Compliance to dziedzina szczególnie wrażliwa na zmieniającą się rzeczywistość. Celem naszego doradztwa jest bowiem zapewnienie zgodności nie tylko z prawem, ale też odpowiedź na zagrożenia biznesowe, sytuacje kryzysowe, budowanie etycznego środowiska pracy – tj. skuteczna prewencja i systemowe mitygowanie ryzyk w organizacji. Jeżeli zmienia się świat i pojawiają się nowe zagrożenia i wyzwania, compliance musi znaleźć na nie odpowiedź. A jak donosi FBI w okresie pandemii odnotowano wzrost ataków hakerskich o ok. 400% w porównaniu z rokiem poprzednim[1]. Association of Certified Fraud Examiners w swoim raporcie, o którym pisaliśmy dwa tygodnie temu (link) podaje, że aż 81% respondentów zauważyło w swoich organizacjach wzrost liczby takich ataków. W połączeniu z powszechnym przejściem na pracę zdalną można zatem stwierdzić, że w okresie pandemii nowym wyzwaniem dla organizacji była wzmożona konieczność zapewnienia cyberbezpieczeństwa i promocji cyberhigieny wśród pracowników. Konieczność, o której musimy pamiętać nawet po zakończeniu pandemii.
Wśród większości pracowników panuje bowiem przekonanie, że to nie oni odpowiadają za bezpieczeństwo informatyczne. W końcu każda większa firma posiada dedykowany dział IT, który powinien odpowiednio zabezpieczyć infrastrukturę sieciową organizacji. Niestety rzeczywistość prezentuje się zupełnie inaczej. Żaden informatyk nie wykryje, że pracownik prywatnym telefonem robi zdjęcia ekranu komputera służbowego chcąc zachowując w ten sposób informacje poufne. Żaden informatyk nie wie, że hasło do tego komputera jest też hasłem do kilkunastu sklepów internetowych o wątpliwym poziomie zabezpieczeń. Żaden informatyk nie wie też, że na wspomnianym komputerze pracownik w wolnych chwilach daje dziecku swobodnie przeglądać najdalsze zakamarki Internetu. Część z tych nieprawidłowści jest dla nas oczywista, część może nas dziwić. Części jesteśmy świadomi, części nie, a części nawet będąc świadomym dalej robimy. Nie zmienia to faktu, że każdy z pracowników jest równie odpowiedzialny za cyberbezpieczeństwo organizacji. Łańcuch jest odporny tak jak jego najsłabsze z ogniw. W kontekście bezpieczeństwa informatycznego tym najsłabszym ogniwem jest bardzo często jeden z pracowników.
Odpowiedź compliance na te ryzyka to nie minimalizowanie już powstałych szkód, ale próba prewencji. Jeżeli bowiem zostaniemy już „zhakowani”, to cała moc sprawcza leży po stronie IT. W ostateczności osoby odpowiedzialne za cyberbezpieczeństwo w organizacji dysponują często osobnym
budżetem – nawet w bitcoinach – przeznaczonym na okup dla cyberprzestępców, płacony za np. nieujawnianie pozyskanych danych lub odszyfrowanie zawartości komputera. Co poważniejsi cyberprzestępcy posiadają też profesjonalne infolinie służące wszelką pomocą w dokonaniu nienamierzanego przelewu w wirtualnej walucie. Rola compliance to natomiast zadbanie by budżet ten był wykorzystywany w jak najmniejszym stopniu.
W jaki sposób? Po pierwsze ryzyka związane z cyberbezpieczeństwem to ryzyka jak każde inne, tj. takie które da się zmapować i zidentyfikować. Działy compliance mają doświadczenie w mapowaniu ryzyk i łącząc siły ze specjalistami z zakresu cyberbezpieczeństwa mogą inicjować i pomagać w tworzeniu map ryzyka oraz w formułowaniu mierzalnych celów na przyszłość i implementowaniu środków naprawczych.
Po drugie działy compliance powinny proaktywnie działać w zakresie promowania cyberhigieny. Odpowiednie zaplanowanie i przeprowadzenie praktycznych szkoleń to w końcu również domena compliance. Po trzecie podczas wewnętrznych audytów – w szczególności audytu skrzynek mailowych pracowników – należy zwracać szczególną uwagę na kwestie związane z prawidłowym używaniem sprzętu i poczty służbowej. Czy np. poczta ta nie jest używana do celów prywatnych – do zakupów w Internecie czy przesyłaniu poufnych informacji na domowy adres e-mail.
Za liczbami podanymi na początku wpisu stoją też realne przykłady. Działania hakerów dotknęły takie firmy jak Honda – sparaliżowanie działania działu obsługi klienta atakiem ransomware[2], Garmin – odcięcie od sieci urządzeń firmy na całe trzy dni[3], Canon – wyciek 10 terabajtów danych[4]. Zagrożenia są realne. Jeżeli Twoi pracownicy nie wiedzą czym jest choćby phishing, jak go rozpoznawać, jak zachować ostrożność i higienę w sieci, warto rozważyć prewencję również w kontekście cyberbezpieczeństwa.
[1] https://thehill.com/policy/cybersecurity/493198-fbi-sees-spike-in-cyber-crime-reports-during-coronavirus-pandemic
[2] https://www.forbes.com/sites/daveywinder/2020/06/10/honda-hacked-japanese-car-giant-confirms-cyber-attack-on-global-operations-snake-ransomware/?sh=6e35f23553ad
[3] https://www.theguardian.com/technology/2020/jul/27/ransomware-attack-on-garmin-thought-to-be-the-work-of-evil-corp
[4] https://www.forbes.com/sites/daveywinder/2020/08/05/has-canon-suffered-a-ransomware-attack-10tb-of-data-alleged-stolen-report/?sh=21723ff9499e#7064c284499e