Reklama

Aon: Nowe trendy w cyberryzykach i metody walki z nimi
piątek, 09 marca 2018 09:42

Cyberprzestępczość przybiera na sile i stanowi zagrożenie dla każdego obszaru prowadzonej działalności. Należy się spodziewać, że ten typ przestępstw będzie występował coraz częściej, będzie nim coraz trudniej zarządzać i będzie dotyczył nie tylko dużych firm. Dlatego przedsiębiorstwa będą zmuszone podejmować nowe działania, a funkcja zarządzania ryzykiem cybernetycznym w firmach stanie się jedną z kluczowych – wynika z raportu Aon Cybersecurity Predictions, opracowanego w styczniu przez Stroz Friedberg, spółkę należącą do grupy Aon.

- W 2017 roku przestępstwa cybernetyczne spowodowały spustoszenie na wiele sposobów, począwszy od ataków fishingowych, które wpływały na wyniki wyborów, aż po wirusy typu ransomware, które na całym świecie przenikały do systemów operacyjnych, szyfrując dane i zakłócając funkcjonowanie przedsiębiorstw. Wraz z rozwojem Internetu Rzeczy nastąpił również wzrost liczby ataków typu DDoS ograniczających funkcjonalność przedmiotów podłączonych do Sieci – komentuje Michał Jatczak, Lider Praktyki Cyber Aon Polska.

Aon przewiduje, że obecny roku będzie charakteryzował się wzrostem narażenia na ryzyko cybernetyczne w związku z przenikaniem się trzech trendów: uzależnienia przedsiębiorstw od technologii, wzrostem nacisku regulatorów na ochronę danych konsumentów oraz wzrostem wartości aktywów niematerialnych. Eksperci Aon są zdania, że kompilacja tych trzech trendów będzie wymagała zintegrowanego podejścia do bezpieczeństwa informatycznego, uwzględniającego zarówno obszar zarządzania przedsiębiorstwem, jak i zarządzania ryzykiem.

Potrzeba cyberpolis nowego typu

Autorzy raportu uważają, że w miarę upubliczniania kolejnych ataków powodujących spadek przychodów i wyceny akcji, zakłócenie działalności oraz wnoszenie roszczeń przeciwko zarządom spółek biznes w większym stopniu zwróci uwagę na dedykowane, „szyte na miarę” ubezpieczenia przestępstw cybernetycznych. Ich zdaniem cyberpolisy upowszechnią się także poza tradycyjnymi kupcami z branży handlowej, finansowej czy zdrowotnej i zostaną zauważone przez inne branże, takie jak np. przemysł produkcyjny, transport, usługi komunalne, rafinerie czy przemysł gazowniczy.

- Atak cybernetyczny to ten moment, kiedy świat materialny i wirtualny spotykają się i wydarzenia w tym drugim istotnie wpływają na pierwszy, a wyrafinowane cyberataki w coraz większym stopniu mają realny wpływ na działalność biznesową przedsiębiorstw. Przedsiębiorcy zaczynają dostrzegać, że wraz z rozwojem technologii ryzyko cybernetyczne stało się kluczowym ryzykiem dla ich przedsiębiorstwa. Dlatego w 2018 roku należy oczekiwać, że dyrektorzy ds. zarządzania ryzykiem i szefowie ds. bezpieczeństwa będą wypracowywać rozwiązania i pomagać organizacjom zrozumieć rzeczywisty wpływ ryzyka cybernetycznego na ich działalność biznesową – dodaje Michał Jatczak.

Zwiększona czujność regulatorów

Z kolei regulatorzy na poziomie międzynarodowym, krajowym i lokalnym będą w większym stopniu egzekwowali stosowanie przez firmy istniejących przepisów w zakresie zabezpieczeń przez atakami cybernetycznymi, jak również wprowadzać będą kolejne regulacje. Unia Europejska będzie rozliczać globalne przedsiębiorstwa z nieprzestrzegania GDPR, a w USA organizacje zarządzające big data (przechowujące i sprzedające dane) będą szczegółowo sprawdzane pod kątem tego, w jaki sposób gromadzą, wykorzystują i zabezpieczają dane. Według autorów raportu można się też spodziewać, że firmy będą naciskały regulatorów, by ci ujednolicili regulacje dotyczące przestępstw cybernetycznych.

Nowe metody cyberprzestępców

Raport przewiduje również, że przestępcy komputerowi będą próbowali atakować przedsiębiorstwa dostarczające usługi firmom globalnym za pomocą przedmiotów Internetu Rzeczy (IoT). W 2018 r. międzynarodowe organizacje będą zmuszone przeanalizować ryzyko związane z wykorzystaniem IoT w kontekście zarządzania ryzykiem swoich kontrahentów. Na razie firmy globalne nie dostrzegają tego zagrożenia i nie dopuszczają do siebie informacji, że właśnie za pośrednictwem dostawców ich firma może zostać zaatakowana, a IoT wykorzystany jako droga do ich sieci wewnętrznej. Realne ataki przeprowadzone w ten sposób będą sygnałem dla dużych organizacji, aby zaktualizować swoje podejście do zarządzania ryzykiem dostawców. Z kolei małe i średnie firmy staną przed koniecznością wdrożenia lepszych zabezpieczeń, w przeciwnym razie będą musiały liczyć się z utratą kontraktów.

