MENU
Advertisement

Raport PwC: polskie firmy zwiększają nakłady na bezpieczeństwo IT

11 grudnia 2014CSO, Polecane tematy

W ostatnim roku liczba cyberataków notowanych na świecie wzrosła o 48% do ponad 117 tys. dziennie – wynika z najnowszego raportu PwC pt. „Zarządzanie ryzykiem w cyberprzestrzeni”. W sumie uczestnicy światowego badania odnotowali ok. 42,8 mln naruszeń cyberbezpieczeństwa. W Polsce w ostatnim roku mamy do czynienia ze wzrostem na poziomie 41%.

cybercrime

 

Rocznie na cyberprzestępczości gospodarka światowa traci ok. 375 mld USD, co w przeliczeniu na firmę daje straty w wysokości średnio ok. 2,7 mln USD w 2014 r. Oznacza to, że koszty ponoszone przez firmy na świecie w związku z cyberatakami wzrosły w ciągu roku aż o 34%. Tymczasem w Polsce respondenci w większości nie wiedzą jak duże straty ponieśli w związku z incydentem bezpieczeństwa.

70% nadużyć zostało popełnionych przez obecnych (48%), często nieświadomie, lub byłych pracowników (22%), a jedynie 35% przez hakerów, często wykorzystujących w ataku pracowników właśnie. Pracownik to przede wszystkim medium dla przenoszenia złośliwego oprogramowania, obiekt ataku phishingowego i wykorzystującego socjotechnikę.

Tak duża rozbieżność danych pomiędzy Polską, a światem wskazuje, że na naszym rynku analiza liczby i kosztów incydentów w sposób stały i systemowy nie jest jeszcze prowadzona. Trzeba także podkreślić, że zarządzanie bezpieczeństwem w cyberprzestrzeni to w dużej mierze obszar działania IT, ale jednocześnie nie jest to tylko sprawa działu IT” – mówi Piotr Urban, partner, lider zespołu ds. zarządzania ryzykiem w PwC. „Ryzyka związane z prowadzeniem biznesu w cyberprzestrzeni, takie jak utrata reputacji, przerwa w sprzedaży, straty finansowe, kary od regulatora, kradzież tajemnicy handlowej – niosąca skutki dla innowacji, badań i rozwoju – to tematy ważne dla dyrektora finansowego, dyrektora sprzedaży, szefów ds. operacyjnych, służb PR czy pracowników. Dlatego powinny znaleźć się na mapie najważniejszych ryzyk monitorowanych przez rady nadzorcze i dyrektora audytu wewnętrznego” – dodaje.

Tymczasem niewiele organizacji w Polsce ma strategię bezpieczeństwa i jasno określone najważniejsze aktywa, które powinny podlegać ochronie. A to przecież podstawa do dyskusji, jak inwestować w bezpieczeństwo – a inwestować trzeba, poglądowo na poziomie 4-5% budżetów przeznaczanych w firmach na IT.

Nakłady na bezpieczeństwo

Jak wynika z badania PwC, prawie 50% członków zarządów na świecie podziela obawy związane z cyber-zagrożeniami. Jednocześnie jednak nakłady przeznaczane na bezpieczeństwo na świecie zmalały o 4% w porównaniu z 2013 rokiem. W Polsce w tegorocznym badaniu deklarowany budżet na bezpieczeństwo stanowi średnio 5,5% nakładów na IT, co zbliża polskie firmy do przedsiębiorstw zagranicznych (rok temu zaledwie 2,7%).

Udział nakładów na bezpieczeństwo w budżecie IT

pwc_wydatki_na_bezpieczenstwo

Co ważne, na naszym rynku panuje przekonanie, że wydatki na bezpieczeństwo wzrosną w ciągu 12 miesięcy (zdaniem 43% respondentów) lub pozostaną na tym samym poziomie (28%). To ważny sygnał, ponieważ zmniejszenie dystansu polskich firm w zakresie bezpieczeństwa będzie wymagało większych wydatków na przestrzeni najbliższych 3 lat. Pozytywny jest także fakt, że polskie firmy nie przewidują odkładania zaplanowanych projektów z zakresu wzmacniania bezpieczeństwa.

