Cyberbezpieczeństwo na świecie i w Polsce

3d Notebook mit Safe, zur Absicherung von Daten

Świadomość cyberzagrożeń rośnie, lecz firmom wciąż brakuje spójnego podejścia do bezpieczeństwa systemów IT. Za najbardziej niebezpieczne uważa się złośliwe oprogramowanie i phishing

Globalne organizacje nie wstydzą się przyznać, że obecnie nie są w stanie ani przewidzieć skomplikowanego cyberataku, ani go odeprzeć, ani skutecznie przeciwdziałać cyberzagrożeniom XXI w. Nie bez znaczenia są zbyt małe budżety, a co za tym idzie – niewystarczające inwestycje w bezpieczeństwo. Tak wynika z 19. Światowego Badania Bezpieczeństwa Informacji firmy doradczej EY „Droga do cyberbezpieczeństwa: wykrywaj, chroń, reaguj”, w którym udział wzięło 1735 firm z całego świata. Cyfrowe innowacje, Internet Rzeczy, zmiany regulacyjne, kryzysy finansowe oraz gwałtowny rozwój cyberprzestępczości spowodowały, że organizacje nauczyły się, w jaki sposób się bronić i jak lepiej odpowiadać na pojawiające się wyzwania i zagrożenia. Ponad połowa z ankietowanych stwierdziła bowiem, że może wykryć nawet bardzo skomplikowany cyberatak, co jest najwyższym odsetkiem takich odpowiedzi od 2013 r. Przekonanie to wynika z inwestycji w mechanizmy zapobiegające cyberatakom oraz monitorujące zagrożenia operacyjne zespoły operacji bezpieczeństwa IT (SOC – Security Operations Center). Mimo tych inwestycji aż 86 proc. ankietowanych uważa, że ich kompetencje w obszarze cyberbezpieczeństwa nie do końca zaspokajają potrzeby organizacji, w której pracują. Firmy skupiają się bowiem na bieżącej ochronie, a nie na spójnym podejściu do bezpieczeństwa systemów IT, na co składają się trzy elementy: wykrywanie, ochrona i reagowanie.

Największe wyzwania

Jedynie połowa respondentów uważa, że jest w stanie wykryć zaawansowany atak. Z kolei aż 64 proc. organizacji wciąż nie wdrożyło odpowiednich programów lub ma tylko nieformalny, nieuregulowany procedurami program wymiany informacji o zagrożeniach. Jeśli chodzi o określenie słabych punktów wewnątrz, to 55 proc. firm nie ma takich możliwości lub ma nieformalny proces identyfikacji słabości bezpieczeństwa, a 44 proc. przyznaje, że nie dysponuje zespołem SOC do ciągłego monitorowania potencjalnych cyberataków. Równocześnie ponad połowa (57 proc.) respondentów przyznała, że w ostatnim czasie doświadczyła znaczącego incydentu bezpieczeństwa. A niemalże połowa (48 proc.) wymieniła przestarzałe mechanizmy bezpieczeństwa informacji i architekturę bezpieczeństwa jako swój słaby punkt – a to znaczący wzrost z 34 proc. w poprzedniej edycji badania.

Podatność i zagrożenia

Beztroska lub brak świadomości pracownika to zdaniem ponad połowy respondentów (55 proc. wobec 44 proc. w 2015 r.) najpoważniejsze słabości bezpieczeństwa. Wysoko znalazły się również nieaktualne zabezpieczenia, które nie chronią przed nowymi rodzajami ataków (48 proc.). Na przeszkodzie w zapewnieniu bezpieczeństwa organizacji stoją także: ograniczenia budżetowe (61 proc.), brak specjalistów (56 proc.) oraz świadomości lub wsparcia ze strony zarządu (32 proc.). Zdaniem ankietowanych do największych cyberzagrożeń należą obecnie złośliwe oprogramowanie (52 proc.) i phishing (51 proc.). Z kolei kradzież informacji finansowych i własności intelektualnej zanotowały największy wzrost w ujęciu rocznym. Warto zaznaczyć, że ciągłość prowadzenia biznesu i szybki powrót do normalności po cyberataku to główne priorytety według 57 proc. badanych. Taki sam odsetek wskazał zapobieganie wyciekowi i utracie danych. Ponadto 39 proc. firm jest skłonnych do ogłoszenia informacji o incydencie w mediach pomimo tego, że 42 proc. nie ma ustalonej strategii komunikacyjnej albo planu na wypadek znaczącego ataku. Jednak więcej, bo blisko połowa (48 proc.) ankietowanych, nie poinformowałoby w ciągu pierwszego tygodnia klientów, którzy zostali dotknięci skutkami ataku.

