W ostatnim roku liczba cyberataków notowanych na świecie przez ankietowane przez PwC firmy wzrosła o 48% czyli do ponad 117 tys. ataków dziennie – wynika z najnowszego raportu PwC pt. „Zarządzanie ryzykiem w cyberprzestrzeni”. W sumie uczestnicy światowego badania odnotowali ok. 42,8 mln naruszeń cyberbezpieczeństwa. Sytuacja w Polsce zbliżona jest do dynamiki obserwowanej w Europie, gdzie w ostatnim roku mamy do czynienia ze wzrostem na poziomie 41%.
Rocznie na cyberprzestępczości gospodarka światowa traci ok. 375 mld USD – 575 mld USD26,co w przeliczeniu na firmę daje straty w wysokości średnio ok. 2,7 mln USD w 2014 r. Oznacza to , że koszty ponoszone przez firmy na świecie w związku z cyberatakami wzrosły w ciągu ostatniego roku aż o 34%.
Tymczasem w Polsce respondenci w większości nie wiedzą jak duże straty ponieśli w związku z incydentem bezpieczeństwa.
„Tak duża rozbieżność danych pomiędzy Polską a światem wskazuje, że na naszym rynku analiza liczby i kosztów incydentów w sposób stały i systemowy nie jest jeszcze prowadzona. Trzeba także podkreślić, że zarządzanie bezpieczeństwem w cyberprzestrzeni to w dużej mierze obszar działania IT, ale jednocześnie nie jest to tylko sprawa działu IT. Ryzyka związane z prowadzeniem biznesu w cyberprzestrzeni takie jak utrata reputacji, przerwa w sprzedaży, straty finansowe, kary od regulatora, kradzież tajemnicy handlowej – niosąca skutki dla innowacji, badań i rozwoju – to tematy ważne dla dyrektora finansowego, dyrektora sprzedaży, szefów ds. operacyjnych, służb PR czy pracowników. Dlatego powinny znaleźć się na mapie najważniejszych ryzyk monitorowanych przez rady nadzorcze i dyrektora audytu wewnętrznego” – mówi Piotr Urban, partner, lider zespołu ds. zarządzania ryzykiem w PwC. „Tymczasem niewiele organizacji w Polsce ma strategię bezpieczeństwa i jasno określone najważniejsze aktywa, które powinny podlegać ochronie. A to przecież podstawa do dyskusji, jak inwestować w bezpieczeństwo – a inwestować trzeba, poglądowo na poziomie 4-5% budżetów przeznaczanych w firmach na IT.”
Nakłady na bezpieczeństwo
Jak wynika z badania PwC, prawie 50% członków zarządów na świecie podziela obawy związane z cyber-zagrożeniami38. Jednocześnie jednak nakłady przeznaczane na bezpieczeństwo na świecie zmalały o 4% w porównaniu z 2013 rokiem.
W Polsce w tegorocznym badaniu deklarowany budżet na bezpieczeństwo stanowi średnio 5,5% nakładów na IT, co zbliża polskie firmy do przedsiębiorstw zagranicznych (rok temu zaledwie 2,7%). Co ważne, na naszym rynku panuje przekonanie, że wydatki na bezpieczeństwo wzrosną w ciągu 12 miesięcy (zdaniem 43% respondentów) lub pozostaną na tym samym poziomie (28%). To ważny sygnał, ponieważ zmniejszenie dystansu polskich firm w zakresie bezpieczeństwa będzie wymagało większych wydatków na przestrzeni najbliższych 3 lat, niż w zachodnich firmach od wielu lat wdrażających strategie w tym obszarze. Pozytywny jest także fakt, że polskie firmy nie przewidują odkładania zaplanowanych projektów z zakresu wzmacniania bezpieczeństwa.
Na świecie najwyższe wzrosty w wydatkach na bezpieczeństwo wykazuje branża ochrony zdrowia i ubezpieczeń medycznych (66%), branża ropy naftowej i gazu (15%) oraz usług komunalnych (9%). W tym roku sektor ochrony zdrowia i ubezpieczeń medycznych wykazał 60% wzrost wykrytych incydentów, co doprowadziło do zwiększenia strat finansowych o 282% w porównaniu z rokiem 2013. Branża ochrony zdrowia i ubezpieczeń medycznych musi zwiększać nakłady na inwestycje zapewniające bezpieczeństwo, przygotowując się na wprowadzenie połączonych sieciowo urządzeń do monitorowania stanu zdrowia i wzrostu ilości danych – tego, co niesie za sobą Internet Rzeczy (ang. Internet of Things).
