Na świecie rośnie świadomość zagrożeń związanych z cyber-atakami. Wciąż jednak nie wypracowano spójnej strategii, ułatwiającej obronę systemów informatycznych.
Różne globalne organizacje coraz częściej przyznają dziś, że nie są w stanie ani przewidzieć, ani odeprzeć skomplikowanego ataku hakerów – choć straty z nim związane mogą być bardzo wysokie, prowadzące nawet do upadku zaatakowanej firmy.
Dysponują one zbyt małymi budżetami, co oznacza, że ich inwestycje w zabezpieczenia są niewystarczające. Jako największe zagrożenia w sieci wymieniane są złośliwe oprogramowania oraz phising (metoda oszustwa internetowego, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji, prowadzących do wyłudzenia korzyści majątkowych).
Takie właśnie wnioski plyną z 19 światowego badania bezpieczeństwa informacji, przeprowadzonego w ubiegłym roku przez firmę konsultingową EY, w której udział wzięło 1735 firm z całego świata, w tym i z naszego kraju.
Jak uderzą – nie obronimy się
Z jednej strony, cyfrowe innowacje, zmiany w przepisach, kryzysy finansowe oraz gwałtowny rozwój przestępczości internetowej spowodowały, że przedsiębiorstwa nauczyły się, w jaki sposób bronić się przed zagrożeniami i odpowiadać na pojawiające się wyzwania w sieci.
Połowa z 1735 ankietowanych firm stwierdziła bowiem, że może wykryć nawet bardzo skomplikowany atak internetowy. To najwyższy odsetek takich odpowiedzi od 2013 r. Przekonanie takie wynika z inwestycji w mechanizmy, zapobiegające cyber-atakom i monitorujące zagrożenia, oraz w tworzenie zespołów zajmujących się bezpieczeństwem internetowym.
Jednakże z drugiej strony, mimo tych inwestycji, aż 86 proc ankietowanych uważa, że ich działania dla zapewnienia bezpieczeństwa w sieci, nie do końca spełniają potrzeby przedsiębiorstw, w których pracują.
Zdecydowana większość ankietowanych członków zarządów oraz najważniejszych dyrektorów, wskazuje, że nie ma raczej zaufania do poziomu bezpieczeństwa internetowego swoich firm.
Przedsiębiorstwa skupiają się bowiem na bieżącej ochronie przed atakami – i przede wszystkim na to skierowana jest uwaga zarządów oraz inwestycje w bezpieczeństwo w sieci. Natomiast całościowe zapewnianie bezpieczeństwa systemom informatycznym musi składać się z spójnych działań, które można by określić słowami: zapobiegaj, wykrywaj, chroń, reaguj.
Jedynie połowa ankietowanych przedstawicieli 1735 firm uważa, że ich przedsiębiorstwo jest w stanie wykryć zaawansowany technologicznie atak hakerów.
Z kolei, mimo takiego przeświadczenia, aż dwie trzecie firm dotychczas nie wdrożyło programów wymiany informacji o zagrożeniach, które, wykorzystując doświadczenia innych, mogą pomóc w budowaniu systemów zabezpieczeń. Czasami oczywiście dochodzi do wymiany takich doświadczeń – ale w sposób nieformalny i nieuregulowany wewnętrznymi procedurami.
Są ważniejsze potrzeby
Bardzo ważne dla tworzenia systemów ochrony jest określenie słabych punktów wewnątrz przedsiębiorstwa. Aż 55 proc. badanych firm nie posiada, lub posiada tylko nieformalny proces identyfikacji dziur w systemach bezpieczeństwa.
44 proc. uważa zaś, że nie dysponuje zespołem pracowników, przygotowanych do ciągłego monitorowania potencjalnych cyber-ataków.
A jednocześnie, większość (57 proc.) przedstawicieli przedsiębiorstw przyznała, że w ostatnim roku doświadczyła co najmniej jednego „znaczącego incydentu” naruszającego bezpieczeństwo.
Niestety, systemy ochrony nie są adekwatne do występujących zagrożeń. Niemal połowa (48 proc.) ankietowanych wymieniła przestarzałe systemy i mechanizmy bezpieczeństwa informacji jako slaby punkt swoich przedsiębiorstw.
To znaczący wzrost z 34 proc. w poprzedniej edycji tego badania z 2015 r.
Za główne przyczyny trudności w zapewnieniu bezpieczeństwa internetowego uważane są ograniczenia finansowe przedsiębiorstw (61 proc. wskazań), brak pracowników o wymaganych kompetencjach (56 proc.), oraz niedostateczna świadomość zagrożeń i uwaga ze strony zarządów (32 proc.).
Nas to nie spotka
Świat staje się coraz bardziej połączony i cyfrowy. Mimo to aż 62 proc. przedstawicieli przedsiębiorstw twierdzi, że jest mało prawdopodobne, aby po niegroźnym dla ich firmy ataku internetowym, zwiększono wydatki na bezpieczeństwo informatyczne.
Zdaniem 58 proc. pytanych nawet atak na bezpośredniego konkurenta, a zdaniem aż 68 proc., atak na dostawcę, nie spowodowałby zwiększenia budżetu przeznaczonego na ochronę systemów informatycznych przedsiębiorstwa.
W sytuacji krótkiej kołdry, ewentualną zwiększoną ochroną zostałyby objęte tylko najważniejsze zasoby danych firmowych.
Jeśli zaś już dojdzie do poważniejszego ataku, to najistotniejszymi priorytetami będą, co oczywiste, szybkie przywrócenie normalności i ciągłości prowadzenia działalności gospodarczej.
O jeden krok za daleko
Generalnie, w firmach przeważa opinia, że jakoś to będzie – i nawet, gdy dojdzie do jakiegoś zagrożenia, to może uda się uniknąć poważniejszej w skutkach powtórki.
Podobne przeświadczenie może mieć druzgocące konsekwencje dla działalności tych przedsiębiorstw. Firmy w Polsce nie odbiegają od tego standardu.
Przedsiębiorstwa wiele zrobiły w ostatnich latach, by dobrze przygotować się do ewentualnych ataków hakerskich. Tyle, że coraz lepiej są w stanie odpierać takie ataki, które już kiedyś się zdarzyły. Nie te, które dopiero nastąpią.
Niestety, w tym samym czasie cyberprzestępcy wymyślili i wciąż wymyślają kolejne sposoby – a więc ciągle są co najmniej o krok do przodu.