Cyberprzestępcy są już w innej epoce
Firmy nie radzą sobie z wykrywaniem incydentów bezpieczeństwa, a przedsiębiorcy identyfikują niewiele cyberataków. Ponad 80% badanych przedsiębiorstw w ciągu roku wykryło do pięciu incydentów. Dwie trzecie ankietowanych firm uważa, że najsłabszym ogniwem organizacji pod względem podatności na cyberataki są pracownicy, ale jednocześnie zbyt mało uwagi przykładają do szkoleń – wynika z badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm”.
W minionych 12 miesiącach osiem na dziesięć firm zanotowało od zera do pięciu znaczących incydentów naruszenia bezpieczeństwa. Jedna na dziewięć firm padła ofiarą cyberataków od pięciu do dziesięciu razy. 6% badanych doświadczyło więcej niż 10 incydentów. Najczęściej wskazywano ataki malware’owe (68% badanych), działania pracowników (44%) oraz utratę danych z powodu awarii sprzętu (39%). Te incydenty są zdaniem respondentów także największymi zagrożeniami dla ich firm.
Wyniki wskazują, że firmy nie radzą sobie z wykrywaniem ataków. Organizacje identyfikują bardzo mało incydentów, a wśród tych wykrytych dominują łatwe do zaobserwowania takie jak infekcja ransomware czy utrata danych w wyniku awarii. Pojawia się obawa, czy brak poczucia zagrożenia nie wynika właśnie z braku możliwości zaobserwowania incydentów bezpieczeństwa – mówi Aleksander Ludynia, menedżer w Zespole Zarządzania Ryzykiem Informatycznym EY.
Wciąż zdarza się, że słyszymy, że danej firmy „cyberataki nie dotyczą”. Warto się wtedy zastanowić, czy tak faktycznie jest, czy też może dana firma jest już ofiarą cyberprzestępców, ale jeszcze o tym nie wie – dodaje Tomasz Dyrda, dyrektor w Dziale Zarządzania Ryzykiem Nadużyć EY.
Człowiek najsłabszym ogniwem
Dla większości badanych przedsiębiorstw najsłabszym ogniwem w kontekście bezpieczeństwa organizacji jest nie sprzęt, oprogramowanie czy procedury, lecz człowiek – pracownik firmy. Takiego zdania jest aż 64% respondentów. – Badanie pokazuje, że przeszkolenie z zakresu bezpieczeństwa IT, przyjęcia na siebie odpowiedzialności za przestrzeganie zasad (przecież podpisaliśmy procedurę bezpieczeństwa) i odświeżanie wiedzy nie wystarcza. Listy trywialnych haseł, pokazujące ignorowanie podstawowych zasad ich tworzenia, lekceważenie zaleceń i procedur szyfrowania danych, otwieranie e-maili phishingowych – to tylko ułamek błędów, które popełniają ludzie, a jednocześnie użytkownicy urządzeń i systemów IT – ostrzega Tomasz Dyrda.
– Pracownicy firm ciągle są obdarzani sporym zaufaniem pracodawców. Dodatkowo wiele ataków prowadzonych jest za pomocą przejętych kont administratorów, dlatego także ich działania powinny podlegać szczególnej kontroli i monitorowaniu – uważa Aleksander Ludynia.
Na kolejnych miejscach wśród przyczyn cyberzagrożeń znaleźli się przestępcy komputerowi – wymieniani przez ponad połowę respondentów (57%), a także przestarzałe oprogramowanie (40%).
Zabezpieczenia z XX wieku
Mimo nasilającego się zagrożenia ze strony cyberprzestępców i coraz większej liczby udanych ataków firmy opierają swoją obronę na technologiach stworzonych w latach 80. ubiegłego wieku. Jak wynika z badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm”, są to przede wszystkim programy antywirusowe (93%) i zapory ogniowe (89%). Popularność innych sposobów zabezpieczenia w badanych firmach nie przekroczyła jednej trzeciej. – Wiele firm wskazuje, że boryka się z incydentami polegającymi na utracie danych, co może prowadzić do wniosku, że firmy nie radzą sobie również z tworzeniem kopii zapasowych kluczowych zasobów informatycznych. Patrząc na wyniki badania, wydaje się, że konieczne są intensywne zmiany w podejściu polskich firm do kwestii bezpieczeństwa systemów informatycznych – mówi Aleksander Ludynia, menedżer w Zespole Zarządzania Ryzykiem Informatycznym EY.
