digital safety

10 pytań do Piotra Koniecznego

30-11-2021 | IDEA, Slider-home

10 pytań do VIP-a o bezpieczeństwie marki w sieci – Piotr Konieczny, ekspert ds. Bezpieczeństwa w internecie, redaktor naczelny portalu Niebezpiecznik.pl

 

Artur Maciorowski, Magazyn Online Marketing: Hackerzy, włamania, kradzież danych klientów,… – co jest realnym zagrożeniem dla marki online?

Piotr Konieczny, Niebezpiecznik.pl: Odpowiem po „bezpiecznikowemu” — to zależy. W zależności od profilu firmy, bardziej niż utrata danych może zaboleć przestój w produkcji albo błąd w algorytmie, który dopisze zero do przelewów wychodzących. Nie ma jednej odpowiedzi.

Samego faktu wystąpienia incydentu nie należy się obawiać. Należy się na niego przygotować, bo on prędzej czy później zdarzy się każdemu. Hackowani byli duzi i mali gracze. To zawsze przykre wydarzenie, ale niekoniecznie musi być ujmą na honorze. Wiele, jeśli nie wszystko, zależy od reakcji na incydent; szybkości wykrycia problemu, ograniczenia skutków i — tak bardzo niedocenianej jeszcze — jakości komunikacji. Z klientami, inwestorami, partnerami i dziennikarzami. Reakcja na incydent to praca zespołowa. Od pracownika biura obsługi klienta, przez zespół IT aż po PR, prawników i Zarząd.

AM: Bezpieczeństwo marki w internecie – na ile jest to temat dla e-marketera, a na ile dla działu IT czy bezpieczeństwa w firmie?

PK:Do tematu trzeba podejść holistycznie. Każdy dział w firmie ma swoje zadania do zrobienia, aby nie naruszyć bezpieczeństwa. Incydenty są różne, dlatego moim zdaniem kluczowe jest ćwiczenie reakcji, np. w ramach przeprowadzanych symulacji ataków, czyli — jak my to nazywamy — testów penetracyjnych.

W ramach kontrolowanych włamań, które realizujemy dla polskich i zagranicznych spółek często atakujemy nie tylko sieć i systemy, ale po prostu ludzi. Czy może raczej ich naiwność i brak rzetelności, jeśli chodzi o przestrzeganie procedur. W atakowanej firmie nikt poza kilkoma osobami nie wie, że dany atak to symulacja. Możemy wiec zbadać reakcję działów prawnych na list z szantażem, czy postawę rzecznika prasowego po otrzymaniu pytań od podstawionego dziennikarza, który „dowiedział się” o problemie.

Czy marketer może wykorzystać incydent do „wzrostu”? Być może. Ja chyba bym jednak nie ryzykował. Obsługa incydentu to stąpanie po cienkim lodzie. Jeden zły ruch i można się nie wydostać na powietrze. Okazji na zwiększanie zasięgów szukałbym chyba po ugaszeniu firmowego pożaru, w ramach publikacji tzw. post-mortem, czyli — wciąż tak rzadko spotykanego w Polsce — szczegółowego raportu, co było przyczyną incydentu, jak sobie z nim poradziliśmy, gdzie wystąpiły nieplanowane problemy, itp. Takie materiały moim zdaniem pokazują dojrzałość firmy i dają realną wartość innym. Umiejętność przyznania się do błędu i podzielenie się refleksjami z „branżą” to niemal gwarantowana pozytywna reakcja.

AM: Jak marketerzy realnie mogą dbać o reputację swoich brandów w sieci?

PK: Zalecam dwa kilo szczerości i pięć kilo sypania głowy popiołem, jeśli szczerości zabraknie. Internauci szybko zauważają sprzeczności w komunikacji, a nawet jeśli tych brak, będą snuć różne teorie spiskowe. Kłamstwo czy niedomówienie wyjdzie na jaw i może się zemścić.

Jeśli to możliwe, warto zawczasu zadbać o społeczność skupioną wokół swojego brandu. W ciężkich chwilach ich słowa otuchy, „szery i lajki” oraz bycie internetowym ambasadorem firmy, który pod nierzetelnymi publikacjami tłumaczy „jak jest naprawdę” to nieoceniona pomoc. Tego nie zastąpi nawet najlepsza agencja do zarządzania kryzysem.

AM: Twój ranking TOP3 zaniedbań (grzechów bezpieczeństwa) wśród marketerów to:

PK:
1. Brak szczerości w komunikacji przed incydentem
2. Brak szczerości w komunikacji w trakcie incydentu
3. Brak szczerości w komunikacji po incydencie

AM: Co to Twoim zdaniem jest bardziej bolesne dla marki – fizyczne włamanie czy nadszarpnięcie reputacji firmy?

