Ryzyko ataku na Polskę nadal wysokie

W sumie uczestnicy światowego badania odnotowali ok. 42,8 mln naruszeń cyberbezpieczeństwa. Sytuacja w Polsce zbliżona jest do dynamiki obserwowanej w Europie, gdzie w ostatnim roku mamy do czynienia ze wzrostem na poziomie 41 proc..

Rocznie na cyberprzestępczości gospodarka światowa traci ok. 375 mld USD - 575 mld USD26,co w przeliczeniu na firmę daje straty w wysokości średnio ok. 2,7 mln USD w 2014 r. Oznacza to , że koszty ponoszone przez firmy na świecie w związku z cyberatakami wzrosły w ciągu ostatniego roku aż o 34 proc..

Tymczasem w Polsce respondenci w większości nie wiedzą jak duże straty ponieśli w związku z incydentem bezpieczeństwa.

- Tak duża rozbieżność danych pomiędzy Polską a światem wskazuje, że na naszym rynku analiza liczby i kosztów incydentów w sposób stały i systemowy nie jest jeszcze prowadzona. Trzeba także podkreślić, że zarządzanie bezpieczeństwem w cyberprzestrzeni to w dużej mierze obszar działania IT, ale jednocześnie nie jest to tylko sprawa działu IT.

Ryzyka związane z prowadzeniem biznesu w cyberprzestrzeni takie jak utrata reputacji, przerwa w sprzedaży, straty finansowe, kary od regulatora, kradzież tajemnicy handlowej - niosąca skutki dla innowacji, badań i rozwoju - to tematy ważne dla dyrektora finansowego, dyrektora sprzedaży, szefów ds. operacyjnych, służb PR czy pracowników.

Dlatego powinny znaleźć się na mapie najważniejszych ryzyk monitorowanych przez rady nadzorcze i dyrektora audytu wewnętrznego - mówi Piotr Urban, partner, lider zespołu ds. zarządzania ryzykiem w PwC. "Tymczasem niewiele organizacji w Polsce ma strategię bezpieczeństwa i jasno określone najważniejsze aktywa, które powinny podlegać ochronie. A to przecież podstawa do dyskusji, jak inwestować w bezpieczeństwo - a inwestować trzeba, poglądowo na poziomie 4-5 proc. budżetów przeznaczanych w firmach na IT."

Jak wynika z badania PwC, prawie 50 proc. członków zarządów na świecie podziela obawy związane z cyber-zagrożeniami. Jednocześnie jednak nakłady przeznaczane na bezpieczeństwo na świecie zmalały o 4 proc. w porównaniu z 2013 rokiem.

W Polsce w tegorocznym badaniu deklarowany budżet na bezpieczeństwo stanowi średnio 5,5 proc. nakładów na IT, co zbliża polskie firmy do przedsiębiorstw zagranicznych (rok temu zaledwie 2,7 proc.). Co ważne, na naszym rynku panuje przekonanie, że wydatki na bezpieczeństwo wzrosną w ciągu 12 miesięcy (zdaniem 43 proc. respondentów) lub pozostaną na tym samym poziomie (28 proc.).

To ważny sygnał, ponieważ zmniejszenie dystansu polskich firm w zakresie bezpieczeństwa będzie wymagało większych wydatków na przestrzeni najbliższych 3 lat, niż w zachodnich firmach od wielu lat wdrażających strategie w tym obszarze. Pozytywny jest także fakt, że polskie firmy nie przewidują odkładania zaplanowanych projektów z zakresu wzmacniania bezpieczeństwa.

Na świecie najwyższe wzrosty w wydatkach na bezpieczeństwo wykazuje branża ochrony zdrowia i ubezpieczeń medycznych (66 proc.), branża ropy naftowej i gazu (15 proc.) oraz usług komunalnych (9 proc.).

W tym roku sektor ochrony zdrowia i ubezpieczeń medycznych wykazał 60 proc. wzrost wykrytych incydentów, co doprowadziło do zwiększenia strat finansowych o 282 proc. w porównaniu z rokiem 2013. Branża ochrony zdrowia i ubezpieczeń medycznych musi zwiększać nakłady na inwestycje zapewniające bezpieczeństwo, przygotowując się na wprowadzenie połączonych sieciowo urządzeń do monitorowania stanu zdrowia i wzrostu ilości danych - tego, co niesie za sobą Internet Rzeczy (ang. Internet of Things).

- Obecna sieć wzajemnych powiązań w biznesie wymaga zmiany podejścia - trzeba odejść od koncentracji na zapobieganiu incydentom bezpieczeństwa i założyć, że ryzyko już się zmaterializowało. Priorytetem wówczas - oprócz zapobiegania - staje się jak najszybsze wykrycie naruszenia oraz ochrona najbardziej wartościowych aktywów i procesów kluczowych dla funkcjonowania firmy.

