Chociaż coraz bardziej powszechna jest świadomość, że koszt inwestycji w zabezpieczenia jest zdecydowanie niższy niż straty spowodowane przestojami, naprawami, odzyskiwaniem danych i reputacji, coś blokuje polskie firmy przed traktowaniem cyberbezpieczeństwa jako poważnej, długoterminowej inwestycji i elementu strategii biznesowej. W czym leży problem? Z raportów i opinii ekspertów zajmujących się monitorowaniem cyberbezpieczeństwa wynika, że chociaż w Polsce rośnie świadomość zagrożeń, to wiedza na temat sposobów zapobiegania im jest wciąż niewystarczająca. Słabo wygląda też kwestia wdrażania w firmach konkretnych zasad i procedur.
Sprawa jest o tyle istotna, że szybki rozwój technologii cyfrowych powoduje ciągłe powiększanie się luki pomiędzy stosowanymi dotąd zabezpieczeniami a nowymi zagrożeniami. Wykorzystywanie przez pracowników prywatnych urządzeń mobilnych do wykonywania zadań służbowych, praca zdalna, przechowywanie danych w chmurze, Big Data, wykorzystanie w pracy mediów społecznościowych, korzystanie z publicznego wi-fi, aplikacje na urządzenia mobilne, montowanie modułów wi-fi w coraz większej liczbie używanych w firmach sprzętów – to tylko niektóre z pól, na których zagrożenia dla cyberbezpieczeństwa będą stale rosły.
Błąd 1. To problem działu IT
Czasy, gdy całość teleinformatycznej infrastruktury firmy mogła nadzorować i kontrolować jedna osoba, dawno minęły. Dziś zdecydowana większość firm dopuszcza korzystanie przez pracowników z prywatnych urządzeń mobilnych w celach służbowych. Dla cyberprzestępców do nowa okazja, by dobrać się do zasobów przedsiębiorstwa. Nie bez powodu co 10 sekund powstaje nowa odmiana złośliwego kodu do infekowania urządzeń z systemem operacyjnym Android, instalowanego w większości smartfonów. Z raportu firmy HP wynika, że zainfekowana jest już jedna na pięć aplikacji na Androida. Liczba cyberataków na urządzenia mobilne wzrosła między 2016 a 2017 rokiem o 50 proc.
Jedynie 28 proc. polskich firm jest w stanie funkcjonować bez kluczowych systemów IT dłużej niż dwa dni
Dzięki cyfrowym chmurom pracownicy mają też dostęp do coraz większej liczby firmowych danych. Tymczasem procedury zabezpieczeń pozostają często takie same, jak wiele lat temu. Hasła zabezpieczające dostęp do urządzeń i baz danych są słabe i łatwe do złamania nawet dla początkujących hakerów. Szkolenia z cyberbezpieczeństwa są schematyczne i bardzo często przeprowadzane jedynie po przyjęciu do pracy nowej osoby, a wiele firm nie robi ich wcale.
Cyberbezpieczeństwo przestało być więc już dawno wyłącznie problemem wyłącznie działu IT, czyli osób odpowiedzialnych za sprawną pracę firmowej sieci teleinformatycznej. Stało się sprawą każdego pracownika. Przesłanie na dziś brzmi, że każda firma będzie tak silna i odporna na cyberatak, jak jej najsłabiej zabezpieczone ogniwo.
Błąd 2. Wystarczy wykonać plan minimum
Większość polskich przedsiębiorstw stosuje zabezpieczenia jedynie na podstawowym poziomie – wynika z raportu firmy Chubb „Cyberbezpieczeństwo firm”. Około 90 proc. stosuje zabezpieczenia w postaci programów antywirusowych i firewalli, ale systemy informujące o incydentach cyberbezpieczeństwa ma mniej niż połowa. Dwie na pięć polskich firm nie ma żadnego planu reakcji na zagrożenia, a tylko co szósta prowadzi rejestr incydentów IT.
Jedna czwarta polskich firm nigdy nie przechodziła też audytu cyberbezpieczeństwa, a z tych, które to zrobiły, jedynie 15 proc. wdrożyło w pełni wynikające z niego wnioski. Konsekwencje takiej polityki mogą okazać się bardzo nieprzyjemne. Cyberataki będą wykrywane z dużym opóźnieniem, a szkody przez nie spowodowane wzrosną. Wydłuży się czas dodatkowej pracy, którą trzeba będzie poświęcić na usunięcie skutków incydentów.
