Jakub Wątor

Napisz do autora:
jakub.wator@agora.pl

RSS


RSS
piątek, 15 stycznia 2016

Aż 72 proc. Polaków uważa, że to na banku spoczywa odpowiedzialność za bezpieczeństwo ich pieniędzy w sieci. Tymczasem zwykle użytkownik traci pieniądze z własnej nieuwagi.

Przykłady można mnożyć. Na początku grudnia w sieci głośno było o mężczyźnie, któremu złodzieje wykradli z konta 40 tys. zł. Dał się sam złapać - na swoim komputerze miał wirusa, który podmienia numer konta w momencie jego wklejania do internetowego formularza. Nie było w tym żadnej winy banku. W czerwcu opisywaliśmy kradzież 86 tys. zł z internetowego konta dziennikarki, której prawdopodobnie wykradziono dane logowania do internetowego konta bankowego za pomocą tzw. phishingu.

Człowiek jest najsłabszym ogniwem w całym cyberataku - to jego nieuwaga, naiwność lub niewiedza prowadzą do tego, że atak jest skuteczny. Niestety, potwierdzają to najnowsze badania, które dla Komisji Nadzoru Finansowego przeprowadziła agencja TNS Polska. Polacy regularnie korzystają z bankowości internetowej. 13 proc. osób robi to codziennie, 49 proc. co najmniej raz w tygodniu, a 32 proc. minimum raz w miesiącu. Najczęściej używamy do tego laptopa (79 proc.), rzadziej komputera stacjonarnego (28 proc.), a jeszcze rzadziej smartfona lub telefonu komórkowego (21 proc.). Ten ostatni sposób cały czas zyskuje jednak zwolenników. A skoro tak, to rośnie - co wynika z innych badań, przeprowadzonych przezKaspersky Lab - odsetek ataków specjalnie skierowanych na urządzenia mobilne.

Co ciekawe, gdyby przyjąć statystyki KNF za jedyne słuszne, okazałoby się, że ataki na bankowość internetową to jakiś marginalny problem. Ledwie po kilka procent osób przyznało, że ktoś przeprowadził na ich konto bankowe atak, zainfekował komputer wirusem przejmującym kontrolę nad kontem czy też, że udostępniło dane swojej karty kredytowej.

z19476866Q,Raport_KNF_Zadbaj_o_swoje_bezpieczenstwo_w_sieciźródło: Komisja Nadzoru Finansowego

"Wyniki badania pokazują jednak, że brak negatywnych doświadczeń lub świadomości ich wystąpienia usypiają czujność użytkowników bankowości elektronicznej" - pisze w swym komunikacie KNF. Rzeczywiście - aż 72 proc. (!) osób uważa, że nie musi dbać o swoje bezpieczeństwo, bo robi to za nich bank. 68 proc. osób nie zmienia cyklicznie hasła do swojego internetowego konta bankowego, a połowa z nich nie przegląda historii przelewów w poszukiwaniu tych podejrzanych. Kolejne liczby także niepokoją: 46 proc. osób nie ma programu antywirusowego, a 55 proc. nie wpisuje ręcznie numeru konta przy przelewie (z tego powodu m.in. swoje 40 tys. zł stracił mężczyzna wspomniany na początku artykułu). - Jako KNF zobowiązujemy banki do podwyższania standardów bezpieczeństwa i utrzymywania infrastruktury teleinformatycznej na odpowiednio wysokim poziomie. Zwykle jednak celem ataku nie jest bank, ale jego klient. Dlatego istotne jest budowanie właściwych postaw, które mogą zwiększyć bezpieczeństwo środków finansowych - mówi przewodniczący KNF Andrzej Jakubiak.

Świetna kampania KNF

Przy okazji badania Komisja rozpoczęła kampanię edukacyjną "Zadbaj o swoje bezpieczeństwo w sieci". Przypomina w niej o kilku fundamentalnych zasadach korzystania z bankowości online, które mogą uchronić przed stratą pieniędzy:

- Nie udostępniaj nikomu loginu i hasła do panelu bankowości elektronicznej.
- Cyklicznie zmieniaj hasło do logowania w panelu bankowości elektronicznej.
- Nie otwieraj podejrzanych linków w otrzymanych wiadomościach e-mail i SMS.
- Zainstaluj i aktualizuj oprogramowanie antywirusowe, które może uchronić komputer i urządzenia mobilne przed wirusami oraz oprogramowaniem szpiegującym.
- Na bieżąco aktualizuj system operacyjny urządzenia oraz cyklicznie skanuj każde urządzenie programem antywirusowym.
- Cyklicznie sprawdzaj, czy numery rachunków w przelewach zdefiniowanych nie uległy podmianie.
- Przed potwierdzeniem transakcji przelewu zawsze weryfikuj zgodność numeru konta odbiorcy oraz numeru, który jest w kodzie potwierdzającym transakcję.
- Na bieżąco przeglądaj historię rachunku i operacji na każdej karcie płatniczej pod kątem podejrzanych transakcji.

