W 2013 roku aż 40 proc. przypadków utraty danych przez firmy było spowodowane wewnętrznymi zaniedbaniami i brakiem ostrożności użytkowników, a w 24 proc. przypadków przyczyną były usterki i błędy systemów informatycznych. Chociaż straty związane z cyberatakami mogą iść w miliony dolarów, firmy wciąż nie przywiązują należytej uwagi do zarządzania cyberryzykiem.

W lutym 2013 roku Komisja Europejska postulowała stworzenie w każdym z krajów UE specjalnego urzędu, który odpowiedzialny będzie za zbieranie informacji na temat cyberataków wymierzonych w operatorów telekomunikacyjnych, sektor bankowy czy w dostawców rozwiązań informatycznych. Regulacje miały zobowiązywać firmy, które stały się celem ataku, do natychmiastowego zgłaszania incydentów.

Przeciwnicy takiego rozwiązania zwracali uwagę na wysokie sankcje za niezastosowanie się do regulacji. Pojawiły się też obawy, że konieczność zgłaszania ataków pociągnie za sobą udostępnianie rządowi informacji na temat używanych przez firmy systemów zabezpieczeń. Sceptycy przekonywali, że jest to cios wymierzony tak w konkurencyjność, jak i innowacyjność przedsiębiorstw, które inwestują ogromne środki w rozwijanie zaawansowanych systemów cyberbezpieczeństwa.

Zwolennicy dyrektywy UE przekonywali z kolei, że bez koordynacji działań na poziomie europejskim nie sposób realizować unijnej strategii w zakresie „otwartej, bezpiecznej i chronionej cyberprzestrzeni”.

Amerykańskie cyberzagrożenie

W maju i czerwcu 2013 rozpętała się polityczna i medialna burza wywołana informacjami ujawnionymi przez Edwarda Snowdena. W trosce o poziom zaufania własnej klienteli, operatorzy telekomunikacyjni i właściciele centrów danych musieli zareagować na nadużycia tajnego amerykańskiego programu szpiegowskiego PRISM, który zapewniał amerykańskim służbom wywiadowczym dostęp do danych przechowywanych przez gigantów branży internetowej (wliczając w to Google, Apple czy Facebook). W rezultacie Salesforce.com – dostawca chmur obliczeniowych - postanawia otworzyć nowe centra danych w Wielkiej Brytanii, Niemczech i Francji, Deutsche Telekom chce zaś przechowywać wszystkie dane dotyczące ruchu internetowego w granicach Niemiec. Operatorzy telekomunikacyjni i właściciele centrów danych zamierzają w ten sposób zapewnić swoich klientów, że ich dane znajdują się w miejscach, które podlegają lokalnej jurysdykcji.

A ryzyko rośnie…

Podczas gdy opinia publiczna koncentruje się na „cyberzagrożeniach” ze strony administracji USA, a także na zmianach w polityce prawnej UE, wciąż wzbiera fala cyberataków, które w o wiele większym stopniu mogą zagrozić gospodarce i naszym portfelom. Inwigilacja prowadzona przez amerykańskie służby specjalne i pytanie o to, czy w cyberprzestrzeni jest jakaś prywatność, to tylko jedno z wielu cyberzagrożeń.

Największym zagrożeniem związanym z cyberatakami są przestępstawa finansowe, popełniane przez zorganizowane grupy przestępcze, przy użyciu zaawansowanych metod i technologii. Zaraz za nimi plasuje się szpiegostwo mające na celu kradzież własności intelektualnej. Groźne są również ataki przeprowadzane przez aktywistów, którzy dla idealistycznej sprawy zakłócają działalność online. Tak zwany cyberwarfare to z kolei zagrożenia ze strony państw atakujących inne kraje i ich organizacje z sektora prywatnego. Ostatecznie, w cyberświecie mamy do czynienia z terroryzmem – metodycznie prowadzonymi akcjami świetnie zorganizowanych grup terrorystycznych, wymierzonymi zarówno w instytucje publiczne, jak i zasoby prywatne.