Potrzebne są mądre strategie bezpieczeństwa i holistyczne podejście obejmujące nie tylko technologię, ale również procesy i - przede wszystkim - ludzi - podkreśla Piotr Urban, partner, lider zespołu ds. zarządzania ryzykiem PwC.

Po raz kolejny obecni i byli pracownicy okazali się głównymi podejrzanymi o cyberprzestępstwa - polscy ankietowani wskazywali ich odpowiednio w 48 proc. i 22 proc. przypadków oraz 35 proc. i 30 proc. w globalnej ankiecie.

- Trzeba jednak pamiętać, że pracownik zazwyczaj jest wykorzystywany jedynie jako środek do przenoszenia złośliwego oprogramowania, czy obiekt ataku phishingowego - stając się w ten sposób narzędziem w ręku rzeczywistych sprawców. Stąd tak ważne jest zwiększanie świadomości pracowników, współpraca z partnerami biznesowymi w zakresie bezpieczeństwa oraz podnoszenie zdolności firmy do wykrywania incydentów oraz szybkość reakcji - podkreśla Rafał Jaczyński, dyrektor w zespole bezpieczeństwa biznesu PwC.

- Bezpieczeństwo informacji polega dziś przede wszystkim na współpracy ludzi, procesów i technologii - a sztuką jest skierowanie inwestycji we właściwe miejsca i dobranie właściwych proporcji pomiędzy prewencją, detekcją zagrożeń i reakcją na nie.

Koncentracja na czynniku ludzkim i bezpieczeństwie środowiska biurowego może w znaczący sposób wpłynąć na poprawę bezpieczeństwa.

Wśród osób wchodzących w skład sieci powiązań firmy, na drugim miejscu pod względem generowania incydentów bezpieczeństwa w Polsce znaleźli się partnerzy biznesowi wskazywani przez 22 proc. respondentów, dostawcy usług i konsultanci - 17 proc. oraz klienci wskazani przez 9 proc. badanych.

Z podmiotów zewnętrznych to hakerzy są najczęściej wskazywanym źródłem incydentów bezpieczeństwa - ok. 35 proc. w Polsce (24 proc. na świecie), podmioty i organizacje zagraniczne są wymieniane przez ok. 17 proc. badanych (9 proc. na świecie), podczas gdy konkurencja jest źródłem w 9 proc. (na świecie 24 proc.) przypadków.

Co istotne, w polskim badaniu prawie 40 proc. firm wskazuje, iż nie wie kto był sprawcą cyberataku, podczas gdy na świecie trudności z identyfikacją źródła naruszeń ma jedynie 18 proc. respondentów.

Mimo rosnącej skali naruszeń, ok. 75 proc. ankietowanych na rynku amerykańskim przyznało, że rezygnuje z zaangażowania organów ścigania i możliwości wniesienia oskarżeń w przypadku przestępstw popełnianych przez osoby z wewnątrz firmy.

- Kluczowe jest wcześniejsze przygotowanie strategii na wypadek wystąpienia cyberprzestępstwa. Właściwa reakcja powinna obejmować zaangażowanie nie tylko ekspertów technicznych, ale również prawników, specjalistów PR i osób doświadczonych we współpracy z organami ścigania. W sytuacji kryzysu wywołanego włamaniem do systemów, kiedy istotna jest zarówno trafność podejmowanych decyzji, jak i ich czas, brak strategii działania zwiększa ryzyko utraty reputacji oraz informacji istotnych do przeprowadzenia pełnego dochodzenia - stwierdza Rafał Jaczyński.

Jak wynika z badania globalnego, tylko 50 proc. respondentów przeprowadza ocenę ryzyka swoich dostawców (spadek z 53 proc. w 2013 roku), a 50 proc. potwierdza przeprowadzenie inwentaryzacji wszystkich stron trzecich, które mają styczność z danymi osobowymi pracowników i klientów.

Nieco ponad połowa (54 proc.) respondentów ma oficjalną politykę, która wymaga od stron trzecich przestrzegania swoich zasad poufności, co stanowi spadek wobec 58 proc. w 2013 roku.

- Jednym z kluczowych aspektów ochrony jest nadzór nad usługodawcami i partnerami biznesowymi, gdyż zaufani dostawcy mają często dostęp do sieci wewnętrznej firmy. Przedsiębiorstwo ma w tym przypadku do dyspozycji szereg narzędzi np. dobrze skonstruowaną umowę prawną, stały monitoring i kontrolę do jakich zasobów ma dostęp strona trzecia, przy czym monitoring powinien obejmować zarówno własne systemy, jak i cykliczne audyty w lokalizacjach dostawcy.

