Polskie firmy zwiększają nakłady na zarządzanie bezpieczeństwem w cyberprzestrzeni

Start adding items to your reading lists:
or
Save this item to:
This item has been saved to your reading list.

Polskie firmy zwiększają nakłady na zarządzanie bezpieczeństwem w cyberprzestrzeni

Rośnie liczba i skala cyberataków w Polsce i na świecie

W ostatnim roku liczba cyberataków notowanych na świecie przez ankietowane przez PwC firmy wzrosła o 48% czyli do ponad 117 tys. ataków dziennie – wynika z najnowszego raportu PwC  pt. „Zarządzanie ryzykiem w cyberprzestrzeni”. W sumie uczestnicy światowego badania odnotowali ok. 42,8 mln naruszeń cyberbezpieczeństwa. Sytuacja w Polsce zbliżona jest do dynamiki obserwowanej w Europie, gdzie w ostatnim roku mamy do czynienia ze wzrostem na poziomie 41%.

Zarządzanie ryzykiem w cyberprzestrzeni

Rocznie na cyberprzestępczości gospodarka światowa traci ok. 375 mld USD  - 575 mld USD26,co  w przeliczeniu na firmę daje straty w wysokości średnio ok. 2,7 mln USD w 2014 r. Oznacza to , że koszty ponoszone przez firmy na świecie w związku z cyberatakami wzrosły w ciągu ostatniego roku aż o 34%.

Tymczasem w Polsce respondenci w większości nie wiedzą jak duże straty ponieśli w związku z incydentem bezpieczeństwa.

"Tak duża rozbieżność danych pomiędzy Polską a światem wskazuje, że na naszym rynku analiza liczby i kosztów incydentów w sposób stały i systemowy nie jest jeszcze prowadzona. Trzeba także podkreślić, że zarządzanie bezpieczeństwem w cyberprzestrzeni to w dużej mierze obszar działania IT, ale jednocześnie nie jest to tylko sprawa działu IT. Ryzyka związane z prowadzeniem biznesu w cyberprzestrzeni takie jak utrata reputacji, przerwa w sprzedaży, straty finansowe, kary od regulatora, kradzież tajemnicy handlowej - niosąca skutki dla innowacji, badań i rozwoju - to tematy ważne dla dyrektora finansowego, dyrektora sprzedaży, szefów ds. operacyjnych, służb PR czy pracowników. Dlatego powinny znaleźć się na mapie najważniejszych ryzyk monitorowanych przez rady nadzorcze i dyrektora audytu wewnętrznego” – mówi Piotr Urban, partner, lider zespołu ds. zarządzania ryzykiem w PwC. „Tymczasem niewiele organizacji w Polsce ma strategię bezpieczeństwa i jasno określone najważniejsze aktywa, które powinny podlegać ochronie. A to przecież podstawa do dyskusji, jak inwestować w bezpieczeństwo - a inwestować trzeba, poglądowo na poziomie 4-5% budżetów przeznaczanych w firmach na IT.”

Nakłady na bezpieczeństwo

Jak wynika z badania PwC, prawie 50% członków zarządów na świecie podziela obawy związane z cyber-zagrożeniami38. Jednocześnie jednak nakłady przeznaczane na bezpieczeństwo na świecie zmalały o 4%  w porównaniu z 2013 rokiem.

W Polsce w tegorocznym badaniu deklarowany budżet na bezpieczeństwo stanowi średnio 5,5% nakładów na IT, co zbliża polskie firmy do przedsiębiorstw zagranicznych (rok temu zaledwie 2,7%). Co ważne, na naszym rynku panuje przekonanie, że wydatki na bezpieczeństwo wzrosną w ciągu 12 miesięcy (zdaniem 43% respondentów) lub pozostaną na tym samym poziomie (28%). To ważny sygnał, ponieważ zmniejszenie dystansu polskich firm w zakresie bezpieczeństwa będzie wymagało większych wydatków na przestrzeni najbliższych 3 lat, niż w zachodnich firmach od wielu lat wdrażających strategie w tym obszarze. Pozytywny jest także fakt, że polskie firmy nie przewidują odkładania zaplanowanych projektów z zakresu wzmacniania bezpieczeństwa.

