Stowarzyszenie EuroCloud Polska oraz firma Eficom S.A. zorganizowały 1 grudnia 2014 roku konferencję „Cyberbezpieczeństwo spółek giełdowych. Nowe trendy i rozwiązania”. Odbyła się ona na Giełdzie Papierów Wartościowych w Warszawie pod patronatem honorowym GPW, kilku ministerstw i innych instytucji odpowiedzialnych za bezpieczeństwo publiczne, w tym Biura Bezpieczeństwa Narodowego.

W debatach wzięli udział przedstawiciele Komisji Europejskiej, Europejskiego Komitetu Ekonomiczno-Społecznego i innych instytucji międzynarodowych. Celem konferencji było pokazanie najlepszych rozwiązań w zakresie cyberbezpieczeństwa, szczególnie w sferze infrastruktury krytycznej państwa oraz informacji poufnych, najnowszych rozwiązań szyfrowania informacji, bezpieczeństwa płatności elektronicznych, cyberbezpieczeństwa instytucji finansowych, a także sieci i urządzeń mobilnych. Punktem wyjścia do debat były między innymi Strategia Komisji Europejskiej w zakresie przeciwdziałania cyberprzestępczości i ochrony danych osobowych oraz wnioski wypływające z ogłoszonej 5 listopada 2014 roku przez prezydenta RP Strategii Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej.

Konferencja „Cyberbezpieczeństwo spółek giełdowych. Nowe trendy i rozwiązania” to pierwsze w Polsce wydarzenie zorganizowane przy współudziale Giełdy Papierów Wartościowych w Warszawie, które w takim stopniu poświęcone zostało zagadnieniom bezpieczeństwa w cyberprzestrzeni. Chodziło między innymi o wymianę doświadczeń pomiędzy specjalistami z Polski i Europy. Przedyskutowano rozwiązania chroniące administrację publiczną oraz przedsiębiorstwa przed cyberprzestępczością. Zaprezentowano doświadczenia firm przeciwdziałających cyberatakom. Głos zabrali również eksperci kancelarii prawnych i ubezpieczeniowych.

Otwierając konferencję, Dariusz Kułakowski, wiceprezes Giełdy Papierów Wartościowych w Warszawie, przypomniał, że jego firma jest specyficzną instytucją. Musi cieszyć się szczególnym zaufaniem publicznym. Buduje się ono na wielu poziomach, przede wszystkim – bezpieczeństwa obrotu.

W ubiegłym roku na warszawskiej giełdzie wprowadzono nowoczesny system transakcyjny. Dzięki temu plasuje się ona bardzo wysoko w ratingach światowych. Ale wiele spółek nie może się pochwalić takim poziomem zabezpieczeń. Według wyników badania firmy doradczej EY jedna trzecia przedsiębiorstw nie jest dobrze przygotowana do zarządzania ryzykiem związanym z cyberatakami.

– Kluczowe dla bezpieczeństwa jest budowanie świadomości na temat narastających zagrożeń w cyberprzestrzeni – wyjaśnił Michał Wendrowski, założyciel firmy Rublon – Trusted Communication. – Odpowiedzialność za bezpieczeństwo transakcji elektronicznych ponoszą zarówno klienci, jak i usługodawcy. Jednak główny ciężar spoczywa na usługodawcach, którzy te transakcje wykonują. To od nich zależy, czy klienci mogą skorzystać z narzędzi zapewniających wysoki poziom bezpieczeństwa. Takim narzędziem jest między innymi oprogramowanie uwierzytelniające nie tylko transakcje, ale również klientów w czasie logowania. Zalecamy wykorzystać w tym celu smartfon, stanowiący obok hasła powszechny drugi składnik potwierdzający tożsamość użytkownika.

– Wiele mówi się na temat działań poprawiających bezpieczeństwo systemowe – dodała Magdalena Samalucha, dyrektor marketingu w Electronics & Energy Business Group w firmie 3M. – Zapominamy natomiast, że kradzież wrażliwych danych może odbywać się w dużo łatwiejszy sposób poza cybeprzestrzenią. W miejscach publicznych, samolotach, kawiarniach bardzo często dochodzi do podglądania ekranu przez osobę, która może w ten sposób wyciągnąć na przykład dane finansowe czy dane osobowe. Często nie jesteśmy świadomi, że przestępstwa gospodarcze wiążą się z coraz bardziej wyrafinowanymi metodami kradzieży danych, takimi jak Visual Hacking. Również wewnątrz firmy, w środowisku open space, powinniśmy zadbać o bezpieczeństwo wizualne danych. Dzięki temu unikniemy ekspozycji poufnych danych, na przykład listy płac.

Jak podkreślali uczestnicy konferencji, najbardziej zagrożone cyberprzestępczością są państwa najlepiej zinformatyzowane. Podobnie jest z przedsiębiorstwami. Tymczasem bezpieczeństwo to jest proces. Dlatego nie można nigdy twierdzić: jesteśmy już bezpieczni. Bo skąd ta pewność? Zawsze możemy spotkać się z czymś niespodziewanym. A trzeba być przygotowanym na zdarzenie, nim ono wystąpi.

Natomiast atakujący nie pokazuje, że atakuje. A tym bardziej nie ostrzega. Zaś skutki są przeważnie widoczne dopiero po długim czasie. Stale aktualny jest przy tym truizm, że najsłabszym ogniwem jest człowiek. Dlatego niesłychanie ważna jest świadomość wszystkich pracowników. Konieczne jest opracowanie procedur, konsekwentne ich stosowanie, a także ciągłe szkolenie pracowników.