PK: Nie jestem ekspertem od reputacji, więc ciężko mi ocenić wpływ ataku na reputację. Znam przypadki firm, które po incydencie zniknęły z rynku, ale jednak większość wciąż ma się dobrze. Spadki wyceny akcji zazwyczaj są chwilowe, potem wszystko wraca do normy. Wydaje mi się, że w 2021 każdy z nas, m.in. za sprawą RODO, jest już świadomy, że jego dane ciągle wyciekają. Niestety, przeszliśmy z tym do porządku dziennego i na niewielu nowy wyciek robi jakieś wrażenie. Dlatego uważam, że ludzie (klienci) są w stanie wiele wybaczyć i to nie atakujący może firmie zaszkodzić, a ona sama, tym jak incydent, np. wycieku danych, obsłuży.

AM: Stało się… co i w jaki sposób powinien e-marketer przedsięwziąć, gdy padł jego brand padł ofiarą włamania?

PK: Marketer? Skorzystać z pomocy ekspertów. Do ataku trzeba się przygotować zdecydowanie wcześniej, tygodnie, miesiące wcześniej. Własnie po to, aby w momencie kiedy mleko się rozleje, nie zastanawiać się co robić, tylko po prostu realizować uprzednio przygotowany plan. Trochę rad, odnośnie tego jak przygotować się na atak, czego nie można przegapić w przypadku wystąpienia incydentu (bo może skończyć się na dotkliwej karze) można znaleźć tutaj: — zarówno od strony technicznej jak i prawnej czy komunikacyjnej.

AM: Co jest wąskim gardłem w przeciętnej firmie w zakresie bezpieczeństwa w sieci?

PK: Ludzie. Zawsze. Można mieć najlepszy sprzęt, ale bez osób, które będą go doglądać, nie ma szans na odpowiedni poziom ochrony. Bezpieczeństwo to jest proces, a nie produkt. Nie da się kupić 5 firewalli, 3 IPS-ów i 7 systemów DLP i zapomnieć o sprawie. To trzeba odpowiednio rozplanować, wdrożyć, doglądać, reagować, testować i stale aktualizować. Do tego potrzeba ludzi.

AM: Coraz więcej aplikacji, systemów, logowań. Jaki jest Twój przepis na bezpieczne (i łatwe do zapamiętania) hasło?

PK: Jeśli hasło jest łatwe do zapamiętania, to to jest złe hasło. Nie powinniśmy wymyślać ani pamiętać haseł, bo jesteśmy w tym beznadziejni. Tu zawadiacko uśmiecham się do Ciebie, drogi czytelniku, który pewnie masz jakieś hasło kończące się na „!”. Polecam instalację dowolnego managera haseł, czy to darmowego (np. KeePass XC), czy wbudowanego w przeglądarkę lub system. Niech on generuje nowe hasła przy zakładaniu konta, a potem sam je wprowadza.

Ja pamiętam tylko dwa hasła. Do mojego komputera i do managera haseł. A w zasadzie to ich nie pamiętam, bo nie potrafiłbym ich wypowiedzieć — hasła pamiętają moje mięśnie palców.

AM. Czy captcha naprawdę chroni czy jest tylko przeszkodą na ścieżce zakupowej? – jak pogodzić cele sprzedażowe (wysoką konwersję i UX) z bezpieczeństwem?

PK: Chroni. Choć da się niektóre z jej implementacji ominąć, to jest to rozwiązanie które warto stosować. Przy czym ja jestem zdania, że nie cały czas.

Bezpieczeństwo, choć bliskie memu sercu, nie może zaciskać pętli na szyi biznesu, a captcha obniża konwersje. Dlatego jeśli w danej chwili nie ma ataków, to captcha powinna zniknąć. Dopiero jeśli nagle nasz BOK zaobserwuje napływ podejrzanych zamówień, można ją z powrotem włączyć na pewien czas, do ustania ataku.

Ten proces da się zautomatyzować, natomiast ważne jest, żeby w ogóle o tym zawczasu pomyśleć i być przygotowanym — a niekoniecznie stale używać captchy. To jest właśnie sprytne wykorzystanie bezpieczeństwa i równowaga pomiędzy spowalniającą biznes ochroną a zarabianiem pieniędzy.

AM: Trendy w bezpieczeństwie projektów i marek w 2021 to:

Nie znam się na trendach. Jestem bardzo niemodnym człowiekiem. Więc odpowiem machine learning na blokczejnie! Czy co tam teraz trenseterzy i influenserzy pokazują na instagramach i tiktokach. Mam wrażenie, że wszystko już było, tylko po prostu nazywało się inaczej, mniej „magicznie”.

 

Wywiad ukazał się w Magazynie Online Marketing/2021

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...
Pin It

Zobacz także

« »