Na zarządzanie ryzykiem cybernetycznym poświęcamy 1 dzień w roku

Przeczytaj także: Bezpieczeństwo w sieci: rośnie świadomość zagrożeń, kontroli ciągle brak

Globalne badanie, opisujące metody zarządzania ryzykiem cybernetycznym oraz sposoby jego postrzegania, objęło swoim zasięgiem 1500 organizacji. Jego wyniki porównano z rezultatami badań przeprowadzonych w 2017 roku. Do jakich wniosków prowadzi?

Okazuje się m.in., że wspomniany we wstępie brak czasu na kwestie związane z zagrożeniami cybernetycznymi pojawia się w momencie, gdy obawy spowodowane cyberatakami są najwyższe w historii, a zaufanie do działań podejmowanych przez firmy w zakresie zarządzania tego rodzaju ryzykiem znacząco spada.

Chociaż na ryzyko cybernetyczne, jako kluczowe z zagrożeń, wskazuje już niemal 80% respondentów (62% w 2017 r.), to jednak tylko 11% z nich jest przekonanych o swoich umiejętnościach w zakresie oceny niebezpieczeństwa, przeciwdziałania atakom czy skutecznego reagowania (spadek z 19% w 2017 r.).

Dla wielu organizacji, strategiczne zarządzanie ryzykiem cybernetycznym nadal pozostaje wyzwaniem. Podczas gdy blisko 2/3 ankietowanych (65%) przypisało odpowiedzialność za zarządzanie ryzykiem cybernetycznym kadrze kierowniczej i zarządowi, zaledwie 17% z kierowników wyższego szczebla przyznało, że przeznaczyło więcej niż kilka dni w roku na te kwestie. Ponad połowa, bo 51% przeznaczyła zaledwie kilka godzin lub mniej.

Jednocześnie, 88% respondentów wskazało dział IT jako głównego decydenta ds. zarządzania ryzykiem cybernetycznym, podczas gdy 30% pracowników IT przyznało, że spędziło jedynie kilka dni lub mniej na analizie ryzyk cybernetycznych.

Warto dodać, że organizacje pomimo korzystania z nowych technologii, nie są w pełni świadome ryzyk jakie one niosą. Większość ankietowanych (77%) potwierdziło, że jest w trakcie adaptacji lub zaadaptowało nowe technologie, takie jak przechowywanie danych w chmurze, robotykę czy sztuczną inteligencję. Tylko 36% twierdzi, że dokonało oceny ryzyk zarówno przed, jak i po adaptacji nowych technologii, 11% przyznaje, że w ogóle nie dokonało oceny.

Anna Pluta - Lider Praktyki Cybernetycznej Marsh Polska podkreśla:

„Badanie pokazało, że świadomość zagrożeń cybernetycznych w organizacji rośnie a cyberbezpieczeństwo jest jednym z najważniejszych priorytetów biznesowych. Firmy przykładają więcej uwagi do występujących zagrożeń jednak zdolności do zarządzania nimi, poczucie pewności w tym obszarze zmalało w stosunku do badań z roku 2017 .

Konsekwentnie wobec lat ubiegłych badanie wskazało zagrożenia atakiem hakerskim jako najpoważniejsze z wszystkich współczesnych zagrożeń dla biznesu. Pomimo tak poważnego postrzegania ryzyka w organizacji zdecydowana większość respondentów deleguje kwestie zarządzania bezpieczeństwem cybernetycznym wyłącznie do zespołów IT (aż 88% respondentów wobec 70% z badania w 2017), tylko 17% liderów i kadry zarządczej przyznało się, że w ostatnim roku poświecili na kwestie związane z cyber ryzykiem raptem klika dni. Wiele organizacji skupia się głównie na technologicznych rozwiązaniach i inwestycjach w narzędzia chroniące i zabezpieczające przed cyber ryzykiem, zapominając o ocenie ryzyka, możliwości jego transferu, reakcji na incydent czy naruszenie bezpieczeństwa danych - czyli o tych obszarach, które kształtują kulturę cyber bezpieczeństwa i budują odporność organizacji na potencjalne zagrożenia.

Innowacje IT wydają się być absolutnie konieczne dla większości biznesu, pozostawiają one jednak nierozłącznie technologiczny ślad w środowisku IT, organizacji włączając w to ryzyko cybernetyczne. Postęp naraża organizacje na zwiększenie powierzchni ataku, która rozszerza się w wyniku implementacji nowych rozwiązań technologicznych. Ponad ¾ respondentów potwierdziło zaadoptowanie lub rozważa wprowadzenie co najmniej jednego operacyjnego udogodnienia technologicznego, 50% przyznało, że zagrożenia cybernetyczne prawie nigdy nie stanowiły przeszkody we wdrożeniu nowych rozwiązań, jednakże dla 23% respondentów, włączając w to wiele mniejszych firm, koszty i ryzyko związane z wdrożeniem nowych technologii niestety przewyższa korzyści i możliwości z nich wynikające. Zagrożenia i ekspozycje związane z nowymi technologiami muszą być zatem wywarzone wobec potencjalnych benefitów będących efektem dokonanej transformacji technologicznej a tolerancją ryzyka, która jest różna dla każdej organizacji czy branży.

Powszechna cyfryzacja w łańcuchu dostaw, rosnąca współzależność gospodarcza ma wpływ na powstawanie cyberryzyka w wśród wszystkich zaangażowanych podmiotów, nie jest to ryzyko dotykające tylko jednej strony czy jednego partnera biznesowego. Ciekawostką wśród wielu respondentów są rozbieżności w postrzeganiu ryzyka, na które są narażone firmy w ramach łańcucha dostaw: 39% respondentów stwierdziło, że zagrożenie ze strony ich parterów czy dostawców było wysokie lub dość wysokie, ale tylko 16% respondentów wskazało, że w łańcuchu dostaw to oni sami są wysokim lub dość wysokim „ nośnikiem” zagrożeń cybernetycznych.

Wśród respondentów bardziej prawdopodobne było ustalenie wyższych standardów dla własnych działań w zakresie zarządzania ryzykiem cybernetycznym niż podwyższanie standardów wobec innych kontrahentów w ramach łańcucha dostaw.

Generalnie organizacje wskazują na ograniczającą rolę nowo wprowadzonych regulacji i prawa. Zdaniem respondentów mają one wpływ na efektywność i nie pomagają w zarządzaniu ryzykiem cybernetycznym. Wyjątkiem są ataki sponsorowane przez obce państwa - w zakresie tych zagrożeń ponad połowa respondentów oczekuje większego zainteresowania i pomocy z strony instytucji rządowych.

Wraz z rozwojem zagrożeń także ubezpieczenia od ryzyk cybernetycznych są na krzywej wznoszącej a organizacje prezentują otwartą postawę na ubezpieczeniowy transfer ryzyka. 47% badanych organizacji potwierdziło posiadanie ochrony ubezpieczeniowej (wzrost wobec 34% w roku 2017), niepewność co do możliwości uzyskania ochrony ubezpieczeniowej adekwatnej wobec potrzeb spadła do 31% z 41% w 2017 i aż 89% respondentów posiadających ochronę ubezpieczeniową zadeklarowało wysoką i dość wysoką pewność, że posiadane polisy pokryłyby koszty związane z cyber incydentem”.