Problem wielu firm. Nieświadomość nie zwalnia z odpowiedzialności

Dlaczego dla firm, głównie mikro- i małych, zabezpieczenie swojej obecności w sieci, to wciąż wyzwanie i niemały problem? Z jednej strony to sprawy czysto techniczne, jak brak zasobów (odpowiednich kadr, kapitału na niezbędne inwestycje, technologii), niepełna świadomość odnośnie do ryzyka (głównie wśród mikro, małych i średnich przedsiębiorstw), brak praktyki w obszarze budowania zabezpieczeń adekwatnych do ocenianych zagrożeń. Z drugiej - nie mniej ważne - są strach i wstyd przed długotrwałymi negatywnymi skutkami w obszarze wizerunku i rynkowej reputacji.

Cyberataki często to nie tylko dotkliwe straty finansowe dla firmy, spowodowane przestojami w działalności lub zniszczeniem infrastruktury. To także ryzyko pozwów ze strony klientów, których prywatność została naruszona, oraz odszkodowania i kary nałożone przez nadzorcę bądź powstałe w wyniku wyroku sądu ze względu na zaniedbanie w obszarze ochrony danych osobowych.

A to oznacza, że lepiej jest zabezpieczać odpowiednio swoją obecność w sieci, niż później minimalizować skutki ataku. Tym bardziej, że incydenty w cyberprzestrzeni to zjawisko ciągłe.

Cyberatak może napsuć krwi niejednemu przedsiębiorcy. W 2017 roku 82 proc. firm w Polsce odnotowało przynajmniej jeden cyberincydent (za KPMG, Barometr cyberbezpieczeństwa. Cyberatak zjawiskiem powszechnym).

Uwagę na to zjawisko zwracają także autorzy raportu "Cyberbezpieczeństwo polskiego biznesu 2017", przygotowanego przez firmę Exatel, którzy piszą, że w co trzeciej firmie, która rejestruje pojawiające się incydenty bezpieczeństwa, miesięcznie pojawia się maksymalnie jeden przypadek naruszenia bezpieczeństwa.

W 15 proc. firm to już średnio dwa-trzy incydenty, a w prawie co czwartej powyżej trzech. Co ważne, wiele firm nie umiało określić, ile razy średnio każdego miesiąca odnotowuje próby ataku. Blisko co czwarta firma, która wzięła udział we wspomnianym badaniu KPMG przyznała, że w 2017 roku zarejestrowała 10 lub więcej incydentów bezpieczeństwa. Firmy zauważają rosnącą skalę cyberzagrożeń ponad 1/3 przedsiębiorstw odnotowało w zeszłym roku wzrost liczby cyberataków.

- Zabezpieczenie firmy przed cyberatakiem czy też odnotowanie cyberataku można porównać np. do systemu monitoringu miejskiego - mówi Marciń Kobyliński, kierownik I i II linii Security Operations Center Exatel - Jeśli nie mamy kamer rozmieszczonych na skrzyżowaniach i przystankach, to informację o tym że dzieje się coś złego lub podejrzanego otrzymujemy po fakcie, z dużym opóźnieniem, lub w ogóle nie dostaniemy takiej informacji. W cyberświecie ważne jest więc śledzenie zjawisk w czasie rzeczywistym - tak, aby można im było na bieżąco przeciwdziałać i zareagować. Do tego służą wyspecjalizowane działy takie jak Security Operations Center (w skrócie SOC). Lecz nawet bardzo duże firmy nie zawsze mogą sobą pozwolić na tworzenie własnych zespołów tego typu. Tym bardziej średnie i mniejsze firmy siłą rzeczy są zorientowane na zakupienie wyspecjalizowanej usługi która zapewni im taką (choćby częściową) funkcjonalność - np. w postaci usługi SOC Starter - tłumaczy Kobyliński.

Dane te tworzą obraz rodzimego rynku, ale trzeba pamiętać, że wciąż wiele firm w ogóle nie zbiera tego typu informacji.

W cyberświecie nieświadomość nie zwalnia od odpowiedzialności, np. w postaci procesów sądowych czy długotrwałej utraty reputacji. Podbnie jak w medycynie, taniej jest po prostu zapobiegać niż leczyć - dodaje ekspert Exatela.

