Z badania KPMG w Polsce wynika, że w ubiegłym roku ponad połowa firm w naszym kraju odnotowała przynajmniej jeden incydent polegający na naruszeniu bezpieczeństwa. Z kolei co trzecie badane przedsiębiorstwo zauważyło wzrost intensywności prób cyberataków, a jedna piąta organizacji wskazała na wzmożoną aktywność cyberprzestępców w związku z wojną w Ukrainie. Największym zagrożeniem dla firm są wyłudzenia danych uwierzytelniających. Tymczasem mniej niż jedna czwarta firm posiada wykupioną polisę ubezpieczeniową od skutków cyberataku.
Z odpowiedzi ankietowanych wynika, że 58% z nich odnotowało w 2022 r. incydenty polegające na naruszeniu bezpieczeństwa. Oznacza to, że ubiegły rok mógł być bezpieczniejszy pod względem prób cyberataków w porównaniu do 2021 r. Optymizm studzi jednak fakt, że w przypadku 33% respondentów wzrosła intensywność prób naruszeń bezpieczeństwa. Jest to najwyższy wynik od pięciu lat. Jednocześnie 12% firm przyznało, że zanotowało 30 i więcej incydentów bezpieczeństwa, co świadczy o wzroście aktywności cyberprzestępców. 20% ankietowanych organizacji odnotowała w 2022 roku wzmożoną aktywność cyberprzestępców w związku trwającą wojną w Ukrainie.
Firmy obawiają się państwowej cyberprzestępczości
Badanie KPMG wykazało, że firmy nadal najbardziej obawiają się zagrożeń ze strony szeroko rozumianej cyberprzestępczości – 88% wskazań (-4 punkty procentowe r/r). Największe obawy budzą działania grup cyberprzestępczych, na które wskazało 70% ankietowanych. O połowę zmniejszył się odsetek obawiających się niezadowolonych lub podkupionych pracowników (21%), a do 38% wzrosła liczba badanych obawiających się zagrożeń płynących ze strony grup wspieranych przez obce państwa.
– Agresja rosyjska w Ukrainie i towarzysząca jej cyberwojna zmieniły oblicze cyberbezpieczeństwa. Polskie organizacje, a w szczególności operatorzy usług kluczowych, bardziej niż kiedykolwiek zrozumiały, że są ciągłym celem zaawansowanych cyberataków prowadzonych przez grupy wspierane przez obce państwa. Obrona przed tak dobrze zorganizowanymi cyberprzestępcami wymaga proaktywnego podejścia wspartego wyspecjalizowanymi narzędziami. Polskie firmy powinny krytycznie przyjrzeć się swojej architekturze bezpieczeństwa i skuteczności wdrożonych zabezpieczeń – mówi Michał Kurek, partner w Dziale Doradztwa Biznesowego, szef Zespołu Cyberbezpieczeństwa KPMG w Polsce i Europie Środkowo-Wschodniej.
Wyłudzenia danych uwierzytelniających zagrożeniem numer jeden
Z odpowiedzi badanych wynika, że największym cyberzagrożeniem są dla nich wyłudzenia danych uwierzytelniających (phishing) oraz zaawansowane ataki ze strony profesjonalistów (Advanced Persistent Threat). W czołówce głównych cyberzagrożeń znajdują się również wycieki danych za pośrednictwem malware. Za całkowicie nieistotne uznano włamania do urządzeń mobilnych oraz ataki na sieci bezprzewodowe (odpowiednio 28% i 27%).
W ostatnich miesiącach nasileniu uległy ataki typu ransomware polegające na szyfrowaniu danych firmowych znajdujących się na dysku lub blokowaniu dostępu do systemu i żądaniu zapłacenia okupu w zamian za przywrócenie dostępu. Blisko jedna trzecia respondentów wskazała, że padła w przeszłości ofiarą tego typu ataku. Żadna z badanych firm nie przyznała się jednak do zapłacenia okupu, twierdząc, że udało im się obronić przed atakiem i odtworzyć ciągłość działania.
