Jeśli jest jedna rzecz, którą Twój startup technologiczny powinien wynieść z 2025 roku, to fakt, że żadna firma nie jest zbyt mała, aby stać się celem cyberprzestępców. W rzeczywistości MŚP są teraz bardziej atrakcyjnymi celami dla oprogramowania ransomware niż starsze przedsiębiorstwa, ze względu na ograniczone zasoby i cenne dane klientów.

Często startupom brakuje wiedzy lub zasobów potrzebnych do podejmowania dobrych decyzji na wczesnym etapie działalności. Skontaktowaliśmy się z ekspertem ds. bezpieczeństwa IT, który często współpracuje ze startupami technologicznymi, aby uzyskać wgląd w to, co firmy muszą wiedzieć, gdy dopiero zaczynają.

Gary Power, dyrektor operacyjny i dyrektor ds. obsługi klienta w Power Consulting(nowe okno), ma 25 lat doświadczenia w branży outsourcingu IT. Power Consulting ściśle współpracuje z firmami każdej wielkości we wszystkich branżach, świadcząc usługi obejmujące zarządzane usługi IT, planowanie strategiczne IT oraz audyty i usługi z zakresu cyberbezpieczeństwa.

Rozmawialiśmy z Garym, aby zrozumieć, gdzie startupy technologiczne popełniają błędy na wczesnym etapie swojej działalności.

Twoja firma nie jest zbyt mała na środki cyberbezpieczeństwa

Korzystając z naszego Obserwatorium Wycieków Danych, Proton śledził wycieki danych biznesowych w dark webie, aby zrozumieć, kogo celują hakerzy i jak firmy padają ofiarą naruszeń. Odkryliśmy 794 naruszenia, obejmujące łącznie ponad 300 milionów wyciekłych rekordów, i stało się oczywiste, że mniejsze organizacje są coraz bardziej zagrożone.

Twoja firma może skorzystać na analizie tego, jak i dlaczego inne firmy ucierpiały z powodu naruszeń danych. Wnioski płynące z Obserwatorium Wycieków Danych, a także nasze zalecenia dotyczące cyberbezpieczeństwa dla startupów technologicznych, można znaleźć w naszym najnowszym e-booku, The breaches that broke 2025.

Pobierz e-booka

Niezależnie od tego, czy zawiodło zarządzanie danymi uwierzytelniającymi, czy nie zastosowano środków ochronnych, takich jak szyfrowanie end-to-end, wydaje się, że MŚP popełniają kluczowe błędy w swoich praktykach bezpieczeństwa. A jeśli małe firmy pozostaną podatne na cyberzagrożenia, ostatecznie zaszkodzi to branżom i innowacjom na całym świecie, ograniczając rozwój biznesu.

Gary zauważa, że kluczową częścią odpowiedniej ochrony firmy jest zmiana nastawienia do stosowanych środków bezpieczeństwa.

„Na początku założyciele zazwyczaj zadają reaktywne pytania, takie jak »Czy tego potrzebujemy?« lub »Czy to przesada dla naszego rozmiaru?«. W miarę dojrzewania pytania zmieniają się na »Co faktycznie powstrzymałoby nas przed naruszeniem?« i »Jak bezpiecznie skalować bez spowalniania biznesu?«”

Zamiast pomijać kroki w miarę rozwoju firmy, inwestuj od początku w cyberbezpieczeństwo. W końcu, jak mówi Gary: „Najlepsi założyciele zdają sobie sprawę, że bezpieczeństwo to czynnik umożliwiający, a nie blokujący”.

Oryginalne narzędzia nie są automatycznie bezpieczne

Kiedy nadchodzi czas na wybór narzędzi, takich jak wiadomość, dysk i menadżer haseł, z których będzie korzystać Twoja firma, Twój wybór ma ogromne znaczenie. Gary ostrzega przed zakładaniem, że popularne i nowoczesne rozwiązania będą automatycznie najbezpieczniejszą opcją.

„Największym martwym punktem jest zakładanie, że bezpieczeństwo jest »domniemane«, ponieważ używają nowoczesnych narzędzi lub platform chmurowych. Założyciele często wierzą, że Microsoft 365, Google Workspace lub AWS automatycznie oznaczają bezpieczeństwo. W rzeczywistości większość naruszeń wynika z błędnej konfiguracji, słabej kontroli tożsamości, złej higieny dostępu i braku monitorowania — a nie egzotycznych technik hakerskich”.