Ataki, które szybko osiągnęły skalę globalną jak WannaCry, NonPetya czy BadRabbit (wszystkie w 2017 r.) pokazują, że zagrożenie jest realne i - co ważniejsze - może dotknąć dowolną firmę, która jest podłączona do internetu. W 2017 r. praktycznie tak samo często ataki dotknęły energetykę, sektor zdrowia, handel, jak i branżę produkcyjną (za statista.com). Chociaż w bieżącym roku podobnej skali globalnych ataków świat nie doświadczył, to - o czym warto pamiętać - nie oznacza, że aktywność cyberprzestępców w sieci zamarła.

Wygląda to jeszcze gorzej, jeśli spojrzy się na nią z perspektywy ponadnarodowej. Skala ataków w ujęciu globalnym jest ogromna. W raporcie Economic Impact of Cybercrime-No Slowing Down autorzy podają, że w 2017 r. strata biznesu wywołana atakami cyberprzestępców sięga od 445 do 608 mld dol., co stanowi odpowiednio 0,59 do 0,80 proc. globalnego PKB (75,8 bln dol.). Skąd tak duża rozbieżność? Trudno szacować dokładne dane w sytuacji, gdy część firm woli nie informować o incydentach. Tym niemniej koszty braku odpowiedniego zabezpieczenia są ogromne.

Czy firma, która padła ofiarą cyberataku, np.: jej strona została unieruchomiona na kilka dni, a dane klientów wyciekły lub zostały zablokowane - powinna informować o tym natychmiast szeroką opinię publiczną, szukać pomocy na rynku, u specjalistów, by minimalizować straty? Czy do informacji publicznej powinien trafić krótki komunikat: padliśmy ofiarą ataku, dane wrażliwe klientów przepadły, dane płatnicze zostały przechwycone...?

Wydaje się, że taka praktyka jest wskazana, gdyż pozwala szybko ograniczyć skalę ataku i przeciwdziałać kolejnym. Daje też możliwość podjęcia odpowiednich kroków ze strony klientów, którzy z portalu, który padł ofiarą cyberataku, korzystali.

Trzeba jednak wiedzieć, że dla firm cyberatak to nie tylko problem, z którym muszą się zmierzyć od razu. Konsekwencje mogą ciągnąć się jeszcze długo, a niekiedy doprowadzić do całkowitej utraty wiarygodności w oczach klientów. Utracone zaufanie trudno odbudować.

Na pozafinansowe skutki cyberataków (tj. niezwiązane bezpośrednio z stratami finansowymi, jak np. kradzież pieniędzy, zablokowanie danych czy przestój w produkcji), wskazuje firma Deloitte, która wymienia ukryte koszty cyberataku, tj. dewaluacja marki, utrata własności intelektualnej, utrata przychodów w długim terminie w wyniku pogorszenia się relacji z klientami. To także straty reputacyjne, a w efekcie odejście klientów i partnerów biznesowych (więcej: Ukryte skutki cyberataków: analiza skutków z perspektywy firmy).

- Badania PwC pokazują, że konsumenci są coraz bardziej świadomi zagrożeń w cyberprzestrzeni. Aby zdobyć ich zaufanie, należy skrupulatnie i proaktywnie chronić ich dane, a w procesie komunikacji i korzystania ze zgromadzonych informacji - szanować ich prywatność - mówi Patryk Gęborys, dyrektor w Zespole Bezpieczeństwa Biznesu PwC Polska - Właściwe przygotowanie na incydent związany z cyberbezpieceństwem staje się jedną z kluczowych kwestii, szczególnie w świetle nowych regulacji związanych z ochroną danych osobowych. Monitorowanie bezpieczeństwa, procedury reakcji, a także proaktywne sprawdzanie swojej firmy poprzez symulowanie ataków hakerskich i wyciąganie z nich wniosków, są kluczowymi elementami obrony w cyberprzestrzeni - dodaje Gęborys.

Dlaczego więc wciąż tak wiele firm w Polsce nie myśli w ogóle o odpowiednich systemach bezpieczeństwa? "Najczęstszą przyczyną jest zbyt nisko oszacowany budżet i brak odpowiednich rozwiązań" - piszą eksperci Exatela w raporcie. Do tego dodać należy brak kompetencji i niezbędnej technologii.

Widoczna jest jednak tendencja na rynku w obszarze wzrostu wydatków na cyberbezpieczeństwo. Według prognoz przeprowadzonych przez firmę Gartner wydatki na zabezpieczenia cyfrowe wzrosną o 12,4 proc. r/r i osiągną wartość nawet 114 mld dol. W 2019 r. ma to być już 124 mld dol.

wd