Prowadzisz spółkę i wydaje Ci się, że bezpieczeństwo cyfrowe to sprawa działu IT? Lepiej spójrz na to inaczej. Jeżeli myślisz o odpowiedzialności zarządu, ryzykach podatkowych i obowiązkach wobec urzędów, to cyberbezpieczeństwo dotyczy właśnie Ciebie. I to bardzo realnie. W rozmowie z ekspertami z sektora cyber i compliance, którą miałam okazję prześledzić, mocno wybrzmiało jedno: dziś nie pytasz już „czy” Twoja firma zostanie zaatakowana, tylko „kiedy”. Co gorsza, nie zawsze się o tym od razu dowiesz.
Wyobraź sobie, że w poniedziałek rano nie możesz zalogować się do systemu księgowego. Na ekranie widzisz komunikat o żądaniu okupu. Twój system fakturowania, rejestry kadrowe, dane kontrahentów – wszystko zaszyfrowane. Tego rodzaju scenariusz to już nie teoria. Eksperci mówią o atakach ransomware jako o najpowszechniejszym zagrożeniu, które potrafi sparaliżować działalność operacyjną nawet na kilka tygodni. Ale to nie tylko strata czasu. To potencjalne naruszenia RODO, niedochowanie terminów podatkowych, brak możliwości realizacji usług, odpowiedzialność zarządu wobec wspólników i klientów.
Wiele spółek nie ma wdrożonego planu ciągłości działania (Business Continuity Plan). Kiedy coś pójdzie nie tak, wszystko trzeba wymyślać od zera. A przecież można wcześniej ustalić choćby podstawowe scenariusze:
To są pytania nie tylko techniczne, ale także prawne i zarządcze. Jeśli ich nie zadasz – może się okazać, że Twoja firma nie tylko straci dane, ale i reputację, a przy okazji dostanie karę od UODO lub będzie musiała tłumaczyć się przed sądem.
W transkrypcji rozmowy padł ważny przykład: firma padła ofiarą ataku, bo pracownik kliknął w złośliwego maila, który wyglądał jak faktura od klienta. Tyle że nie był to klient. Nikt nie sprawdził adresu, nie było przeszkolenia z cyberzagrożeń, a system pocztowy nie miał żadnych zabezpieczeń.
Dziś wystarczy jeden klik, by otworzyć dostęp do całej sieci firmowej. Dlatego konieczne jest:
Jako członek zarządu odpowiadasz za bezpieczeństwo działalności spółki – także w kontekście danych, terminów podatkowych i realizacji umów. W razie ataku możesz zostać pociągnięty do odpowiedzialności cywilnej, administracyjnej, a nawet karnej, jeśli zaniedbałeś obowiązki lub nie wdrożyłeś zabezpieczeń. To oznacza, że cyberbezpieczeństwo powinno być stałym punktem obrad zarządu. Nawet jeśli nie jesteś ekspertem IT – musisz zadać pytania, sprawdzić procedury, zlecić audyt lub wdrożenie polityk bezpieczeństwa.
Jednym z bardziej przerażających przykładów był przypadek, gdy firma zorientowała się po dwóch tygodniach, że backup nie działał. Wszystko wyglądało normalnie – do momentu ataku. A wtedy okazało się, że kopii nie ma. Niczego nie da się przywrócić. Księgi rachunkowe zniknęły. To pokazuje, że sam backup to za mało. Trzeba go regularnie testować. I mieć alternatywny plan – np. kopie offline, trzymane poza główną siecią.
Coraz więcej firm rozważa polisę na wypadek cyberataku. To dobre uzupełnienie, ale nie substytut zabezpieczeń. Ubezpieczyciel wypłaci środki tylko wtedy, gdy firma sama wdrożyła minimalne środki bezpieczeństwa – np. backup, antywirusy, systemy wykrywania ataków. Brak takich działań to brak odszkodowania.
Jeśli prowadzisz spółkę albo doradzasz innym, zacznij od tych kroków:
Cyberbezpieczeństwo to nie koszt. To inwestycja w spokój, reputację i płynność działania Twojej firmy.
Autor: Rafał Kufieta
