Podczas pandemii COVID-19 i po wybuchu wojny w Ukrainie liczba ataków hakerskich znacznie wzrosła, a ofiarą padają nie tylko instytucje państwowe, ale także przedsiębiorstwa, m.in. ich działy HR. Dlatego cyberbezpieczeństwo jest dziś gwarancją prowadzenia stabilnego biznesu, a zbagatelizowanie tej kwestii może doprowadzić do poważnych konsekwencji. Jak budować sprawne systemy cyberbezpieczeństwa? Jak zatrudniać specjalistów? Gdzie ich szukać? Czy konieczne jest tworzenie własnego działu cyberbezpieczeństwa? Czy i w tym przypadku pomocny będzie outsourcing pracowników IT?
Według badania firmy Coro w ciągu ostatnich 3 lat liczba cyberataków, z jakimi muszą uporać się firmy, wzrosła aż 14-krotnie. Jeszcze w 2019 r. firmy zatrudniające do tysiąca pracowników były narażone średnio na 6300 ataków rocznie. Niedawno szacowano, że w tym roku firma zatrudniająca do tysiąca pracowników może spodziewać się nawet aż 86 000 prób ataku. To oznacza, że każdego dnia tylko jedna firma może być narażona na 235 prób sforsowania infrastruktury IT. Sektory, w których odnotowano największy wzrost liczby ataków od 2020 r. do końca 2021 r., to transport (wzrost o 195%), opieka zdrowotna (178%), handel detaliczny (149%), produkcja (131%), usługi profesjonalne (119%), edukacja (97%), ale ofiarą ataku może być każdy, nie tylko najwięksi gracze na rynku.
Małe i średnie firmy zagrożone
W szczególnie trudnym położeniu znajdują się mniejsze firmy. Według Coro tylko ciągu ostatnich dwóch lat liczba ataków na firmy zatrudniające do 1000 pracowników wzrosła o 150%, a wiele wskazuje, że to dopiero początek problemów.
– W okresie pandemii COVID-19 dochodziło do wielu aktywności realizowanych przez cyberprzestępców. Jednym z rodzajów były np. ataki typu “watering hole”, w którym przestępcy tworzyli strony z danymi dotyczące np. liczby zakażeń koronawirusem. Zaszywali w nich złośliwe oprogramowanie, którym infekowały się komputery użytkowników odwiedzających daną stronę. Innym częstym sposobem ataków, który szczególnie dotkliwie odczuły małe i średnie przedsiębiorstwa w Polsce, były ataki typu phishing, w których mailowo podszywano się pod np. formularze zgłoszeń do Tarczy Antykryzysowej – wyjaśnia Piotr Borkowski, CEO w CYBER@RMS oraz szef zespołu Red Team w jednym z globalnych banków.
Zgodnie z danymi firmy Avanan, po 27 lutego br., w ciągu zaledwie 24h odnotowano 8-krotny wzrost liczby ataków pochodzących z Rosji za pośrednictwem poczty elektronicznej. Celem ataku były firmy produkcyjne oraz międzynarodowe firmy spedycyjne i transportowe w USA i Europie. Z uwagi na wojnę w Ukrainie biznes musi zwrócić uwagę na kwestie cyberbezpieczeństwa.
– W ujęciu geopolitycznym mamy do czynienia z dynamicznym wzrostem liczby sankcji gospodarczych, zrywane są porozumienia o współpracy, dlatego poziom konkurencji (szczególnie tej nieuczciwej) rośnie. Znaczenie danych dotyczących firm z konkretnych segmentów rynku bardzo wzrosło. W czasie wojny w Ukrainie jest coraz więcej ataków, a ogólny poziom cyberzagrożenia eskaluje. W tym momencie tzw. ataki „ukierunkowane” nie dotyczą już wyłącznie infrastruktury krytycznej czy organów państwowych, ale także większej liczby firm. Dlatego należy na bieżąco obserwować rozwój wydarzeń, ponieważ reakcje w świecie „realnym” mają często znaczące przełożenie na świat „wirtualny”. Dla przykładu, w związku z szeroko dyskutowanym potencjalnym kryzysem związanym z dostawami żywności, szczególnym zainteresowaniem atakujących mogą być firmy z tej branży – tłumaczy Piotr Borkowski.
Działy HR częstym celem ataków
Według raportu Europejskiej Agencji ds. Cyberbezpieczeństwa ENISA Thrate Landscape, najważniejsze zagrożenia w cyberprzestrzeni zidentyfikowane w okresie od kwietnia 2020 do lipca 2021 roku to m.in. ransomware, czyli ataki z użyciem złośliwego oprogramowania na sieci i blokowanie danych z żądaniem okupu; złośliwe oprogramowanie; zagrożenia związane z pocztą elektroniczną; naruszenie danych lub wyciek danych); blokowanie dostępu do usług poprzez sztuczne generowanie wzmożonego ruchu; dezinformacja – fałszywe wiadomości oraz ataki na łańcuchy dostaw.
Celem ataków hakerów są bardzo często działy HR, które komunikują się ze światem zewnętrznym i dzięki temu przestępcom łatwiej „przeniknąć” tą drogą do infrastruktury całej firmy.