Z czego wynika takie podejście? Pierwszą przyczyną jest wciąż niewielkie zainteresowanie kierownictwa firm sprawami cyberbezpieczeństwa. Do rzadkości należą przedsiębiorstwa, w których osoby odpowiedzialne za tę dziedzinę raportują bezpośrednio do zarządu. Konsekwencją tego są m.in. zbyt małe budżety na ochronę przed zagrożeniami z sieci. Według raportu PwC wynoszą one obecnie zaledwie 3 proc. wydatków na IT, tymczasem dla prawidłowego zabezpieczenia powinny być co najmniej trzy razy wyższe.
Błąd 3. Koszty cyberataku trudno wycenić
O ile straty dla działalności firmy wywołane pożarem czy zalaniem łatwo sobie wyobrazić i wycenić, skutki cyberataków wciąż pozostają w sferze domniemań. Jest o tyle dziwne, że wiele towarzystw wyspecjalizowanych w ubezpieczeniach przemysłowych oferuje już od dłuższego czasu przeprowadzanie testów, sprawdzających odporność sieci informatycznej klientów na złośliwe ataki. Jednak według raportu PwC tylko co dziesiąte polskie przedsiębiorstwo zrobiło analizę potencjalnych strat i zdecydowało się na kupienie ubezpieczenia od ryzyk związanych z cyberbezpieczeństwem.
Raporty analityków dostarczają wystarczająco dużo danych, by ocenić, jakie straty może przynieść cyberatak lub inne naruszenie bezpieczeństwa teleinformatycznego firmy. Jedynie 28 proc. polskich firm jest w stanie funkcjonować bez kluczowych systemów IT dłużej niż dwa dni. Co trzecie zaczęłoby ponosić straty finansowe już w pierwszej–drugiej godzinie przestoju spowodowanego cyberatakiem.
Błąd 4. Poziomu cyberbezpieczeństwa nie da się zmierzyć
Poprawę stanu cyberbezpieczeństwa w polskich firmach blokuje też przekonanie ich szefów i pracowników, że jest on wartością niemierzalną. Inaczej mówiąc, nie da się określić optymalnego stanu zabezpieczeń, w które powinno się zainwestować. Rzeczywiście, ataki typu ransomware za pomocą złośliwych kodów WannaCry czy NotPetya pokazały, że cyberprzestępcy mogą sparaliżować nawet tak dobrze zabezpieczone przedsiębiorstwa, jak firmy kurierskie, spedycyjne, logistyczne, banki i międzynarodowe koncerny.
W rzeczywistości jednak ataki te, odkrywając słabe punkty w zabezpieczeniach dużych firm, odegrały ważną rolę w poprawie procedur i zabezpieczeń. Między innymi na tej podstawie firma PwC opracowała, w ramach Badania Stanu Bezpieczeństwa Informacji zespół działań, które firma powinna wdrożyć, by mogła zostać uznana za dojrzałą w dziedzinie cyberbezpieczeństwa.
Działania te obejmują wdrożenie zaawansowanych systemów wykrywania zagrożeń i reakcji na nie (SIEM, Anty Apt, IPS/IDS, SOC), ustalenie budżetu bezpieczeństwa na poziomie min. 10 proc. wydatków na IT, zatrudnienie co najmniej dwóch osób w zespole cybersecurity, utworzenie stanowiska kierownika ds. cyberbezpieczeństwa i raportowanie przez niego bezpośrednio do zarządu przedsiębiorstwa. Jednak według PwC warunki te spełniało w 2017 r. jedynie 8 proc. polskich firm.
Błąd 5. Nie stać nas na to
Specjaliści od cyberbezpieczeństwa są drodzy. Problem nasila się, ponieważ już dziś deficyt fachowców z tej dziedziny oceniany jest na 50 tys. etatów. W co piątej polskiej firmie nie ma żadnej osoby odpowiedzialnej za cyberbezpieczeństwo i bezpieczeństwo IT. Nie oznacza to jednak, że mniejsze przedsiębiorstwa są od razu na straconej pozycji. Rozwiązaniem może być outsourcing.
Z usług firm zewnętrznych w zakresie cyberbezpieczeństwa korzysta 71 proc. działających w Polsce przedsiębiorstw – wynika z badania PwC. Liczba ta jednak nie oddaje całej prawdy. O ile odsetek firm z zagranicznym kapitałem korzystających z tej usługi wynosi 86 proc., to firm z kapitałem polskim już tylko 66 proc. Co więcej, firmy korzystają z outsourcingu głównie w reakcji na ataki, rzadko natomiast wykonują działania profilaktyczne, takie jak testy penetracyjne aplikacji i przeglądy kodu źródłowego. Warto więc także w tej dziedzinie zastosować się do maksymy starożytnego lekarza Hipokratesa mówiącej, że „lepiej zapobiegać niż leczyć”. ©℗
