Amerykańskie Centrum Studiów Strategicznych i Międzynarodowych szacuje, że kradzież danych oraz praw autorskich to koszt pomiędzy 375 a 575 miliardów USD rocznie. Jest to wyzwanie, z którym zmierzyć się muszą organizacje na całym świecie, także w Polsce.
Podstawowym problemem, z jakim spotykamy się w naszym kraju, jest bardzo niski poziom edukacji i świadomości cyberzagrożeń. Co trzeci ankietowany przez firmę doradczą EY w 17. Światowym Badaniu Bezpieczeństwa Informacji albo nieprawidłowo ocenia, ile czasu jego firmie zajmuje reakcja na naruszenie bezpieczeństwa informacji, albo w ogóle nie jest w stanie odpowiedzieć na to pytanie. 12% przedsiębiorstw reaguje na atak w ciągu 10 minut, a 25% w ciągu godziny. 56% firm przyznaje, że miałoby problem z identyfikacją i wczesnym wykryciem zagrożeń. Na ten problem w obszarze administracji państwowej wskazuje jeden z raportów Najwyższej Izby Kontroli z 2014 roku. W szeroko rozumianej sferze biznesowej, poza nielicznymi wyjątkami, sytuacja nie wygląda o wiele lepiej.
Co jest powodem takiego stanu? Na problem należy spojrzeć z trzech perspektyw. Pierwsza dotyczy małej świadomości dotyczącej zagadnień cyberbezpieczeństwa. Większość firm nie rozumie, czym skutkuje wprowadzenie nowych technologii i jakie zagrożenia są z nimi związane. Dotyczy to w szczególności starszego pokolenia zarządzającego, dla którego sieć, Internet i technologia informatyczna stanowią wciąż pewną egzotykę. Po drugie problemem są koszty związane z prawidłowym zabezpieczeniem systemów informatycznych. W wielu przypadkach prawie całkowicie niezabezpieczone systemy informatyczne przedsiębiorstw tylko czekają, aby je „obrabować”. Co charakterystyczne dla naszego rynku, firmy często nie znajdują uzasadnienia biznesowego dla implementacji prawidłowych zabezpieczeń systemów IT. Wolą ryzykować. Efektem problemów budżetowych jest także to, że 53% organizacji nie ma odpowiednio wyszkolonych pracowników, a tylko w 5% firm istnieje specjalny zespół do analizowania ryzyka cyberataków. To jest typowy syndrom gospodarki będącej w fazie wzrostu z małą świadomością i wiedzą liderów. Poza tym brakuje w naszym kraju systemowego procesu edukacyjnego. Warto zauważyć, że większość programów edukacyjnych dotyczących cyberbezpieczeństwa to wiedza pochodząca od producentów rozwiązań, nie zaś systemowy know‑how budujący wiedzę od podstaw.
Te elementy są bardzo mocno skorelowane ze strategią zarządzania ryzykiem. W Polsce jest ona zupełnie inna niż w krajach rozwiniętych. Zasadnicza różnica polega na wyborze sposobu postępowania z ryzykiem. W dojrzałych gospodarkach po ocenie jego stopnia dobiera się mechanizmy zabezpieczające, następnie poszukuje sposobów transferu lub ubezpieczenia ryzyka. Potem następuje świadoma akceptacja zagrożeń, a na końcu podejmuje się działania zapobiegające pojawianiu się czynników ryzyka w przyszłości. Taka kolejność działań gwarantuje odpowiednie podejście do problemu i dobór rozwiązań adekwatnych do kosztów. Niestety, często polska praktyka jest inna. Kolejność działań się zmienia. Najczęściej priorytet zyskuje transfer ryzyka, co w praktyce oznacza przerzucenie go na partnera biznesowego lub dostawcę. W drugim kroku zabezpiecza się najistotniejsze elementy systemu teleinformatycznego z uwzględnieniem obowiązujących wymogów prawa. W trzecim – firmy starają się unikać zagrożeń, nieświadomie akceptując ryzyko.
Takie podejście uniemożliwia skuteczne dbanie o bezpieczeństwo, a co gorsza, jest powszechnie akceptowane i tolerowane. Efektem tego jest powszechna niemoc rzeczywistej oceny problemu cyberbezpieczeństwa w naszym kraju oraz unikanie tematu zagrożeń pochodzących z cyberświata.
Pewną specyfiką naszego regionu jest ponadto brak krajowych technologii ochrony cyberprzestrzeni oraz bardzo mała koncentracja rynku cyberzabezpieczeń. W większości przypadków systemy ochrony przed cyberzagrożeniami są standardowymi rozwiązaniami pochodzącymi ze stajni gigantów technologicznych. Są na tyle kosztowne, że dostępne często jedynie dla dużych przedsiębiorstw. Użytkownicy indywidualni i rynek MŚP mają w naszym kraju bardzo poważne problemy z dostępem do odpowiednich zabezpieczeń. Jest to po części spowodowane tym, że użytkownicy mają małą świadomość problemu. Z powodu braku krajowych ośrodków naukowo‑rozwojowych oraz systematycznej edukacji zarówno Polska, jak i inne kraje naszego regionu zależą od dostawców zachodnich. Niestety, nic nie wskazuje na to, aby w najbliższym czasie sytuacja się zmieniła.
Walkę z cyberzagrożeniami trzeba prowadzić nie poprzez reagowanie na nie, ale przez ich przewidywanie. EY wyodrębnił trzy poziomy dojrzałości bezpieczeństwa w przedsiębiorstwach: aktywacji, adaptacji i antycypacji. Ten ostatni zakłada proaktywne podejście do cyberbezpieczeństwa. Firmy operujące na tym poziomie posiadają specjalne zespoły zajmujące się monitorowaniem zagrożeń (tzw. Security Operations Centers), które są w stanie przewidzieć cyberataki i wdrożyć odpowiednie zabezpieczenia. Firmy potrzebują też jasnej strategii cyberbezpieczeństwa, która obejmuje również ich partnerów biznesowych, dostawców lub klientów. Do tego niezbędne są takie elementy, jak szkolenia pracowników i odpowiednie procedury. Trzeba pamiętać, że cyberbezpieczeństwo nie jest wyłącznie problemem technicznym. Rzutuje na cały biznes.
PRZECZYTAJ TAKŻE: Największe wyzwanie dla bezpieczeństwa IT »
Smartfony i tablety zagrażają danym
Kazimierz Klonecki , Michał Kurek PLTechnologie mobilne stanowią w firmach największe wyzwanie dla bezpieczeństwa IT – wynika ze ¦wiatowego Badania Bezpieczeństwa Informacji przeprowadzonego przez firmę doradczą EY. Ataki na systemy IT, kradzieże danych oraz nieświadome działania ludzkie to główne rodzaje ryzyka. Zmagają się z nimi firmy, organizacje publiczne i prywatni użytkownicy.