„Obecna sieć wzajemnych powiązań w biznesie wymaga zmiany podejścia – trzeba odejść od koncentracji na zapobieganiu incydentom bezpieczeństwa i założyć, że ryzyko już się zmaterializowało. Priorytetem wówczas – oprócz zapobiegania – staje się jak najszybsze wykrycie naruszenia oraz ochrona najbardziej wartościowych aktywów i procesów kluczowych dla funkcjonowania firmy. Potrzebne są mądre strategie bezpieczeństwa i holistyczne podejście obejmujące nie tylko technologię, ale również procesy i – przede wszystkim – ludzi” – podkreśla Piotr Urban, partner, lider zespołu ds. zarządzania ryzykiem PwC.
Źródła naruszeń w Polsce i na świecie
Po raz kolejny obecni i byli pracownicy okazali się głównymi podejrzanymi o cyberprzestępstwa – polscy ankietowani wskazywali ich odpowiednio w 48% i 22% przypadków oraz 35% i 30% w globalnej ankiecie.
„Trzeba jednak pamiętać, że pracownik zazwyczaj jest wykorzystywany jedynie jako środek do przenoszenia złośliwego oprogramowania, czy obiekt ataku phishingowego – stając się w ten sposób narzędziem w ręku rzeczywistych sprawców. Stąd tak ważne jest zwiększanie świadomości pracowników, współpraca z partnerami biznesowymi w zakresie bezpieczeństwa oraz podnoszenie zdolności firmy do wykrywania incydentów oraz szybkość reakcji” – podkreśla Rafał Jaczyński, dyrektor w zespole bezpieczeństwa biznesu PwC. „Bezpieczeństwo informacji polega dziś przede wszystkim na współpracy ludzi, procesów i technologii – a sztuką jest skierowanie inwestycji we właściwe miejsca i dobranie właściwych proporcji pomiędzy prewencją, detekcją zagrożeń i reakcją na nie. Koncentracja na czynniku ludzkim i bezpieczeństwie środowiska biurowego może w znaczący sposób wpłynąć na poprawę bezpieczeństwa”.
Wśród osób wchodzących w skład sieci powiązań firmy, na drugim miejscu pod względem generowania incydentów bezpieczeństwa w Polsce znaleźli się partnerzy biznesowi wskazywani przez 22% respondentów, dostawcy usług i konsultanci – 17% oraz klienci wskazani przez 9% badanych.
Z podmiotów zewnętrznych to hakerzy są najczęściej wskazywanym źródłem incydentów bezpieczeństwa – ok. 35% w Polsce (24% na świecie), podmioty i organizacje zagraniczne są wymieniane przez ok. 17% badanych (9% na świecie), podczas gdy konkurencja jest źródłem w 9% (na świecie 24%) przypadków.
Co istotne, w polskim badaniu prawie 40% firm wskazuje, iż nie wie kto był sprawcą cyberataku, podczas gdy na świecie trudności z identyfikacją źródła naruszeń ma jedynie 18% respondentów.
Mimo rosnącej skali naruszeń, ok. 75% ankietowanych na rynku amerykańskim przyznało, że rezygnuje z zaangażowania organów ścigania i możliwości wniesienia oskarżeń w przypadku przestępstw popełnianych przez osoby z wewnątrz firmy. ” Kluczowe jest wcześniejsze przygotowanie strategii na wypadek wystąpienia cyberprzestępstwa. Właściwa reakcja powinna obejmować zaangażowanie nie tylko ekspertów technicznych, ale również prawników, specjalistów PR i osób doświadczonych we współpracy z organami ścigania. W sytuacji kryzysu wywołanego włamaniem do systemów, kiedy istotna jest zarówno trafność podejmowanych decyzji, jak i ich czas, brak strategii działania zwiększa ryzyko utraty reputacji oraz informacji istotnych do przeprowadzenia pełnego dochodzenia” – stwierdza Rafał Jaczyński.
Zwiększenie bezpieczeństwa
Jak wynika z badania globalnego, tylko 50% respondentów przeprowadza ocenę ryzyka swoich dostawców (spadek z 53% w 2013 roku), a 50% potwierdza przeprowadzenie inwentaryzacji wszystkich stron trzecich, które mają styczność z danymi osobowymi pracowników i klientów.
Nieco ponad połowa (54%) respondentów ma oficjalną politykę, która wymaga od stron trzecich przestrzegania swoich zasad poufności, co stanowi spadek wobec 58% w 2013 roku.
„Jednym z kluczowych aspektów ochrony jest nadzór nad usługodawcami i partnerami biznesowymi, gdyż zaufani dostawcy mają często dostęp do sieci wewnętrznej firmy.
