Image Image Image Image Image Image Image Image Image Image

it-manager | 20/11/2017

Scroll to top

Top

Brak wypowiedzi

Dogonić cyberprzestępców

Dogonić cyberprzestępców

13 marca 2017

Firmy nie radzą sobie z wykrywaniem incydentów bezpieczeństwa. Przedsiębiorcy identyfikują bardzo mało cyberataków. 83% badanych przedsiębiorstw w ciągu roku wykryło od zera do pięciu incydentów. Dwie trzecie ankietowanych firm uważa, że pracownicy są najsłabszym ogniwem organizacji pod względem podatności na cyberataki, ale z drugiej strony zbyt mało uwagi przykładają do szkoleń – wynika z badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm”.

Podatność na cyberataki

W minionych 12 miesiącach osiem na dziesięć firm zanotowało od zera do pięciu znaczących incydentów naruszenia bezpieczeństwa. Jedna na dziewięć firm padła ofiarą cyberataków od pięciu do dziesięciu razy. 6% badanych doświadczyło więcej niż 10 incydentów.

Najczęściej wskazywano ataki malwarowe (68% badanych), działania pracowników (44%) oraz utratę danych z powodu awarii sprzętu (39%). Te incydenty są zdaniem respondentów także największymi zagrożeniami dla ich firm.

Wykres1.jpg

– Wyniki wskazują, że firmy nie radzą sobie z wykrywaniem ataków. Organizacje identyfikują bardzo mało incydentów, a wśród tych wykrytych dominują łatwe do zaobserwowania takie jak infekcja ransomware czy utrata danych w wyniku awarii. Pojawia się obawa czy brak poczucia zagrożenia nie wynika właśnie z braku możliwości zaobserwowania incydentów bezpieczeństwa – mówi Aleksander Ludynia, Doświadczony Menedżer w Zespole Zarządzania Ryzykiem Informatycznym EY. – Wciąż zdarza się, że słyszymy, że danej firmy „cyberataki nie dotyczą”. Warto się wtedy zastanowić czy tak faktycznie jest, czy też może dana firma jest już ofiarą cyberprzestępców, ale jeszcze o tym nie wie – dodaje Tomasz Dyrda, Dyrektor w Dziale Zarządzania Ryzykiem Nadużyć EY.

Człowiek najsłabszym ogniwem

Dla większości badanych przedsiębiorstw, najsłabszym ogniwem w kontekście bezpieczeństwa organizacji jest nie sprzęt, oprogramowanie czy procedury, lecz człowiek – pracownik firmy. Takiego zdania jest aż 64% respondentów. – Badanie pokazuje, że przeszkolenie z zakresu bezpieczeństwa IT, przyjęcia na siebie odpowiedzialności za przestrzeganie zasad (przecież podpisaliśmy procedurę bezpieczeństwa) i odświeżanie wiedzy nie wystarcza. Listy trywialnych haseł, pokazujące ignorowanie podstawowych zasad ich tworzenia, lekceważenie zaleceń i procedur szyfrowania danych, otwieranie maili phishingowych – to tylko ułamek błędów, które popełniają ludzie, a jednocześnie użytkownicy urządzeń i systemów IT – ostrzega Tomasz Dyrda. – Pracownicy firm ciągle darzeni są sporym zaufaniem swoich pracodawców. Dodatkowo wiele ataków prowadzonych jest za pomocą przejętych kont administratorów, dlatego także ich działania powinny podlegać szczególnej kontroli i monitorowaniu – uważa Aleksander Ludynia. Na dalszych miejscach wśród przyczyn cyberzagrożeń, znaleźli się przestępcy komputerowi – wymieniani przez ponad połowę respondentów (57%), oraz przestarzałe oprogramowanie (40%).

