Cyberprzestępcy celują w Europę, ale nie w Polskę?

Przeczytaj także: Co wspólnego ma piłka nożna i praca zdalna?

Wśród krajów członkowskich Unii Europejskiej, w których odnotowano największą liczbę ataków cybernetycznych przy użyciu złośliwego oprogramowania (od stycznia do września 2016 r.) znalazły się: Niemcy (19%), Belgia (16%), Wielka Brytania oraz Hiszpania (12%). Jedynie 1% wszystkich zaraportowanych na terenie UE tego typu zdarzeń wystąpiło w Polsce.

Raport pokazuje także, że cyberprzestępcy szczególnie upodobali sobie ransomware: w 2016 roku największy wzrost ilości ataków cybernetycznych związanych z użyciem oprogramowania ograniczającego dostęp do systemu komputerowego, wymagającego od właściciela zapłacenia okupu w celu usunięcia wszelkich ograniczeń w dostępie do systemu odnotowano w branżach: finansowej, produkcyjnej i telekomunikacyjnej oraz wśród organizacji rządowych. Najbardziej narażony na tego rodzaju ryzyko pozostaje jednak system opieki zdrowotnej – aż 88% tego typu ataków wymierzonych jest właśnie w ten sektor (na podstawie: Solutionary’s Security Engineering Research Team Quarterly Threat Report, Q2, 2016).

Europejskie przedsiębiorstwa nie są odpowiednio przygotowane na cyber ataki: średni czas na wykrycie „cyber intruza” na świecie wynosi 146 dni, podczas gdy w Europie następuje to dopiero po czasie trzykrotnie dłuższym, czyli średnio po 469 dniach.

Wyniki wskazują, że 18% danych, które w minionym roku skradli cyberprzestępcy, dotyczyło systemów kontroli stanowiących część planów strategicznych firm. Kolejne 19% to informacje stanowiące tajemnice handlowe przedsiębiorstw.

W USA aż 53% ataków hakerskich wykrywanych jest przez zewnętrzne organizacje zajmujące się bezpieczeństwem i ochroną cybernetyczną firm, w Europie wartość ilość ta nie przekracza 12%, co sugeruje, iż ogromna liczba tego typu zdarzeń nie jest rejestrowana. Ponadto, wyniki Cyber Ankiety Marsh przeprowadzonej w 2016 roku pokazują, że zaledwie 31% respondentów rozumie jaki jest poziom ekspozycji ich firm na cyber ryzyka, 32% umieściło je na liście 5 najpoważniejszych ryzyk zagrażających ich biznesowi, ale aż 9% nie w ogóle nie uwzględniło tego typu zagrożeń w rejestrze ryzyka w swojej organizacji.

Istotnym zagadnieniem, zaakcentowanym w raporcie są także generalne zmiany dla europejskiego środowiska prawno-regulacyjnego w kwestii ochrony danych osobowych.

W społeczeństwie informacyjnym nie tylko infrastruktura IT pełni ważną rolę - za każdą firmą, jej systemem, komputerami, czy telefonami stoi człowiek, który w odpowiedzialny sposób powinien podchodzić do zarządzania informacjami poufnymi i prywatnymi zabezpieczając je przed nieautoryzowanym ujawnieniem. Unijne rozporządzenie o ochronie danych wprowadza możliwość nakładania wysokich kar administracyjnych sięgających aż do 4% rocznego globalnego obrotu firmy z roku poprzedniego za niezapewnienie bezpieczeństwa posiadanych danych osobowych.

Nowym wyzwaniem dla przedsiębiorstw będzie zgłaszanie przez przedsiębiorców do GIODO wycieku danych osobowych, a w poważniejszych przypadkach informowanie także osób, których dane zostały zagrożone co w konsekwencji może wiązać się istotnymi dla firmy kosztami notyfikacji poszkodowanych osób. Fakt obowiązkowego przekazania informacji na temat istotnych naruszeń bezpieczeństwa danych osobowych może generować większą presję po stronie przedsiębiorców. Z drugiej strony, dzięki upublicznieniu istotnych naruszeń bezpieczeństwa danych osobowych świadomość konsumentów w zakresie przysługujących im praw również wzrośnie. Można spodziewać się, że wydatki na usługi konsultantów prawnych czy agencji PR dla tych organizacji, w których dojdzie do istotnego naruszenia bezpieczeństwa danych, także wzrosną.

Wprowadzenie przepisów o ochronie danych w UE może przyczynić się do istotnego zainteresowania cyber ubezpieczeniem. Przedsiębiorcy będą ponownie zmuszeni do oceny stopnia przygotowania firmy na konsekwencje incydentu cybernetycznego. Takie zachowania zostały zaobserwowane w USA, Kanadzie czy Australii, gdzie podobne przepisy już obowiązują. Przeprowadzane wewnętrznie analizy będą wymagały m.in. określenia planu działania po wystąpieniu incydentu, czy też weryfikacji wewnętrznych procedur i regulacji dotyczących bezpieczeństwa danych osobowych. Nie tylko inwestycje w IT, ale również rezerwy na zarządzanie publicznie znanym incydentem powinny znaleźć się w najbliższym czasie w planach i budżetach przedsiębiorstw.

Wydaje się, że budowanie świadomości i pogłębianie wiedzy o zagrożeniach, jakie generują cyberprzestępcy powinny już prowadzić do wdrażania konkretnych rozwiązań w organizacjach, które muszą spełnić wymagania przyjętych aktów prawnych dotyczących ochrony danych osobowych oraz bezpieczeństwa systemów i infrastruktury IT. Unijne rozporządzenie w jednolity sposób zacznie obowiązywać od maja 2018 r. - czyli najbliższa roczna sesja budżetowa w firmie powinna uwzględniać aspekt zarządzania bezpieczeństwem danych w firmie.

Anna Pluta - Lider Praktyki Ryzyka Cybernetyczne,