Obserwowane na przestrzeni ostatnich trzech lat zmiany w miejscu pracy, transformacja cyfrowa oraz nasilające się ataki ransomware sprawiły, że większość liderów nie jest już tak pewna swojej zdolności do zarządzania ryzykiem cybernetycznym jak dwa lata temu – wynika z raportu „The State of Cyber Resilience” opublikowanego przez firmę Marsh i Microsoft.
Według opracowania stopień pewności liderów co do podstawowych zdolności ich organizacji w zakresie zarządzania ryzykiem cybernetycznym, w tym zdolności do rozumienia i oceny cyberzagrożeń, łagodzenia/przeciwdziałania atakom oraz do zarządzania/reagowania na incydenty cybernetyczne pozostaje w głównej mierze niezmieniony od badania z 2019 r. Wówczas to 19,7% respondentów wyraziło wysokie przekonanie o gotowości firmy na ryzyko cybernetyczne. W 2022 r. takiej odpowiedzi udzieliło 19% ankietowanych.
– Mając na uwadze nieustanny wzrost popularności ataków ransomware oraz obecny burzliwy krajobraz zagrożeń, nie jest zaskakującym fakt, że wiele organizacji nie czuje się bardziej pewnie w zakresie reagowania na zagrożenia cybernetyczne niż miało to miejsce w 2019 roku – komentuje wyniki raportu Sarah Stephens, Head of Cyber International Marsh.
Co więcej, wiele organizacji nadal ma trudności ze zrozumieniem zagrożeń stwarzanych przez dostawców i cyfrowe łańcuchy dostaw, które stanowią elementy strategii cyberbezpieczeństwa tych firm. Tylko 43% respondentów stwierdziło, że przeprowadziło ocenę ryzyka swoich dostawców lub łańcuchów dostaw.
Z raportu wynika ponadto, że jedynie 41% organizacji wykracza poza kwestie bezpieczeństwa cybernetycznego i ubezpieczeń, aby angażować swoje działy prawne, planowania korporacyjnego, finansowe, operacyjne lub zarządzania łańcuchem dostaw w tworzenie planów dotyczących ryzyka cybernetycznego. Z kolei 38% respondentów stwierdziło, że ich organizacja wykorzystuje metody ilościowe do pomiaru swojej ekspozycji na ryzyko cybernetyczne, co stanowi ważny krok w zrozumieniu, w jaki sposób cyberataki i inne incydenty mogą zwiększać niestabilność firm. Jest to poprawa w porównaniu do badania z 2019 r., w którym 30% ankietowanych zadeklarowało, że ich organizacja stosuje metody ilościowe.
– Ryzyko cybernetyczne jest wszechobecne w większości organizacji. Skuteczne przeciwdziałanie zagrożeniom cybernetycznym powinno być głównym celem firm, ukierunkowanym na budowanie cyberodporności w całym przedsiębiorstwie, a nie na pojedyncze inwestycje w zapobieganie incydentom lub ochronę przed cyberatakami. Poprawa komunikacji wewnątrz organizacji może pomóc zniwelować istniejące luki, zwiększyć możliwości oraz lepiej informować o strategicznych decyzjach dotyczących zagrożeń cybernetycznych – podsumowuje raport Tom Reagan, Cyber Risk Practice Leader US & Canada Marsh.
– Blisko dwie trzecie respondentów przyznało, że ich firmy stały się ofiarą ataku w minionym roku. Najczęściej były wskazywane phishing i ataki ransomware. Raport Marsh i Microsoft jest zbieżny z danymi publikowanymi przez Cert Polska. W 2021 najwięcej odnotowanych zdarzeń dotyczyło szyfrowania zasobów i okupu w zamian za ich odblokowanie, a także licznych ataków polegających na podszywaniu się pod inne firmy lub organizacje w celu wyłudzenia danych i kradzieży tożsamości. Departamenty cyberbezpieczeństwa i IT przejmują inicjatywę w zrównoważonym wdrażaniu technologii i środków kontroli, takich jak: filtrowanie poczty e-mail i bezpieczeństwo stron www, wykrywanie i reagowanie w punktach końcowych, techniki wzmacniania dla protokołu zdalnego dostępu (RDP) czy w też zarządzaniu dostępem uprzywilejowanym (PAM). Wdrożenie większej liczby środków kontroli ryzyka prowadzi do wyższej oceny higieny cybernetycznej. Jednak tylko 3% respondentów wskazało, że poziom higieny w zakresie bezpieczeństwa cybernetycznego jest na najwyższym poziomie – dodaje Anna Pluta, lider Praktyki Cybernetycznej Marsh Polska.
Zdaniem ekspertki organizacje, które chcą strategicznie zająć się ryzykiem cybernetycznym, powinny rozważyć przyjęcie 12 metod kontroli rekomendowanych przez ekspertów ds. cyberbezpieczeństwa, pomagających zapobiegać, reagować, minimalizować i odzyskiwa dane po incydencie. Anna Pluta uważa, że zastosowanie wszystkich lub większości metod prawie dwukrotnie zwiększa prawdopodobieństwo przypisania wysokich ratingów” w zakresie oceny dbałości o cyberbezpieczeństwo organizacji.
O raporcie:
Raport „The State of Cyber Resilience” dostarcza odpowiedzi ponad 660 decydentów w zakresie zarządzania ryzykiem cybernetycznym, na podstawie których dokonano analizy postrzegania cyberryzyka przez kadrę kierowniczą w wiodących organizacjach na świecie, w tym dyrektorów generalnych, specjalistów ds. ryzyka i ubezpieczeń, finansów, IT i cyberbezpieczeństwa.
(AM, źródło: Marsh)