Co czwarta firma zarejestrowała minimum 10 incydentów bezpieczeństwa, a 1/3 przedsiębiorstw odnotowała wzrost ataków w porównaniu z poprzednim rokiem, wynika z raportu KPMG. Incydentów bezpieczeństwa nie należy jednak utożsamiać z atakami cybernetycznymi, mówi w rozmowie z ISBtech PI/Cyber Practice Leader w Colonnade Bartłomiej Lewandowski.
„Według wiedzy i doświadczenia Colonnade, wywoływane są najczęściej przez samych pracowników. Część z nich wywoływana jest celowo, natomiast część spowodowana zaniedbaniem. Dodatkowo istnieje wiele metod ataków wykorzystujących socjotechnikę – te są spowodowane brakami szkoleń i niewłaściwym podejściem załogi danego przedsiębiorstwa do zabezpieczeń. Niestety, nadal w znacznej części firm, pracownik nie myśli o potencjalnych skutkach swoich działań w kontekście bezpieczeństwa danych. Dodatkowym elementem, który bez wątpienia również wpływa na zwiększenie liczby incydentów, jest postępująca cyfryzacja życia biznesowego, jak i obszarów poza nim” – wskazuje Lewandowski.
W raporcie podano ponadto, że w 2017 roku zaledwie co 10–ta firma , której roczny przychód przekracza 50 mln zł zatrudniła dedykowanego eksperta ds. bezpieczeństwa informacji.
„Przedsiębiorcy, szczególnie ci z sektora MŚP, nie zawsze zdają sobie sprawę z wagi problemu związanego z bezpieczeństwem danych, a także możliwością ich wykorzystania. Dla cyberprzestępców, jak dla agencji wywiadowczych, dane są niczym bardzo silna waluta. Wielu przedsiębiorców podchodziłoby do tego problemu z większą dozą uwagi, jeśli zdawaliby sobie z tego sprawę” – ocenia przedstawiciel Colonnade.
Najczęstszymi cyberzagrożeniami jest malware, czynnik ludzki i ataki na aplikacje. Lewandowski zaznacza, że ataki na aplikacje, czy te z użyciem szeroko rozumianego oprogramowania złośliwego, są o tyle groźne, że mogą uniemożliwić funkcjonowanie atakowanej firmy.
„W wielu przypadkach cyberagresja może być precyzyjnie wycelowana w kluczowym dla danej firmy momencie, blokując możliwość wykonania zamówienia, czy złożenia zlecenia. Bardzo często wiąże się to z czasowym, znacznym wzrostem kosztów prowadzenia działalności. Dodatkowo, przedsiębiorstwo, które padło ofiarą ataku lub jej pracownicy doprowadzili do wycieku danych szybko może utracić zaufanie swoich klientów. Koszty związane z pomocą specjalistów z zakresu PR oraz informatyki śledczej, a także zwiększone koszty działalności są, obok innych strat, istotnym elementem ochrony udzielanej w ramach ubezpieczeń ryzyk cybernetycznych” – wymienia przedstawiciel ubezpieczyciela.
Badania wskazują, że firmy najbardziej zabezpieczają się przed złośliwym oprogramowaniem (98% wskazań). Tymczasem z perspektywy ubezpieczyciela, jednym z czołowych źródeł zagrożeń dla firm są jej pracownicy, stanowiący swoisty katalizator powstawania incydentów.
„Będąc tego świadomym, na zabezpieczenia należy patrzeć nie tylko z perspektywy systemów informatycznych przedsiębiorstwa, ale trzeba wziąć pod uwagę także ludzką metodykę – zabezpieczenia gonią zagrożenia. Nie jest inaczej również w tym przypadku” – stwierdza Lewandowski.
Polskie firmy jednak wysoko oceniają zabezpieczenia przeciw cyberzagrożeniom. Z kolei audyty bezpieczeństwa pokazują, że świadomość w zakresie skali i złożoności cyberzagrożeń jest niewystarczająca.
„Należy wytrwale edukować rynek. Z pomocą przychodzą nam coraz bardziej popularne – profilowane pod kątem cyberzagrożeń – portale informacyjne. Poza tym, prędzej czy później, faktyczna wiedza nt. zagrożenia zostanie podniesiona ze względu na straty poniesione przez przedsiębiorców” – uważa pracownik Colonnade.
Brak wykwalifikowanego personelu i finanse są najważniejszym problemami utrudniającymi budowę systemów cyberbezpieczeństwa. Takie ryzyko można ubezpieczyć.
„Należy jednak pamiętać, że rolą ubezpieczenia nie jest zastępowanie systemu zabezpieczeń, a jego stosowne uzupełnienie na wypadek gdyby nie zadziałał prawidłowo. Klient o niskiej świadomości w zakresie cyberbezpieczeństwa, naturalnie będzie musiał się liczyć z wyższą składką za ryzyko” – Lewandowski.
Pod koniec maja zaczną obowiązywać przepisy RODO. Według badania KPMG tylko 9% firm opowiedziało się za pełną zgodnością z nowymi wymogami potwierdzonym niezależnym audytem. Podmiotom, które nie dostosują się do nowych przepisów będą grozić wysokie kary…
„Wejście w życie nowych przepisów nie zmienia wprost poziomu zagrożeń dla firmy. Oczywiście, pojawia się ryzyko nałożenia wysokich kar i nowych obowiązków notyfikacyjnych, jednak nie zmienia to zagrożenia dokonania ataku cyberprzestępców na firmę, czy niedbałości pracowników. Zmienia się natomiast prawny aspekt skutków związanych z niewłaściwym podejściem do problemu bezpieczeństwa obrotu danych” – uprzedza przedstawiciel Colonnade.
Zazacza, że ubezpieczenia ryzyk cybernetycznych proponowane przez ubezpieczyciela, uwzględniają zmiany wprowadzane przez RODO. Jest to bardzo istotne, również dla tych przedsiębiorców, którzy mają podstawy do bycia przekonanym o zgodności polityki bezpieczeństwa ich przedsiębiorstw z przepisami.
„Nawet takie firmy może bowiem spotkać przykry incydent, wywołany przez nieuczciwego pracownika, którego następstwem będą wysokie koszty notyfikacji osób zainteresowanych. Ważny przy tym jest oczywiście efekt skali – przedsiębiorcy nie boją się kosztów notyfikowania kilkudziesięciu klientów. Co innego, gdy mówimy o kilkudziesięciu, czy nawet kilkunastu tysiącach” – podsumowuje Lewandowski.
