Próba przewidywania przyszłości jest jak próba jazdy po wiejskiej drodze, w nocy, bez świateł i ze wzrokiem utkwionym w lusterku wstecznym – zauważył Peter F. Drucker (1909–2005), ekspert ds. zarządzania, wykładowca akademicki, badacz procesów organizacji i zarządzania w korporacjach oraz organizacjach non profit.
Nie można się nie zgodzić z Druckerem. Próby przewidzenia zdarzeń lub trendów mają dwie fundamentalne wady. Po pierwsze, są obarczone tak dużym marginesem błędu, że w zasadzie nie powinny być brane pod uwagę.
Po drugie, mają tendencje do samospełniania się. Jeśli więc chcemy ukształtować przyszłość po swojemu, wystarczy, że przyjmiemy kilka założeń i wpuścimy je do publicznego obiegu informacji. Potem pozostaje poczekać na efekt. Spróbujmy więc przygotować się na to, co nadejdzie.
Cyberataki będą kosztować życie
Światu nie są obce szkody, jakie mogą wyrządzić hakerzy. Widzieliśmy ataki na służbę zdrowia i systemy sterowania, pozostawiające sparaliżowane szpitale i miasta pozbawione publicznej komunikacji. Jednak to, co wielu ludziom trudno sobie wyobrazić, to atak hakera na infrastrukturę krytyczną, np. na elektrownie lub zapory.
Zagrożenia staną się realne, gdy skutecznie przeprowadzony atak spowoduje zakłócenia w dostawie usług i mediów oraz śmierć. Działania światowych przywódców wskazują na to, że cyberbezpieczeństwo jest kolejną linią frontu w globalnej cyberwojnie, a ofiary są tylko jej logicznym następstwem.
Niedobór pracowników branży cyberbezpieczeństwa
W nadchodzącym roku branża cyberbezpieczeństwa nadal będzie odczuwać skutki ogromnego niedoboru pracowników. „Wielka rezygnacja”, która dotknęła cały rynek zatrudnienia, będzie miała jednak swoje zalety.
Ponieważ wspomniana branża nadal opowiada się za zatrudnianiem osób spoza swojego środowiska, rośnie liczba pracowników, którzy chcą opuścić swoje obecne miejsca pracy w poszukiwaniu nowych wyzwań i możliwości poszerzenia swoich umiejętności, a także potencjalnego wyboru pracy z dowolnego miejsca. Chociaż osoby te nadal będą musiały przejść stosowne szkolenie, warto rozważyć aplikacje kandydatów, którzy na pierwszy rzut oka nie muszą wydawać się stworzeni do pracy w branży cyberbezpieczeństwa, ale mogą mieć nieszablonowy punkt widzenia na rozwiązywanie stojących przed nimi wyzwań z tego zakresu.
Ten pracowniczy exodus zwiększy także znaczenie pozytywnej kultury pracy, ponieważ kandydaci będą mieli wiele możliwości wyboru kierunku, w którym podążą w ramach rozwoju kariery. Mimo to przedsiębiorstwa nie będą w stanie zatrudnić wszystkich potrzebnych im specjalistów, więc w nadchodzącym roku będą zmuszone w większym stopniu polegać na automatyzacji, której zadaniem będzie uzupełnienie kadrowych luk.
Odpowiedzialność na szczeblu zarządczym
W miarę przechodzenia od postawy reaktywnej do postawy prewencyjnej od kadry kierowniczej wyższego szczebla będzie się wymagało efektywniejszego raportowania do zarządów przedsiębiorstw praktyk w zakresie cyberbezpieczeństwa oraz jego finansowych aspektów.
Aby przedsiębiorstwo mogło mówić o postawie prewencyjnej, członkowie zarządów będą musieli zrozumieć, że kwestie cyberbezpieczeństwa dotyczą wszystkich – bez wyjątku – aspektów funkcjonowania przedsiębiorstwa. Dzięki temu obowiązki związane z zarządzaniem ryzykiem cybernetycznym obejmą wszystkie komórki przedsiębiorstwa – od administracji, przez działy HR i prawne, do działów zakupów i zarządzania ryzykiem.
Odpowiedzialność za cyberbezpieczeństwo spoczywa na każdym pracowniku, przede wszystkim na członkach władz spółek, którzy będą mieli do odegrania kluczową rolę w podnoszeniu świadomości istniejącego ryzyka i zaplanowaniu stosownych inwestycji. Członkowie zarządów będą musieli zrozumieć, jakie korzyści płyną z ograniczenia ryzyka.
Do przeszłości odejdzie ocenianie przez firmy ryzyka cybernetycznego przez pryzmat arkuszy kalkulacyjnych. Na porządku dziennym będzie monitorowanie cyberryzyka w czasie rzeczywistym.
Ubezpieczenie od następstw ryzyk cyber
Rynek ubezpieczeń włożył wiele wysiłku w zapewnienie dostępu do wiedzy i najlepszych praktyk mających na celu zwiększenie bezpieczeństwa cybernetycznego. Przedsiębiorstwa nie będą mogły dłużej podnosić argumentu, że nie były świadome zagrożenia lub że były pozbawione dostępu do informacji. Wiedza na temat cyberbezpieczeństwa jest już teraz powszechnie dostępna. Chociaż niektóre proponowane zalecenia mogą wydać się kosztowne, przedsiębiorstwa mogą zacząć od wdrożenia podstawowych praktyk, takich jak wieloetapowe uwierzytelnianie logowania i regularna zmiana haseł.
Uwzględniając dostępność tych informacji, ubezpieczyciele mogą podnieść wysokość składek i wprowadzić bardziej rygorystyczne wymogi bezpieczeństwa, mając na uwadze, że polisa cyber nie może służyć do zastępowania rzetelnej polityki bezpieczeństwa, lecz ma stanowić polityki tej dopełnienie jako ostatnia linia obrony. W nadchodzącym roku ubezpieczyciele mogą odmówić zapłacenia okupu, jeżeli stwierdzą, że przedsiębiorstwo nie spełnia minimalnych wymogów cyberbezpieczeństwa.
Łukasz Cichowski
starszy broker w MAI Insurance Brokers Poland sp. z o.o.