Eksperci twierdzą, że każda z tych kategorii zagrożeń wymaga od instytucji, które chcą się przed nimi bronić szczególnych umiejętności, procedur i technologii. Tymczasem, wbrew faktom i prognozom, zarządy wielu firm wciąż nie doceniają zagrożenia jakim jest cyberprzestępczość i wierzą, że bezpieczeństwo ich firmy spoczywa w ręku speców od IT. Cyberzagrożenia ewoluują jednak wraz z rozwojem biznesu. Analiza zagrożeń musi się zatem wiązać z analizą procesów biznesowych, a zarządzanie ryzykiem z zarządzaniem całością firmy.

Najświeższe ubiegłoroczne raporty dotyczące ryzyka nie pozostawiają złudzeń. Według raportu The World Economic Forum’s Global Risk cyberataki są najbardziej prawdopodobnym ryzykiem technologicznym, a jeśli chodzi o negatywne konsekwencje – drugim ryzykiem po krytycznych błędach systemu. W raporcie Lloyd’s Risk Index 2013 czytamy zaś, że ryzyko związane z kwestiami cyberbezpieczeństwa znalazło się wśród trzech najgroźniejszych obszarów ryzyka dla firm (a jeszcze w 2011 roku ryzyko złośliwych cyberataków lokowało się na 12. pozycji, a inne cyberzagrożenia – na pozycji 19; z kolei w 2009 roku cyberzagrożenia znajdowały się, według analityków Lloyd’sm dopiero na 20. Miejscu).

Skąd ta zmiana oceny zagrożenia związanego z cyberprzestępczością? W 2012 roku miały miejsce wydarzenia, które wstrząsnęły cyberświatem - wśród nich spektakularne cyberataki na serwisy WWW Interpolu, CIA czy gigantów przemysłu takich jak Boeing; masowa kradzież haseł użytkowników portalu LinkedIn i wyłączenie witryn sześciu amerykańskich banków, w tym tych największych – JPMorgan Chase & Co. oraz Wells Fargo & Co.

Najsłabsze ogniwo

Firmy tracą miliony z powodu cyberataków, których celem są ich strony internetowe i wewnętrzna sieć. Pracownicy firm są namierzani za pomocą informacji uzyskanych z mediów społecznościowych. „Globalny koszt cyberprzestępsw to miliardy dolarów rocznie ze stałą tendencją wzrostową” – twierdzą na swoim blogu Art Ehuan i Mike Gibbons, eksperci od cyberbezpieczeństwa firmy Alvarez&Marsal. „Żadna organizacja nie może czuć się bezpieczna, jednak szczególnie narażone są korporacje, które dysponują cenną własnością intelektualną, realizujące projekty w zakresie badań i rozwoju (B+R” – dodają.. Jak przyznają Ehuan i Gibbons, firma A&M pracowała z klientem prowadzącym biznes o globalnym zasięgu, który swoje koszty wynikające z utraty poufnych informacji oszacował na 3,2 miliarda dolarów w jednym tylko roku obrotowym.

Zarządzanie cyberryzykiem musi stanowić jeden z głównych tematów, nad którymi pochylają się zarządy firm. Negatywne konsekwencje cyberataków obejmują nie tylko konieczność odbudowania infrastruktury komputerowej czy bieżące łatanie dziur w systemach bezpieczeństwa. Analitycy twierdzą, że cyberzagrożenia mogą skutkować obniżeniem wskaźnika zysku na akcję (earnings per share), utratą klientów wynikającą z obniżenia zaufania do usługodawcy, nie wspominając o tym, jak dotkliwe mogą być straty dla firm działających w branżach zaawansowanych technologii, które narażone są na utratę własności intelektualnej (wyników prac badawczo-rozwojowych, będących rezultatem wielomilionowych inwestycji).

Cyberryzyko nie może być zatem minimalizowane jedynie za pomocą technologii. Cyberprzestępcy wykorzystują bowiem najsłabsze ogniwo w łańcuchu: niektóre procesy biznesowe, zachowania pracowników i słabą dyscyplinę w korzystaniu z technologii. Największym ryzykiem dla organizacji jest to, że atakom mogą ulec jej partnerzy i dostawcy. Bank może przekazać swoje najbardziej wrażliwe dane cyfrowe zewnętrznym partnerom biznesowym, albo doradcom prawnym – co oznacza że są one de facto zabezpieczone na takim poziomie, jaki praktykowany jest przez partnerów banku. Każdy łańcuch jest tak silny, jak silne jest najsłabsze jego ogniwo.

