MENU

W większości polskich firm miało miejsce ponad 50 incydentów bezpieczeństwa informacji

27 marca 2017CSO, Polecane tematy

W 96% średnich i dużych przedsiębiorstw działających w Polsce w ostatnich 12 miesiącach doszło do ponad 50 cyberataków. Najczęściej wykorzystywaną metodą był atak phishingowy. Jednocześnie, aż 41% firm przemysłowych, obawia się, że w wyniku ataku hakerskiego może dojść do uszkodzenia infrastruktury – wynika z raportu firmy doradczej PwC „Ochrona biznesu w cyfrowej transformacji”.

„Cyfrowa transformacja wystawia na próbę zaufanie w cyfrowym świecie. Skuteczna ochrona systemów IT, zgromadzonych danych i informacji jest dziś kluczowym elementem dla stabilnego funkcjonowania firmy. Aż 61% prezesów firm na świecie wskazało cyberzagrożenia jako jedno z największych obszarów ryzyka dla ich biznesu” – komentuje Piotr Urban, partner w PwC, lider zespołu zarządzania ryzykiem.

Najczęstsze sposoby cyberataku na polskie firmy

Jak wynika z 4. edycji dorocznego badania „Stan bezpieczeństwa informacji w Polsce” – przeprowadzonego na potrzeby raportu PwC – w ostatnim roku 96% polskich średnich i dużych firm zanotowało ponad 50 incydentów związanych z naruszeniem bezpieczeństwa informacji lub systemów IT. W przypadku 64% liczba tego typu zdarzeń była większa niż 500. Najczęściej wykorzystywaną metodą cyberataków był atak phishingowy (39%), mający na celu zmylenie użytkownika i nakłonienie do wykonania zamierzonej operacji. Na drugim miejscu znalazło się wykorzystanie systemów IT (35%), a na trzecim użycie zewnętrznego nośnika danych (23%). W 79% przypadków wykrytych incydentów związanych z naruszeniem bezpieczeństwa informacji ich źródłem byli aktualni pracownicy firmy, natomiast 62% stanowiły ataki hakerskie.

Wśród najbardziej dotkliwych skutków cyberataków respondenci badania PwC wskazywali: narażenie na ryzyko prawne i straty finansowe (35% wskazań) oraz utrata klientów i kradzież własności intelektualnej (po 30%). Jednocześnie, aż 55% firm nie ma świadomości, jakie były efekty ataków cybernetycznych na dane w ich organizacjach biznesowych.

Jak ukazały wyniki pogłębionych wywiadów w największych firmach przemysłowych w Polsce, respondenci doskonale zdają sobie sprawę z tego jak poważne następstwa mogą za sobą pociągać incydenty w obszarze bezpieczeństwa OT. 64% ankietowanych wskazało, że ich efektem może być przerwanie procesów technologicznych w firmach, w których pracują. 43% wyraziło przekonanie, że incydenty mogą spowodować wyciek wrażliwych informacji, a 41% obawia się, że może dojść do uszkodzeń infrastruktury, co pociągnie za sobą znaczące koszty. 

„Dojrzałe organizacje dostrzegają korzyści z posiadania stałej informacji na temat cyberryzyka oraz możliwości jej wykorzystania w decyzjach biznesowych. Do tego organizacja musi jednak posiadać właściwe narzędzia umożliwiające pozyskanie, analizę, śledzenie i raportowanie otoczenia i związanych z nim ryzyk. Warto podkreślić, że takie narzędzia istnieją. Są to systemy SIEM czy DLP. Często jednak brakuje procesów, wiedzy oraz ludzi, aby możliwe było ich pełne wykorzystanie” – mówi Patryk Gęborys, wicedyrektor w zespole Cyber Security PwC.

Coraz większe środki na bezpieczeństwo IT

Z raportu PwC wynika, że średnie i duże polskie firmy przeznaczają obecnie znaczące budżety na kwestie związane z zapewnieniem bezpieczeństwa danych i systemów IT. W 48% przedsiębiorstw wydatki te są większe niż 1 mln zł, a w ponad 50% badanych firm mieszczą się w przedziale od 500 tys. zł do 1 mln zł. Jak zauważają autorzy raportu, polskie firmy rzadko podejmują dodatkowe działania w celu ochrony przed cyberzagrożeniami. Jedynie 31% prowadzi współpracę z innymi podmiotami na rzecz poprawy bezpieczeństwa i ograniczenia ryzyka w przyszłości. Jeszcze mniej, bo tylko 7%, twierdzi, że wykupiło specjalne ubezpieczenie obejmujące skutki potencjalnych cyberataków.

48% przedsiębiorstw ma wydatki na bezpieczeństwo większe niż 1 mln zł, a w ponad 50% badanych firm mieszczą się w przedziale od 500 tys. zł do 1 mln zł – wynika z badania PwC. Jak zauważają autorzy raportu, polskie firmy rzadko podejmują dodatkowe działania w celu ochrony przed cyberzagrożeniami.

„Posiadanie ogólnej strategii bezpieczeństwa nie gwarantuje jeszcze optymalnego wydatkowania środków i wyboru adekwatnych technologiczno-organizacyjnych mechanizmów zabezpieczających. Dopiero wiedza o otoczeniu i zagrożeniach, o tym co jest najistotniejsze dla organizacji i jakie zasoby powinny być chronione, pozwala na skierowanie inwestycji we właściwą stronę. Wynik badań i obserwacje rynku wskazują jednak, że nadal wydatki są kierowane punktowo i raczej na technologię, niż podniesienie poziomu dojrzałości bezpieczeństwa całej organizacji” – mówi Tomasz Sawiak, wicedyrektor w zespole Cyber Security PwC.

