pi─ůtek 16 luty 2018 | Robert Kami┼äski

Cyber ruletka po polsku

W poprzednim roku w wyniku cyberatak├│w straty finansowe ponios┼éo 44% polskich przedsi─Öbiorstw, a 62% odnotowa┼éo zak┼é├│cenia i przestoje w funkcjonowaniu ÔÇô wynika z raportu firmy doradczej PwC ÔÇ×Cyber-ruletka po polsku.

 Dlaczego firmy w walce z cyberprzest─Öpczo┼Ťci─ů licz─ů na szcz─Ö┼Ťcie”. Analiza ekspertów PwC pokaza┼éa dodatkowo, ┼╝e jedynie 8% polskich firm jest dojrza┼éa pod wzgl─Ödem bezpiecze┼ästwa cybernetycznego.

Cyberzagro┼╝enia to nie tylko problem IT, ale powa┼╝ne ryzyko biznesowe. Prezesi z prawie wszystkich regionów ┼Ťwiata zaliczaj─ů je do 5 najwa┼╝niejszych ryzyk dla swojej firmy. Tylko w Europie ┼Ürodkowo-Wschodniej i Ameryce ┼üaci┼äskiej obszar ten wci─ů┼╝ nie stanowi priorytetu. Równie┼╝ w Polsce cz─Östo obserwujemy cyber-ruletk─Ö, liczenie na szcz─Ö┼Ťcie i fa┼észywe przekonanie, ┼╝e firma jest dobrze zabezpieczona. Tymczasem, jak od 5 lat pokazuj─ů wyniki naszego badania, mamy sporo do nadrobienia” – mówi Piotr Urban, partner w PwC, lider us┼éug cyberbezpiecze┼ästwa w regionie Europy ┼Ürodkowo-Wschodniej.

Indeks Cyberbezpiecze┼ästwa, stworzony przez PwC na podstawie badania ponad 100 polskich firm, wskazuje, ┼╝e tylko 8% z nich jest w pe┼éni dojrza┼éa pod wzgl─Ödem odporno┼Ťci na cyberzagro┼╝enia, to znaczy posiada odpowiednie narz─Ödzia i systemy zabezpiecze┼ä (wdro┼╝one SIEM, Anty APT, IPS/IDS, SOC), dedykowany zespó┼é ds. cyberbezpiecze┼ästwa, a bud┼╝et na bezpiecze┼ästwo stanowi co najmniej 10% warto┼Ťci ca┼éego bud┼╝etu IT. Kolejnych 7% przedsi─Öbiorstw eksperci PwC uznaj─ů za ┼Ťrednio dojrza┼ée.

Coraz trudniej nad─ů┼╝y─ç za rozwojem technologii, która z jednej strony wspiera efektywno┼Ť─ç biznesu, u┼éatwia prac─Ö i przyczynia si─Ö do wi─Ökszej integracji przedsi─Öbiorstw, konsumentów i mi─Ödzynarodowych rynków. Z drugiej strony jednak otwiera wrota do ┼Ťwiata biznesu dla osób o nieuczciwych zamiarach, staj─ůc si─Ö ┼║ród┼éem istotnych strat, zarówno finansowych, jak te┼╝ zwi─ůzanych z reputacj─ů. Polskie firmy przeznaczaj─ů na cyberbezpiecze┼ästwo ┼Ťrednio zaledwie 3% swojego ca┼ékowitego bud┼╝etu IT, a to zdecydowanie za ma┼éo, by mo┼╝na by┼éo zbudowa─ç skuteczn─ů obron─Ö” – mówi Tomasz Sawiak, wicedyrektor w zespole ds. cyberbezpiecze┼ästwa w PwC.

Z danych zebranych w raporcie PwC wynika, ┼╝e w 2017 r. 65% firm w Polsce wykry┼éo incydenty zwi─ůzane z bezpiecze┼ästwem. Ich najcz─Östszym ┼║ród┼éem niezmiennie aktualni pracownicy (33%), hakerzy (28%) oraz byli pracownicy (13%). Skutki cyberataków dla polskich przedsi─Öbiorców by┼éy dotkliwe. 44% z nich deklaruje, ┼╝e w wyniku zaistnia┼éych incydentów ponios┼éo straty finansowe. Odsetek ten jest prawdopodobnie jeszcze wy┼╝szy, je┼Ťli we┼║miemy pod uwag─Ö, ┼╝e a┼╝ 62% firm odnotowa┼éo zak┼éócenia i przerwy w funkcjonowaniu, w tym 26% takie, które trwa┼éy wi─Öcej ni┼╝ jeden dzie┼ä roboczy.

W 21% przypadków systemy zosta┼éy zainfekowane ransomware, 20% incydentów sko┼äczy┼éo si─Ö utrat─ů lub uszkodzeniem danych, 11% kradzie┼╝─ů w┼éasno┼Ťci intelektualnej, a 10% wyciekiem danych o klientach.

