Cyberataki na całym świecie się nasilają.
Cyberataki na całym świecie się nasilają. Fot. 123RF

Twoja firma jest na celowniku cyberprzestępców. Możliwe, że nawet została już zaatakowana, a ty o tym nie wiesz. Jak 90 proc. innych przedsiębiorstw. Ataki na sieci i systemy informatyczne to jedno z pięciu globalnych ryzyk o najwyższym prawdopodobieństwie wystąpienia. Polskie firmy wydają coraz więcej na sieciowe bezpieczeństwo, jednak ich działania nie są efektywne. Tak wynika z nowego raportu PwC dotyczącego cyberbezpieczeństwa w Polsce i na świecie.

REKLAMA
Miliardy tracone z powodu hakerów
Każdego dnia na całym świecie dochodzi do 117 tys. ataków hakerów. Przez cyberprzestępczość globalna gospodarka traci 375-575 mld dol. rocznie. W przeliczeniu na pojedynczą firmę to oznacza straty na poziomie 2,7 mln dol. co roku. Czy przedsiębiorcy są świadomi tych zagrożeń? Jak się przed nimi bronią? Czy potrafią wykryć atak? Aby odpowiedzieć na te pytania, PwC przepytał 9,7 tys. członków kadry kierowniczej ze 154 krajów. W Polsce badanie objęło 70 firm.
Nieświadomość polskich firm
Jeśli spojrzeć na rosnące wydatki firm w Polsce na cyberbezpieczeństwo, wydaje się, że przedsiębiorcy zaczynają sobie zdawać sprawę z ryzyka. W 2013 roku przedsiębiorcy przeznaczali na ochronę 2,7 proc. budżetu IT. W tym roku już około 5,5 proc. Dla porównania, na świecie zanotowano spadek wydatków na ten cel.
Jednak wzrost wydatków nie przekłada się na większą ochronę. PwC przeprowadziło symulowane włamania. Okazało się, że tylko 10 proc. firm było w stanie wykryć atak. W 9 na 10 przypadków firmy nawet nie zauważyły "gościa" . Włamywacze tygodniami mogli wyciągać dane z serwerów przedsiębiorstwa. Co więcej, firmy nie potrafią wskazać, gdzie jest źródło ataków ani jakie koszty ponoszą przez hakerów. Pytane o to ostatnie uważały, że pozostaje on w granicy 50 tys. złotych.
Piotr Urban, partner, lider zespołu ds. zarządzania ryzykiem w PwC

Zarządzanie bezpieczeństwem w cyberprzestrzeni to w dużej mierze obszar działania IT, ale jednocześnie nie jest to tylko sprawa działu IT. Ryzyka związane z prowadzeniem biznesu w cyberprzestrzeni takie jak utrata reputacji, przerwa w sprzedaży, straty finansowe, kary od regulatora, kradzież tajemnicy handlowej - niosąca skutki dla innowacji, badań i rozwoju - to tematy ważne dla dyrektora finansowego, dyrektora sprzedaży, szefów ds. operacyjnych, służb PR czy pracowników. Dlatego powinny znaleźć się na mapie najważniejszych ryzyk monitorowanych przez rady nadzorcze i dyrektora audytu wewnętrznego.


Budowanie muru
Ataki są tym łatwiejsze, im bardziej popularne są systemy sieciowe. Przez nie można szybko uzyskać dostęp do firmowych serwerów. - Firmy nie zdają sobie sprawy z zagrożenia - ostrzegają eksperci PwC. Cały problem w tym, jak wydawane są pieniądze na ochronę. Wśród przedsiębiorców panuje przeświadczenie, że kupując zabezpieczenia techniczne, kupują rozwiązanie problemu. Stąd też zamiar wydania kroci głównie np. na informatyczne systemy anty-APT, czyli przeciwdziałające ukierunkowanym, zorganizowanym atakom. Jednocześnie firmy zapominają o czynniku ludzkim, czyli uświadamianiu swoich pracowników o niebezpieczeństwie. Tymczasem w ten sposób najłatwiej zaatakować firmę.
logo
Reakcja na cyberataki - podstawowe praktyki firm Fot. PwC
Gdy doszło do jednego z największych tegorocznych cyberwłamań na świecie, w którym wykradziono dane (w tym numery kart płatniczych) 40 milionów klientów sieci Target, jeden z zespołów zajmujących się bezpieczeństwem poinformował o potencjalnym ataku drugi. Nie poczyniono jednak żadnych kroków. Zawiódł czynnik ludzki. Target oszacował straty na około 400-450 milionów dolarów. Straty bezpośrednie wyniosły jedynie 60 milionów, ale firma straciła dużo więcej: zaufanie klientów, co przełożyło się na przychody w następnych miesiącach.
Żyjemy w cyberpunku
Tymczasem liczba incydentów na całym świecie wzrasta: w porównaniu do poprzedniego roku aż o 48 proc. Ataki dotyczą sektorów: finansowego, energetycznego, technologicznego czy też ochrony zdrowia. Coraz więcej incydentów to ataki hakerów wspieranych przez rządy. Brakuje za to regulacji wymuszających na przedsiębiorcach raportowanie cyberwłamań. Pomogłoby to w budowie systemu ochrony.
logo
Incydenty bezpieczeństwa - Polska i świat Fot. PwC
Unia Europejska pracuje obecnie nad nowym rozporządzeniem w sprawie ochrony danych. Według raportu PwC doda ono „nowe wymogi dotyczące zawiadamiania osób fizycznych o naruszeniach, wprowadzi wymogi prowadzenia ocen ryzyka i audytów dla organizacji administrujących danymi osobowymi i zwiększy znacząco kary dla przedsiębiorstw niewystarczająco je chroniących”.