Przedsiębiorcy, nieważne jak nowoczesne prowadzą biznesy, zwykle nie przejmują się cyberbezpieczeństwem. Ulegają wielu mylącym przeświadczeniom, jak to, że na sprzęty Apple nie ma wirusów, że żaden haker nie chciałby atakować małej firmy, bo łup jest nieatrakcyjny. Niejeden stracił na tym firmowe oszczędności. Dla hakera atakowanie kilku łatwych celów jest atrakcyjniejsze, niż atak na jeden, ale trudny.
Karol zniecierpliwiony bębnił palcami po kierownicy. Pod nosem, całkiem poetycko, przeklinał innych uczestników porannego ruchu. Jarek, wieloletni przyjaciel Karola, dyskretnie podgłośnił muzykę z radia, wpatrując w płatki śniegu topniejące na szybie. To był ich codzienny rytuał.
Jeden narzekał, drugi próbował się tym nie zarazić, był bardziej zen. Mieszkali blisko siebie, każdy z nich założył małą firmę. Karol studio projektowania wnętrz, Jarek firmę tworzącą aplikacje mobilne. Pracowali w tym samym centrum coworkingowym, stąd razem też dojeżdżali, dzieląc koszty.
Z głośników sączył się nudny głos spikera, czytającego poranne wiadomości. Jakiś polityk znowu powiedział coś głupiego, gdzieś trwa protest pracowników. Dzień jak co dzień. Karol starał się za wszelką cenę nie myśleć o pracy, bo to denerwowało go jeszcze bardziej. Kalendarz był w całości zapełniony. Spotkanie, warsztat, pomiar u klienta.
- ...wstępne straty sięgają milionów dolarów, w ataku ucierpiało ponad 100 firm… - w końcu do mężczyzn przebiła się ciekawsza informacja. O jakimś dużym ataku hakerów. - … 25 proc. wszystkich ataków, to ataki na urządzenia mobilne. Przedsiębiorcy jednak nie zdają sobie sprawy z zagrożenia. Połowa firm MŚP doświadczyła ataku, 60 proc. firm zamyka biznesy po ataku* – recytował spiker.
- Ile jeszcze takich historii musi się wydarzyć, zanim tacy twardogłowi, jak ty, w końcu dostrzegą zagrożenie – westchnął Jarek.
Karol uśmiechnął się pod nosem. Tym razem to on unikał rozwijania tematu, wiedział dobrze, że jego przyjaciel ma na tym punkcie paranoję, jak każdy w IT. To gość, który miał osobny telefon do autoryzacji przelewów. Otrzymywał kody w SMSach na starą Nokię, której nigdy nie połączył z siecią. Kto normalny tak robi?
Karol zerknął na swój smartfon. Wspaniała rzecz, firmę mógłby w zasadzie prowadzić tylko na nim, nic go nie ogranicza. Zupełnie nie ogarniał współczesnych cyfrowych zagrożeń, częściowo dlatego zupełnie się ich nie bał. Gdy ktoś o tym wspominał, dowodził, że ma iPhone’a, a na nie nie ma wirusów. Poza tym kto by chciał atakować małego przedsiębiorcę? Hakerzy atakują duże organizacje, bo tam jest duży łup. Proste. Nie będzie mu nikt wmawiać, skoro on wiedział lepiej.
Jarek westchnął znużony. Milion razy tłumaczył błędy w rozumowaniu Karola. A w odpowiedzi słyszał tylko, że ma paranoję.
- Mówiłem ci to sto razy, że ten mit o iPhone’ach to bzdura. Już mniejsza o to, bo nie zauważasz najważniejszej rzeczy. Człowiek jest najsłabszym ogniwem każdego systemu bezpieczeństwa. Jeśli ty lub twój pracownik klikniecie w coś głupiego, jesteś ugotowany. - Mam łeb na karku, moi pracownicy też. Patrzymy, w co klikamy, nic się nie bój – odparł Karol.
Jarek znów westchnął.
- Dobra już, dobra – rzekł pojednawczo Karol. - Załóżmy, że masz rację. Czy ty myślisz, że mnie stać na opłacanie speców od IT? Albo na abonamenty antywirusów, które dodatkowo spowalniają telefon?
- Pobudka dziadku, gadasz, jakbyśmy wciąż żyli w latach 90. Świat się zmienił.
- Jaaasne – zgodził się Karol.
- Bałwanie jeden, słuchaj uważnie - wypalił Jarek. - Nie musisz być ekspertem od cyberbezpieczeństwa czy znać zagrożenia, żeby zrobić to, co ja. Wykup internet mobilny w Orange dla swojej firmy. Mają tam usługę, nazywa się CyberTarcza. Niczego nie instalujesz, nic cię nie spowalnia. To usługa, która monitoruje twoją sieć, zablokuje niemal każdy niebezpieczny czy podejrzany link, załącznik, w który mógłbyś przez roztargnienie kliknąć ty lub twój pracownik, zanim dotrze do smartfona i narazi twoją firmę na szwank.