Przestoje b─Öd─ůce wynikiem cyberincydentu szczególnie dotkliwe mog─ů by─ç dla firm produkcyjnych, gdzie straty z tym zwi─ůzane bardzo ┼éatwo prze┼éo┼╝y─ç na wymiar finansowy.  Obszar produkcji jest szczególnie podatny na ataki ze wzgl─Ödu na zamkni─Öty charakter systemów sterowania, klasy SCADA czy DCS, wykorzystuj─ůcych przestarza┼ée technologie informatyczne. ┼ü─ůczenie ich z systemami informacji zarz─ůdczej lub ERP otwiera je na wspó┼éczesne cyberataki. Tym wi─Öksze znaczenie ma zapewnienie w┼éa┼Ťciwej ochrony systemom sterowania i nadzoru. Nie┼Ťwiadomo┼Ť─ç zwi─ůzan─ů z zagro┼╝eniem i jego skutkami pokazuje tak┼╝e fakt, ┼╝e jedynie co dziesi─ůta firma w Polsce posiada polis─Ö ubezpieczeniow─ů od ryzyk zwi─ůzanych z cyberbezpiecze┼ästwem” – mówi Patryk G─Öborys, wicedyrektor w zespole ds. cyberbezpiecze┼ästwa w PwC.

┼Ürednio firmy przeznaczaj─ů jedynie 3% bud┼╝etu z puli bud┼╝etu IT na dzia┼éania zwi─ůzane z ochron─ů przed cyberatakami. Tymczasem podmioty, które w Indeksie Cyberbezpiecze┼ästwa zosta┼éy uznane za dojrza┼ée w tym wzgl─Ödzie, wydaj─ů ┼Ťrednio 10%. Z badania PwC wynika tak┼╝e, ┼╝e 20% du┼╝ych i ┼Ťrednich firm w Polsce nie posiada ┼╝adnego specjalisty od cyberbezpiecze┼ästwa, a 46% nie stworzy┼éa procedur reakcji na incydenty.

Z raportu PwC wynika, ┼╝e w kolejnych latach priorytetem inwestycyjnym dla firm b─Ödzie wdro┼╝enie nowych technologii w organizacjach, takich jak Internet Rzeczy (62%), sztuczna inteligencja (53%) i robotyka (44%). Tymczasem zapytani o priorytety bezpiecze┼ästwa, respondenci wskazuj─ů przede wszystkim na zagadnienia zwi─ůzane z bie┼╝─ůc─ů ochron─ů i wykonywaniem swoich obowi─ůzków. Zdecydowanie mniejszym zainteresowaniem cieszy si─Ö dzia┼éanie ukierunkowane na zapewnienie spójno┼Ťci mi─Ödzy procesami technologicznymi, a bezpiecze┼ästwem funkcji organizacji. Tym samym mo┼╝na stwierdzi─ç, i┼╝ cyberbezpiecze┼ästwo w polskiej firmie nie jest elementem integralnym w procesie wdra┼╝ania technologii.

97% polskich firm niegotowych na RODO, dyrektywa NIS czeka na wdro┼╝enie

Unijne rozporz─ůdzenie o ochronie danych osobowych (RODO) wchodzi w ┼╝ycie 25 maja br. Niewywi─ůzanie si─Ö z wynikaj─ůcych z tego dokumentu obowi─ůzków mo┼╝e skutkowa─ç karami finansowymi do 20 000 000 euro lub 4% warto┼Ťci rocznego ┼Ťwiatowego obrotu przedsi─Öbiorstwa. Tymczasem z badania PwC wynika, ┼╝e tylko 3% firm w Polsce ocenia swoja gotowo┼Ť─ç do wdro┼╝enia RODO na pe┼én─ů. A┼╝ po┼éowa badanych firm swoj─ů gotowo┼Ť─ç do wej┼Ťcia w ┼╝ycie unijnych regulacji ocenia na poziomie poni┼╝ej 30%, a 20% w ogóle nie zacz─Ö┼éo jeszcze przygotowania do nowych wymogów.

Autorzy raportu PwC podkre┼Ťlaj─ů, ┼╝e przygotowania do RODO dalej s─ů ograniczane do rozwi─ůza┼ä operacyjnie najprostszych. Najpowszechniej deklarowan─ů przez respondentów praktyk─ů z obszaru ochrony danych osobowych jest zatrudnianie specjalisty do spraw ich ochrony lub pracownika na podobnym stanowisku, odpowiedzialnego za prowadzenie dzia┼éalno┼Ťci zgodnie z obowi─ůzuj─ůcymi regulacjami (54% wskaza┼ä). W dalszej kolejno┼Ťci firmy deklaruj─ů zobowi─ůzywanie podmiotów trzecich do przestrzegania polityki prywatno┼Ťci (46% odpowiedzi) oraz obligowanie pracowników do odbywania szkole┼ä (38% wskaza┼ä).

Eksperci PwC zwracaj─ů uwag─Ö, ┼╝e na wdro┼╝enie czeka tak┼╝e dyrektywa NIS (Network and Information Systems Directive), której celem jest ustanowienie wspólnych standardów cyberbezpiecze┼ästwa oraz poprawienie wspó┼épracy mi─Ödzy krajami Unii Europejskiej. Dotyczy spó┼éek dzia┼éaj─ůcych w kluczowych dla gospodarki sektorach: energetyka, transport, ochrona zdrowia, bankowo┼Ť─ç i zaopatrzenie w wod─Ö pitn─ů.