W każdej firmie znajdzie się ktoś, kto „zna się na komputerach”. Najczęściej jest to szwagier prezesa, co kiedyś postawił Windowsa XP na laptopie cioci i teraz pełni funkcję „Dyrektora ds. Wszystkich Kabelków”. I tak zaczyna się historia bezpieczeństwa w polskich firmach, które bardziej wierzą w magię plastrów cebuli niż w politykę haseł.
Anetka z kadr kontra linki z Nigerii
Anetka z kadr to ikona. Bohaterka codzienności. Kliknie w każdy link, byleby w mailu było „ważne!!!” i najlepiej z czerwonym wykrzyknikiem. Wczoraj kliknęła w fakturę z firmy „Prawdziwe Faktury Sp. z o.o.”, a dzisiaj całe biuro świętuje rocznicę poznania słowa „ransomware”.
I kiedy już ekrany świecą się jak choinka na jarmarku, ktoś biegnie do działu IT (czyli do szwagra prezesa, co właśnie grilluje w ogródku) i pyta: „Da się to jakoś odklikać?” Odpowiedź brzmi: „Da się, ale będzie bolało”.
Backupy, czyli pamiętnik naiwniaka
Firmy robią backupy, bo przecież „trzeba być profesjonalnym”. Problem w tym, że podpinają je… lokalnie do tego samego serwera, którego właśnie zaszyfrował ransomware. To trochę tak, jakbyś trzymał zapasowy klucz do sejfu w sejfie. Ale hej, ważne, że kopia istnieje – przynajmniej do czasu, aż przestanie.
Polityka haseł: „Admin123” forever
Każda firma ma politykę haseł. W praktyce wygląda ona tak: wszyscy używają jednego hasła, które zna pani Halinka z recepcji, bo inaczej nie umiałaby się zalogować. Hasło oczywiście brzmi „admin123”, bo przecież nikt tego nie zgadnie. A jak ktoś zasugeruje menedżer haseł, to prezes mówi: „Po co, skoro ja mam zeszyt?”
Firewall jako amulet
Niektóre firmy kupują firewall i traktują go jak święty obrazek. Stoi sobie w serwerowni, świeci lampkami, a każdy wierzy, że odstraszy hakerów jak czosnek wampiry. Problem w tym, że nikt go nie skonfigurował od 2009 roku, bo wtedy szwagier miał jeszcze czas.
Outsourcing: „Nie mamy ludzi, więc zatrudnimy kuzyna grafika”
Zamiast zatrudnić specjalistów od bezpieczeństwa, wiele firm wybiera outsourcing. Ale w polskim wydaniu outsourcing oznacza: „Kuzyn grafik, co robił stronę weselną, będzie nam aktualizował systemy”. Efekt? Strona firmowa działa, ale wirusy mają all inclusive i darmowe Wi-Fi.
Audyty bezpieczeństwa: raport do szuflady
Czasem jakaś firma zamawia audyt. Przychodzi pan w garniturze, mówi, że hasło „admin123” to słaby pomysł, że kopie bezpieczeństwa trzeba trzymać offline, a Anetce z kadr nie wolno klikać w „Wygraj iPhone’a 13 Pro Max już teraz!”. Firma kiwa głową, płaci fakturę, a raport ląduje w szufladzie. Bo przecież „to się nigdy nie zdarzy”.
Kiedy ransomware puka do drzwi
I wtedy się zdarza. Wszystko stoi. Komputery mówią w języku z kosmosu, księgowość płacze, a prezes pyta: „A można to zresetować?”. Ostatecznie firma ląduje w wiadomościach lokalnych jako przykład „jak nie robić cyberbezpieczeństwa”. Ale przecież to tylko chwilowe – do czasu, aż znowu ktoś kliknie w maila z tytułem „Twoje zdjęcia z wakacji”.
Morał z tej bajki
Firmy wciąż traktują cyberbezpieczeństwo jak przesąd: trochę firewall, trochę szwagier, trochę nadziei. A przecież nie trzeba wiele – szkolenia, sensowne hasła, backup offline, ktoś od IT, kto nie jest w rodzinie. Ale to przecież nuda. Lepiej udawać, że problem nie istnieje. Do czasu, aż ransomware napisze pierwszy rozdział nowej firmowej historii.
Zobacz również: Muchomory, klej do paznokci i inne genialne pomysły influencerów – czyli jak stracić zdrowie i rozum w 30 sekund
Odwiedź nas na Facebooku!
Jeden komentarz