W ciągu ostatniego roku 83 proc. firm zanotowało od żadnego do pięciu znaczących incydentów naruszenia bezpieczeństwa. Jedna na dziewięć firm padła ofiarą cyberataków od pięciu do dziesięciu razy, a 6 proc. przedsiębiorstw doświadczyło więcej niż 10 tego typu zajść — wynika z badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm”.
— Wyniki wskazują, że firmy nie radzą sobie z wykrywaniem ataków. Organizacje identyfikują bardzo mało incydentów, a wśród tych wykrytych dominują łatwe do zaobserwowania, takie jak infekcja ransomware czy utrata danych w wyniku awarii. Pojawia się obawa, czy brak poczucia zagrożenia nie wynika właśnie z braku możliwości zaobserwowania incydentów bezpieczeństwa — mówi Aleksander Ludynia, menedżer w Zespole Zarządzania Ryzykiem Informatycznym EY.
— Czasem słyszymy, że danej firmy „cyberataki nie dotyczą”. Warto się wtedy zastanowić, czy tak faktycznie jest, czy też może dana firma jest już ofiarą cyberprzestępców, ale jeszcze o tym nie wie — dodaje Tomasz Dyrda, dyrektor w Dziale Zarządzania Ryzykiem Nadużyć EY.
Okazuje się, że najsłabszym elementem w kontekście bezpieczeństwa danych firmy nie jest sprzęt, oprogramowanie czy procedury, ale pracownik firmy. Opowiedziało się za tym aż 64 proc. respondentów.
— Listy trywialnych haseł, pokazujące ignorowanie podstawowych zasad ich tworzenia, lekceważenie zaleceń i procedur szyfrowania danych, otwieranie maili phishingowych — to tylko ułamek błędów, które popełniają ludzie, a jednocześnie użytkownicy urządzeń i systemów IT — ostrzega Tomasz Dyrda.
— Pracownicy firm ciągle darzeni są sporym zaufaniem swoich pracodawców. Dodatkowo wiele ataków prowadzonych jest za pomocą przejętych kont administratorów, dlatego także ich działania powinny podlegać szczególnej kontroli i monitorowaniu — dodaje Aleksander Ludynia.
Firmy powinny ponadto dostarczać swoim pracownikom wiedzy na temat bezpieczeństwa w sieci, a także szkolić ich, jak działać, w razie wykrycia zagrożenia. Niestety aż 41 proc. zatrudnionych nie uczestniczyło w żadnych warsztatach na temat cyberzagrożeń, a w prawie jednej trzeciej badanych firm nie ma procedury postępowania w sytuacji ataku hakerów. Mimo nasilającego się zagrożenia ze strony hakerów firmy wciąż polegają na technologii stworzonej w latach 80. Co więcej, zaledwie 7 proc. organizacji posiada system informowania o cyberatakach, działający nieprzerwanie przez cały rok, do którego są podłączone wszystkie istotne systemy teleinformatyczne. Aż 43 proc. przedsiębiorstw nie ma żadnego systemu ostrzegania.
— Firmy ponoszą realne straty i dopiero po takim „zimnym prysznicu” następuje refleksja i próba zrozumienia, w jaki sposób i z kim działać, żeby w przyszłości uniknąć podobnych sytuacji. Jedynie co ósma firma ma zarówno odpowiedni plan oraz zespół i może sprawnie koordynować działania w obliczu zagrożenia — komentuje Grzegorz Idzikowski, menedżer w Dziale Zarządzania Ryzykiem Nadużyć EY. Sposobem na zapobieganie konsekwencji finansowych incydentów bezpieczeństwa może być przeniesienie części ryzyka na ubezpieczyciela.
— W procesie transferu ryzyka sprawdzane są zasady bezpieczeństwa informatycznego, zarządzania ryzykiem i tzw. higiena informatyczna firmy. Mimo że polisa nie jest remedium na wszelkie problemy, ma możliwość zmniejszenia ponoszonych przez firmę konsekwencji. Ubezpieczyciel może bowiem wziąć „na siebie” część ryzyka poprzez pokrywanie kosztów prawników w przypadku roszczeń pokrzywdzonych w związku z ujawnieniem ich danych niezgodnie z przepisami prawa wraz z zapłatą kar administracyjnych nałożonych przez organy regulacyjne, kosztów doradców PR i informatyków śledczych — opowiada Marta Paruch z CHUBB.