Na świecie najwyższe wzrosty w wydatkach na bezpieczeństwo wykazuje branża ochrony zdrowia i ubezpieczeń medycznych (66%), branża ropy naftowej i gazu (15%) oraz usług komunalnych (9%). W tym roku sektor ochrony zdrowia i ubezpieczeń medycznych wykazał 60% wzrost wykrytych incydentów, co doprowadziło do zwiększenia strat finansowych o 282% w porównaniu z rokiem 2013. Branża ochrony zdrowia i ubezpieczeń medycznych musi zwiększać nakłady na inwestycje zapewniające bezpieczeństwo, przygotowując się na wprowadzenie połączonych sieciowo urządzeń do monitorowania stanu zdrowia i wzrostu ilości danych – tego, co niesie za sobą Internet Rzeczy.

Na świecie najwyższe wzrosty w wydatkach na bezpieczeństwo wykazuje branża ochrony zdrowia i ubezpieczeń medycznych (66%), branża ropy naftowej i gazu (15%) oraz usług komunalnych (9%). W tym roku sektor ochrony zdrowia i ubezpieczeń medycznych wykazał 60% wzrost wykrytych incydentów, co doprowadziło do zwiększenia strat finansowych o 282% w porównaniu z rokiem 2013.

Obecna sieć wzajemnych powiązań w biznesie wymaga zmiany podejścia. Trzeba odejść od koncentracji na zapobieganiu incydentom bezpieczeństwa i założyć, że ryzyko już się zmaterializowało. Priorytetem wówczas staje się jak najszybsze wykrycie naruszenia oraz ochrona najbardziej wartościowych aktywów i procesów kluczowych dla funkcjonowania firmy. Potrzebne są mądre strategie bezpieczeństwa i holistyczne podejście obejmujące nie tylko technologię, ale również procesy i – przede wszystkim – ludzi” – podkreśla Piotr Urban.

Źródła naruszeń w Polsce i na świecie

Po raz kolejny obecni i byli pracownicy okazali się głównymi podejrzanymi o cyberprzestępstwa – polscy ankietowani wskazywali ich odpowiednio w 48% i 22% przypadków oraz 35% i 30% w globalnej ankiecie. „Trzeba jednak pamiętać, że pracownik zazwyczaj jest wykorzystywany jedynie jako środek do przenoszenia złośliwego oprogramowania, czy obiekt ataku phishingowego – stając się w ten sposób narzędziem w ręku rzeczywistych sprawców. Stąd tak ważne jest zwiększanie świadomości pracowników, współpraca z partnerami biznesowymi w zakresie bezpieczeństwa oraz podnoszenie zdolności firmy do wykrywania incydentów oraz szybkość reakcji” – podkreśla Rafał Jaczyński, dyrektor w zespole bezpieczeństwa biznesu PwC.

Z podmiotów zewnętrznych to hakerzy są najczęściej wskazywanym źródłem incydentów bezpieczeństwa – ok. 35% w Polsce (24% na świecie), podmioty i organizacje zagraniczne są wymieniane przez ok. 17% badanych (9% na świecie), podczas gdy konkurencja jest źródłem w 9% (na świecie 24%) przypadków.

Bezpieczeństwo informacji polega dziś przede wszystkim na współpracy ludzi, procesów i technologii – a sztuką jest skierowanie inwestycji we właściwe miejsca i dobranie właściwych proporcji pomiędzy prewencją, detekcją zagrożeń i reakcją na nie. Koncentracja na czynniku ludzkim i bezpieczeństwie środowiska biurowego może w znaczący sposób wpłynąć na poprawę bezpieczeństwa” – dodaje.