Ważnym elementem jest także szkolenie i uświadamianie pracowników, ponieważ często to ludzie są najsłabszym ogniwem w łańcuchu bezpieczeństwa. Skuteczne uświadamianie kwestii bezpieczeństwa wymaga również zaangażowania na wszystkich szczeblach organizacji - wyjaśnia Patryk Gęborys, menedżer w zespole bezpieczeństwa biznesu PwC Polska.

Tymczasem tylko 49 proc. respondentów twierdzi, że w ich firmie jest zespół międzydziałowy, który regularnie zbiera się, by koordynować i komunikować się w sprawach dotyczących bezpieczeństwa informacji.

- Spółki, które mają programy budowania świadomości w obszarze bezpieczeństwa, zgłaszają znacznie niższe straty finansowe z tytułu incydentów w sieci. Inwestowanie środków w kwalifikacje ludzi zmniejsza bowiem ryzyko oraz pozwala na szybkie reagowanie na incydenty i ograniczanie ich skutków -wyjaśnia Patryk Gęborys. - Skuteczne zabezpieczenia wymagają również wiedzy na temat obecnych i przyszłych wrogów, łącznie z motywami, zasobami i metodami ataku, a do tego potrzebna jest analiza i monitorowanie zagrożeń oraz współpraca z innymi firmami, organami porządku publicznego i innymi podmiotami.

Cyberprzestępstwa, które często przyciągają najwięcej uwagi - infiltracja przez terrorystów, przestępczość zorganizowaną i konkurencję - są najrzadsze. Według badania globalnego ok. 10 proc. naruszeń bezpieczeństwa jest skutkiem terroryzmu, podczas gdy polscy respondenci wskazują na takie przyczyny w ok. 4 proc. przypadków. Zdaniem ankietowanych przestępczość zorganizowana jest źródłem 4 proc. incydentów w Polsce i 15 proc. na świecie (w zeszłym roku było to 10 proc. w Polsce i 12 proc. na świecie).

W podziale na regiony liczba incydentów spowodowanych przez przestępczość zorganizowaną była zdaniem badanych szczególnie wysoka w Malezji (35 proc.), Indiach (22 proc.), i Brazylii (18 proc.).

Państwa prowadzące agresywną politykę w cyberprzestrzeni często celują w głównych dostawców infrastruktury w celu kradzieży własności intelektualnej i tajemnic handlowych, co jest środkiem do uzyskania przewagi politycznej i gospodarczej.

W związku z tym nie jest niespodzianką, że patrząc na wyniki globalne incydenty ze strony obcych państw są najczęstsze w takich sektorach jak sektor ropy naftowej i gazu (11 proc.), lotniczy i technologii kosmicznych, obronny (9 proc.), technologiczny (9 proc.), a także telekomunikacyjny (8 proc.).

W tym roku 60 proc. respondentów z Polski (54 proc. globalnie) twierdzi, że wdrożyło strategię bezpieczeństwa dla urządzeń przenośnych. Z uwagi na ryzyko związane z mobilnością nadal nie jest to wiele, ale i tak więcej niż 44 proc., co było wynikiem za 2013 rok.

Zarządzanie urządzeniami przenośnymi (Mobile Device Management - MDM) i zarządzanie aplikacjami przenośnymi (Mobile Application Management - MAM) to rozwiązania niezbędne do zabezpieczenia floty urządzeń danej firmy.

W tym roku 59 proc. respondentów z Polski twierdzi, że stosuje rozwiązania MDM/ MAM, co jest poprawą w stosunku do 48 proc. w poprzednim roku. Zaawansowanie w dziedzinie bezpieczeństwa urządzeń mobilnych jest wyższe w większych firmach, które generalnie mają bardziej rozwinięte systemy bezpieczeństwa. Z punktu widzenia sektorów gospodarki, największe postępy w tej dziedzinie odnotowały firmy z sektora finansowego, telekomunikacyjne i produktów przemysłowych.

Informacje o raporcie:

_{Raport "Zarządzanie ryzykiem w cyberprzestrzeni" powstał na bazie badania globalnego "The Global State of Information Security® 2015, przeprowadzonego przez firmę PwC. Wyniki omówione w globalnym raporcie są oparte na odpowiedziach udzielonych przez ponad 9700 członków kadry kierowniczej, wśród których byli CEO, CFO, CISO, CIO, CSO, wiceprezesi i dyrektorzy ds. IT i bezpieczeństwa informatycznego ze 154 krajów.}

Globalne badanie zostało uzupełnione o część polską, w której udział wzięło ponad 70 firm i organizacji działających w Polsce. Głównie reprezentowane wśród polskich respondentów branże to sektor finansowy (bankowość i ubezpieczenia), telekomunikacyjny, przemysłu, usług doradczych oraz wytwarzania oprogramowania.