środa, 10 sierpniaCodzienne Wiadomości Biznesowe
Shadow

Cyberzagrożenie przedsiębiorstw eskaluje

Ile twoją firmę będzie kosztował specjalista ds. cyberbezpieczeństwa? Po wybuchu wojny w Ukrainie liczba ataków hakerskich znacznie wzrosła, a ofiarą padają zarówno instytucje państwowe, jak i przedsiębiorstwa. Jak zatrudniać i gdzie szukać specjalistów? Czy konieczne jest tworzenie własnego działu cyberbezpieczeństwa? Czy i w tym przypadku pomocny będzie outsourcing pracowników IT?

Wg badania firmy Coro w ciągu ostatnich 3 lat liczba cyberataków wzrosła aż 14-krotnie. Niedawno szacowano, że w tym roku firma zatrudniająca do 1000 pracowników może spodziewać się aż 86000 prób ataku. To oznacza, że każdego dnia jedna firma może być narażona na 235 prób sforsowania infrastruktury IT. Sektory, w których odnotowano największy wzrost liczby ataków od 2020 r. do końca 2021 r., to transport (wzrost o 195%), opieka zdrowotna (178%), handel detaliczny (149%), produkcja (131%), usługi profesjonalne (119%), edukacja (97%).

„W okresie pandemii COVID-19 dochodziło do wielu aktywności realizowanych przez cyberprzestępców. Jednym z rodzajów były np. ataki typu >>watering hole<<, w którym przestępcy tworzyli strony z danymi dotyczące np. liczby zakażeń koronawirusem. Zaszywali w nich złośliwe oprogramowanie, którym infekowały się komputery użytkowników odwiedzających daną stronę. Innym częstym sposobem ataków, który szczególnie dotkliwie odczuły małe i średnie przedsiębiorstwa w Polsce, były ataki typu phishing, w których mailowo podszywano się pod np. formularze zgłoszeń do Tarczy Antykryzysowej” – wyjaśnia Piotr Borkowski, CEO CYBER@RMS.

Zgodnie z danymi firmy Avanan, po 27 lutego br., w ciągu zaledwie 24h odnotowano 8-krotny wzrost liczby ataków pochodzących z Rosji za pośrednictwem poczty elektronicznej. Celem ataku były firmy produkcyjne oraz międzynarodowe firmy spedycyjne i transportowe w USA i Europie. Z uwagi na wojnę w Ukrainie biznes musi zwrócić uwagę na kwestie cyberbezpieczeństwa.

„W ujęciu geopolitycznym mamy do czynienia z dynamicznym wzrostem liczby sankcji gospodarczych, zrywane są porozumienia o współpracy, dlatego poziom konkurencji (szczególnie tej nieuczciwej) rośnie. Znaczenie danych dotyczących firm z konkretnych segmentów rynku bardzo wzrosło. W czasie wojny w Ukrainie jest coraz więcej ataków, a ogólny poziom cyberzagrożenia eskaluje. W tym momencie tzw. ataki >>ukierunkowane<< nie dotyczą już wyłącznie infrastruktury krytycznej czy organów państwowych, ale także większej liczby firm. Dlatego należy na bieżąco obserwować rozwój wydarzeń, ponieważ reakcje w świecie >>realnym<< mają często znaczące przełożenie na świat >>wirtualny<<. Dla przykładu, w związku z szeroko dyskutowanym potencjalnym kryzysem związanym z dostawami żywności, szczególnym zainteresowaniem atakujących mogą być firmy z tej branży” – tłumaczy P. Borkowski.

Działy HR częstym celem ataków

Celem ataków hakerów są bardzo często działy HR, które komunikują się ze światem zewnętrznym i dzięki temu przestępcom łatwiej „przeniknąć” tą drogą do infrastruktury całej firmy.

„Pracownicy działu HR wysyłają i otrzymują e-maile, często (co naturalne) z różnymi załącznikami, kontaktują się przez LinkedIn itp., dlatego często są namierzani przez cyberprzestępców jako potencjalny dogodny wektor ataku. Ponadto dział HR może być także >>narzędziem<< ataku, kiedy to przestępcy podszywają się pod komórki rekrutacyjne i tworzą fałszywe profile firm rekrutacyjnych” – wyjaśnia P. Borkowski.