– Pracownicy działu HR wysyłają i otrzymują e-maile, często (co naturalne) z różnymi załącznikami, kontaktują się przez LinkedIn itp., dlatego często są namierzani przez cyberprzestępców jako potencjalny dogodny wektor ataku. Ponadto dział HR może być także „narzędziem” ataku, kiedy to przestępcy podszywają się pod komórki rekrutacyjne i tworzą fałszywe profile firm rekrutacyjnych – wyjaśnia Piotr Borkowski.
Dlatego ważne jest monitorowanie bezpieczeństwa, analiza zagrożeń oraz testy bezpieczeństwa systemów przez specjalistów w tej dziedzinie. Gdzie szukać pracowników? Rynek pracy w IT wciąż notuje braki wykwalifikowanych programistów, a firmy, które poszukują pracowników z tej branży nie mają łatwego zadania. Jak uporać się z rekrutacją pracowników IT w zakresie cybersecurity?
– W dużych firmach, które posiadają własny dział IT, możliwe jest przekwalifikowanie, albo uzupełnienie kwalifikacji przez zatrudnionych programistów. Inna opcja to zatrudnienie osoby specjalizującej się w cyberbezpieczeństwie IT, która będzie odpowiedzialna za ten obszar w firmie, a trzeci wariant to wynajem specjalisty IT w ramach outsourcingu, co pozwala na zapewnienie firmie odpowiedniego poziomu usług IT, ale tylko w niezbędnym zakresie czasowym, bez dodatkowych kosztów finansowania etatu – mówi Paweł Olejniczak, VP Sales RITS Professional Services.
Outsourcing specjalistów IT
Jak podaje Michał Fila, Community Manager Just Join IT – portalu z ofertami pracy od najlepszych firm z branży IT, w Polsce jest aż 17 500 wakatów dla specjalistów ds. cyberbezpieczeństwa. W ostatnim czasie serwis odnotował ponad 50-procentowy wzrost opublikowanych ogłoszeń oraz kilkuset procentowy wzrost składanych aplikacji w tym segmencie rynku IT.
Samodzielne poszukiwanie specjalisty od cyberbezpieczeństwa może być bardzo trudne. Tym bardziej, że w obliczu silnej konkurencji na rynku pracy, pensje są wysokie, a kandydaci mają w czym wybierać – zarówno w kontekście samego pracodawcy, warunków pracy, jak i w zakresie formy zatrudnienia.
Według danych Just Join IT za pierwszy kwartał 2022 r., oferowane średnie wynagrodzenia miesięczne dla specjalistów ds. cyberbezpieczeństwa na umowie o pracę to 7 975 zł brutto dla Juniora, 14 230 zł dla Mida i 22 135 zł dla Seniora. W przypadku kontraktu B2B te kwoty prezentują się następująco: 14 525 zł netto dla Juniora, 19 336 zł dla Mida i 24 734 zł dla Seniora.
Na branżowych serwisach z ofertami pracy w IT firmy oferują dwa rozwiązania: umowę o pracę oraz umowę cywilnoprawną, czyli tzw. kontrakt B2B. – Umowa o pracę wiąże się jednoznacznie z wpisaniem pracownika do organizacji, staje się on członkiem personelu, który podlega hierarchii służbowej. W przypadku umowy o pracę, można egzekwować odpowiedzialność na podstawie kodeksu pracy. Z kolei umowa B2B lub inna umowa cywilnoprawna oznacza, że pod względem rozliczeń mamy do czynienia z podwykonawcą, który wystawia fakturę, ale z perspektywy prawnej jest to równoważny podmiot, kontrahent, którego wiążą postanowienia umowy – wyjaśnia Małgorzata Kurowska, Partnerka w Kancelarii Maruta Wachta.
Jak podkreśla Małgorzata Kurowska, należy również ustalić, jaki ma być poziom niezależności specjalisty ds. cyberbezpieczeństwa oraz jaki model zatrudnienia będzie odpowiedni w organizacji. – W przypadku umowy B2B trzeba ją odpowiednio skonstruować – radzi prawniczka.
Trzecia możliwość – outsourcing pracowników, czyli wynajem specjalistów IT od zewnętrznej firmy.
– Obserwujemy rosnące zainteresowanie specjalistami od cyberbezpieczeństwa. Firmy zgłaszają się do nas, ponieważ zdają sobie sprawę, że zatrudnienie takiego eksperta na pełen etat po pierwsze nie jest niezbędne (wystarczy mniejszy zakres współpracy), po drugie generuje wyższe koszty. Istnieje sporo narzędzi do monitorowania bezpieczeństwa przedsiębiorstwa w sieci, dlatego specjaliści od cyberbezpieczeństwa potrzebni są na pewno na etapie wdrożenia projektu. Kiedy system zostanie wdrożony i sparametryzowany – wsparcie firmy jest efektywniejsze w modelu Managed Services przy zdefiniowanych KPI w obszarze poziomu bezpieczeństwa i SLA dotyczącego dostępności i czasu reakcji – dodaje Paweł Olejniczak.