Na świecie najwyższe wzrosty w wydatkach na bezpieczeństwo wykazuje branża ochrony zdrowia i ubezpieczeń medycznych (66%), branża ropy naftowej i gazu (15%) oraz usług komunalnych (9%). W tym roku sektor ochrony zdrowia i ubezpieczeń medycznych wykazał 60% wzrost wykrytych incydentów, co doprowadziło do zwiększenia strat finansowych o 282% w porównaniu z rokiem 2013. Branża ochrony zdrowia i ubezpieczeń medycznych musi zwiększać nakłady na inwestycje zapewniające bezpieczeństwo, przygotowując się na wprowadzenie połączonych sieciowo urządzeń do monitorowania stanu zdrowia i wzrostu ilości danych – tego, co niesie za sobą Internet Rzeczy (ang. Internet  of Things).

„Obecna sieć wzajemnych powiązań w biznesie wymaga zmiany podejścia – trzeba odejść od koncentracji na zapobieganiu incydentom bezpieczeństwa i założyć, że ryzyko już się zmaterializowało. Priorytetem wówczas – oprócz zapobiegania - staje się jak najszybsze wykrycie naruszenia oraz ochrona najbardziej wartościowych aktywów i procesów kluczowych dla funkcjonowania firmy. Potrzebne są mądre strategie bezpieczeństwa i holistyczne podejście obejmujące nie tylko technologię, ale również procesy i - przede wszystkim - ludzi” – podkreśla Piotr Urban, partner, lider zespołu ds. zarządzania ryzykiem PwC.

Źródła naruszeń w Polsce i na świecie

Po raz kolejny obecni i byli pracownicy okazali się głównymi podejrzanymi o cyberprzestępstwa - polscy ankietowani wskazywali ich odpowiednio w 48% i 22% przypadków oraz 35% i 30%  w globalnej ankiecie.

„Trzeba jednak pamiętać, że pracownik zazwyczaj jest wykorzystywany jedynie jako środek do przenoszenia złośliwego oprogramowania, czy obiekt ataku phishingowego - stając się w ten sposób narzędziem w ręku rzeczywistych sprawców. Stąd tak ważne jest zwiększanie świadomości pracowników, współpraca z partnerami biznesowymi w zakresie bezpieczeństwa oraz podnoszenie zdolności firmy do wykrywania incydentów oraz szybkość reakcji” – podkreśla Rafał Jaczyński, dyrektor w zespole bezpieczeństwa biznesu PwC. „Bezpieczeństwo informacji polega dziś przede wszystkim na współpracy ludzi, procesów i technologii – a sztuką jest skierowanie inwestycji we właściwe miejsca i dobranie właściwych proporcji pomiędzy prewencją, detekcją zagrożeń i reakcją na nie. Koncentracja na czynniku ludzkim i bezpieczeństwie środowiska biurowego może w znaczący sposób wpłynąć na poprawę bezpieczeństwa”.

Wśród osób wchodzących w skład sieci powiązań firmy, na drugim miejscu pod względem generowania incydentów bezpieczeństwa w Polsce znaleźli się partnerzy biznesowi wskazywani przez 22% respondentów, dostawcy usług i konsultanci - 17% oraz klienci wskazani przez  9% badanych.

Z podmiotów zewnętrznych to hakerzy są najczęściej wskazywanym źródłem incydentów bezpieczeństwa - ok. 35% w Polsce (24% na świecie), podmioty i organizacje zagraniczne są wymieniane przez ok. 17% badanych (9% na świecie), podczas gdy konkurencja jest źródłem w 9% (na świecie 24%) przypadków.

