Cyberprzestępstwa dotyczą każdego
Przejmujemy się przeczytanym w mediach artykułem o ataku hackerskim na bank. Jednocześnie ściągamy z nielegalnego źródła program, w którym może się znajdować wirus…
Świadomość zagrożeń płynących z sieci rośnie, ale ciągle jest mała. Rośnie wraz z informacjami o atakach, które już zebrały swoje żniwo. Co zrobić, by nie być częścią katalogu zawierającego dane o atakach z sieci? Przede wszystkim nie myśleć o cyberprzestępczości w kategoriach: „mi to się nie przytrafi”.
Coraz częściej czytamy o atakach hackerskich na duże przedsiębiorstwa czy instytucje państwowe. Problem ten jednak dotyczy także lokalnych społeczności, a nawet przeciętnego Kowalskiego. Dzisiaj eksperci od cyberbezpieczeństwa, w tym z grupy JR Holding odpowiadają na pytanie: dlaczego mając świadomość cyberzagrożeń, robimy niewiele lub wręcz nic w celu ich uniknięcia?
Paradoksalne postrzeganie zagrożeń
W dzisiejszych czasach otrzymujemy coraz więcej informacji odnośnie ataków i zagrożeń w cyberprzestrzeni. Niezwykle ważną rolę w tym wszystkim odgrywa tzw. czynnik ludzki. Dlatego też nawet nauki społeczne takie jak psychologia zaczynają włączać się w dyskusję na ten temat. W efekcie tego wyodrębniona została nawet oddzielna subdyscyplina psychologii – cyberpsychologia. Zajmuje się ona analizą mechanizmów rządzących naszym umysłem, jak i zachowaniami człowieka w zakresie nowych technologii.
W książce „Beyond fear: thinking sensibly about security in an uncertain”, Bruce Schneier tłumaczy mechanizmy, którym ulegamy oceniając ryzyko. Również związane z cyberbezpieczeństwem. Według autora wiele osób zdecydowanie wyolbrzymia ryzyko wystąpienia takich zdarzeń, które są z jakiegoś powodu niezwykłe (wyjątkowe, spektakularne), ale raczej mało prawdopodobne, a ignoruje czy bagatelizuje te, które są powszechne, ale zdecydowanie mniej widowiskowe. Na przykład bardziej przejmujemy się atakiem hackerskim na bank, a bagatelizujemy ściągnięcie wirusa z programem, który pochodzi z nielegalnego źródła.
Oczywiście jest to tylko jeden z przykładów. Psychologia określa to jako swego rodzaju błędy poznawcze, które wpływają na niewłaściwą ocenę swojego bezpieczeństwo w sieci.,
– Takim błędem jest również “nadmierny optymizm”. To właśnie przez niego ignorujemy zagrożenia, bagatelizujemy ryzyko. Nie dbamy o zachowanie ostrożności jeśli chodzi o nasze dane i zachowania w sieci. Wiemy, że są pewne zagrożenia, ryzyka i że możemy paść ich ofiarą, ale jesteśmy mocno przekonani, że akurat nam się to nie przytrafi – mówi Paulina Soliwoda, psycholog współpracująca z one2tribe.
Mnie to nie dotyczy
„Nie mam cennych danych. „Kto chciałby mnie atakować.” „Ataki hackerskie i wycieki danych to tylko w Ameryce”. „Mnie to nie dotyczy.” To są najczęstsze odpowiedzi przedstawicieli małych i średnich firm w Polsce na pytanie o cyberzagrożenia i zabezpieczenie swoich danych.
Informacje medialne dotyczące jedynie dużych organizacji i spektakularnych żądań okupu mogą prowadzić właścicieli małych i średnich firm do błędnych wniosków, że są zbyt małe, aby być celem ataku. Tymczasem mniejsze organizacje są coraz bardziej podatne na ataki. Dzieje się tak za sprawą upowszechnienia pracy zdalnej i zwiększenia ilości punktów końcowych. Liczba ataków rośnie, bo cyberprzestępczość staje się sposobem na życie coraz większej ilości osób. Dodatkowo nikt się nie chwali publicznie o fakcie wycieku danych. Media rzadko są zainteresowane informacją o tym, że jakaś organizacja była szantażowana żądaniem małego okupu.
Przekonanie o wyjątkowości oraz wiara w to, że cyberprzestępcy to tylko globalne grupy hackerskie prowadzą nierzadko do bankructwa firm. Wyciek danych w przypadku kancelarii prawnej czy biura rachunkowego zazwyczaj oznacza definitywne zakończenie działalności, a dodatkowo także dochodzenie odszkodowań przez klientów oraz na karach regulatorów – komentuje Przemysław Kucharzewski wiceprezes CypherDog Security.
Przykłady ataków dotyczące przedsiębiorstw można podawać w nieskończoność. Ale kto z prywatnie nie dostał maila z niepewnego źródła? Z nieznanym linkiem czy załącznikiem lub typu: „dokończ transakcję by uzyskać przelew” lub „twoja przesyłka (tu nazwa znanej firmy kurierskiej) czeka na odbiór”?