Wykres2.jpg

Zabezpieczenia z XX wieku

Mimo nasilającego się zagrożenia ze strony cyberprzestępców i coraz większej liczby udanych ataków, firmy opierają swoją obronę na technologiach stworzonych w latach 80-tych ubiegłego wieku. Jak wynika z badania EY, Chubb i CubeResearch Cyberbezpieczeństwo firm są to przede wszystkim programy antywirusowe (93%) i zapory ogniowe (89%). Popularność́ innych sposobów zabezpieczenia w badanych firmach nie przekroczyła jednej trzeciej. – Wiele firm wskazuje, że boryka się z incydentami polegającymi na utracie danych, co może prowadzić do wniosku, że firmy nie radzą sobie również z tworzeniem kopii zapasowych kluczowych zasobów informatycznych. Patrząc na wyniki badania wydaje się, że konieczne są intensywne zmiany w podejściu polskich firm do kwestii bezpieczeństwa systemów informatycznych – mówi Aleksander Ludynia, Doświadczony Menedżer w Zespole Zarządzania Ryzykiem Informatycznym EY.

Kiedy już zaatakują…

Zaledwie 7% firm posiada system informowania o incydentach, działający w trybie 24/7/365, do którego podłączone są wszystkie istotne systemy teleinformatyczne. Aż 43% firm nie posiada żadnego systemu ostrzegania. Bodźcem do bardziej intensywnych działań w obszarze bezpieczeństwa IT jest atak hakerski. W sytuacji kryzysowej, zarząd firmy widzi na bieżąco jak skuteczne są plany reakcji i struktury odpowiedzialne za bezpieczeństwo IT. Badania w tym obszarze nie nastrajają optymistycznie. – Niestety, w wielu przypadkach ataki są skuteczne – czy to działania socjotechniczne (ostatnio popularna fala ataków „na prezesa”), wymuszenia okupu (ransomware), czy też ukierunkowane działania hakerów. Firmy ponoszą realne straty i dopiero po takim „zimnym prysznicu” następuje refleksja i próba zrozumienia, w jaki sposób i z kim działać, żeby w przyszłości uniknąć podobnych sytuacji – mówi Grzegorz Idzikowski, Menedżer w Dziale Zarządzania Ryzykiem Nadużyć EY. – Jedynie co ósma firma ma zarówno odpowiedni plan oraz zespół i może sprawnie koordynować działania w obliczu zagrożenia – dodaje.

Lepiej zapobiegać niż leczyć

Chociaż firmy zdają sobie sprawę ze znaczenia ludzi dla bezpieczeństwa całego systemu, niewiele z tą wiedzą robią. Okazuje się, że aż 41% pracowników nie uczestniczyło w żadnym szkoleniu na temat bezpieczeństwa w sieci, a w prawie jednej trzeciej badanych firm nie ma procedury postępowania w sytuacji zagrożenia cybernetycznego.

Aż trzy czwarte respondentów badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm” stwierdziło, że przeprowadziło w firmie testy bezpieczeństwa; wprawdzie jedynie co piąta firma (21%) zrobiła to w ciągu ostatniego roku, ale wynik ten można uznać za wysoki. Jednak samo wykonanie to tylko pierwszy etap, na którym większość badanych się zatrzymuje. Tylko 15% firm twierdzi, że wnioski z audytu zostały wdrożone w życie.

Innym sposobem zapobiegania konsekwencjom finansowym incydentów bezpieczeństwa jest transfer części ryzyka na ubezpieczyciela. – W procesie transferu ryzyka sprawdzane są zasady bezpieczeństwa informatycznego, zarzadzania ryzykiem i tzw. higiena informatyczna firmy – twierdzi Marta Paruch z CHUBB. – Mimo że polisa ubezpieczeniowa nie jest remedium na wszelkie problemy, ma możliwość zmniejszenia ponoszonych przez firmę konsekwencji. Ubezpieczyciel może bowiem wziąć „na siebie” część ryzyka poprzez pokrywanie kosztów prawników w przypadku roszczeń pokrzywdzonych w związku z ujawnieniem ich danych niezgodnie z przepisami prawa wraz z zapłatą kar administracyjnych nałożonych przez organy regulacyjne, kosztów doradców PR i informatyków śledczych – dodaje.

Wypowiedz się

Wszelkie prawa zastrzeżone