Aon: Zarządzanie ryzykiem cyber w przedsiębiorstwach mocno kuleje

0
467

Tylko jedna na pięć organizacji posiada podstawowe środki nadzoru nad dostawcami w obszarze cyberbezpieczeństwa – wynika z globalnego raportu Aon zatytułowanego „2021 Cyber Security Risk Report”.

Dokument zawiera analizę czterech kluczowych obecnie tematów związanych z ryzykiem cyber. Każdy temat został porównany z metodami kontroli cyberbezpieczeństwa w celu określenia trendów wydajności w organizacjach przy wykorzystaniu wiedzy z narzędzia Aon do samodzielnej oceny ryzyka – Cyber Quotient Evaluation (CyQu).

Globalne dane CyQu ujawniają, że praktyki i technologie zarządzania ryzykiem w zakresie cyberbezpieczeństwa nie są sformułowane w organizacjach, a ryzyko jest rozwiązywane w przeważającej mierze w sposób reaktywny. Przykładowo, tylko dwie na pięć firm deklarują, że są przygotowane do radzenia sobie z nowymi zagrożeniami wynikającymi z szybkiej ewolucji cyfrowej. Z kolei 17% organizacji deklaruje posiadanie odpowiednich środków bezpieczeństwa aplikacji, a zaledwie 21% organizacji posiada podstawowe środki nadzoru nad krytycznymi dostawcami. Jest to szczególnie alarmujące w kontekście ostatnich przypadków naruszenia bezpieczeństwa SolarWinds i Accellion, które ilustrują podatność na ataki sieci podmiotów trzecich.

Aon zidentyfikował cztery kluczowe tematy związane z ryzykiem cyber: rozpoznanie nowych rodzajów ryzyk, znajomość partnerów biznesowych, koncentracja na elementach kontroli oraz doskonalenie podstaw.

Rozpoznanie nowych ryzyk: szybki rozwój cyfrowy

W 2020 roku wszelkie myśli o dynamicznych i strategicznych planach w obszarze cyfrowym zostały odrzucone na bok na rzecz przetrwania. Dane CyQu ujawniły, że organizacje mają trudności z poruszaniem się w tym nowym środowisku. Ewolucja cyfrowa nie zatrzymuje się, więc organizacje są zmuszone do rozważenia przewidywanych korzyści wynikających z transformacji cyfrowej w stosunku do wprowadzonego ryzyka.

Znajomość partnerów biznesowych: ryzyko związane z podmiotami trzecimi

W tym roku organizacje będą oceniać ryzyko cyber związane z łańcuchami dostaw w nowy sposób i z większą troską. Wystarczy jedna niestrzeżona furtka, aby zagrozić rentowności firmy. Dane z CyQu wskazują, że organizacje nie są jeszcze w pełni gotowe do oceny i zarządzania ryzykiem związanym z zewnętrznymi partnerami. Wyniki badań sugerują jednak, że strategie bezpieczeństwa fizycznego są lepiej zarządzane.

Koncentracja na elementach kontroli: ransomware

Liczba i różnorodność ataków ransomware gwałtownie wzrosły w 2020 roku. Siedem na dziesięć ataków wiązało się z groźbą wycieku wykradzionych danych. Dane CyQu ujawniły, że wiele organizacji znajduje się w początkowej fazie zarządzania ryzykiem i nie koncentruje się na właściwych kontrolach. Tylko 31% firm deklaruje posiadanie odpowiednich środków odporności biznesowej, co powinno zapalić czerwone światło, ponieważ ransomware wiąże się z ryzykiem przerwania działalności.

Doskonalenie podstaw: regulacje prawne

Szybkie zmiany wymuszone przez Covid-19 przyczyniły się jedynie do poszerzenia istniejących wcześniej luk w zakresie zgodności i potencjalnie wygenerowały nowe. Na początku 2021 r. zmiany są w toku i zaczynają obowiązywać bardziej restrykcyjne przepisy dotyczące ochrony danych. Zgodność z przepisami nie jest jednak równoznaczna z bezpieczeństwem, standardy wyznaczają jedynie punkt odniesienia. Dane CyQu wskazują, że organizacje muszą jeszcze udoskonalić podstawy.

– Wnioski z globalnego raportu Aon 2021 Cyber Security Risk Report oddają również sytuację, z jaką mamy do czynienia w Polsce. W pracy z naszymi klientami obserwujmy, że świadomość i wiedza o nowych ryzykach związanych z cyberprzestrzenią jest nadal niestety na dość niskim poziomie. Wiele podmiotów nie docenia wpływu cyber incydentów na działalność firmy (w tym na możliwość spowodowania zastopowania lub istotnego zakłócenia w takiej działalności). Pandemia spowodowała również, że znaczna część firm przeszła w tryb pracy zdalnej, ale nie zawsze spowodowało to wprowadzenie dodatkowych zabezpieczeń (jak np. wieloetapowe uwierzytelnianie czy szyfrowanie dysków w laptopach) – komentuje Adam Kuich, ekspert w obszarze cyber Aon Polska.

(AM, źródło: Aon)