Może to nie brzmieć pozytywnie, ale jest: znacznie trudniej przewidzieć i zapobiec wyrafinowanym technikom hakerskim niż zbudować silne praktyki zarządzania tożsamością i monitoringu wewnątrz własnej sieci. Problemy, które podkreśla Gary, można rozwiązać za pomocą następujących kroków:

Błąd ludzki to poważne zagrożenie

Nie ma znaczenia, czy Twoje narzędzia są bezpieczne, jeśli nie są używane w bezpieczny sposób. Błąd ludzki jest w rzeczywistości jednym z największych zagrożeń cybernetycznych dla Twojej firmy. Powierzchnie ataku rosną wykładniczo dzięki zawiłości nowoczesnych sieci biznesowych, wymagając od członków zespołu tworzenia dziesiątek kont z unikalnymi hasłami i potencjalnie dostępu do tych kont z ich urządzeń osobistych.

„Kolejnym dużym przeoczeniem jest niedocenianie ryzyka ludzkiego: phishing, ponowne użycie danych logowania i niezarządzane urządzenia są zazwyczaj główną bramą wejściową.

Ryzyka te można przypisać brakowi świadomości w zakresie cyberbezpieczeństwa i niejasnym oczekiwaniom co do tego, jak lub czy sieć firmowa może być dostępna za pośrednictwem urządzeń osobistych członków zespołu. Na szczęście można je łatwo rozwiązać za pomocą dwutorowego podejścia obejmującego zasady i edukację:

„Wczesne decyzje stają się trwałymi ustawieniami domyślnymi” — mówi Gary. „Modele tożsamości, lokalizacje danych, dostęp administratora i standardy urządzeń są niezwykle trudne do odkręcenia później — zwłaszcza gdy zaangażowani są klienci, inwestorzy i regulatorzy. Dług bezpieczeństwa narasta tak samo jak dług techniczny. Znacznie taniej i mniej uciążliwie jest ustawić dobre bariery ochronne wcześnie, niż dostosowywać kontrole po naruszeniu, nieudanym audycie lub odmowie ubezpieczenia cybernetycznego”.

Podstawy bezpieczeństwa są ważniejsze niż narzędzia

Narzędzia nie są jedynym czynnikiem, który firmy muszą wziąć pod uwagę, wchodząc na rynek. Twoja infrastruktura IT będzie dyktować, jak bezpiecznie członkowie zespołu mogą pracować, jak dobrze potrafisz dostrzegać zagrożenia i jak szybko możesz łagodzić problemy.

Gary wyjaśnia, jak eksperci z Power Consulting podchodzą do konfigurowania infrastruktury IT i cyberbezpieczeństwa dla startupów. „Skupiamy się na podstawach, zanim przejdziemy do błyszczących narzędzi”.

  • Skonfiguruj silne zasady zarządzania tożsamością i dostępem, w tym MFA i zasadę „najmniejszych uprawnień”, co oznacza, że ludzie powinni mieć dostęp tylko do systemów, których potrzebują.
  • Zabezpiecz swoje punkty końcowe, w tym osobiste urządzenia pracowników, od pierwszego dnia. Oprogramowanie do zarządzania urządzeniami pomoże Ci śledzić, kto loguje się do Twojej sieci i skąd.
  • Stosuj scentralizowane logowanie i monitoring, aby problemy takie jak nieautoryzowany dostęp lub naruszenia konta nie pozostały niezauważone.
  • Przygotuj się na wydarzenie z odpowiednimi narzędziami do kopii zapasowych i odzyskiwania, takimi jak niezmienne kopie zapasowe (których nie można zmienić po utworzeniu) lub ochrona poza siedzibą, gdzie krytyczne dane są wysyłane i przechowywane z dala od głównej siedziby firmy.

Budując firmę na solidnych fundamentach, ostatecznie inwestujesz w bezpieczniejszy biznes na przyszłość. Czas poświęcony na budowanie bezpiecznej infrastruktury jest wart pieniędzy, które zapiszesz, i ryzyka, którego unikniesz w dłuższej perspektywie.

Poświęć czas na odpowiednią konfigurację

Gary zaleca skupienie się na architekturze tożsamości, ponieważ jest to obszar o największym wpływie na bezpieczeństwo. Każdy członek zespołu ma cyfrową tożsamość, która pozwala mu na dostęp do danych i narzędzi potrzebnych w sieci firmowej, a dobre skonfigurowanie tego elementu robi ogromną różnicę w przyszłości.

„Słaba architektura tożsamości jest najtrudniejsza do cofnięcia — współdzielone konta, słaba adopcja MFA i zbyt wielu administratorów tworzy długoterminowe ryzyko” — wyjaśnia Gary. „Rozrost nieustrukturyzowanych danych to kolejny poważny problem; gdy poufne dane są rozproszone po dyskach osobistych, skrzynkach e-mail i niezarządzanych aplikacjach SaaS, odzyskanie kontroli jest bolesne. Wreszcie brak dokumentacji i własności na wczesnym etapie prowadzi do zamieszania i martwych punktów w miarę rozwoju zespołów”.