Cyber-ruletka po polsku (ANALIZA)

11 kwietnia 2018, 07:30 Bezpieczeństwo

Stan przygotowania polskich firm, by stawić czoło “wirtualnym” zagrożeniom nie stoi jeszcze na najwyższym poziomie. Brakuje odpowiedniej strategii, całościowego spojrzenia i realnego planu działania, zapewniającego bezpieczeństwo danych – pisze PwC Polska.

Cyberatak hakerów

Jak bardzo firmy w Polsce są dojrzałe pod kątem cyberbezpieczeństwa? I z drugiej strony – jak często występuje cyber-ruletka, czyli działanie w pojedynkę, w sytuacji niepełnej informacji i jedynie obstawianie możliwych zdarzeń?

Już po raz piąty zapytaliśmy spółki w Polsce o ich praktyki w zakresie cyberbezpieczeństwa: jakie mechanizmy obrony stosują, czy współpracują ze sobą oraz jakie środki przeznaczają na bezpieczeństwo informacji. Wyniki badania nie napawają optymizmem.

Trudna rozgrywka

Liczenie na łut szczęścia w obszarze bezpieczeństwa teleinformatycznego to bardzo ryzykowna gra. Aż 65% firm biorących udział w naszym badaniu wykryło incydenty w ciągu ostatniego roku. Dla 33% firm najczęstszym źródłem incydentów pozostawali aktualni pracownicy, którzy popełniali błędy i padali ofiarami phishingu czy innych ataków wykorzystujących socjotechnikę. Problem stanowiły także błędy konfiguracji komponentów oraz wykorzystanie znanych podatności systemów IT.

Incydenty prowadziły do wycieku lub utraty danych, zaszyfrowania dysków przez RansomWare, a także zakłóceń i przestojów w funkcjonowaniu przedsiębiorstwa. Niestety, firmy nie uczą się na błędach – ani własnych, ani cudzych. W 2017 roku świat obiegła informacja o fali infekcji złośliwym oprogramowaniem szyfrującym dyski WannaCry na niespotykaną dotąd skalę. Wiele przedsiębiorstw, których WannaCry nie dosięgnął, nie wyciągnęło wniosków z tego, co spotkało innych. Część z nich padła ofiarą podobnego działania zaledwie kilka miesięcy później – atak Petya wykorzystywał dokładnie taki sam mechanizm infekcji i podatności, jak WannaCry.

Walka z cyberprzestępcami nie jest równa i najczęściej prowadzi do strat finansowych – bezpośrednich lub pośrednich – bez względu na to, czy firmy są w stanie je policzyć, czy też nie.

Ryzykowny blef

Polskie firmy nie są jeszcze w pełni przygotowane na przeciwdziałanie współczesnym zagrożeniom i metodom ataków. Stosowane rozwiązania w zakresie zabezpieczeń nie są adekwatne do ambitnych planów stosowania nowych technologii takich jak IoT czy AI. Ciężko też mówić o właściwym zabezpieczeniu powszechnych już smartfonów, tabletów, mediów społecznościowych, czy dużych zbiorów danych.

Środki przeznaczane na bezpieczeństwo stanowią wciąż średnio tylko ok. 3 % całościowych budżetów IT – to co najmniej trzy razy za mało, aby zapewnić prawidłowo działający mechanizm ochronny.

W zakresie posiadanych zasobów na zapewnienie bezpieczeństwa informacji również nie jest dobrze: 46% firm nie posiada strategii reakcji na incydenty, a 20% średnich i dużych firm nie posiada żadnego pracownika odpowiedzialnego za obszar cyberbezpieczeństwa. Takie podejście może powodować, że cyberryzyka nie będą właściwie monitorowane i zarządzane w ramach wewnętrznych struktur.

Bierność i brak całościowego spojrzenia, nie powiązanie mechanizmów zabezpieczających i brak procesów detekcji, oceny i kwantyfikacji skutków incydentów sprawia, że wszelkie niedociągnięcia w tym zakresie wydają się nie mieć wpływu na wyniki firmy, utrzymując zarząd w fałszywym przekonaniu, iż cyberbezpieczeństwo to tylko rynkowy trend, nie mający faktycznego długoterminowego przełożenia na kierowaną przez nich firmę.

Gra o wysoką stawkę

Bez wątpienia jednym z istotniejszych wyzwań w nadchodzących miesiącach będzie osiągnięcie zgodności z Ogólnym Rozporządzeniem o Ochronie Danych (RODO).

Niewywiązanie się z wynikających z tego dokumentu obowiązków może skutkować karami finansowymi do 20.000.000 euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa.

Tymczasem połowa badanych przez nas firm ocenia swoją gotowość na poziomie poniżej 30%, a 1/5 respondentów w ogóle nie zaczęła jeszcze przygotowań. Jedynie 3% firm osiągnęło pełną gotowość. W obliczu niskiego średniego poziomu gotowości do RODO, można przypuszczać, że wiele działań zostanie podjętych na ostatnią chwilę, a sam ich zakres będzie ograniczony do minimum. To grozi powstaniem nieefektywnych rozwiązań tymczasowych, które raz wdrożone, będą funkcjonowały przez długie lata.