Wśród osób wchodzących w skład sieci powiązań firmy, na drugim miejscu pod względem generowania incydentów bezpieczeństwa w Polsce znaleźli się partnerzy biznesowi wskazywani przez 22% respondentów, dostawcy usług i konsultanci – 17% oraz klienci wskazani przez 9% badanych. Z podmiotów zewnętrznych to hakerzy są najczęściej wskazywanym źródłem incydentów bezpieczeństwa – ok. 35% w Polsce (24% na świecie), podmioty i organizacje zagraniczne są wymieniane przez ok. 17% badanych (9% na świecie), podczas gdy konkurencja jest źródłem w 9% (na świecie 24%) przypadków.

Mimo rosnącej skali naruszeń, ok. 75% ankietowanych na rynku amerykańskim przyznało, że rezygnuje z zaangażowania organów ścigania i możliwości wniesienia oskarżeń w przypadku przestępstw popełnianych przez osoby z wewnątrz firmy. „ Kluczowe jest wcześniejsze przygotowanie strategii na wypadek wystąpienia cyberprzestępstwa. Właściwa reakcja powinna obejmować zaangażowanie nie tylko ekspertów technicznych, ale również prawników, specjalistów PR i osób doświadczonych we współpracy z organami ścigania. W sytuacji kryzysu wywołanego włamaniem do systemów, kiedy istotna jest zarówno trafność podejmowanych decyzji, jak i ich czas, brak strategii działania zwiększa ryzyko utraty reputacji oraz informacji istotnych do przeprowadzenia pełnego dochodzenia” – stwierdza Rafał Jaczyński.

Zwiększenie bezpieczeństwa

Jak wynika z badania globalnego, tylko 50% respondentów przeprowadza ocenę ryzyka swoich dostawców (spadek z 53% w 2013 roku), a 50% potwierdza przeprowadzenie inwentaryzacji wszystkich stron trzecich, które mają styczność z danymi osobowymi pracowników i klientów. Nieco ponad połowa (54%) respondentów ma oficjalną politykę, która wymaga od stron trzecich przestrzegania swoich zasad poufności, co stanowi spadek wobec 58% w 2013 roku.

W polskim badaniu prawie 40% firm wskazuje, iż nie wie kto był sprawcą cyberataku, podczas gdy na świecie trudności z identyfikacją źródła naruszeń ma jedynie 18% respondentów.

Jednym z kluczowych aspektów ochrony jest nadzór nad usługodawcami i partnerami biznesowymi, gdyż zaufani dostawcy mają często dostęp do sieci wewnętrznej firmy. Przedsiębiorstwo ma w tym przypadku do dyspozycji szereg narzędzi np. dobrze skonstruowaną umowę prawną, stały monitoring i kontrolę do jakich zasobów ma dostęp strona trzecia, przy czym monitoring powinien obejmować zarówno własne systemy, jak i cykliczne audyty w lokalizacjach dostawcy. Ważnym elementem jest także szkolenie i uświadamianie pracowników, ponieważ często to ludzie są najsłabszym ogniwem w łańcuchu bezpieczeństwa. Skuteczne uświadamianie kwestii bezpieczeństwa wymaga również zaangażowania na wszystkich szczeblach organizacji” – wyjaśnia Patryk Gęborys, menedżer w zespole bezpieczeństwa biznesu PwC Polska.

Tymczasem tylko 49% respondentów twierdzi, że w ich firmie jest zespół międzydziałowy, który regularnie zbiera się, by koordynować i komunikować się w sprawach dotyczących bezpieczeństwa informacji.

Spółki, które mają programy budowania świadomości w obszarze bezpieczeństwa, zgłaszają znacznie niższe straty finansowe z tytułu incydentów w sieci. Inwestowanie środków w kwalifikacje ludzi zmniejsza bowiem ryzyko oraz pozwala na szybkie reagowanie na incydenty i ograniczanie ich skutków” –wyjaśnia Patryk Gęborys. „Skuteczne zabezpieczenia wymagają również wiedzy na temat obecnych i przyszłych wrogów, łącznie z motywami, zasobami i metodami ataku, a do tego potrzebna jest analiza i monitorowanie zagrożeń oraz współpraca z innymi firmami, organami porządku publicznego i innymi podmiotami” – dodaje.