Co istotne, w polskim badaniu prawie 40% firm wskazuje, iż nie wie kto był sprawcą cyberataku, podczas gdy na świecie trudności z identyfikacją źródła naruszeń ma jedynie 18% respondentów.

Mimo rosnącej skali naruszeń, ok. 75% ankietowanych na rynku amerykańskim przyznało, że rezygnuje z zaangażowania organów ścigania i możliwości wniesienia oskarżeń w przypadku przestępstw popełnianych przez osoby z wewnątrz firmy. 

„ Kluczowe jest wcześniejsze przygotowanie strategii na wypadek wystąpienia cyberprzestępstwa. Właściwa reakcja powinna obejmować zaangażowanie nie tylko ekspertów technicznych, ale również prawników, specjalistów  PR i osób doświadczonych we współpracy  z organami ścigania. W sytuacji kryzysu wywołanego włamaniem do systemów, kiedy istotna jest zarówno trafność podejmowanych decyzji, jak i ich czas, brak strategii działania zwiększa ryzyko utraty reputacji oraz informacji istotnych do przeprowadzenia pełnego dochodzenia” – stwierdza Rafał Jaczyński.

Zwiększenie bezpieczeństwa

Jak wynika z badania globalnego, tylko 50% respondentów przeprowadza ocenę ryzyka swoich dostawców (spadek z 53% w 2013 roku), a 50% potwierdza przeprowadzenie inwentaryzacji wszystkich stron trzecich, które mają styczność z danymi osobowymi pracowników i klientów. Nieco ponad połowa (54%) respondentów ma oficjalną politykę, która wymaga od stron trzecich przestrzegania swoich zasad poufności, co stanowi spadek wobec 58% w 2013 roku.

„Jednym z kluczowych aspektów ochrony jest nadzór nad usługodawcami i partnerami biznesowymi, gdyż zaufani dostawcy mają często dostęp do sieci wewnętrznej firmy. Przedsiębiorstwo ma w tym przypadku do dyspozycji szereg narzędzi np. dobrze skonstruowaną umowę prawną, stały monitoring i kontrolę do jakich zasobów ma dostęp strona trzecia, przy czym monitoring powinien obejmować zarówno własne systemy, jak i cykliczne audyty w lokalizacjach dostawcy. Ważnym elementem jest także szkolenie i uświadamianie pracowników, ponieważ często to ludzie są najsłabszym ogniwem w łańcuchu bezpieczeństwa. Skuteczne uświadamianie kwestii bezpieczeństwa wymaga również zaangażowania na wszystkich szczeblach organizacji” – wyjaśnia Patryk Gęborys, menedżer w zespole bezpieczeństwa biznesu PwC Polska.

Tymczasem tylko 49% respondentów twierdzi, że w ich firmie jest zespół międzydziałowy, który regularnie zbiera się, by koordynować i komunikować się w sprawach dotyczących bezpieczeństwa informacji.

„Spółki, które mają programy budowania świadomości w obszarze bezpieczeństwa, zgłaszają znacznie niższe straty finansowe z tytułu incydentów w sieci. Inwestowanie środków w kwalifikacje ludzi zmniejsza bowiem ryzyko oraz  pozwala na szybkie reagowanie na incydenty i ograniczanie ich skutków” –wyjaśnia Patryk Gęborys.  „Skuteczne zabezpieczenia wymagają również wiedzy na temat obecnych  i przyszłych wrogów, łącznie z motywami, zasobami i metodami ataku, a do tego potrzebna jest  analiza  i monitorowanie zagrożeń oraz współpraca z innymi firmami, organami porządku publicznego i innymi podmiotami.”