Wzrośnie rola uwierzytelniania wieloskładnikowego

Eksperci Aon są też zdania, że w sytuacji nieustannie hakowanych haseł oraz obchodzenia przez napastników fizycznych zabezpieczeń biometrycznych, uwierzytelnianie wieloskładnikowe staje się ważniejsze niż kiedykolwiek przedtem. Wprawdzie poza hasłami firmy wprowadzają nowe metody uwierzytelniania, takie jak rozpoznawanie twarzy czy odcisków palców, jednakże te technologie nadal nie są doskonałe. Raport Aon przewiduje, że coraz więcej firm będzie wdrażać uwierzytelnianie wieloskładnikowe w celu zwalczenia ataków na hasła oraz na dane biometryczne. Uwierzytelnianie wieloskładnikowe będzie wymagało od poszczególnych osób pokazania wielu dowodów w celu uwierzytelnienia. W związku ze wzrostem zainteresowania uwierzytelnianiem wieloskładnikowym i oczekiwaniami konsumentów należy się spodziewać implementacji uwierzytelnienia z wykorzystaniem behawioralnych metod biometrycznych.

Uwaga na transakcje wielopunktowe

W raporcie zawarto prognozę, według której przestępcy będą atakować transakcje, w których zamiast waluty wykorzystywane są punkty. Dlatego eksperci Aon uważają, że przedsiębiorstwa stosujące tego rodzaju model, np. w prowadzonych programach lojalnościowych czy upominkowych, będą musiały konstruować platformy pozwalające na szybkie zgłaszanie usterek i nagradzanie zgłaszających je użytkowników (tzw. bug bounty programs). W miarę jak coraz więcej przedsiębiorstw będzie wprowadzać te programy, poszukiwane stanie się wsparcie zewnętrznych ekspertów pozwalające uniknąć ryzyk związanych z nieprawidłowym skonfigurowaniem programów.

Kryptowaluty sprzyjają atakom dla okupu

Raport Aon przewiduje, że w 2018 r. przestępcy wymuszający okup zmienią swoją dotychczasową taktykę. Atakujący używający zwyczajnego złośliwego oprogramowania, np. powodującego blokadę usług (atak DDoS – rozproszona odmowa usługi) lub uruchamiającego reklamy na tysiącach terminali roboczych, spowodują masową epidemię oprogramowania wymuszającego okup. Napastnicy będą kontynuowali ataki mające na celu zablokowanie maksymalnie wielu systemów, ale zgodnie z raportem Aon wzrośnie też liczba ataków skierowanych przeciwko konkretnym firmom, z żądaniem płatności okupu o wysokości proporcjonalnej do wartości zaatakowanych aktywów. Kryptowaluty będą nadal sprzyjały tego typu atakom, pomimo coraz skuteczniejszego śledzenia ataków przez organy ścigania.

Ryzyko wewnętrzne  

Ryzyka płynące z wewnątrz organizacji będą nadal stanowiły zagrożenie dla firm, które cały czas nie doceniają ich znaczenia. W 2017 roku przedsiębiorstwa nie inwestowały w proaktywne programy zapobiegające temu ryzyku. Zgodnie z raportem Aon, rok 2018 nie przyniesie w tym zakresie większych zmian. Przedsiębiorstwa często nie prowadzą dla pracowników odpowiednich szkoleń w zakresie bezpieczeństwa informatycznego. Nie ma pełnych danych dotyczących zakresu ataków cybernetycznych spowodowanych przez czynnik ludzki. Dlatego wiele przedsiębiorstw nadal będzie głównie reagować na już zaistniałe incydenty i ukrywać je za zamkniętymi drzwiami, pozostając nieświadomymi rzeczywistych kosztów i wpływu czynnika ludzkiego/wewnętrznego na ich organizacje.
AM, news@gu.com.pl
(źródło: Aon)

 

Vienna Life: Witold Czechowski członkiem zarządu ds. ryzyka

18 września Komisja Nadzoru Finansowego (KNF) jednogłośnie wyraziła zgodę na powołanie Witolda Czechowskiego na stanowisko członka zarządu Vienna...


czytaj dalej

Saltus TUW: Robert Łoś zatwierdzony na stanowisku prezesa

18 września Komisja Nadzoru Finansowego (KNF) jednogłośnie wyraziła zgodę na powołanie Roberta Łosia na stanowisko prezesa zarządu Saltus...


czytaj dalej

Niemcy: Sabotaż cyfrowy w firmach produkcyjnych

2/3 niemieckich przedsiębiorstw produkcyjnych było obiektem ataków cyberprzestępców, które kosztowały przemysł największej gospodarki europejskiej...


czytaj dalej

Marsh&McLennan: Porozumienie w sprawie przejęcia Jardine Lloyd Thompson

18 września firma Marsh & McLennan Companies (MMC) ogłosiła osiągnięcie porozumienia w sprawie przejęcia Jardine Lloyd Thompson Group (JLT),...


czytaj dalej

Santander Aviva: Rodzinne wzorce motywacją do zakupu polisy

Z badania przeprowadzonego przez Santander Aviva we współpracy z SW Research Agencją Badań Rynku i Opinii wynika, że wzory zachowań ukształtowane...


czytaj dalej

Unilink: Podejście turystów do ubezpieczeń na wyjazd

Z sondy na temat ubezpieczeń turystycznych w minionym sezonie wakacyjnym, przeprowadzonej w placówkach multiagencji Unilink, wynika, że polscy...


czytaj dalej

 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa
tel. (22) 628 26 31

email redakcja@gu.com.pl

Gazeta

Prenumerata
E-wydanie

Firma

Redakcja
Reklama

Ogłoszenia

Podcast

Kursy on-line
Zamów newsletter
Facebook