Wyzwania związane z cyberbezpieczeństwem w branży MICE

W dobie szerokiego dostępu do Internetu nie jest niczym dziwnym, że organizatorzy wydarzeń korzystają z dostępnych im rozwiązań, w szczególności do prowadzenia zapisów online na konkretne eventy lub realizowania ich w formie hybrydowej lub całkowicie zdalnej. Taka forma działania jest narażona m.in. na ataki cybernetyczne, które mogą doprowadzić do zakłócenia przebiegu samego zdarzenia lub wycieku danych osobowych uczestników. W artykule omówię wyzwania, przed którymi na co dzień stają organizatorzy wydarzeń, skupiając się na formach cyberataku, takich jak phishing czy ataki DDoS.

Zagrożenia cybernetyczne

Duże zainteresowanie danym wydarzeniem jest oczywiście cenne dla każdego organizatora, dlatego płynne przeprowadzenie całego eventu wpływa na komfort nie tylko podmiotu odpowiedzialnego, ale również na odczucia samych uczestników. Istnieje jednak możliwość wygenerowania „nadmiernego zainteresowania” poprzez ataki typu DDoS (ang. distributed denial of service). W skrócie, polegają one na przeciążeniu serwerów, co w konsekwencji może doprowadzić do niedostępności konkretnych usług, np. możliwości zakupu biletów czy zakłócenia wydarzeń transmitowanych na żywo.

Innym przykładem cyberzagrożenia jest phishing. Cyberprzestępcy podszywają się pod konkretny podmiot m.in. przez wysyłanie wiadomości e-mail z adresów „pochodzących” z domeny konkretnego podmiotu, SMS czy tworzenie stron internetowych, które mogą wywołać u użytkowników mylne wrażenie, że znajdują się oni np. na stronie dedykowanej zapisom na konkretne wydarzenie. Skutkiem tego działania jest uzyskanie dostępu do danych osobowych konkretnych osób przez podmioty do tego nieupoważnione, a często nawet korzyści finansowe, ponieważ płatność za dany event może trafić do przestępcy. Niczego nieświadoma osoba ostatecznie może być zaskoczona, że nie ma dostępu do wydarzenia, a ostatecznie może mieć to przełożenie na reputację podmiotu odpowiedzialnego za konkretny event, ponieważ zanim ta sytuacja zostanie wykryta i zostaną podjęte środki minimalizujące szkody, może minąć znaczny upływ czasu. Phishing może też stanowić zagrożenie w relacjach wewnętrznych organizatorów, ponieważ cyberprzestępca poprzez podszywanie się pod konkretnego pracownika, może uzyskać dostęp do informacji dla niego nieprzeznaczonych lub wprowadzić niebezpieczne oprogramowanie.

Oba wymienione wyżej zagrożenia mogą skutkować powstaniem realnych kosztów finansowych po stronie organizatorów, ponieważ po pierwsze mogą one uniemożliwić zainteresowanym rejestrację lub zakup biletów, a po drugie organizatorzy mogą być zmuszeni przeznaczyć środki na naprawę systemów informatycznych. Obok powyższych zagrożeń, cyberataki mogą również przyczynić się do utraty zaufania wobec organizatorów imprez.

Jak reagować?

Przede wszystkim, organizatorzy wydarzeń powinni wprowadzić wewnętrzny regulamin, w którym zostanie wskazane, kto z pracowników lub współpracowników ma dostęp do konkretnych informacji oraz zostaną opisane zasady reagowania na incydenty bezpieczeństwa, przez które należy rozumieć m.in. cyberataki. Ponadto, bardzo ważne jest prowadzenie szkoleń dla pracowników, dzięki którym będą mogli oni odświeżyć sobie treść przyjętych procedur, nauczyć się rozpoznać cyberatak (np. phishing) czy pozyskać wiedzę na temat bezpiecznego korzystania z Internetu.

Istotnym elementem jest również wprowadzenie odpowiednich środków technicznych, takich jak firewall, szyfrowanie danych czy wykonywanie kopii zapasowych. Bardzo ważne jest systematyczne aktualizowanie oprogramowania w porozumieniu z informatykami, inaczej może dojść do sytuacji, jaka miała miejsce we wrześniu bieżącego roku, kiedy doszło do awarii systemu operacyjnego Microsoft Windows na skutek błędu w aktualizacji oprogramowania firmy antywirusowej.

Ważnym działaniem z perspektywy uczestników może być poinformowanie ich o zaistniałym zdarzeniu i podejmowanych środkach ochrony. Powinno się to jednak odbyć po uprzednim zdiagnozowaniu problemu. Pozwoli to na zminimalizowanie negatywnych skutków dla wizerunku podmiotu odpowiedzialnego za dany event.

Poza powyższymi środkami typowo organizacyjnymi, organizatorzy mogą podjąć typowo prawne działania, takie jak przewidzenie w regulaminach wydarzeń czy umowach z prowadzącymi, wystawcami itp. mechanizmów na wypadek cyberataku, wskutek którego umowa może nie zostać zrealizowana. Ponadto, organizatorzy wydarzeń mogą wejść na ścieżkę karną, ponieważ odpowiedzialność zarówno za phishing, jak i ataki DDoS została uregulowana kolejno w art. 287 § 1 oraz art. 268 § 1 – 4 ustawy z 6 czerwca 1997 – Kodeks karny.

Podsumowanie

Cyberataki mogą być realnym problemem dla firm z branży MICE. Mogą one nie tylko zakłócić przebieg wydarzeń czy wiązać się z zagrożeniem dla danych osobowych pracowników i uczestników wydarzeń, ale nieść również ryzyko kosztów finansowych. Dlatego tak ważne jest wprowadzenie wewnętrznych rozwiązań, które pozwolą wyprzedzić cyberprzestępców, a na wypadek incydentu – szybko reagować.