Gdy zdarzenia cybernetyczne mogą powodować znaczne straty finansowe, utratę reputacji i marki, spadek cen akcji i obniżenie ratingu kredytowego, sprawy cyberryzyka powinny się znaleźć wśród priorytetów członków zarządu. Wzrost liczby cyberataków sprawia, że zamiast o ich możliwość, należy raczej pytać o termin. Tymczasem przedsiębiorstwa niewiele robią, aby się na to przygotować. Aby osiągnąć odporność cybernetyczną, zarząd musi stale dążyć do poprawy strategii i procesów zarządzania cyberryzykiem – takie wnioski płyną z raportu Aon „Prepare for the expected: Safeguarding value in the era of cyber risk” („Przygotuj się na oczekiwane: Zabezpieczenie wartości w erze ryzyka cybernetycznego”).
W raporcie zebrano opinie członków zarządu przedsiębiorstw z regionu EMEA, aby podzielić się doświadczeniami w budowaniu organizacji odpornych na zagrożenia cybernetyczne.
Według badań przeprowadzonych przez Cybersecurity Ventures, roczne globalne straty w dziedzinie bezpieczeństwa cybernetycznego mają wynieść 6 bln USD do 2021 r., a łączne pięcioletnie wydatki na bezpieczeństwo cybernetyczne mają przekroczyć 1 bln USD. Przedsiębiorstwa ponoszą straty finansowe w postaci bezpośrednich wydatków w sytuacjach kryzysowych, kar regulacyjnych, których wysokość wzrosła w następstwie wdrożenia ogólnego rozporządzenia o ochronie danych (RODO), oraz dochodów utraconych w wyniku ataków, które spowodowały przerwę w działalności handlowej lub zakłócenia w bieżącym funkcjonowaniu.
Choć bezpośrednie koszty finansowe ataku cybernetycznego mogą być dla przedsiębiorstwa wyniszczające, w raporcie sugeruje się, że porównywalny lub nawet większy problem stanowi uszczerbek na reputacji. Kryzys wizerunkowy będący wynikiem ataku może podważyć wartość rynkową przedsiębiorstwa, zniszczyć lojalność wobec marki, ograniczyć wysiłki w zakresie transformacji cyfrowej, a nawet doprowadzić do obniżenia ratingu kredytowego. Skuteczna strategia odporności na ryzyko cybernetyczne może pomóc złagodzić zarówno natychmiastowe, jak i długoterminowe straty finansowe. Badanie przeprowadzone przez Pentland Analytics i Aon wykazało, że gotowość firmy do łagodzenia ryzyka utraty reputacji i zachowanie zarządu w bezpośrednim następstwie kryzysu mogą mieć znaczący wpływ na krótko- i długoterminowe wahania cen akcji.
– Niektóre firmy wciąż nie w pełni rozumieją wpływ, jaki może mieć na nie cyberatak. Poznanie najgorszych scenariuszy i ich wpływu na działalność ma kluczowe znaczenie dla opracowania skutecznej strategii odporności, w której cyberprzestępczością zarządza się jako ryzykiem dla całego przedsiębiorstwa, w całej organizacji. Zagrożenie cybernetyczne jest amorficzne, a technologia, na której się opiera, rozwija się w zawrotnym tempie, dlatego krajobraz ryzyka nigdy nie będzie stały. Zarząd będzie musiał dążyć do ciągłego doskonalenia całościowych strategii zarządzania ryzykiem cybernetycznym, aby zapobiegać kryzysowi cybernetycznemu, przygotowywać się na niego i być w stanie na niego reagować. Ostateczna odpowiedzialność za wszystkie działania związane z zarządzaniem ryzykiem spoczywa na zarządzie – mówi Onno Janssen, dyrektor generalny Risk Consulting & Cyber Solutions EMEA Aon.
W raporcie nakreślono cztery kroki w kierunku budowy organizacji odpornej na cyberprzestępczość:
- Przykład idzie z góry. Zarządzanie ryzykiem cybernetycznym musi być wysiłkiem całego przedsiębiorstwa, ale odpowiedzialność powinna spoczywać na najwyższym szczeblu organizacji, przy czym zarząd musi rozumieć koszty i konsekwencje ataku cybernetycznego.
- Zjednocz swoją firmę. Ryzyko cybernetyczne to nie tylko kwestia bezpieczeństwa IT, lecz także zagrożenie dla całego przedsiębiorstwa. Wymaga to wielodyscyplinarnej, wielopoziomowej reakcji, w którą zaangażowani są wszyscy interesariusze w przedsiębiorstwie.
- Wyprzedź rozwój sytuacji. Firmy nie mogą już dłużej poprzestawać na powołaniu zespołu reagowania po ataku. Szkolenie w zakresie reagowania na incydenty ma kluczowe znaczenie dla przygotowania organizacji na atak cybernetyczny, a planowanie scenariuszy pomaga zrozumieć słabości i zagrożenia operacyjne.
- Chroń swój bilans. Firmy powinny przyjrzeć się, w jaki sposób wykorzystują dostępne możliwości transferu ryzyka. Ubezpieczenie od cyberprzestępczości może pomóc w ochronie bilansu organizacji, zapewniając wypłatę środków finansowych po wystąpieniu problemów oraz zapobieganie stratom i usługi na wypadek ich wystąpienia.
(AM, źródło: Aon)
