Jesteś w: Manager » Rynek

Firmy nie nadążają technologicznie za cyberprzestępcami

07.03.2017 13:52  Rynek
Firmy nie radzą sobie z wykrywaniem incydentów bezpieczeństwa. Przedsiębiorcy identyfikują bardzo mało cyberataków. 83 proc. badanych przedsiębiorstw w ciągu roku wykryło od zera do pięciu incydentów.
 
Dwie trzecie ankietowanych firm uważa, że pracownicy są najsłabszym ogniwem organizacji pod względem podatności na cyberataki, ale z drugiej strony zbyt mało uwagi przykładają do szkoleń – wynika z badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm”.
 
Podatność na cyberataki
W minionych 12 miesiącach osiem na dziesięć firm zanotowało od zera do pięciu znaczących incydentów naruszenia bezpieczeństwa. Jedna na dziewięć firm padła ofiarą cyberataków od pięciu do dziesięciu razy. 6 proc. badanych doświadczyło więcej niż 10 incydentów.
 
Najczęściej wskazywano ataki malwarowe (68 proc. badanych), działania pracowników (44 proc.) oraz utratę danych z powodu awarii sprzętu (39 proc.). Te incydenty są zdaniem respondentów także największymi zagrożeniami dla ich firm.
 
– Wyniki wskazują, że firmy nie radzą sobie z wykrywaniem ataków. Organizacje identyfikują bardzo mało incydentów, a wśród tych wykrytych dominują łatwe do zaobserwowania takie jak infekcja ransomware czy utrata danych w wyniku awarii. Pojawia się obawa czy brak poczucia zagrożenia nie wynika właśnie z braku możliwości zaobserwowania incydentów bezpieczeństwa – mówi Aleksander Ludynia, Doświadczony Menedżer w Zespole Zarządzania Ryzykiem Informatycznym EY. - Wciąż zdarza się, że słyszymy, że danej firmy „cyberataki nie dotyczą”. Warto się wtedy zastanowić czy tak faktycznie jest, czy też może dana firma jest już ofiarą cyberprzestępców, ale jeszcze o tym nie wie – dodaje Tomasz Dyrda, Dyrektor w Dziale Zarządzania Ryzykiem Nadużyć EY.
 
Człowiek najsłabszym ogniwem
Dla większości badanych przedsiębiorstw, najsłabszym ogniwem w kontekście bezpieczeństwa organizacji jest nie sprzęt, oprogramowanie czy procedury, lecz człowiek - pracownik firmy. Takiego zdania jest aż 64 proc. respondentów. - Badanie pokazuje, że przeszkolenie z zakresu bezpieczeństwa IT, przyjęcia na siebie odpowiedzialności za przestrzeganie zasad (przecież podpisaliśmy procedurę bezpieczeństwa) i odświeżanie wiedzy nie wystarcza. Listy trywialnych haseł, pokazujące ignorowanie podstawowych zasad ich tworzenia, lekceważenie zaleceń i procedur szyfrowania danych, otwieranie maili phishingowych – to tylko ułamek błędów, które popełniają ludzie, a jednocześnie użytkownicy urządzeń i systemów IT – ostrzega Tomasz Dyrda. - Pracownicy firm ciągle darzeni są sporym zaufaniem swoich pracodawców. Dodatkowo wiele ataków prowadzonych jest za pomocą przejętych kont administratorów, dlatego także ich działania powinny podlegać szczególnej kontroli i monitorowaniu – uważa Aleksander Ludynia. Na dalszych miejscach wśród przyczyn cyberzagrożeń, znaleźli się przestępcy komputerowi - wymieniani przez ponad połowę respondentów (57 proc.), oraz przestarzałe oprogramowanie (40 proc.).
 
