"Barometr cyberbezpieczeństwa" ostrzega

Posłuchaj

O rosnącym zagrożeniu cyberprzestępczością mówi Michał Kurek, partner KPMG, szef zespołu do spraw cyberbezpieczeństwa./Dariusz Kwiatkowski, Naczelna Redakcja Gospodarcza Polskiego Radia/.

Dodaj do playlisty

Dodaj do playlisty

Analizowano dane zebrane od ponad 100 małych, średnich i dużych polskich firm, reprezentowanych przez osoby odpowiedzialne za zapewnienie bezpieczeństwa informacji.

−Cyberatak to zjawisko powszechne. Dotknęło ono  niemal każdego respondenta badania, bo aż 82 procent firm - wyjaśnia Michał Kurek, partner KPMG, szef zespołu do spraw cyberbezpieczeństwa. Zorganizowane grupy cyberprzestępcze są  najczęstszymi źródłami ataków, bo aż  dla 61% firm. Pojedynczych hakerów, jako winowajców, zgłasza 61% przedsiębiorstw. Dopiero na trzecim miejscu znalazł się sfrustrowany lub podkupiony pracownik, który w przeszłości był największym, identyfikowanym zagrożeniem.

37% firm odnotowało wzrost liczby  cyberataków w przeciągu ostatniego roku, podczas gdy spadek stwierdziło tylko 5%.

Firmy obawiają się przede wszystkim trudnych do wykrycia, ściśle ukierunkowanych ataków zwanych Advanced Persistent Threats, za którymi stoją nie pojedyńczy, szaleni osobnicy, ale zorganizowane grupy specjalistów, posiadające duże środki finansowe i wsparcie potężnych organizacji, a nawet rządów. Hakerzy tacy dysponują  technikami bardzo trudnymi do wykrycia, których  często nie znają producenci oprogramowania. Stąd luki w systemach ochrony, które są przez nich wykorzystywane. Działania w ramach Advanced Persistent  Threats pozostają  długo w ukryciu, ponieważ obliczone są na długotrwałą penetrację.

Firmy boją się ataków,  podczas których wykorzystywane jest złośliwe oprogramowanie. W ubiegłym roku mieliśmy pod tym względem do czynienia z plagą tak zwanego ransomware, czyli oprogramowania szyfrującego dyski komputerów, tak aby zablokować do nich dostęp, sparaliżować działanie firmy, przy jednoczesnym żądaniu od niej okupu.

Obawy dotyczą także tego, co historycznie rzecz biorąc było i będzie słabym ogniwem w systemie zabezpieczeń, a mianowicie czynnika ludzkiego, ataków ukierunkowanych na ludzi, wykorzystujących socjotechnikę i luki w systemie aplikacji.

− Zastanawiające jest to, że firmy dość optymistycznie oceniają dojrzałość wprowadzonych zabezpieczeń. Może to świadczyć o pewnym niedoszacowaniu ryzyka czy braku wiedzy na temat cyberzagrożeń. Natomiast optymistycznym faktem jest to, że firmy kierują swoje inwestycje w budowanie procesów odpowiedniej reakcji na cyberatak i monitorowanie bezpieczeństwa, podkreśla Michał Kurek.

Jest to zgodne ze światowymi trendami w tym zakresie, ponieważ już w dużej skali firmy zdają sobie sprawę z tego, że przed cyberatakiem nie są w stanie całkiem się zabezpieczyć i muszą być na niego przygotowane, tak aby szybko go wykryć i zminimalizować straty poprzez odpowiednią reakcję.

Firmy były też pytane co jest dla nich główną barierą w budowaniu cyberbezpieczeństwa. Największy problem w tej dziedzinie to, nie tak, jak kiedyś brak pieniędzy na systemy zabezpieczające, ale  pozyskanie odpowiedniej kadry. Dla 49% przedsiębiorstw zatrudnienie i utrzymanie wykwalifikowanych pracowników staje się największym wyzwaniem w zakresie uzyskania oczekiwanego poziomu zabezpieczeń, istotniejszym nawet niż niewystarczający budżet. Na tę ostatnią niedogodność wskazuje 47% respondentów.

Prawie połowa firm wykorzystuje outsourcing usług bezpieczeństwa w zakresie wsparcia, w reakcji na wystąpienie cyberataku. Jednak w sumie aż 38% firm nie realizuje żadnych działań lub nie rozpoczęło analizy luk, weryfikującej zgodność z wymogami RODO.

− Jeżeli chodzi o wdrożenie wymagań wynikających z rozporządzenia o ochronie danych osobowych, to wygląda na to, że nawet 75%  przedsiębiorstw w Polsce może nie zdążyć z wdrożeniem rozwiązań w tym zakresie- zaznacza Krzysztof  Radziwon, partner KPMG, szef zespołu ds. zarządzania ryzykiem.

Faktyczne wymagania pojawiły się w 2016 roku , aczkolwiek  z przeprowadzonego badania widać, że firmy zajęły się  ich wdrażaniem dopiero obecnie, co może oznaczać, że nie zdążą do majowego terminu 2018 roku. Przedsiębiorstwa dobrze radzą sobie z tymi obszarami, które wymagają zmian  w dokumentacji czy też w zakresie szkoleń. Poradziły sobie z inwentaryzowaniem danych osobowych, natomiast mają duże problemy w tych obszarach, w których wymagane są zmiany czy to w technologiach stosowanych w organizacji czy przy wdrożeniach zupełnie nowych rozwiązań, nieobecnych dotychczas w polskich regulacjach. Należą do nich, na przykład: wymóg związany z okresowym badaniem bezpieczeństwa poszczególnych rozwiązań funkcjonujących w organizacji, czy też wymogi związane z weryfikacją zasad bezpieczeństwa stosowanych przez podmioty trzecie, działające na zlecenie usługodawców.

Analizując stan zaawansowania wdrożenia wymogów wynikających z rozporządzenia o ochronie danych osobowych, warto zwrócić uwagę na fakt, że jeżeli chodzi o przedsiębiorstwa deklarujące obecnie pełną zgodność, znaczna ich większość to firmy relatywnie małe, zatrudniające do 250 osób. Przedsiębiorstwa większe, zatrudniające powyżej 250 osób, i dysponujące przychodem przekraczającym 100 mln złotych rocznie,  są na etapie analizy luki w systemach aplikacji, lub na etapie wdrażania wymagań.

W przypadku przedsiębiorstw deklarujących brak jakichkolwiek działań w zakresie wdrożenia wymagań wynikających z RODO, również dominują tutaj  firmy małe, czyli te które traktują elementy związane z ochroną danych osobowych  relatywnie lekceważąco, być może nie dysponując w swoich zasobach dużymi bazami danych osobowych. Przedsiębiorstwa duże zatrudniające ponad 250 osób deklarują gotowość wdrożenia wymagań do 25 maja 2018 roku, w zdecydowanie większym stopniu niż przedsiębiorstwa małe. Jednak zaledwie 6% tych większych firm zapewnia o osiągnięciu już teraz pełnej gotowości.  

Dariusz Kwiatkowski