Otaczający świat staje się coraz bardziej połączony i cyfrowy. Mimo to 62 proc. ankietowanych odpowiedziało, że ich zdaniem jest mało prawdopodobne, by po niegroźnym dla ich organizacji cyberataku w ich firmie zwiększono wydatki na cyberbezpieczeństwo. Zdaniem 58 proc. atak na bezpośredniego konkurenta, a według 68 proc. na dostawcę także nie byłby powodem zwiększenia budżetu.

Polskie realia

Podobne badanie, ale ograniczające się tylko do Polski, zostało przeprowadzone przez Cisco wśród ponad 700 uczestników konferencji poświęconej cyberbezpieczeństwu Cisco SEC, która odbyła się w listopadzie 2016 r. w Warszawie. Główny wniosek z niego płynący to taki, że chociaż cyberbezpieczeństwo jest priorytetem dla działów IT w polskich firmach, bo ma krytyczne znaczenie dla ich biznesu i buduje zaufanie do organizacji, większość z nich jest zabezpieczona w niewystarczającym stopniu. Zdaniem ankietowanych bezpieczeństwo i zarządzanie ryzykiem jest trendem, który w ciągu najbliższych trzech lat wywrze największy wpływ na IT w ich organizacjach (48 proc. wskazań). Za czynniki, które są największym wyzwaniem dla zapewnienia bezpieczeństwa w firmach, ankietowani uznali: mobilność (65 proc.), chmurę (39 proc.) i Internet Rzeczy (32 proc.). Organizacje stoją więc przed wyzwaniem, jakim jest zapewnienie właściwej ochrony urządzeniom mobilnym, stacjonarnym, serwerom, systemom chmurowym oraz IoT. Muszą chronić każdy element swojej sieci, która staje się coraz bardziej rozległa i obejmuje coraz więcej rodzajów połączeń. Potrzebują do tego zintegrowanej architektury bezpieczeństwa, bo tylko mając wgląd we wszystko, co dzieje się w firmowej sieci, można ją zabezpieczyć.

Świadomość wyzwań związanych z zapewnieniem bezpieczeństwa IT idzie w parze ze świadomością jego roli dla rozwoju biznesu. Zdaniem 65 proc. z nich cyberbezpieczeństwo ma udział w sukcesie ich firmy i jest ważne w budowaniu zaufania do niej. Ponadto 33 proc. ankietowanych wskazało bezpieczeństwo jako czynnik wspierający innowacyjność w ich organizacjach. Ich zdaniem firmy, które nie mają wyraźnie sformułowanej strategii bezpieczeństwa, będą wolniej przystosowywać się do nowej cyfrowej rzeczywistości. Badanie wskazuje jednak, że za dość wysokim poziomem świadomości roli bezpieczeństwa nie nadążają praktyka i rzeczywisty poziom zabezpieczeń w firmach. Zapytani o to, w jakim stopniu ich organizacja jest zabezpieczona przed cyberatakami, 55 proc. ankietowanych odpowiedziało, że w pewnym stopniu, 25 proc. uważa swoją organizację za wystarczająco bezpieczną, a tylko 6 proc. za całkowicie bezpieczną. Za główne utrudnienia w odpowiednim zabezpieczeniu przed cyberzagrożeniami ankietowani uznali złożoność organizacji (56 proc.), niewystarczające budżety (34 proc.), brak odpowiednich narzędzi (24 proc.) oraz brak ekspertów (20 proc.).

Jak się skutecznie zabezpieczyć

Firmy zabezpieczone tylko „częściowo” lub „w pewnym stopniu” są tak naprawdę zabezpieczone w sposób niewystarczający. Potrzebują więc architektur bezpieczeństwa, która będzie chroniła ich zasoby wszędzie tam, gdzie się znajdują: czy to w chmurze, czy na komputerach stacjonarnych, czy na urządzeniach mobilnych. Architektura bezpieczeństwa odpowiadająca wyzwaniom współczesności musi być prosta, otwarta i zautomatyzowana oraz chronić przed atakiem, w jego trakcie i po nim. Musi zapobiegać, wykrywać i odpowiadać na pojawiające się zagrożenia, takie jak np. ransomware, z którym w ostatnim roku miało do czynienia 20 proc. polskich firm.