Przedsiębiorstwo ma w tym przypadku do dyspozycji szereg narzędzi np. dobrze skonstruowaną umowę prawną, stały monitoring i kontrolę do jakich zasobów ma dostęp strona trzecia, przy czym monitoring powinien obejmować zarówno własne systemy, jak i cykliczne audyty w lokalizacjach dostawcy. Ważnym elementem jest także szkolenie i uświadamianie pracowników, ponieważ często to ludzie są najsłabszym ogniwem w łańcuchu bezpieczeństwa. Skuteczne uświadamianie kwestii bezpieczeństwa wymaga również zaangażowania na wszystkich szczeblach organizacji” – wyjaśnia Patryk Gęborys, menedżer w zespole bezpieczeństwa biznesu PwC Polska.
Tymczasem tylko 49% respondentów twierdzi, że w ich firmie jest zespół międzydziałowy, który regularnie zbiera się, by koordynować i komunikować się w sprawach dotyczących bezpieczeństwa informacji.
„Spółki, które mają programy budowania świadomości w obszarze bezpieczeństwa, zgłaszają znacznie niższe straty finansowe z tytułu incydentów w sieci. Inwestowanie środków w kwalifikacje ludzi zmniejsza bowiem ryzyko oraz pozwala na szybkie reagowanie na incydenty i ograniczanie ich skutków” -wyjaśnia Patryk Gęborys. „Skuteczne zabezpieczenia wymagają również wiedzy na temat obecnych i przyszłych wrogów, łącznie z motywami, zasobami i metodami ataku, a do tego potrzebna jest analiza i monitorowanie zagrożeń oraz współpraca z innymi firmami, organami porządku publicznego i innymi podmiotami.”
Terroryzm i przestępczość zorganizowana
Cyberprzestępstwa, które często przyciągają najwięcej uwagi – infiltracja przez terrorystów, przestępczość zorganizowaną i konkurencję – są najrzadsze. Według badania globalnego ok. 10% naruszeń bezpieczeństwa jest skutkiem terroryzmu, podczas gdy polscy respondenci wskazują na takie przyczyny w ok. 4% przypadków. Zdaniem ankietowanych przestępczość zorganizowana jest źródłem 4% incydentów w Polsce i 15% na świecie (w zeszłym roku było to 10% w Polsce i 12% na świecie). W podziale na regiony liczba incydentów spowodowanych przez przestępczość zorganizowaną była zdaniem badanych szczególnie wysoka w Malezji (35%), Indiach (22%), i Brazylii (18%).
Państwa prowadzące agresywną politykę w cyberprzestrzeni często celują w głównych dostawców infrastruktury w celu kradzieży własności intelektualnej i tajemnic handlowych, co jest środkiem do uzyskania przewagi politycznej i gospodarczej. W związku z tym nie jest niespodzianką, że patrząc na wyniki globalne incydenty ze strony obcych państw są najczęstsze w takich sektorach jak sektor ropy naftowej i gazu (11%), lotniczy i technologii kosmicznych, obronny (9%), technologiczny (9%), a także telekomunikacyjny (8%).
Urządzenia mobilne
W tym roku 60% respondentów z Polski (54% globalnie) twierdzi, że wdrożyło strategię bezpieczeństwa dla urządzeń przenośnych. Z uwagi na ryzyko związane z mobilnością nadal nie jest to wiele, ale i tak więcej niż 44%, co było wynikiem za 2013 rok. Zarządzanie urządzeniami przenośnymi (Mobile Device Management – MDM) i zarządzanie aplikacjami przenośnymi (Mobile Application Management – MAM) to rozwiązania niezbędne do zabezpieczenia floty urządzeń danej firmy. W tym roku 59% respondentów z Polski twierdzi, że stosuje rozwiązania MDM/ MAM, co jest poprawą w stosunku do 48% w poprzednim roku. Zaawansowanie w dziedzinie bezpieczeństwa urządzeń mobilnych jest wyższe w większych firmach, które generalnie mają bardziej rozwinięte systemy bezpieczeństwa. Z punktu widzenia sektorów gospodarki, największe postępy w tej dziedzinie odnotowały firmy z sektora finansowego, telekomunikacyjne i produktów przemysłowych.
Informacje o raporcie:
Raport „Zarządzanie ryzykiem w cyberprzestrzeni” powstał na bazie badania globalnego „The Global State of Information Security 2015, przeprowadzonego przez firmę PwC. Wyniki omówione w globalnym raporcie są oparte na odpowiedziach udzielonych przez ponad 9700 członków kadry kierowniczej, wśród których byli CEO, CFO, CISO, CIO, CSO, wiceprezesi i dyrektorzy ds. IT i bezpieczeństwa informatycznego ze 154 krajów. Globalne badanie zostało uzupełnione o część polską, w której udział wzięło ponad 70 firm i organizacji działających w Polsce. Głównie reprezentowane wśród polskich respondentów branże to sektor finansowy (bankowość i ubezpieczenia), telekomunikacyjny, przemysłu, usług doradczych oraz wytwarzania oprogramowania.
PwC
Wojciech Boczoń