wyciągnąć wobec niej konsekwencje, ale charakter cyberincydentów jest trochę inny niż typowej awarii. Incydent jest kontrolowany przez niepodatną na naciski kadry zarządzającej stronę zewnętrzną. W sytuacji, kiedy wskazanie przyczyn zdarzenia jako leżących wewnątrz organizacji nie jest możliwe dla obrony swojego wizerunku, prezes lub menedżer bardzo często realizuje strategię prezentowania incydentu jako wydarzenia niewielkiego w skutkach i o ograniczonym zasięgu. Taka narracja stopniowo zmienia się w czasie, w miarę jak narastające negatywne skutki wydarzenia uniemożliwiają jego dalsze deprecjonowanie. Kolejne zdarzenie ze scenariusza realizowanego przez hakerów wywołuje poczucie chaosu komunikacyjnego i generując dodatkowe straty wizerunkowe, dodatkowo przyczynia się do pogłębienia kryzysu.
Poszukiwanie łatwych rozwiązań
- W celu ograniczenia skutków incydentu podjęte zostały nieformalne kroki prawne, dzięki którym konto na publicznym serwisie udostępniające dane zostało zablokowane. Wyciągnięto także konsekwencje służbowe wobec jednego z pracowników.
Uzupełnieniem do wyciągania konsekwencji służbowych wobec „osób odpowiedzialnych” wewnątrz instytucji są próby analogicznych działań podejmowanych wobec podmiotów z otoczenia zewnętrznego: dostawców usług, infrastruktury technicznej. Jako przyczyny kryzysu wskazywane są przyczyny leżące poza instytucją, a służby prawne podejmują próby rozwiązania incydentu na drodze prawnej, powiadamiając organy ścigania (czy przy większych incydentach służby państwowe).
Skuteczność tych tradycyjnych metod postępowania jest raczej niewielka, gdyż szybkie ustalenie sprawców cyberincydentu nie jest zazwyczaj możliwe. Nawet jeżeli wiemy, kto jest stroną atakującą, to wyciągnięcie wobec niej konsekwencji prawnych jest bardzo utrudnione.
Znacząca większość cyberincydentów ma charakter transgraniczny i ich aktorzy operują w krajach, gdzie albo system prawny podchodzi do cyberprzestępczości w sposób liberalny, albo organy ścigania nie są dostatecznie sprawne, aby reagować na incydenty na bieżąco.
Cechą charakterystyczną cyberprzestępczości jest to, że – nawet jeżeli działania prawne są skuteczne – to zazwyczaj ich sukces ma charakter tymczasowy. Usunięcie poufnych danych z publicznego serwisu lub zamknięcie serwerów, które były wykorzystane do ataku, pozwala na ograniczenie negatywnych skutków zdarzenia na krótką metę (w trakcie apogeum kryzysu), ale nie rozwiązuje sytuacji na przyszłość. Należy się spodziewać, że po krótkim okresie względnego spokoju cyberprzestępcy stworzą nowy kanał umożliwiający im kontynuowanie dotychczasowej działalności.
Trudności w analizie zdarzenia
- Bezpośrednio po publikacji korespondencji ministra nie wiedziano, jakie było źródło wycieku informacji. Częściowe informacje były dostępne, a sprawa została przekazana do zbadania odpowiednim służbom państwowym. Wiemy, że przygotowanie ataku trwało kilka lub kilkanaście miesięcy, ale ustalenie, jaka jest rzeczywista skala zdarzenia, jest bardzo trudne. Nie tylko dlatego, że informacje te zostaną zapewne utajnione.
Dla osób, które po raz pierwszy stykają się z cyberincydentem, bardzo dużym zaskoczeniem okazuje się fakt, że ustalenie, na czym tak naprawdę polegało zdarzenie, nie zawsze jest możliwe. Incydent obserwujemy przez skutki działania hakerów: nasze systemy mogą stać się niedostępne lub poufne dane mogą zostać ujawnione w internecie, ale wskazanie, co jest przyczyną tej sytuacji i w jaki sposób przestępcy uzyskali dostęp do naszej infrastruktury, może wykraczać poza nasze umiejętności techniczne.
Systemy informatyczne dają teoretyczną możliwość prowadzenia dzienników zdarzeń i są w stanie rejestrować informacje pozwalające na ustalenie potencjalnego źródła i sposobu ataku, ale po pierwsze dane te nie zawsze są dostępne, a po drugie ich analiza może być bardzo utrudniona. W sytuacji, kiedy atak hakerski obejmuje wiele serwerów będących w gestii różnych instytucji (które często są także współofiarami ataku), zebranie wszystkich dostępnych informacji i ich przeanalizowanie mogą wymagać dużej ilości czasu i zastosowania specjalistycznych narzędzi. Dla specjalistów nie jest zaskoczeniem, że wykonanie pełnej analizy powłamaniowej (o ile w ogóle jest możliwe) jest kwestią miesięcy, jeżeli nie lat. Dla menedżera (lub polityka), który chce pokazać, że podjął szybkie i zdecydowane działania, i który jest przyzwyczajony do szybkiej reakcji i otrzymywania rezultatów na bieżąco, taki czas reakcji jest niemożliwy do zaakceptowania.
Straty wizerunkowe i chaos komunikacyjny
- W miarę rozwoju incydentu hakerzy udostępniali kolejne informacje. Ranga ujawnianych dokumentów była eskalowana w reakcji na próby umniejszania skutków ataku przez decydentów.
Cyberincydenty stanowią bardzo trudne wyzwanie z perspektywy wizerunku ofiar ataku. Nie jest jasne dlaczego, ale ofiary cyberataków (i to zarówno instytucje, jak i osoby prywatne) nie spotykają się z empatią ze strony opinii publicznej, mimo że straty, których doświadczają, mogą być większe niż przy innych zdarzeniach. Przy awarii linii produkcyjnej, wypadku czy zdarzenia o charakterze losowym (pożar, powódź) możemy liczyć na zrozumienie dla trudnej sytuacji, w jakiej się znaleźliśmy, i wsparcie ze strony osób trzecich. Typowa reakcja na cyberatak jest zupełnie inna – osoby postronne (często słusznie) postrzegają ofiarę jako współwinną zaistniałej sytuacji. Zarządzając stratami wizerunkowymi, nie możemy liczyć na taryfę ulgową. Rola wyważonej komunikacji przy kryzysie wywołanym cyberatakiem ma dla ochrony wizerunku znaczenie absolutnie kluczowe. W sytuacji, w której incydent w naturalny sposób eskaluje w czasie, a my nie dysponujemy pełną informacją na temat zdarzenia, zadanie to jest dodatkowo utrudnione.
Przy klasycznej awarii sprzętu czy linii produkcyjnej możemy nie być w stanie od razu ocenić długofalowych skutków zdarzenia dla naszego biznesu. Zazwyczaj jednak od początku wiemy, jaki jest charakter czy skala uszkodzeń i strat materialnych. W typowym cyberincydencie skala zdarzenia (włamania, wycieku informacji) odkrywa się nam stopniowo, w miarę jak orientujemy się, że kolejne serwery czy konta kolejnych użytkowników zostały przejęte przez hakerów. Zanim dokonamy analizy zdarzenia (a to wymaga czasu), zazwyczaj nie wiemy, jakie będą kolejne etapy eskalacji incydentu. Decydenci ulegający pokusie obrony swojego wizerunku jako osób mocnych, trzymających sytuację w garści, ale przyzwyczajeni do reagowania na kryzysy innego typu, często zapominają o możliwości eskalacji incydentu.