Magdalena Taczanowska, dyrektor sektora publicznego w polskim oddziale Microsoftu, dzieli firmy na trzy grupy: te, które zostały zaatakowane przez cyberprzestępców i się do tego przyznają, te, które ukrywają ten fakt, i te, które nie zdają sobie z tego sprawy.
Zarazem przyznaje, że zwiększa się odsetek przedsiębiorstw, w których bezpieczeństwo cyfrowe zaprząta głowy menedżerów. A nawet podejmują działania mające zapobiec włamaniom i wyciekom danych.
— Ma to związek z coraz większą liczbą zagrożeń, ale przede wszystkim ze wzrostem świadomości ceny, jaką firmy i instytucje mogą zapłacić, lekceważąc ryzyko — mówi dyrektor Taczanowska.
Najsłabsze ogniwo
Co mają na sumieniu wirtualni przestępcy? Kradzieże danych finansowych, w tym numerów kart kredytowych i haseł do e-bankowości (28 proc. wskazań), dezorganizację firm (25 proc.), przywłaszczenie własności intelektualnej (20 proc.) i nadużycia finansowe (19 proc) — wynika z corocznego Światowego Badania Bezpieczeństwa Informacji „Wyprzedzając cyberataki”, przeprowadzonego przez EY. Nowym celem ataków są — według badania — systemy automatyki przemysłowej, czyli technologie związane m.in. z wytwarzaniem prądu, systemamidystrybucji gazu czy kontroli transportu, w tym lotniczego.
Zdaniem 17 proc. respondentów dużym problemem jest przetwarzanie danych w chmurze obliczeniowej. Podobnie uważa mecenas Marek Gajek, partner w kancelarii Gajek i Wspólnicy, specjalizującej się w prawie nowych technologii. Na ryzyko związane z wykorzystywaniem cloud computingu — tłumaczy — wpływają: ograniczone gwarancje usługodawców w najważniejszych zapisach umowy, takich jak nieprzerwana dostępność usługi czy ochrona poufnych danych.
— Prawo nie nadąża za rozwojem technologicznym i gospodarczym. Dotyczy to także IT. Brak precyzyjnych zapisów ustawowych w powiązaniu z często dominującą pozycją usługodawcy powoduje, że bezpieczniejjest wykorzystywać cloud do obsługi drugorzędnych procesów biznesowych, takich jak HR czy marketing — przekonuje mec. Gajek.
Polskie firmy stale zwiększają budżety na bezpieczeństwo. Ciągle są one jednak niższe niż w spółkach z Zachodu. Ale rozwiązania technologiczne to nie wszystko.
— Zapewne krajowy biznes będzie próbował nadrobić zaległości w tej dziedzinie, co w najbliższych latach zaowocuje wysypem wdrożeń. Jednak specjalistyczne oprogramowanie nie spełni swojej roli, jeśli zapomnimy o edukowaniu i wyrabianiu odpowiedzialnych postaw u pracowników — podkreśla Mariusz Rzepka, dyrektor Fortinetu na Polskę, Białoruś i Ukrainę. To właśnie niefrasobliwi pracownicy — według badaniaEY — w większym stopniu (38 proc.) niż przestarzałe mechanizmy bezpieczeństwa informacji (35 proc.) odpowiadają za skuteczność ataków.
— Nie ma technologii, która byłaby w stanie zapewnić całkowitą ochronę firmowego środowiska IT. Dlatego menedżerowie działów informatycznych powinni opracowywać także standardy bezpieczeństwa i analizować ryzyko z uwzględnieniem tzw. czynnika ludzkiego. Tylko kompleksowe działania, łączące aspekty technologiczne, organizacyjne i psychologiczne, zapewniają dużą skuteczność — uważa Magdalena Taczanowska.
— W cyfrowym świecie opracowanie, wdrożenie i respektowanie polityki bezpieczeństwa informacji jest podstawą — dodaje Cezary Piekarski, starszy menedżer w dziale zarządzania ryzykiem Deloitte.
Biznesowy ekosystem
Michał Kurek, dyrektor w dziale zarządzania ryzykiem informatycznym w EY, zwraca uwagę, że w walce z cyberprzestępcami firmy koncentrują się przede wszystkim na budowaniu murów chroniących ich dane, systemy i pracowników. A to błąd, ponieważ dzisiaj większość biznesu robi się poza tradycyjnymi murami firm.
— Chcąc się porozumiewać z dostawcami i klientami, przedsiębiorcy muszą się otwierać na świat. Dlatego zabezpieczenie się przed cyberprzestępcami powinno obejmować także partnerów, klientów, dostawców — to wszystko co nazywamy ekosystemem biznesowym — podpowiada dyrektor Kurek.
Firma na celowniku
Z ankiety przeprowadzonej przez jego firmę wynika, że 56 proc. spółek kontroluje bezpieczeństwo informacji u swoich dostawców i podwykonawców, a 27 proc. ocenia, jakie jest u nich ryzyko naruszenia lub utraty danych.
Niestety, taką przezornością cechują się głównie korporacje. Menedżerowie małych i średnich przedsiębiorstw raczej nie zwracają uwagi, jak do tych spraw podchodzą ich biznesowi partnerzy. Dyrektor Michał Kurek ma jednak nadzieję, że wkrótce się to zmieni.