Ponadto KNF zatrudnił do kampanii aktora Jacka Rozenka, który przed kamerą czyta skargi, które napływają do Komisji. Wszystkie dotyczą typowych oszustw internetowych, w których klienci stracili pieniądze. Warto ich posłuchać - jest o złodziejach wyłudzających dane do logowania i fałszywych mailach z wirusami.


 

czwartek, 14 stycznia 2016

Kolejny raport i te same wnioski - w Polsce firmy kiepsko się zabezpieczają przed cyberatakami.

Zaledwie miesiąc temu pisałem o dwóch różnych badaniach - Orange i EY - z których wynika, że rodzimi przedsiębiorcy nie kumają, jak niebezpieczne są dla nich cyberataki. A teraz kolejna renomowana firma PwC - powtórzyła te wnioski w swoim raporcie. Z ich badania wynika, że aż 5 proc. polskich firm straciło co najmniej milion złotych w zeszłorocznych cyberatakach. A liczba takich incydentów wzrosła o połowę.

To niestety stała tendencja - od kilku lat liczba ataków w Polsce rośnie właśnie o ok. 50 proc. Przestępcy wykorzystują wszelkie drogi, by dostać się do cennych danych firmy albo chociaż uprzykrzyć jej pracownikom życie i zakłócić codzienną pracę. Kolejna niepokojąca statystyka - w 2015 roku 4 proc. polskich firm miało przynajmniej pięciodniowy przestój w działalności ze względu na cyberataki. Raport PwC nosi wiele mówiący tytuł: "Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców".

Przepytanych zostało 126 właścicieli krajowych firm i ponad 10 tys. z całego świata. Jesteśmy wciąż w tyle za zagranicą. - Po raz pierwszy firmy wskazują, że tracą duże pieniądze. Straty za pięciodniowy przestój można liczyć w grubych milionach. A niestety większość źródeł ataków nie leży w dziale IT, ale u zwykłych pracowników - mówi Rafał Jaczyński, dyrektor zespołu CyberSecurity PwC w Polsce i Europie Centralnej. Celem aż 70 proc. ataków są bowiem właśnie pracownicy firm. I to oczywiście nie szefowie IT, tylko osoby z innych działów. Oni bowiem mają mniejszą wiedzę i świadomość informatyczną. I to oni łatwiej połkną rzucony przez cyberprzestępcę haczyk - fałszywą stronę internetową czy zainfekowany załącznik w mailu.

PwCA potem pozostaje liczyć straty. Najczęstszymi skutkami ataku dla polskich firm były: utrata klientów, straty finansowe i ujawnienie bądź modyfikacja danych. Statystyka z badania PwC mówiąca o 5 proc. firm, które straciły co najmniej 1 mln zł, jest dość luźna. Jedni bowiem liczą w tych kwotach wydatki na załatanie systemu po ataku, innym po prostu te pieniądze skradziono, a jeszcze inni szacują, ile kosztowało ich to wizerunkowo. Jednak przeliczyć to można dość prosto. Przyjmijmy, że dochodzi do ataku na sklep internetowy, którego średni obrót na godzinę wynosi 1 tys. zł. Jeśli będzie wyłączony po ataku przez 5 dni, straci 120 tys. zł. A wcale nie jest powiedziane, że po wykryciu takiego incydentu trzeba jak najprędzej stawiać na nogi system firmy. Pośpiech nie jest tu sprzymierzeńcem, bo można przeoczyć dziury w systemie, przez które włamywacz po raz kolejny wejdzie.

Pół miliona złotych na zabezpieczenia

Na szczęście świadomość kadry zarządzającej w firmach rośnie. Już połowa polskich firm wydaje co najmniej pół miliona złotych na zabezpieczenia. Udział tych wydatków w całym budżecie wzrósł w zeszłym roku z 5,5 do 10 proc. (na świecie ten odsetek wynosi 19 proc.).

Minusów jednak jest więcej. Wciąż brakuje w polskiej gospodarce współpracy między poszczególnymi branżami w zakresie cyberbezpieczeństwa. - Na świecie wymiana informacji o zagrożeniach i incydentach to dla każdego podstawa, a u nas tylko sektor bankowy współpracuje w tym względzie, inne gałęzie gospodarki zupełnie nie - mówi Rafał Jaczyński z PwC.

Problem także w tym, że zaledwie 46 proc. polskich firm w ogóle przyjęło jakiekolwiek sformalizowane zasady bezpieczeństwa. Na świecie takie zasady stosuje już 91 proc. przedsiębiorstw.

Ale te liczby będą musiały się dość szybko zmienić, jeśli chcemy za światem nadążać. I jeśli chcemy, by nasze firmy były wiarygodne na świecie. Pod koniec ubiegłego roku czołowe agencje ratingowe Moody's oraz Standard & Poor's poinformowały bowiem, że będą obniżać oceny rynkowej wartości firmom ze słabymi zabezpieczeniami IT.