W cyfrowym świecie wszystko dzieje się szybciej i bez względu na porę dnia i roku. Większość incydentów bezpieczeństwa ma miejsce wtedy, gdy nasi pracownicy spędzają urlop nad morzem, w górach albo za granicą. Powinniśmy mieć tego świadomość i być na to przygotowani.
Cyberbezpieczeństwo zajmuje wysoką pozycję w agendach zarządów firm, które do rozwoju podchodzą odpowiedzialnie. Po produkcji mechanicznej napędzanej siłą pary, produkcji masowej z zastosowaniem energii elektrycznej oraz sterowanej komputerowo zautomatyzowanej linii produkcyjnej nadszedł czas jednorodnego systemu cyberfizycznego (ang. cyber-physical system).
Jesteśmy świadkami czwartej rewolucji przemysłowej, której istotą jest integracja systemów cyberfizycznych, internetu rzeczy i przetwarzania chmurowego. Lawinowy wzrost efektywności przedsiębiorstw, które decydują się na aktywny udział w tych rewolucyjnych zmianach gospodarczych, obarczony jest jednak ryzykiem związanym z cyberzagrożeniami.
Dynamika zagrożeń dla cyberbezpieczeństwa w ostatnich latach przekroczyła poziom, który jest akceptowalny nawet dla amatorów wysokiego ryzyka. W minionym roku w polskiej cyberprzestrzeni zarejestrowano ponad 6484 incydenty bezpieczeństwa (źródło: Raport roczny 2019 z działalności CERT Polska), a każdy z nich wywołał konkretne i dotkliwe skutki dla ofiar ataków. Dla porównania, liczba incydentów w 2018 r. wynosiła 3739, co oznacza wzrost liczby incydentów rok do roku o 73%.
Pośród najczęściej występujących zagrożeń znalazły się phishing (54,2%), złośliwe oprogramowanie (14,9%) oraz obraźliwe i nielegalne treści (12,1%). Niezwykle popularne stały się wyłudzenia wykorzystujące fałszywe bramki płatności i fałszywe sklepy.
Znaczący wzrost zanotowano w zakresie infekcji ransomware w sektorze przemysłowym, medycznym i administracji rządowej oraz samorządowej. Zanotowano wzrost w obszarze specjalizowanych ataków na urządzenia internetu rzeczy (ang. Internet of Things, IoT), gdzie celem ataków są nie tylko systemy informatyczne, ale również kamery internetowe, telewizory, lodówki i niemalże dowolne urządzenie podłączane do internetu.
Mamy do czynienia z bezprecedensowym wzrostem zagrożeń dla cyberbezpieczeństwa, które awansowały do pierwszej trójki zagrożeń globalnych obok kataklizmów naturalnych i zmian klimatycznych.
Jednocześnie polskie firmy wyraźnie są nieświadome realnych zagrożeń i funkcjonują w iluzji poczucia bezpieczeństwa, nie realizując podstawowych działań, które pozwalałyby uchronić się przed dotkliwymi stratami związanymi z incydentami.
Z badania przeprowadzonego pod koniec 2019 r. przez zespół ds. cyberbezpieczeństwa firmy Grant Thornton wynika, że polscy przedsiębiorcy mają wiele do zrobienia w zakresie ochrony interesów swoich firm i interesów swoich klientów.
O tym, że cyberbezpieczeństwo nie powinno już być traktowane jako priorytet tylko przez banki czy inne potężne instytucje wrażliwe dla funkcjonowania państwa, może świadczyć fakt, że aż 28% z ankietowanych średnich i dużych firm twierdzi, że w ostatnim roku było celem ataku cybernetycznego. Jednocześnie 70% przedsiębiorców w naszym kraju jest zadowolonych z przygotowania swoich firm na cyberzagrożenia.
Dla porównania, firmy w innych krajach są znacznie ostrożniejsze w ocenie swoich możliwości obrony przed cyberatakami – przykładowo w Finlandii i Szwecji zadowolonych jest 40% firm, a w Japonii tylko 38% firm.
Niestety pogłębione badanie wskazuje na to, że wysoki poziom zadowolenia polskich firm z przygotowania na cyberataki wynika raczej z niskiej świadomości niż z faktycznego dobrego przygotowania na zagrożenia.
Według badania, tylko 29% firm w Polsce jest zadowolonych ze swoich możliwości wykrywania przypadków naruszenia prywatności danych, a 41% dobrze ocenia swoje zdolności do reagowania na ataki. Tylko 30% firm twierdzi, że po wykryciu incydentu są w stanie odpowiednio ocenić sytuację i zaistniałe szkody.
Pokazuje to bardzo niską skuteczność wykrywania incydentów wśród polskich firm, katastrofalnie niski poziom zdolności reagowania na ataki oraz długi czas, który upływa od wystąpienia incydentu do jego wykrycia, który mierzony jest nie w godzinach czy dniach, ale… w miesiącach. Tworzy to złudne poczucie bezpieczeństwa, które samo w sobie jest zagrożeniem.
Bardzo znamienne jest to, że polscy przedsiębiorcy nie inwestują w bezpieczeństwo, podejmując nieświadomie ryzyko strat związanych z cyberatakiem. A warto i opłaca się, bo straty te bardzo często przekraczają kilkakrotnie koszt zabezpieczeń i polisy ubezpieczeniowej, która niejedną firmę uratowała od upadku po incydencie.
Radosław Kaczorek
partner zarządzający departamentem cyberbezpieczeństwa w Grant Thornton w Polsce