Według raportu State of Cybersecurity 2022 opublikowanego przez ISACA, globalnie 42% firm doświadczyło w 2022 roku wzrostu liczby ataków wymierzonych w ich zasoby informacyjne. Mimo to organizacje są do przyszłości tego obszaru nastawione optymistycznie. Połowa z nich uważa, że nie stanie się celem cyberprzestępców, a 82% jest przekonanych, że firmowe zespoły do spraw cyberbezpieczeństwa zdołają wykryć zagrożenia i właściwie zareagować. Stoi to w kontraście z raportowanymi przez organizacje niedoborami odpowiednio wyszkolonej kadry, która może skutecznie przeciwdziałać atakom.
Firma Symantec podaje z kolei, że codziennie na świecie dochodzi do ok. 2200 cyberataków. Według wspomnianego raportu ISACA, najpowszechniejszymi metodami ataku stosowanymi przez cyberprzestępców w 2022 roku były socjotechniki (13%), zaawansowane trwałe zagrożenia (12%), wykorzystanie luk w niepoprawnej konfiguracji systemów IT (10%), ransomware (10%), ataki na niezałatane systemy informatyczne (9%) oraz Denial of Service (9%). Incydenty trzeba odpowiednio skategoryzować, przeanalizować, obsłużyć i zaraportować. Do tego dochodzą fałszywe trafienia (false positives), które należy oddzielić od rzeczywistych alertów. To wszystko wymaga zasobów, w tym odpowiednio licznego i przeszkolonego personelu.
Niedobór wykwalifikowanej kadry
Raport ISACA wskazuje, że obszar cyberbezpieczeństwa wciąż cierpi na niedobór odpowiednio wyszkolonych pracowników. W niemal 50% przebadanych firm zespoły liczą od zaledwie 2 do 10 pracowników. Oczywiście brak wykwalifikowanego personelu niesie wymierne skutki i firmy borykające się z lukami kadrowymi w obszarze cyberbezpieczeństwa stają się łatwym celem kolejnych ataków.
Spośród przedsiębiorstw biorących udział w badaniu 63% przyznało, że mają problemy z obsadzeniem stanowisk związanych z bezpieczeństwem informacji. Ponadto 60% respondentów wskazało także na problemy z zatrzymaniem wykwalifikowanej kadry w strukturach organizacji. Rynek niestety nie nadąża z uzupełnianiem braków, i to pomimo malejących oczekiwań związanych z wymogami dotyczącymi wykształcenia w zakresie cyberbezpieczeństwa, zwłaszcza w przypadku pozycji juniorskich.
Choć – zdaniem respondentów – poziom kompetencji technicznych rośnie, sfera umiejętności miękkich oraz znajomość zagadnień dotyczących transformacji chmurowej wciąż pozostawiają sporo do życzenia. Odpowiedzią na brak odpowiednich kwalifikacji są szkolenia wewnętrzne oraz zwiększone zaangażowanie zewnętrznych konsultantów. Przy czym chętniej w programy szkoleniowe inwestują firmy cechujące się wysoką dojrzałością w obszarze CyberSec. Robi to 64% z nich, w porównaniu do 50% organizacji o niskiej dojrzałości – wynika z raportu Deloitte 2023 Global Future of Cyber Survey.
Co interesujące, 42% przedsiębiorstw przepytanych przez ISACA uważa, że ich budżety przeznaczone na cyberbezpieczeństwo są odpowiednie, co oznacza wzrost o 5 punktów procentowych względem raportu z 2021 roku. Jest to również najwyższy wynik od czasów pierwszego badania ISACA z 2019 roku. Ponad 50% firm spodziewa się także wzrostu poziomu finansowania. Przy czym o ile 82% respondentów twierdzi, że kierownictwo ich organizacji widzi wartość w przeprowadzaniu ocen ryzyka cyberbezpieczeństwa, o tyle faktyczne coroczne działania w tym zakresie podejmowane są jedynie u 41% ankietowanych.
W naszym raporcie 2023 Global Future of Cyber Survey – obejmującym ponad 1000 liderów z 20 krajów – wskazujemy, że „cyber” to coś więcej niż skupienie się na samej technologii – to również podstawa strategii rozwoju organizacji.
Automatyzacja cyberbezpieczeństwa
W naszym raporcie 2023 Global Future of Cyber Survey – obejmującym ponad 1000 liderów z 20 krajów – wskazujemy, że „cyber” to coś więcej niż skupienie się na samej technologii – to również podstawa strategii rozwoju organizacji. 91% przedsiębiorstw zgłosiło w 2022 roku co najmniej jeden incydent cyberbezpieczeństwa (to o 3 punkty procentowe więcej względem poprzedniego raportu), do tego aż 56% firm twierdzi, że poniosło związane z tym umiarkowane lub duże konsekwencje.
