Skuteczne technologie chroniące systemy komputerowy istnieją od lat, jednak nieliczne firmy je wdrożyły. Według Forrester Research, jedynie 15% amerykańskich przedsiębiorstw ma elektroniczne certyfikaty, a 12% stosuje systemy wykrywania włamań do sieci. Z kolei z badania przeprowadzonego przez Ernst&Young wynika, że jedynie 40% firm jest przekonanych, że byłyby w stanie wykryć atak.

Tylko niewielki procent przedsiębiorstw używa czytników biometrycznych, dzięki którym użytkownicy rozpoznawani są dzięki odciskowi palca czy zeskanowaniu obrazu siatkówki oka. Podstawowym argumentem podawanym przez szefów firm nie stosujących odpowiednich zabezpieczeń jest ich wysoki koszt. Można się z tym zgodzić tylko częściowo, okazuje się bowiem, że w wielu przypadkach taki koszt nie był w ogóle szacowany. Co gorsza, wydatki na bezpieczeństwo infrastruktury IT ponoszone są najczęściej dopiero wtedy, kiedy dojdzie do włamania i utraty cennych danych. Bardzo istotne jest zbieranie danych dotyczących wszelkich incydentów w sieci. Dzięki temu można łatwiej zapewnić odpowiednie finansowanie służbom IT odpowiedzialnym za bezpieczeństwo. Oczywiście, zawsze będą zdarzały się wypadki nieprzewidziane, jednak przy odpowiednim finansowaniu wielu atakom można zapobiec. Słynne Nimda czy Code Red nadal sieją spustoszenie w niektórych sieciach tylko dlatego, że ich administratorzy nie zainstalowali odpowiednich aktualizacji oprogramowania. Według analityków Forrestera, firmy powinny zmuszać (np. za pomocą systemu premii) swoich administratorów do regularnego aktualizowania oprogramowania. W 2001 r. eksperci odkrywali średnio 30 luk w oprogramowaniu tygodniowo. Trzy lata wcześniej tylko 5. Oczywiście, świadczy to o rosnących umiejętnościach ekspertów od bezpieczeństwa, pokazuje jednak równocześnie, że nieaktualizowane oprogramowanie jest niebezpieczne.

Wysokie koszty

Wraz z otwieraniem sieci ryzyko naruszenia bezpieczeństwa staje się większe, większe stają się również koszty zabezpieczeń. Dobrym pomysłem, stosowanym z powodzeniem w wielu amerykańskich przedsiębiorstwach, jest wspólne z partnerami handlowymi opracowywanie procedur bezpieczeństwa, a co najważniejsze - dzielenie się kosztami ich wdrażania.

Dla małych i średnich firm dobrym rozwiązaniem jest korzystanie z centrów danych (data center), gdzie komputery są pod nadzorem 24 godziny na dobę. Nie jest to oczywiście rozwiązanie idealne, gdyż uzyskiwanie szybkiego dostępu do danych znajdujących się w oddalonym od siedziby firmy miejscu wymaga posiadania szybkiego łącza internetowego czy dedykowanego. Zaletą jest przede wszystkim bezpieczeństwo. Dobre centra danych są zabezpieczone na wypadek pożaru, powodzi, praktycznie niemożliwe jest tam wejście osób niepowołanych.

Prace nad zwiększaniem bezpieczeństwa systemów komputerowych nasiliły się po atakach z 11 września. Finansowanie badań zapewnił amerykański Kongres. W lutym Izba Reprezentantów przeznaczyła na ten cel 880 mln USD. Część analityków skrytykowała jednak tę decyzję, twierdząc, że pieniądze powinny być przeznaczane raczej na wdrażanie systemów bezpieczeństwa, ponieważ istniejące technologie są wystarczająco skuteczne. Problemem pozostaje zachęcenie firm do stosowania odpowiednich rozwiązań.

Bardzo niebezpiecznie

Pod względem bezpieczeństwa rynek polski wygląda znacznie gorzej niż amerykański, i to bez względu na to, że nasycenie technologią jest nieporównywalnie mniejsze. Najczęściej za bezpieczeństwo odpowiada dyżurny informatyk, który kończy pracę o określonej godzinie. Tymczasem dla hakerów nie istnieją godziny urzędowania. Atak może nastąpić późną nocą, rano czy też w samo południe. Włamywacze zazwyczaj starannie wybierają porę, tak aby czas reakcji osób odpowiedzialnych za bezpieczeństwo był możliwie najdłuższy. Tymczasem do czasu ataku polscy przedsiębiorcy często nie przejmują się stratami spowodowanymi przez unieruchomienie sieci, a nawet nie są w stanie precyzyjnie oszacować kosztów walki z naruszenNa szczęście przypadków całkowitego ignorowania zagrożeń jest coraz mniej. Wraz z postępującą komputeryzacją szczególnie w działach księgowych i kadrowych, wartość danych, znajdujących się na twardych dyskach pecetów, znacznie wzrasta.

Elektroniczny obieg dokumentów zaczyna powoli wypierać tradycyjny papier i w razie ataku często bezcenne dane giną bez śladu. Podobnie jest w przypadku systemów CRM, które zawierają poufne informacje o klientach firmy. Przechwycenie tych informacji przez hakerów może oznaczać całkowitą utratę zaufania do przedsiębiorstwa i w konsekwencji nawet jego upadek.

Technologie bezpieczeństwa nie są tanie, jednak koszt ich wdrożenia i utrzymania jest niewielki w porównaniu ze spustoszeniami jakich może dokonać w "bezbronnej" sieci nawet niedoświadczony haker. Najcenniejszą rzeczą, która może zostać utracona bezpowrotnie, jest zaufanie klientów i partnerów.

Reakcja na incydenty to nauka, a nie sztuka