Terroryzm i przestępczość zorganizowana

Cyberprzestępstwa, które często przyciągają najwięcej uwagi – infiltracja przez terrorystów, przestępczość zorganizowaną i konkurencję – są najrzadsze. Według badania globalnego ok. 10% naruszeń bezpieczeństwa jest skutkiem terroryzmu, podczas gdy polscy respondenci wskazują na takie przyczyny w ok. 4% przypadków. Zdaniem ankietowanych przestępczość zorganizowana jest źródłem 4% incydentów w Polsce i 15% na świecie (w zeszłym roku było to 10% w Polsce i 12% na świecie). W podziale na regiony liczba incydentów spowodowanych przez przestępczość zorganizowaną była zdaniem badanych szczególnie wysoka w Malezji (35%), Indiach (22%), i Brazylii (18%).

Państwa prowadzące agresywną politykę w cyberprzestrzeni często celują w głównych dostawców infrastruktury w celu kradzieży własności intelektualnej i tajemnic handlowych, co jest środkiem do uzyskania przewagi politycznej i gospodarczej. W związku z tym nie jest niespodzianką, że patrząc na wyniki globalne incydenty ze strony obcych państw są najczęstsze w takich sektorach jak sektor ropy naftowej i gazu (11%), lotniczy i technologii kosmicznych, obronny (9%), technologiczny (9%),  a także telekomunikacyjny (8%).

Urządzenia mobilne

W tym roku 60% respondentów z Polski (54% globalnie) twierdzi,  że wdrożyło strategię bezpieczeństwa dla urządzeń przenośnych. Z uwagi na ryzyko związane z mobilnością nadal nie jest to wiele, ale i tak więcej niż 44%, co było wynikiem za 2013 rok. Zarządzanie urządzeniami przenośnymi (Mobile Device Management – MDM)  i zarządzanie aplikacjami przenośnymi (Mobile Application Management – MAM) to rozwiązania niezbędne  do zabezpieczenia floty urządzeń danej firmy. 

W tym roku 59% respondentów z Polski twierdzi, że stosuje rozwiązania MDM/ MAM, co jest poprawą w stosunku do 48% w poprzednim roku. Zaawansowanie w dziedzinie bezpieczeństwa urządzeń mobilnych jest wyższe w większych firmach, które generalnie mają bardziej rozwinięte systemy bezpieczeństwa. Z punktu widzenia sektorów gospodarki, największe postępy w tej dziedzinie odnotowały firmy z sektora finansowego, telekomunikacyjne i produktów przemysłowych.


Informacje o raporcie

Raport „Zarządzanie ryzykiem w cyberprzestrzeni” powstał na bazie badania globalnego „The Global State of Information Security® 2015, przeprowadzonego przez firmę PwC. Wyniki omówione w globalnym raporcie są oparte na odpowiedziach udzielonych przez ponad 9700 członków kadry kierowniczej, wśród których byli CEO, CFO, CISO, CIO, CSO, wiceprezesi i dyrektorzy ds. IT i bezpieczeństwa informatycznego ze 154 krajów. Globalne badanie zostało uzupełnione o część polską, w której udział wzięło ponad 70 firm i organizacji działających w Polsce. Głównie reprezentowane wśród polskich respondentów branże to sektor finansowy (bankowość i ubezpieczenia), telekomunikacyjny, przemysłu, usług doradczych oraz wytwarzania oprogramowania.

O zespole PwC Cyber Security

Zespół ds. bezpieczeństwa biznesu liczy w Polsce ponad 30 specjalistów pracujących na potrzeby naszego rynku, a także na projektach międzynarodowych w naszym regionie i krajach Unii Europejskiej. Polscy specjaliści współpracują także z praktyką z rynku brytyjskiego liczącą ponad  130 ekspertów ds. cyberbezpieczeństwa.

Skontaktuj się z nami

Piotr Urban
Partner
Tel.: +48 502 184 157
Email

Skontaktuj się z nami

Jakub Kurasz
Dyrektor, Lider ds. Komunikacji, PwC Polska
Tel.: +48 601 289 381
Email

Michał Gołębiewski
Menedżer ds. PR, PwC Polska
Tel.: +48 519 504 245
Email

Obserwuj nas