Kompleksowe podejście źródłem skutecznego bezpieczeństwa

 

Cyfrowa transformacja wystawia na próbę zaufanie w cyfrowym świecie. Skuteczna ochrona systemów IT, zgromadzonych danych i informacji jest dziś kluczowym elementem dla stabilnego funkcjonowania firmy. 61% prezesów firm na świecie wskazało cyberzagrożenia, jako jedno z największych obszarów ryzyka dla ich biznesu” – mówi Piotr Urban, partner w PwC, lider zespołu zarządzania ryzykiem.

Jak wynika z badania przeprowadzonego na potrzeby raportu PwC, w ostatnim roku 96% polskich średnich i dużych firm zanotowało ponad 50 incydentów związanych z naruszeniem bezpieczeństwa informacji lub systemów IT. W przypadku 64% liczba tego typu zdarzeń była większa niż 500.

Najczęściej wykorzystywaną metodą cyberataków był atak phishingowy (39%), mający na celu zmylenie użytkownika i nakłonienie do wykonania zamierzonej operacji. Na drugim miejscu znalazło się wykorzystanie systemów IT (35%), a na trzecim użycie zewnętrznego nośnika danych (23%). Wśród najbardziej dotkliwych skutków cyberataków respondenci badania wskazywali: narażenie na ryzyko prawne i straty finansowe (35% wskazań) oraz utrata klientów i kradzież własności intelektualnej (po 30%). Jednocześnie, aż 55% firm nie ma świadomości, jakie były efekty ataków cybernetycznych na dane w ich organizacjach biznesowych.

W 79% przypadków wykrytych incydentów związanych z naruszeniem bezpieczeństwa informacji ich źródłem byli aktualni pracownicy firmy, natomiast 62% stanowiły ataki hakerskie.

W Polsce zarządzanie cyberryzykiem coraz częściej pojawia się na agendzie zarządów. Dojrzałe organizacje dostrzegają korzyści z posiadania stałej informacji na ten temat oraz możliwości wykorzystania ich w decyzjach biznesowych. Do tego organizacja musi jednak posiadać właściwe narzędzia umożliwiające pozyskanie, analizę, śledzenie i raportowanie otoczenia i związanych z nim ryzyk. Warto podkreślić, że takie narzędzia istnieją - systemy SIEM, czy DLP, często jednak brakuje procesów i wiedzy oraz ludzi, co umożliwiłoby ich pełne wykorzystanie” – mówi Patryk Gęborys, wicedyrektor w zespole Cyber Security PwC.

Z raportu PwC wynika, że średnie i duże polskie firmy przeznaczają obecnie znaczące budżety na kwestie związane z zapewnieniem bezpieczeństwa danych i systemów IT. W 48% przedsiębiorstw wydatki te są większe niż 1 mln zł, a w ponad połowie badanych firm mieszczą się w przedziale od 500 tys. zł do 1 mln zł. Jak zauważają autorzy raportu, polskie firmy rzadko podejmują dodatkowe działania w celu ochrony przed cyberzagrożeniami - jedynie 31% prowadzi współpracę z innymi podmiotami na rzecz poprawy bezpieczeństwa i ograniczenia ryzyka w przyszłości. Jeszcze mniej, bo tylko 7%, twierdzi, że wykupiło specjalne ubezpieczenie obejmujące skutki potencjalnych cyberataków.

Posiadanie ogólnej strategii bezpieczeństwa nie gwarantuje jeszcze optymalnego wydatkowania środków i wyboru adekwatnych technologiczno-organizacyjnych mechanizmów zabezpieczających. Dopiero wiedza o otoczeniu i zagrożeniach, o tym co jest najistotniejsze dla organizacji i jakie zasoby powinny być chronione, pozwala na skierowanie inwestycji we właściwą stronę. Wynik badań i obserwacje rynku wskazują jednak, że nadal wydatki są kierowane punktowo i raczej na technologię, niż podniesienie poziomu dojrzałości bezpieczeństwa całej organizacji” – mówi Tomasz Sawiak, wicedyrektor w zespole Cyber Security PwC.

Rozporządzenie o ochronie danych osobowych (RODO) a cyberbezpieczeństwo

Nowe, unijne Rozporządzenie o ochronie danych osobowych (RODO) wejdzie w życie 25 maja 2018 r. i będzie dotyczyć wszystkich przedsiębiorców, zastępując krajowe przepisy dotyczące ochrony danych osobowych.

Dla firm przygotowanie się do nowych przepisów jest ogromnym wyzwaniem. RODO wprowadza wiele istotnych zmian w podejściu do spełnienia wymagań zabezpieczania danych osobowych. Na przykład wszystkie incydenty związane z naruszeniem bezpieczeństwa danych osobowych będą musiały być zgłaszane w ciągu 72 godzin do organu regulacyjnego. Dodatkowo, każdy rodzaj biznesu przetwarzający takie dane będzie musiał przeprowadzić stosowne analizy ryzyka i wdrożyć adekwatne zabezpieczenia. Może to oznaczać zmianę lub konieczność nowej strategii w zakresie zarządzania danymi i wdrożenia procesów oraz technologii w celu zapewnienia inwentaryzacji i ochrony danych osobowych.

Tymczasem jak wynika z badania PwC, polskie firmy pod względem przygotowania do RODO znajdują się dopiero na początku drogi do zapewnienia zgodności z nowymi przepisami. Wśród podjętych kroków najskuteczniej zrealizowane zostało uwzględnienie mechanizmów ochrony danych osobowych w fazie projektowania nowych systemów informatycznych. Z kolei najbardziej zaniedbanymi obszarami związanymi z nowymi przepisami są: utworzenie i aktualizacja rejestru operacji przetwarzania danych osobowych, ocena skutków operacji przetwarzania oraz ograniczenie liczby operacji przetwarzania do minimum koniecznego do osiągnięcia celu, dla którego zostały zebrane.

Jak podkreślają eksperci PwC, kary za niedostosowanie się do nowych przepisów mogą być dla firm bardzo dotkliwe – do 20.000.000 euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa.

Bezpieczeństwo systemów przemysłowych (OT – operational technology)

Systemy OT odpowiadają za podtrzymanie kluczowych procesów technologicznych w firmach. Cyberataki na to środowisko mogą mieć poważne i daleko idące konsekwencje. Poza stratami finansowymi, możliwe są przedłużające się przerwy w dostawie usług krytycznych, szkody wyrządzone środowisku naturalnemu, a nawet zagrożenie zdrowia i życia ludzkiego.

Jak ukazały wyniki pogłębionych wywiadów w największych firmach przemysłowych, respondenci doskonale zdają sobie sprawę z tego jak poważne następstwa mogą za sobą pociągać incydenty w obszarze bezpieczeństwa OT. 64% ankietowanych wskazało, że ich efektem może być przerwanie procesów technologicznych w firmach, w których pracują. 43% wyraziło przekonanie, że incydenty mogą spowodować wyciek wrażliwych informacji, a 41% obawia się, że może dojść do uszkodzeń infrastruktury, co pociągnie za sobą znaczące koszty.

Jako źródła incydentów 68% respondentów wskazało na nieautoryzowany dostęp z wnętrza organizacji. To oznacza, że podobnie jak w przypadku IT największe zagrożenie stanowią sami pracownicy, choć często odbywa się to nieświadomie.

Źródło: PwC