IoT rzuca inne światło na cyberbezpieczeństwo firmy

Przeczytaj także: Jak sektor finansowy przygotowuje się na RODO?

Skala zagrożenia cyberatakiem

W dzisiejszych czasach standardem jest, że przedsiębiorstwa gromadzą masę poufnych danych i informacji, a te ostatnie są łakomym kąskiem dla cyberprzestępców, których ataki wycelowane są w słabe punkty zabezpieczeń sieci firmowych. Prognozy zakładają, że do 2020 roku we wszystkich zakątkach naszego globu używać będziemy 20,4 mld urządzeń, a firmy zwiększą użytkowanie urządzeń IoT do 7,5 mld. Szacuje się również, że do 2020 roku co czwarty ze zidentyfikowanych ataków na firmową infrastrukturę IT będzie miał związek właśnie z IoT.

Problem ten nie jest jednak wyłącznie pieśnią przyszłości - aktywność cyberprzestępczego półświatka jest wyraźnie dostrzegalna już dziś. Spośród 3100 ankietowanych firm na całym świecie niewiele ponad połowa wdrożyła Internet Rzeczy – a 84% już doświadczyło naruszenia bezpieczeństwa w tym zakresie. Tylko w 2016 r. cyberataki kosztowały firmy średnio od 4 do 7 milionów USD. Przewiduje się, że do 2021r. dochody z tytułu cyberprzestępczości wzrosną do 6 trylionów USD, co będzie największym transferem bogactwa ekonomicznego w historii.

Internet Rzeczy rewolucjonizuje dziś sposób w jaki funkcjonują przedsiębiorstwa. Niestety nowe technologie to również nowe zagrożenia. W erze cyfryzacji skala i złożoność cyberprzestępczości rośnie w zawrotnym tempie i poziom zabezpieczeń w firmach często za tymi zmianami nie nadąża. Konieczne jest dziś całościowe, biznesowe podejście do cyberbezpieczeństwa – tylko wtedy przedsiębiorstwa będą w stanie skutecznie realizować swoje cele. Bez odpowiedniej interakcji biznesu ze specjalistami od cyberzabezpieczeń, firmy będą narażone na dewastujące skutki cyberataków lub nie będą w pełni wykorzystywały szans i możliwości tworzonych przez erę cyfryzacji i Internet Rzeczy – mówi Michał Kurek, partner w dziale usług doradczych, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

Komfort dostępu do danych niesie ryzyko

Wraz ze wzrostem liczby urządzeń IoT i częstotliwości połączeń z internetem za pośrednictwem hotspotów Wi-Fi, Bluetootha i chmury, rośnie też prawdopodobieństwo cyberataku. Dotychczasowy sprzęt, oprogramowanie i procesy mogą nie być w stanie nadążyć za zmieniającą się technologią, a tradycyjne ramy bezpieczeństwa cybernetycznego w firmie są zazwyczaj nieadekwatne do stopnia jej zaawansowania. Zrozumienie zagrożeń i luk w zabezpieczeniach powinno być podstawowym krokiem dla wszystkich przedsiębiorstw. Zagrożeniem mogą być zarówno osoby z zewnątrz, codziennie przemierzające teren przedsiębiorstwa (np. klienci, kurierzy, dostawcy usług) i łączące się z siecią firmową, ale także pracownicy korzystający każdego dnia z podłączonych urządzeń osobistych, w tym telefonów komórkowych, tabletów, urządzeń do noszenia na ciele (ang. wearables) i innych produktów IoT z niezliczoną liczbą aplikacji internetowych. Każda z tych osób reprezentuje dla firmy potencjalne ryzyko.

Dzisiejsze przedsiębiorstwo jest dość złożone z punktu widzenia bezpieczeństwa cybernetycznego. W każdej chwili i każdego dnia w najróżniejszych miejscach na świecie pracownicy uzyskują dostęp do poufnych danych zapisanych w chmurze. Przyłączają się za pośrednictwem Wi-Fi w restauracji, w poczekalni na lotnisku czy pracując w domu. Z takim komfortem pracy związane jest jednak wymierne ryzyko i firmy muszą być świadome zagrożeń, przed którymi stoją – mówi Michał Kurek, partner w dziale usług doradczych, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

Różne wymiary bezpieczeństwa

Zarządzanie i kontrolowanie ryzyka IoT wykracza daleko poza proste kontrolowanie urządzeń. Firmy muszą rozumieć i zabezpieczać trzy wymiary cybernetycznego bezpieczeństwa IoT – zarządzanie urządzeniami, ekosystemem, w którym funkcjonują oraz możliwościami ich użycia. Celem powinno być zintegrowanie projektowania cyberbezpieczeństwa i mechanizmów kontrolnych już w trakcie rozwoju produktów i usług. Takie podejście zapewnia bezpieczeństwo podczas całego cyklu życia produktu. Zabezpieczeń nie można bowiem zaaplikować na urządzeniu IoT po jego opracowaniu. Istotne również, aby firmy miały wiedzę, gdzie, jak i kto ma dostęp do danych biznesowych oraz jakie zagrożenia mogą stwarzać osobiste lub firmowe urządzenia powiązane z ekosystemem IT przedsiębiorstwa. Poza codziennym ruchem pracowników w miejscu pracy, ciągły napływ osób trzecich do przedsiębiorstwa wymaga proaktywnego podejścia do zarządzania zewnętrznymi urządzeniami przemierzającymi firmowy ekosystem.