Monitoring bezpieczeństwa wymaga udoskonalenia
Regularne monitorowanie bezpieczeństwa zostało już formalnie wpisane w obowiązki pracowników w 61% badanych organizacji, a w 36% powierzono je zewnętrznej firmie. 36% ankietowanych powołało w swoich strukturach komórkę SOC (Security Operations Center) do monitorowania zagrożeń, ale w większości przypadków nie działa ona całodobowo. W przypadku 37% badanych monitoruje się bezpieczeństwo kontrahentów, a 26% prowadzi tzw. Threat Hunting, poszukując cyberprzestępców, którzy mogą być już w chronionej infrastrukturze. Jednocześnie 57% respondentów przyznało, że logi bezpieczeństwa nie są w ich organizacjach przeglądane regularnie.
Firmy stosują szeroki wachlarz rozwiązań mających na celu wykrycie cyberataków. Najczęściej (68% wskazań) wykorzystuje w tym celu zewnętrzne źródła informacji. Dużą popularnością cieszą się również centralne repozytoria logów, stosowane przez 64% badanych organizacji oraz wewnętrznie rozwijane bazy wiedzy o cyberzagrożeniach typu Indicator of Compromise oraz Tactics, Techniques, and Procedures, z których korzysta ponad połowa firm. Najrzadziej spotykanym w Polsce rozwiązaniem są systemy typu Deception stanowiące swego rodzaju pułapki zastawiane na cyberprzestępców (14%) oraz rozwiązania klasy SOAR (Security Orchestration, Automation and Response) usprawniające monitorowanie bezpieczeństwa i reakcję (16%).
– Cyberataki są dziś zjawiskiem powszechnym. Łupem hakerów stają się najbardziej zaawansowane technologicznie firmy. Nie należy dziś pytać „czy?”, ale „kiedy?” nastąpi cyberatak w organizacji. Nie ma zabezpieczeń gwarantujących bezpieczeństwo, w związku z czym krytyczne stają się inwestycje w procesy monitorowania bezpieczeństwa i reakcji na cyberataki. Tylko dzięki nim możliwe jest skrócenie czasu, w jakim niewykryty haker bezkarnie działa w firmowej infrastrukturze. Czasu, który wynosi obecnie średnio ponad pół roku i mocno skorelowany jest z poziomem poniesionych strat – mówi Michał Kurek.
Mniej niż jedna czwarta firm posiada cyberpolisę
Najpopularniejszym podejściem w reakcji na cyberataki jest opracowanie ogólnofirmowych procedur reagowania na wypadek ich wystąpienia. Takie rozwiązanie jest stosowane w 73% badanych organizacji. 42% respondentów posiada podpisane umowy ramowe z zewnętrznymi firmami na wypadek konieczności wsparcia przy obsłudze cyberataku. Co trzecia badana organizacja korzysta z testów penetracyjnych typu Red Teaming do weryfikowania własnej skuteczności w obronie przed cyberatakami. 24% firm posiada wykupioną polisę ubezpieczeniową od skutków cyberataku, a 21% powołało wewnętrzny zespół do reagowania na incydenty.
O raporcie:
Raport KPMG w Polsce pt. „Barometr cyberbezpieczeństwa. Detekcja i reakcja na zagrożenia w czasie podwyższonego alertu” powstał na podstawie badania przeprowadzonego na próbie 100 organizacji w Polsce o przychodach powyżej 50 mln złotych. Jest to piąta edycja badania przeprowadzonego przez KPMG w Polsce, którego celem jest poznanie dynamiki i charakterystyki cyberataków oraz przygotowania na nie przez firmy w Polsce. Badanie zostało zrealizowane metodą wywiadów telefonicznych CATI wśród osób odpowiedzialnych za bezpieczeństwo IT w firmach (członków zarządu, dyrektorów ds. bezpieczeństwa, prezesów, dyrektorów IT lub innych osób odpowiedzialnych za ten obszar) w grudniu 2022 roku przez firmę Norstat Polska.
(AM, źródło: KPMG)