Zabezpieczenia z XX wieku
Mimo nasilającego się zagrożenia ze strony cyberprzestępców i coraz większej liczby udanych ataków, firmy opierają swoją obronę na technologiach stworzonych w latach 80-tych ubiegłego wieku. Jak wynika z badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm” są to przede wszystkim programy antywirusowe (93 proc.) i zapory ogniowe (89 proc.). Popularność́ innych sposobów zabezpieczenia w badanych firmach nie przekroczyła jednej trzeciej. - Wiele firm wskazuje, że boryka się z incydentami polegającymi na utracie danych, co może prowadzić do wniosku, że firmy nie radzą sobie również z tworzeniem kopii zapasowych kluczowych zasobów informatycznych. Patrząc na wyniki badania wydaje się, że konieczne są intensywne zmiany w podejściu polskich firm do kwestii bezpieczeństwa systemów informatycznych – mówi Aleksander Ludynia, Doświadczony Menedżer w Zespole Zarządzania Ryzykiem Informatycznym EY.
 
Kiedy już zaatakują…
Zaledwie 7 proc. firm posiada system informowania o incydentach, działający w trybie 24/7/365, do którego podłączone są wszystkie istotne systemy teleinformatyczne. Aż 43 proc. firm nie posiada żadnego systemu ostrzegania. Bodźcem do bardziej intensywnych działań w obszarze bezpieczeństwa IT jest atak hakerski. W sytuacji kryzysowej, zarząd firmy widzi na bieżąco jak skuteczne są plany reakcji i struktury odpowiedzialne za bezpieczeństwo IT. Badania w tym obszarze nie nastrajają optymistycznie. - Niestety, w wielu przypadkach ataki są skuteczne - czy to działania socjotechniczne (ostatnio popularna fala ataków „na prezesa”), wymuszenia okupu (ransomware), czy też ukierunkowane działania hakerów. Firmy ponoszą realne straty i dopiero po takim „zimnym prysznicu” następuje refleksja i próba zrozumienia, w jaki sposób i z kim działać, żeby w przyszłości uniknąć podobnych sytuacji – mówi Grzegorz Idzikowski, Menedżer w Dziale Zarządzania Ryzykiem Nadużyć EY. – Jedynie co ósma firma ma zarówno odpowiedni plan oraz zespół i może sprawnie koordynować działania w obliczu zagrożenia – dodaje.
 
Lepiej zapobiegać niż leczyć
Chociaż firmy zdają sobie sprawę ze znaczenia ludzi dla bezpieczeństwa całego systemu, niewiele z tą wiedzą robią. Okazuje się, że aż 41 proc. pracowników nie uczestniczyło w żadnym szkoleniu na temat bezpieczeństwa w sieci, a w prawie jednej trzeciej badanych firm nie ma procedury postępowania w sytuacji zagrożenia cybernetycznego.
 
Aż trzy czwarte respondentów badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm” stwierdziło, że przeprowadziło w firmie testy bezpieczeństwa, wprawdzie jedynie co piąta firma (21 proc.) zrobiła to w ciągu ostatniego roku, ale wynik ten można uznać za wysoki. Jednak samo wykonanie to tylko pierwszy etap, na którym większość badanych się zatrzymuje. Tylko 15 proc. firm twierdzi, że wnioski z audytu zostały wdrożone w życie.
 
Innym sposobem zapobiegania konsekwencjom finansowym incydentów bezpieczeństwa jest transfer części ryzyka na ubezpieczyciela. - W procesie transferu ryzyka sprawdzane są zasady bezpieczeństwa informatycznego, zarzadzania ryzykiem i tzw. higiena informatyczna firmy – twierdzi Marta Paruch z CHUBB. – Mimo że polisa ubezpieczeniowa nie jest remedium na wszelkie problemy, ma możliwość zmniejszenia ponoszonych przez firmę konsekwencji. Ubezpieczyciel może bowiem wziąć „na siebie” część ryzyka poprzez pokrywanie kosztów prawników w przypadku roszczeń pokrzywdzonych w związku z ujawnieniem ich danych niezgodnie z przepisami prawa wraz z zapłatą kar administracyjnych nałożonych przez organy regulacyjne, kosztów doradców PR i informatyków śledczych – dodaje.
Źródło: EY
[qnt]
 
  • RSS
Dodaj artykuł do: Facebook Wykop.pl nk.pl blip.pl twitter.com

Komentarze

  

Dodaj komentarz (10-500 znaków)

manager