Rozporządzenie GDPR a cyberbezpieczeństwo

Nowe, unijne Rozporządzenie o Ochronie Danych Osobowych (RODO) wejdzie w życie 25 maja 2018 r. i będzie dotyczyć wszystkich przedsiębiorców, zastępując krajowe przepisy dotyczące ochrony danych osobowych. Dla firm przygotowanie się do nowych przepisów jest ogromnym wyzwaniem. RODO wprowadza wiele istotnych zmian w podejściu do spełnienia wymagań zabezpieczania danych osobowych. Przykładowo wszystkie incydenty związane z naruszeniem bezpieczeństwa danych osobowych będą musiały być zgłaszane w ciągu 72 godzin do organu regulacyjnego. Dodatkowo, każdy rodzaj biznesu przetwarzający takie dane będzie musiał przeprowadzić stosowne analizy ryzyka i wdrożyć adekwatne zabezpieczenia. Może to oznaczać zmianę lub konieczność nowej strategii w zakresie zarządzania danymi i wdrożenia procesów oraz technologii w celu zapewnienia inwentaryzacji i ochrony danych osobowych.

Tymczasem jak wynika z badania PwC, polskie firmy pod względem przygotowania do RODO znajdują się dopiero na początku drogi do zapewnienia zgodności z nowymi przepisami. Wśród podjętych kroków najskuteczniej zrealizowane zostało uwzględnienie mechanizmów ochrony danych osobowych w fazie projektowania nowych systemów informatycznych. Z kolei najbardziej zaniedbanymi obszarami związanymi z nowymi przepisami są: utworzenie i aktualizacja rejestru operacji przetwarzania danych osobowych, ocena skutków operacji przetwarzania oraz ograniczenie liczby operacji przetwarzania do minimum koniecznego do osiągnięcia celu, dla którego zostały zebrane.

Jak podkreślają eksperci PwC, kary za niedostosowanie się do nowych przepisów mogą być dla firm bardzo dotkliwe – do 20 mln euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa.

Bezpieczeństwo systemów przemysłowych OT (Operational Technology)

Systemy OT odpowiadają za podtrzymanie kluczowych procesów technologicznych w firmach. Cyberataki na to środowisko mogą mieć poważne i daleko idące konsekwencje. Poza stratami finansowymi, możliwe są przedłużające się przerwy w dostawie usług krytycznych, szkody wyrządzone środowisku naturalnemu, a nawet zagrożenie zdrowia i życia ludzkiego.

Jak ukazały wyniki pogłębionych wywiadów w największych firmach przemysłowych w Polsce, respondenci doskonale zdają sobie sprawę z tego jak poważne następstwa mogą za sobą pociągać incydenty w obszarze bezpieczeństwa OT. 64% ankietowanych wskazało, że ich efektem może być przerwanie procesów technologicznych w firmach, w których pracują. 43% wyraziło przekonanie, że incydenty mogą spowodować wyciek wrażliwych informacji, a 41% obawia się, że może dojść do uszkodzeń infrastruktury, co pociągnie za sobą znaczące koszty.

Wśród najbardziej dotkliwych skutków cyberataków respondenci badania PwC wskazywali: narażenie na ryzyko prawne i straty finansowe (35% wskazań) oraz utrata klientów i kradzież własności intelektualnej (po 30%). Jednocześnie, aż 55% firm nie ma świadomości, jakie były efekty ataków cybernetycznych na dane w ich organizacjach biznesowych.

Jako źródła incydentów 68% respondentów wskazało na nieautoryzowany dostęp z wnętrza organizacji. To oznacza, że podobnie jak w przypadku IT największe zagrożenie stanowią sami pracownicy, choć często odbywa się to nieświadomie.

Raport „Ochrona biznesu w cyfrowej transformacji, czyli 4 kroki do bezpiecznej firmy” został przygotowany na podstawie badania, w którym wzięli udział eksperci zajmujący się bezpieczeństwem informacji i IT w 100 dużych i średnich firmach (powyżej 100 pracowników) działających w Polsce. Badanie zostało przeprowadzone jesienią 2016 roku metodą ankiety online. Aspekty bezpieczeństwa OT zostały zbadane w ramach wywiadów pogłębionych. Polskie badanie jest częścią międzynarodowego projektu The Global State of Information Security Survey 2017, który bada 133 kraje pod kątem stanu bezpieczeństwa informacji. Raport jest dostępny na stronie internetowej pod adresem www.pwc.pl/stanbezpieczenstwa.

The following two tabs change content below.
Adam Jadczak

Adam Jadczak

O IT w biznesie pisze od 23 lat. Specjalizuje się w zagadnieniach związanych z rynkiem IT oraz informatyką w zastosowaniach biznesowych. Od września 2013 roku redaktor naczelny serwisu ITwiz.pl, od kwietnia 2014 roku redaktor naczelny magazynu ITwiz. Pomysłodawca raportu ITwiz Best 100 „Dwa oblicza IT”, wydanego w czerwcu 2015 roku.

Podobne tematy:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

« »