Wraz ze wzrostem zagrożenia silniej wybrzmiewają argumenty za inwestowaniem w cyberbezpieczeństwo, a sam obszar zaczyna być postrzegany jako jeden z czynników wzrostu. 86% respondentów wskazało, że inicjatywy mające na celu poprawę bezpieczeństwa informacyjnego miały znaczący, pozytywny wkład przynajmniej w jeden z istotnych obszarów biznesowych. Zwiększone nakłady finansowe pozwalają na wprowadzanie nowoczesnych rozwiązań. Dzięki sztucznej inteligencji i automatyzacji organizacje stają przed szansą zredukowania nakładu pracy poświęcanego na żmudne, powtarzalne czynności. Pozwala to także na szkolenie i przenoszenie specjalistów do ról i zadań bardziej strategicznych z punktu widzenia procesu i samej firmy.
Automatyzacja jest również odpowiedzią na braki kadrowe. Oczywiście obsługa systemów IT wymaga odpowiednio przeszkolonych specjalistów, jednak zautomatyzowane wykrywanie i klasyfikacja zdarzeń oraz w niektórych przypadkach także automatyczne ich przetwarzanie pozwalają uzupełnić luki w zasobach. Według raportu Deloitte, użycie zautomatyzowanych narzędzi do analizy zachowań, aby wykrywać i ograniczać wśród pracowników potencjalne ryzyka cyberbezpieczeństwa, deklaruje 76% respondentów – dla porównania, w raporcie z 2021 roku ich użycie zgłosiło tylko 53% badanych. Można się spodziewać, że ten odsetek będzie nadal rósł, gdyż wykorzystanie zautomatyzowanych narzędzi do analizy, wykrywania i ograniczania potencjalnego ryzyka cyberbezpieczeństwa jest już w zasadzie standardem.
Problemem bywa jednak natłok danych pochodzących m.in. z coraz bardziej zaawansowanych skanerów podatności od wiodących dostawców w tym obszarze oraz rozwiązań SIEM (Security Information and Event Management) ułatwiających zarządzanie incydentami bezpieczeństwa. Ograniczona liczba specjalistów nie jest w stanie przetworzyć tych informacji w odpowiednio krótkim czasie.
Aby przyspieszyć procesy i ograniczyć do minimum zaangażowanie analityków, wdrażane są narzędzia typu SOAR (Security Orchestration Automation & Response), które umożliwią zbieranie danych z wielu źródeł informacji, agregowanie ich i następnie przetwarzanie na dostosowane do potrzeb organizacji procesy zarządzania incydentami i podatnościami. Co więcej, zautomatyzowanie części procesów oraz zagregowanie informacji w jednym systemie pozwala analitykom skupić się na meritum wynikającym z napływających alertów, a także skrócić czas potrzebny na reakcję i działania naprawcze.
Według naszego raportu, użycie zautomatyzowanych narzędzi do analizy zachowań, aby wykrywać i ograniczać wśród pracowników potencjalne ryzyka cyberbezpieczeństwa, deklaruje 76% respondentów (53% w roku 2021).
Korzyści dla biznesu
Jak wynika z raportu 2023 Global Future of Cyber Survey, prawie 70% organizacji o wysokiej dojrzałości w obszarze cyberbezpieczeństwa dostrzega wpływ obszaru „cyber” zarówno na zwiększenie zaufania (dla 69% firm High cyber maturity, 57% Medium cyber maturity i 54% Low cyber maturity), jak i na szybsze wykrywanie potencjalnych problemów (odpowiednio: 69%, 53% i 49%).
Respondenci wskazali również pozytywny wpływ inwestycji w cyberbezpieczeństwo na obszary, takie jak poprawa reputacji marki (64%), wzrost przychodów (47%), wzrost operacyjności i stabilności łańcucha dostaw i poddostawców (59%), rekrutacja i zatrzymywanie talentów (49%), długoterminowa stabilność (64%), a także zaufanie klientów i wpływ na pozycję marki (62%).
Potrzeba automatyzacji procesów w organizacjach wciąż wzrasta, dotyczy to również obszaru cyberbezpieczeństwa. Automatyzacja, w tym także rozwiązania oparte na sztucznej inteligencji, może wesprzeć specjalistów w rutynowych i powtarzalnych działaniach. Dzięki temu będą mogli skupić się na bardziej strategicznych i funkcjonalnych zadaniach w ramach firmy, przynajmniej częściowo uwolnieni od zmagań z codziennym natłokiem alertów, incydentów i naruszeń bezpieczeństwa. Inwestycje w cyberbezpieczeństwo stają się również standardem, który w przyszłości będzie czynnikiem decydującym o zaangażowaniu i budowaniu relacji z kontrahentami, odbiorcami usług i indywidualnymi klientami.
Autorzy: Wojciech Cabała, Bartosz Olszewski, Marcin Segit