Potwierdzają to raporty za lata 2011 i 2012 opracowane przez Ponemon Institute, niezależną instytucję badawczą specjalizującą się w obszarze prywatności i bezpieczeństwa informacji. Wyniki badań pokazują, że do najważniejszych czynników wzrostu kosztów kradzieży i wycieku danych należą błędy i zaniedbania osób trzecich.

Firmy tracą dane na własne życzenie

Przeformułowanie strategii bezpieczeństwa i zarządzania cyberryzykiem jest tym bardziej palące, że badania Insurance Information Institute z 2013 roku pokazują, iż to właśnie wewnętrzne zaniedbania i brak ostrożności użytkowników są odpowiedzialne za 40 proc. zdarzeń, w których doszło do utraty danych. Dopiero na drugim miejscu (37 proc.) wymienia się złośliwe i celowe ataki; na trzecim zaś – usterki i błędy samych systemów informatycznych (24 proc.). Tym samym, abstrahując od celowych ataków, okazuje się, że blisko 65 proc. przypadków znajduje się w obszarze, który powinien znajdować się pod kontrolą firm. Niestety – tylko teoretycznie.

Wiele organizacji wychodzi bowiem z założenia, że skuteczna ochrona przed cyberatakami jest domeną działu IT i wewnętrznym problemem organizacji, który rozwiązuje się, stosując właściwe technologie. Istnieje również powszechna tendencja do skupiania się głównie na zagrożeniach zewnętrznych, bez uwzględniania zagrożeń, które mogą pojawiać się ze strony własnych pracowników, klientów oraz partnerów w łańcuchu dostaw – czyli wszędzie tam, gdzie pojawia się wymiana informacji. A w dzisiejszym cyberświecie, gdzie każdy z każdym połączony jest elektronicznie, zanika również rozróżnienie między zagrożeniami zewnętrznymi i wewnętrznymi.

- Trzeba nowego podejścia do zarządzania tym obszarem – przekonuje Tom Kellermann, były członek amerykańskiej Komisji ds. Cyberbezpieczeństwa, a dziś dyrektor zarządzajacy Alvarez&Marsal. Same działy IT zazwyczaj nie posiadają uprawnień do zarządzania ryzykiem
i mają ograniczony wpływ na decyzje zarządcze najwyższego szczebla. Zdaniem Kellermanna stanowisko dyrektora ds. bezpieczeństwa informacji, tj. CISO (Chief Information Security Officer) ma stanowić ogniwo łączące główny obszar działalności firmy oraz jej strategiczne planowanie z zagadnieniami bezpieczeństwa danych. Problemu bezpieczeństwa cybernetycznego nie można traktować wyłącznie jako obszaru technologicznego, za które odpowiedzialny będzie dział IT.

Analitycy Ponemon Institute twierdzą, że plan reagowania i zarządzania w sytuacji kryzysowej, zatrudnienie zewnętrznych konsultantów do obsługi tego typu zdarzeń, czy – wreszcie – wprowadzenie do kierownictwa stanowiska CISO skutecznie ograniczą koszt kradzieży i utraty danych.

W polityce europejskim również widać reakcje na nowe zagrożenia, gdyż obok proponowanych zmian w regulacjach UE chce inwestować w rozwój technologii cyberbezpieczeństwa. W ramach programu Horyzont 2020 wyasygnowano budżet 500 milionów euro, który w całości przeznaczony zostanie na projekty badawczo-rozwojowe, mające wzmocnić europejską politykę cyberbezpieczeństwa - zarówno od strony technologicznej, jak i w obszarze lepszej diagnozy niebezpieczeństw, przeciwdziałania oraz metod radzenia sobie ze skutkami ataków.

Unia Europejska wydaje się być więc przekonana, że pieniądze na ochronę cyberprzestrzeni warto wydawać. Teraz czas na to, by przekonały się o tym firmy.

Rebecca Baker, Alvarez & Marsal