– Obserwujemy zmianę profilu popełnianych przestępstw, począwszy od małych przełamań zabezpieczeń, na przykład w centralach telefonicznych, i kradzieży sygnału, do obecnie dedykowanych ataków typu APT, nierzadko sponsorowanych przez organizacje rządowe innych krajów, ukierunkowanych na ważne osoby w spółkach giełdowych, instytucjach rządowych, czyli biznes i infrastrukturę krytyczną – stwierdził Roman Skrzypczyński, Menedżer – Usługi Forensic w firmie doradczej PwC. – W tym celu stosowane jest długotrwałe rozpoznanie struktur informatycznych i zasobów ludzkich, następnie aplikowane są techniczne rozwiązania w postaci złośliwego oprogramowania i socjotechniki, a także wykorzystywane są właściwości charakteru i słabości ludzkie. Oprócz zabezpieczeń technicznych to człowiek jest z reguły niedocenianym ogniwem w firmie i wymaga edukacji ogólnej, ale także specjalizacji, ponieważ bezpieczeństwo firmy jest działaniem wielokierunkowym i łączy różne dziedziny z zakresu oceny ryzyk, przeciwdziałania, wykrywania ataków i fraudów, a także nierzadko przygotowania materiału dowodowego dla organów ścigania po zdarzeniu. Poza tym wiele incydentów jest prowadzonych z sieci wewnętrznej dzięki współdziałaniu lub niefrasobliwości pracowników.

Zdaniem Janusza Tomczaka, partnera w kancelarii Wardyński i Wspólnicy, przedsiębiorstwo dysponuje dziś wieloma instrumentami prawnymi, by swoich pracowników, współpracowników i kontrahentów zmusić do przestrzegania zasad ochrony informacji. Wykorzystuje przy tym zakazy konkurencji, umowy o zachowaniu w poufności, regulaminy wewnętrzne i tak dalej. Bardzo istotne są obowiązkowe szkolenia ułatwiające budowanie świadomości zasad zachowania bezpieczeństwa i ich korzyści dla osiągania wspólnych celów firmy. Przedsiębiorcy powinni wprowadzać też zasady organizacyjne sprzyjające zachowaniu bezpieczeństwa oraz wewnętrzne systemy nadzoru i kontroli.

– Firmy i instytucje często bagatelizują zagrożenia wiążące się z wykorzystaniem publicznego internetu do łączności profesjonalnej – powiedział Krzysztof Burzyński, prezes firmy Biznes Innovation. – Jedyną skuteczną ochroną są systematyczne działania wyprzedzające kroki hakerów. Paradoksalnie, rozwiązania biznesowe w chmurze są bezpieczniejsze, gdyż łatwiej nadzorować szczelność jednego centralnego systemu. Podczas 7 lat działania systemu telefonii w chmurze NFON, obsługującego ponad 10 tysięcy firm, nie odnotowano żadnego naruszenia bezpieczeństwa, a często słyszeliśmy o włamaniach do firmowych PBX-ów.

– Cyberbezpieczeństwo w spółkach odgrywa coraz bardziej znaczącą rolę, również postrzeganie i docenianie zagrożeń przez zarządy wyraźnie się zwiększa. Pozostaje cały czas dużo pracy, której efektem będzie budowanie świadomości zagrożeń wśród wszystkich pracowników nie tylko dla bezpieczeństwa samej spółki, ale i też ich własnego – dodał Adam Filutowski, dyrektor zarządzający ds. informatyki i telekomunikacji w PKP S.A. - Tworząc systemy bezpieczeństwa rozumiane jako integracja technicznych/technologicznych narzędzi oraz stymulacje poprawnych zachowań i reakcji pracowników staramy się reagować na istniejące zagrożenia. Dążąc do modelu idealnego, w którym będziemy świadomi zagrożeń, a nasze zasoby będą bezpieczne musimy skupiać się na identyfikacji najistotniejszych luk i po kolei je niwelować. Proces ten z definicji jest ciągły, ale kluczem jest priorytetyzacja działań, tak by tworząc bezpieczeństwo, odnosić się do ryzyka w kontekście danej spółki. Dlatego też podejście do cyberbezpieczeństwa jest indywidualne dla każdego podmiotu, choć oczywiście występują też części wspólne. Ten wspólny kawałek jest  podstawą do wymiany doświadczeń, gdyż pomimo konkurencji w biznesie w zakresie bezpieczeństwa wszystkie podmioty pracują na rzecz wspólnego dobra.

Naturalnie trzeba pamiętać, by koszty wprowadzanych zabezpieczeń nie przerosły potencjalnych strat. A te ostatnie mogą być ogromne. Dlatego można powiedzieć, że ostrożności nigdy za wiele. Warto jednak pamiętać, że straty, jakie mogą ponieść spółki giełdowe poprzez cyberataki, znacznie przewyższają koszty wdrożeń odpowiednich zabezpieczeń. Coraz częściej na świecie dochodzi do wykorzystania różnego rodzaju hakerów i specjalistów od cyberprzestępczości w celu osłabienia wizerunku firm notowanych na giełdach, aby wykorzystać spadek kursu akcji, a tym samym spadek jej wartości i przejęcia znacznych pakietów akcji.