Skala szkód spowodowanych przez hakerów rośnie. Szacuje się, że wynoszą one w UE 290 mld euro, a cyberataki prowadzone są na coraz większą skalę. Nadal większość incydentów nie jest wykrywana. W przygotowaniu jest Unijne rozporządzanie, które ma te kwestie regulować.

Również w Polsce mijający rok upłynął pod znakiem ataków na istotne systemy. W połowie roku media donosiły o akcji grupy hakerskiej wymierzonej w sektor energetyczny. Odnotowano również ataki na firmy świadczące usługi medyczne.

Zdobycie informacji na temat polskiego rynku jest trudne, ponieważ firmy nie przyznają się lub nie wiedzą, że padły ofiarą informatycznego przestępstwa. Uczestnicy światowego badania zadeklarowali, że odnotowali prawie 43 miliony naruszeń cyberbezpieczeńtwa. W Europie w ostatnim roku nastąpił wzrost liczby ataków o 41 procent. Według szacunków światowa gospodarka traci na działalności hakerskiej około 575 miliardów dolarów rocznie

Zdaniem szefa zespołu do spraw zarządzania ryzykiem w PwC, Piotra Urbana symulowane ataki hakerskie pokazują, że polskie firmy nie są dostatecznie zabezpieczone przed cyberprzestępczością. Symulacje są wcześniej uzgadniane tylko z kierownictwem firmy i szefem działu bezpieczeństwa. Średni czas złamania zabezpieczeń wynosi 4 godziny. Piotr Urban dodaje, że testowane firmy wykrywają 10 procent symulowanych ataków.

Nowe regulacje UE i wymogi KNF

Zarządy firm przyglądają się nowemu unijnemu rozporządzeniu w sprawie ochrony danych, które jest w trakcie przygotowywania. Oczekuje się, że rozporządzenie doda nowe wymogi dotyczące zawiadamiania osób fizycznych o naruszeniach, wprowadzi konieczność prowadzenia ocen ryzyka i audytów dla organizacji administrujących danymi osobowymi i zwiększy znacząco kary dla przedsiębiorstw niewystarczająco je chroniących. Przedsiębiorcy zostaną zobowiązani do ujawnienia organom ochrony danych osobowych incydentów dotyczących włamań do baz z informacjami o klientach. Firmy które dziś myślą w kategoriach „mnie to nie dotyczy”, będą musiały przygotować się na zmiany i podjąć działania zabezpieczające dane osobowe lub ryzykować zapłatę wysokich kar pieniężnych.

Specjalista do spraw bezpieczeństwa w firmie doradczej PwC, Rafał Jaczyński zwraca jednak uwagę, że przedsiębiorstwa wydają na bezpieczeństwo coraz więcej pieniędzy co oznacza, że zdają sobie sprawę z powagi sytuacji. W poprzednim roku w ramach budżetu na elektronikę, ankietowane firmy przeznaczyły 2,7 procent środków na bezpieczeństwo. W tym roku jest to już 5,5 procent. Eksperci zalecają utrzymanie takiego finansowania. To pozwoli nadrobić zaległości z poprzednich lat. Średnia wydatków na bezpieczeństwo dla całego świata wynosi niecałe 4 procent. Wciąż jest to jednak za mało.

W Polsce Komisja Nadzoru Finansowego regulująca rynek bankowy wydała w 2013 roku Rekomendację D, która wyznacza nowe standardy w zakresie wymagań dla zarządzania systemami IT
i bezpieczeństwem informacji w bankach. Banki powinny się do niej dostosować do 1 stycznia 2015 roku, a kolejni uczestnicy rynku finansowego w Polsce są także sukcesywnie nią obejmowani.

Mała oferta usług zarządzania bezpieczeństwem

Należy jednak zwrócić uwagę, że Polska, w porównaniu do liderów, ma jeszcze sporo do nadrobienia
w zakresie szerokości oferty outsourcingu usług zarządzania bezpieczeństwem. Usługi tego typu są często oferowane przez małe podmioty, z definicji nie posiadające możliwości ludzkich i kapitałowych, pozwalających na spełnienie wymagań ciągłości działania i kontraktowej odpowiedzialności.

Respondenci w większości wskazują, że nie znają kosztu związanego z włamaniem do systemów albo pozostaje on w granicach 50 000 PLN. Może to wskazywać na fakt, że firmy nie zaczęły jeszcze analizować kosztów incydentów, a co za tym idzie, nie są w stanie stwierdzić jak skuteczne są ich nakłady na obszar bezpieczeństwa – wniosek taki jest uzasadniony szczególnie w świetle wyników innego badania PwC „Badanie przestępczości gospodarczej Polska 2014”, w którym 43% respondentów zadeklarowało brak wiedzy w zakresie strat i kosztów związanych z incydentami cyberbezpieczeństwa. Takie podejście ma niestety swoje konsekwencje – funkcja bezpieczeństwa jest często postrzegana przez polskie zarządy jako niepotrzebny kosztogenny narzut na organizację,
a nie element budujący przewagę konkurencyjną firmy bądź ograniczający wymierne i refutacyjne straty.

Opracowanie na podstawie raportu firmy badawczej PwC „Zarządzanie ryzykiem w cyberprzestrzeni”.

Kacper Marcinkowski