Kiedy już zaatakują…
Zaledwie 7% firm posiada system informowania o incydentach działający w trybie 24/7/365, do którego podłączone są wszystkie istotne systemy teleinformatyczne. Aż 43% firm nie posiada żadnego systemu ostrzegania. Bodźcem do bardziej intensywnych działań w obszarze bezpieczeństwa IT jest atak hakerski. W sytuacji kryzysowej zarząd firmy widzi na bieżąco, jak skuteczne są plany reakcji i struktury odpowiedzialne za bezpieczeństwo IT. Badania w tym obszarze nie nastrajają optymistycznie. – Niestety, w wielu przypadkach ataki są skuteczne: czy to działania socjotechniczne (ostatnio popularna fala ataków „na prezesa”), wymuszenia okupu (ransomware), czy też ukierunkowane działania hakerów. Firmy ponoszą realne straty i dopiero po takim „zimnym prysznicu” następuje refleksja i próba zrozumienia, w jaki sposób i z kim działać, żeby w przyszłości uniknąć podobnych sytuacji – twierdzi Grzegorz Idzikowski, menedżer w Dziale Zarządzania Ryzykiem Nadużyć EY. – Jedynie co ósma firma ma odpowiedni plan oraz zespół i może sprawnie koordynować działania w obliczu zagrożenia – dodaje.
Lepiej zapobiegać, niż leczyć
Chociaż firmy zdają sobie sprawę ze znaczenia ludzi dla bezpieczeństwa całego systemu, niewiele z tą wiedzą robią. Okazuje się, że aż 41% pracowników nie uczestniczyło w żadnym szkoleniu na temat bezpieczeństwa w sieci, a w prawie jednej trzeciej badanych firm nie ma procedury postępowania w sytuacji zagrożenia cybernetycznego.
Aż trzy czwarte respondentów badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm” stwierdziło, że przeprowadziło w firmie testy bezpieczeństwa, wprawdzie jedynie co piąta firma (21%) zrobiła to w ciągu ostatniego roku, ale wynik ten można uznać za wysoki. Jednak samo wykonanie to tylko pierwszy etap, na którym większość badanych się zatrzymuje. Tylko 15% firm twierdzi, że wnioski z audytu zostały wdrożone w życie.
Innym sposobem zapobiegania konsekwencjom finansowym incydentów bezpieczeństwa jest transfer części ryzyka na ubezpieczyciela. – W procesie transferu ryzyka sprawdzane są zasady bezpieczeństwa informatycznego, zarzadzania ryzykiem i tzw. higiena informatyczna firmy – twierdzi Marta Paruch z CHUBB.
– Mimo że polisa ubezpieczeniowa nie jest remedium na wszelkie problemy, ma możliwość zmniejszenia ponoszonych przez firmę konsekwencji. Ubezpieczyciel może bowiem przejąć część ryzyka poprzez pokrywanie kosztów prawników w przypadku roszczeń pokrzywdzonych w związku z ujawnieniem ich danych niezgodnie z przepisami prawa wraz z zapłatą kar administracyjnych nałożonych przez organy regulacyjne, kosztów doradców PR i informatyków śledczych – dodaje.
O badaniu
Autorami badania „Cyberbezpieczeństwo firm” są konsultanci CubeResearch, EY oraz Chubb. Prace badawcze składały się z dwóch części: badania zasadniczego, gdzie na zadane pytania odpowiadały osoby na co dzień zajmujące się problematyką cyberbezpieczeństwa firm, oraz badania dodatkowego przeprowadzonego wśród pracowników firm. Badanie zasadnicze wykonano na próbie 350 firm, badanie dodatkowe – na próbie 500 pracowników zatrudnionych w firmach polskich.
Firma EY
Światowy lider rynku usług profesjonalnych obejmujących usługi audytorskie, doradztwo podatkowe, doradztwo biznesowe i doradztwo transakcyjne. Na całym świecie EY zatrudnia ponad 230 tys. pracowników.
EY
Rondo ONZ 1
00-124 Warszawa
www.ey.com