Dlatego ważne jest monitorowanie bezpieczeństwa, analiza zagrożeń oraz testy bezpieczeństwa systemów przez specjalistów w tej dziedzinie. Gdzie szukać pracowników? Rynek pracy w IT wciąż notuje braki wykwalifikowanych programistów, a firmy, które poszukują pracowników z tej branży nie mają łatwego zadania.

„W dużych firmach, które posiadają własny dział IT, możliwe jest przekwalifikowanie, albo uzupełnienie kwalifikacji przez zatrudnionych programistów. Inna opcja to zatrudnienie osoby specjalizującej się w cyberbezpieczeństwie IT, która będzie odpowiedzialna za ten obszar w firmie, a trzeci wariant to wynajem specjalisty IT w ramach outsourcingu, co pozwala na zapewnienie firmie odpowiedniego poziomu usług IT, ale tylko w niezbędnym zakresie czasowym, bez dodatkowych kosztów finansowania etatu” – mówi Paweł Olejniczak, VP Sales RITS Professional Services.

Outsourcing specjalistów IT

Jak podaje Michał Fila, Community Manager portalu z ofertami pracy Just Join IT, w Polsce jest aż 17 500 wakatów dla specjalistów ds. cyberbezpieczeństwa. W ostatnim czasie serwis odnotował ponad 50-procentowy wzrost opublikowanych ogłoszeń oraz kilkuset procentowy wzrost składanych aplikacji w tym segmencie rynku IT.

Samodzielne poszukiwanie specjalisty od cyberbezpieczeństwa może być bardzo trudne. Tym bardziej, że w obliczu silnej konkurencji na rynku pracy, pensje są wysokie, a kandydaci mają w czym wybierać – zarówno w kontekście samego pracodawcy, warunków pracy, jak i w zakresie formy zatrudnienia.

Według danych Just Join IT za pierwszy kwartał 2022 r., oferowane średnie wynagrodzenia miesięczne dla specjalistów ds. cyberbezpieczeństwa na umowie o pracę to 7 975 zł brutto dla Juniora, 14 230 zł dla Mida i 22 135 zł dla Seniora. W przypadku kontraktu B2B te kwoty prezentują się następująco: 14 525 zł netto dla Juniora, 19 336 zł dla Mida i 24 734 zł dla Seniora.

Na branżowych serwisach z ofertami pracy w IT firmy oferują dwa rozwiązania: umowę o pracę oraz umowę cywilnoprawną, czyli tzw. kontrakt B2B.

„Umowa o pracę wiąże się jednoznacznie z wpisaniem pracownika do organizacji, staje się on członkiem personelu, który podlega hierarchii służbowej. W przypadku umowy o pracę, można egzekwować odpowiedzialność na podstawie kodeksu pracy. Z kolei umowa B2B lub inna umowa cywilnoprawna oznacza, że pod względem rozliczeń mamy do czynienia z podwykonawcą, który wystawia fakturę, ale z perspektywy prawnej jest to równoważny podmiot, kontrahent, którego wiążą postanowienia umowy” – wyjaśnia Małgorzata Kurowska, partnerka Kancelarii Maruta Wachta.

Jak podkreśla Małgorzata Kurowska, należy również ustalić, jaki ma być poziom niezależności specjalisty oraz jaki model zatrudnienia będzie odpowiedni w organizacji. „W przypadku umowy B2B trzeba ją odpowiednio skonstruować” – radzi prawniczka.

Trzecia możliwość – outsourcing pracowników, czyli wynajem specjalistów IT od zewnętrznej firmy.

„Obserwujemy rosnące zainteresowanie specjalistami od cyberbezpieczeństwa. Firmy zgłaszają się do nas, ponieważ zdają sobie sprawę, że zatrudnienie takiego eksperta na pełen etat po pierwsze nie jest niezbędne (wystarczy mniejszy zakres współpracy), po drugie generuje wyższe koszty. Istnieje sporo narzędzi do monitorowania bezpieczeństwa przedsiębiorstwa w sieci, dlatego specjaliści od cyberbezpieczeństwa potrzebni są na pewno na etapie wdrożenia projektu. Kiedy system zostanie wdrożony i sparametryzowany – wsparcie firmy jest efektywniejsze w modelu Managed Services przy zdefiniowanych KPI w obszarze poziomu bezpieczeństwa i SLA dotyczącego dostępności i czasu reakcji” – dodaje P. Olejniczak.

Źródło informacji: RITS Professional Services