Dojeżdżali do pracy, Karol słuchał już jednym uchem. Jarek zżymał się w myślach na bezmyślność przyjaciela. Przedsiębiorcy nie muszą poświęcać długich lat na doskonalenie się z zakresu cyberbezpieczeństwa, nie muszą płacić ciężkich pieniędzy za ekspertów, mają gotowe, proste i skuteczne rozwiązanie podsunięte pod sam nos, na srebrnej tacy. Niestety nikt nie wymyślił antywirusa na ignorancję.
Gdy zaparkowali pod budynkiem, rozeszli się do swoich biur. Umówili się na lunch po południu, jak co dzień. Jarek szybko wsiąkł w wir pracy. Do restauracji schodził, szczerząc się od ucha od ucha. Jego zespół skończył ten nieszczęsny kod, nad którym ślęczeli od trzech miesięcy. On sam zdobył dla firmy lukratywne zlecenie. Było co świętować.
Jednak Karol się spóźniał, a to coś nowego. Telefonu też nie odbierał. Jarek obiecał sobie, że zajrzy do niego później, po pracy. Chciał namówić przyjaciela na to świętowanie. Jednak telefon cały dzień milczał. Jarek, już wyraźnie zaniepokojony, wybrał się do biura Karola.
Na miejscu zastał stypę. Grobową atmosferę można było kroić nożem. Kilku pracowników snuło się po biurze. Karol siedział w swoim gabinecie, nieruchomy wzrok wbijał w wypolerowany do połysku drewniany stół.
- Co jest? - spytał Jarek. - Nie pytaj.
Jarek zaczął łączyć kropki. Położył rękę na ramieniu przyjaciela, usiadł obok niego i czekał w milczeniu. Nie chciał go poganiać. Po kilku minutach Karol w końcu się odezwał.
- Jestem skończony. Wyczyścili mi całe firmowe konto. Włożyłem w rozruszanie tej firmy całą kasę. Nie mam na pensje, nie mam na kontrahentów, którym zalegam, na rachunki. Byłem z tym na policji. Powiedzieli, że zrobią, co się da. Jakoś nie wierzę, że się uda.
- Co się stało?
- Spieszyłem się na spotkanie. Dostałem powiadomienie, jakiś monit mailowy z banku o wykryciu podejrzanej aktywności na koncie i jego zablokowaniu. Nie czytałem, przekazałem Ance, dziewczynie, która zajmuje się u mnie rachunkami i płatnościami – podjął opowieść Karol.
Jarek taktownie milczał, to nie czas na „a nie mówiłem”. Leżącego się nie kopie.
- Policja mówiła, że padłem ofiarą cyberprzestępstwa, jakiegoś phishingu czy coś, jeśli dobrze usłyszałem, ponoć jedna z najpopularniejszych metod. Ten mail to była podpucha.
- Co było w tym mailu?
- Informacja, że ktoś próbował nam się wbić na konto. Bank dla bezpieczeństwa polecił się zalogować do konta, żeby potwierdzić, czy wszystko jest okej. W mailu był link – Karol ukrył twarz w dłoniach. Spływały na niego wszystkie spory z Jarkiem, wszystkie sytuacje, w których przyjaciel go uczulał.
- Link przekierował na stronę banku. To była bardzo dobra podróbka. Anka zalogowała się na nasze konto. Policja powiedziała, że podała im wszystkie dane, ci momentalnie wyczyścili nam konto. Nie byłem ubezpieczony od cyberataków, tak, pamiętam, kazałeś mi się tym zainteresować - Karol miał wstyd w oczach.
- Wiesz, co jest najgorsze? - dodał na koniec. - No? - Że, choć to zrobiła Anka, ja też dałbym się na to nabrać. Jak dziecko. - Ile straciłeś? - Nie chcesz wiedzieć. Wybacz, jutro rano nie jedziemy razem. Zamiast jeździć do pracy, będę podwoził innych ludzi do pracy, muszę się odkuć.
Tekst powstał we współpracy z Orange. Historia, którą przeczytaliście, jest częściowo fikcyjna. Nie istnieje Karol, który stracił wszystkie swoje pieniądze. Istnieje za to szereg prawdziwych przedsiębiorców, którzy w ten sposób dali się oszukać i okraść. Niestety istnieje również szereg mitów i mylnych przeświadczeń, które pozwalają przedsiębiorcom uspokajać sumienie twierdzeniem „mnie to nie dotyczy”.
*źródła danych dotyczących skali ataków – raporty Ponemon Institute, McAfee Labs Threats Report.