Rośnie świadomość cyberzagrożeń, ale brakuje spójnego podejścia – 19. Raport EY

Rośnie świadomość cyberzagrożeń, ale brakuje spójnego podejścia – 19. Raport EY
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Powstaje wiele raportów i opracowań dotyczących cyberbezpieczeństwa, to również pokazuje, jak ważne jest to dziś. Takie badanie już po raz dziewiętnasty prezentuje EY.

Prezentujący badanie przedstawiciele działu Zarządzania Ryzykiem Informatycznym w EY zwrócili uwagę, że nawet działające globalnie organizacje przyznają, że nie potrafią przewidzieć ani odeprzeć skomplikowanego cyberataku. Wyzwaniem są też za niskie nakłady na bezpieczeństwo. Zapoznając się z takimi badaniami, jak przeprowadzonym przez EY, trzeba zawsze pamiętać, że to opinie osób związanych z omawianymi zagadnieniami, a nie rzeczywiste dane na przykład o skali i rodzaju prowadzonych inwestycji. Z punktu widzenia osób odpowiedzialnych za bezpieczeństwo zawsze poziom takich inwestycji może wydawać się niewystarczający. Jednak jak podano, połowa ankietowanych stwierdziła, że może wykryć nawet bardzo skomplikowany cyberatak i jest to największy odsetek wśród ankietowanych od 2013 roku. To, że aż 86% uważa, że tworzone zespoły operacji bezpieczeństwa IT (SOC – Security Operations Center) nie spełniają wszystkich potrzeb organizacji, wydaje się obrazem trochę zniekształconym perspektywą, z jakiej patrzą na to oceniający.

Koszty i efekty

Migracja większości biznesu do świata cyfrowego lub znaczące od niego uzależnienie powoduje, że zagrożenie cyberatakiem staje się realnym wyzwaniem dla funkcjonowania wielu firm. Zgodnie z badaniem, ciągłość prowadzenia biznesu i szybki powrót do normalności po cyberataku to według 57% ankietowanych główne priorytety. Tak jak zapobieganie wyciekowi i utracie danych. Raport nie odpowiada na pytanie, czy organizacje potrafią dobrze oszacować realną wartość i możliwe straty, jakie w konkretnym przypadku mogłyby ponieść w przypadku ataku. Jeśli chodzi o sektor finansowy to również straty wizerunkowe dotykające też jednostki, które nie ucierpiały w danym zdarzeniu. Nikt dziś nie może czuć się w pełni zabezpieczony, nawet przeznaczając duże środki na inwestycje w bezpieczeństwo. Dlatego wydaje się, że tylko otwartość komunikacji w stosunku do klientów i kontrahentów jest dobrym rozwiązaniem. Zgodnie z Raportem tylko 39% firm jest gotowych do ogłoszenia informacji o incydencie w mediach, choć 42% z nich nie ma przygotowanej strategii w przypadku dużego ataku. Jak stwierdzili, prezentujący Raport dyrektor Michał Kurek i starszy menedżer Aleksander Ludynia z działu Zarządzania Ryzykiem Informatycznym EY, niepodanie szybko informacji na przykład o wycieku danych do logowania w serwisie, może narażać klientów na ataki na ich konta w innych miejscach. Choć radzi się nie używać takich samych danych do logowania w różnych miejscach, to jest to ignorowane przez wielu użytkowników. Blisko połowa – 48% badanych nie poinformowałaby w ciągu pierwszego tygodnia od ataku klientów, którzy zostali dotknięci jego skutkami.

Na pewno warto zadać pytanie, kto i w jakim celu może chcieć zaatakować naszą organizację. W przypadku elektrowni może to być organizacja terrorystyczna lub służby obcego państwa prowadzące działania w ramach tzw. wojny hybrydowej, lub przygotowań do niej, a celem dezorganizacja państwa i gospodarki. W przypadku banków mogą to być grupy przestępcze mające na celu „tylko” zdobycie środków finansowych. To również determinuje sposób prowadzenia ataku (klienci, infrastruktura informatyczna firmy), wysuwanie żądań okupu za odstąpienie od ataku itp. Dlatego też różne sektory powinny prowadzić odmienną politykę związaną z zapewnieniem bezpieczeństwa. Nie wszędzie równie wysokie nakłady na bezpieczeństwo, będą ekonomicznie uzasadnione.

170116.EY.01

Michał Kurek i Aleksander Ludynia zwrócili uwagę, że po niegroźnym dla organizacji cyberataku – 62%, ataku na bezpośredniego konkurenta – 58% i na dostawcę – 68% uczestników badania było przekonanych, że nie byłby to powodem zwiększenia w firmach budżetu na bezpieczeństwo. Jednak ich zdaniem to poważny błąd, bo takie zdarzenia mogą dopiero być wstępem, testowaniem możliwości przeprowadzenia poważnego ataku na organizację lub serii ataków na podobne organizacje. Okazuje się, że ponad połowa (57%) respondentów doświadczyła w niedawnym czasie znaczącego incydentu bezpieczeństwa. Według ankietowanych największe zagrożenie stanowi dziś złośliwe oprogramowanie (52%) i phishing (51%), a najszybciej rośnie zjawisko kradzieży informacji finansowych i własności intelektualnej.

Raport „Światowe Badanie Bezpieczeństwa Informacji” („Global Information Security Survey”) przygotowywany jest przez EY już od dziewiętnastu lat. W obecnej edycji odpowiedzi udzieliło 1735 przedstawicieli firm z całego świata, w tym z Polski odpowiadających za technologie informatyczne lub bezpieczeństwo IT. Reprezentowali oni 23 działy gospodarki, a badanie wykonano pomiędzy czerwcem i sierpniem 2016 roku.

Bohdan Szafrański