Terroryzm i przestępczość zorganizowana a bezpieczeństwo IT

Cyberprzestępstwa, które często przyciągają najwięcej uwagi – infiltracja przez terrorystów, przestępczość zorganizowaną i konkurencję – są najrzadsze. Według badania globalnego ok. 10% naruszeń bezpieczeństwa jest skutkiem terroryzmu, podczas gdy polscy respondenci wskazują na takie przyczyny w ok. 4% przypadków. Zdaniem ankietowanych przestępczość zorganizowana jest źródłem 4% incydentów w Polsce i 15% na świecie (w zeszłym roku było to 10% w Polsce i 12% na świecie). W podziale na regiony liczba incydentów spowodowanych przez przestępczość zorganizowaną była szczególnie wysoka w Malezji (35%), Indiach (22%) i Brazylii (18%).

W tym roku 60% respondentów z Polski (54% globalnie) twierdzi, że wdrożyło strategię bezpieczeństwa dla urządzeń przenośnych. Z uwagi na ryzyko związane z mobilnością nadal nie jest to wiele, ale i tak więcej niż 44%, co było wynikiem za 2013 rok.

Państwa prowadzące agresywną politykę w cyberprzestrzeni często celują w głównych dostawców infrastruktury w celu kradzieży własności intelektualnej i tajemnic handlowych, co jest środkiem do uzyskania przewagi politycznej i gospodarczej. W związku z tym nie jest niespodzianką, że patrząc na wyniki globalne incydenty ze strony obcych państw są najczęstsze w takich sektorach jak sektor ropy naftowej i gazu (11%), lotniczy i technologii kosmicznych, obronny (9%), technologiczny (9%), a także telekomunikacyjny (8%).

Wzrasta liczba firm zabezpieczających urządzenia mobilne

W tym roku 60% respondentów z Polski (54% globalnie) twierdzi, że wdrożyło strategię bezpieczeństwa dla urządzeń przenośnych. Z uwagi na ryzyko związane z mobilnością nadal nie jest to wiele, ale i tak więcej niż 44%, co było wynikiem za 2013 rok. Zarządzanie urządzeniami przenośnymi MDM (Mobile Device Management) i zarządzanie aplikacjami przenośnymi MAM (Mobile Application Management) to rozwiązania niezbędne do zabezpieczenia floty urządzeń danej firmy. W tym roku 59% respondentów z Polski twierdzi, że stosuje rozwiązania MDM/ MAM, co jest poprawą w stosunku do 48% w poprzednim roku.

Zaawansowanie w dziedzinie bezpieczeństwa urządzeń mobilnych jest wyższe w większych firmach, które generalnie mają bardziej rozwinięte systemy bezpieczeństwa. Z punktu widzenia sektorów gospodarki, największe postępy w tej dziedzinie odnotowały firmy z sektora finansowego, telekomunikacyjne i produktów przemysłowych.

The following two tabs change content below.
Adam Jadczak

Adam Jadczak

O IT w biznesie pisze od 23 lat. Specjalizuje się w zagadnieniach związanych z rynkiem IT oraz informatyką w zastosowaniach biznesowych. Od września 2013 roku redaktor naczelny serwisu ITwiz.pl, od kwietnia 2014 roku redaktor naczelny magazynu ITwiz. Pomysłodawca raportu ITwiz Best 100 „Dwa oblicza IT”, wydanego w czerwcu 2015 roku.

Podobne tematy:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

« »

Zapisz się na nasz newsletter - otrzymasz 2 raporty

Ponad 50-cio stronicowe wydania w wersji PDF:

1. "Biznes In-memory"
2. "Cloud Computing:
      Aplikacje i Infrastruktura"

Wyślemy do Ciebie maksymalnie 4 wiadomości w miesiącu.

Dziękujemy

Na podany e-mail wysłaliśmy link z prośbą o weryfikację
adresu. Po kliknięciu w link otrzymasz dostęp do raportów.