Cyberbezpieczeństwo wciąż wielkim wyzwaniem
Wraz z rozwojem technologii i rozszerzaniem obszaru ich wykorzystania w organizacjach rosną nowe wyzwania. Cyberbezpieczeństwo jest szczególnie istotną, choć jak wskazują badania rynkowe – wciąż niewystarczająco zaadresowaną kwestią. Najnowsze raporty Microsoft i EY omawiane podczas konferencji „Cyberbezpieczeństwo w Polsce i na świecie" pokazują, że problemy w tym obszarze rodzą zarówno niewystarczające działania z zakresu polityki bezpieczeństwa wewnątrz organizacji, jak i zagrożenia z zewnątrz, np. ataki hakerskie.
Jak pokazują wyniki 17. Światowego Badania Bezpieczeństwa Informacji, przeprowadzonego przez EY, niefrasobliwość pracowników wciąż jest postrzegana jako największe zagrożenie dla bezpieczeństwa informatycznego firm - tak stwierdziło 57 proc. ankietowanych. Uzupełnieniem tego obrazu jest 17. edycja Microsoft Security Intelligence Report, która wśród problemów i obszarów szczególnie wrażliwych wymienia kwestię odpowiedniego zabezpieczenia danych logowania czy korzystanie z aktualnego oprogramowania (a także iluzoryczne poczucie bezpieczeństwa, które dają wygasłe wersje próbne programów antywirusowych).
- Wszyscy widzimy, że temat cyberbezpieczeństwa coraz częściej wchodzi na agendy zarządów największych firm. Myślę, że po części jest to związane ze wzrostem ilości realnych zagrożeń, ale przede wszystkim wzrostem świadomości ich wagi i ceny, jaką firmy i instytucje mogą ponieść, lekceważąc te kwestie - powiedział Ronald Binkofski, Dyrektor Generalny polskiego oddziału Microsoft.
Niedostateczne wewnętrzne zasady dotyczące polityki bezpieczeństwa IT przekładają się na podatność na zagrożenia z zewnątrz. Co ważne - wzrasta ich świadomość i, jak podaje raport EY, już 53 proc. ankietowanych wskazuje na organizacje przestępcze jako źródło niebezpieczeństwa. Badani upatrują główne cele cyberataków w dezorganizacji przedsiębiorstw (25 proc. respondentów wskazało to jako podstawowe zagrożenie), kradzieży danych finansowych, w tym numerów kart kredytowych czy haseł do bankowości internetowej (28 proc.), ponadto 20 proc. wskazało kradzież własności intelektualnej, a 19 proc. nadużycia finansowe. Jako nowe cele ataków wskazywano również systemy informatyki przemysłowej, czyli technologie związane z wytwarzaniem prądu, systemami dystrybucji gazu czy kontroli transportu, w tym lotniczego.
- Wspólnie z Microsoft dostrzegamy skalę zagrożeń i ich potencjalne skutki. Od wielu lat badamy i analizujemy znaczenie tych obszarów, starając się zdefiniować trendy dotyczące zarówno samych ataków, jak i sposobów obrony przed nimi - zaznaczył Kazimierz Klonecki, Partner EY, Lider Działu Zarządzania Ryzykiem Informatycznym.
Jeśli chodzi o narzędzia, wciąż jednym z najpopularniejszych pozostaje malware - jak pokazuje raport Microsoft, w II kwartale 2014 roku najczęściej spotykane jego formy to trojany, robaki i wirusy. Choć częściej stykają się z nimi użytkownicy prywatni, to również firmy i organizacje znajdują się na ich celowniku. Istotnym zagrożeniem pozostaje także phishing, dla którego sieci społecznościowe stały się jednym z istotniejszych nośników.
Na agendzie dyskusji o cyberbezpieczeństwie wyróżnia się również paląca kwestia bezpieczeństwa informatycznego w sektorze publicznym. Jak podaje raport Rządowego Zespołu Reagowania na Incydenty Komputerowe, CERT.GOV.PL:
"W 2013 roku największą grupę, jak co roku, stanowiły incydenty w kategorii <<botnety>>. Zespół CERT.GOV.PL zarejestrował aż 4270 incydentów dotyczących oprogramowania złośliwego działającego na stacjach roboczych, podłączonych do sieci teleinformatycznej jednostek administracji publicznej. Najczęściej występującymi typami botnetów w 2013 roku, wykrytymi w infrastrukturze administracji państwowej, były botnety Citadel, Conficker oraz Downadup".
Przypadki tych ataków bynajmniej nie są incydentalne, a poziom stosowanych zabezpieczeń może budzić wątpliwości - CERT.GOV.PL podaje, że na przebadanych 45 stronach internetowych 15 instytucji państwowych znalazł 755 błędów, z których 244 o bardzo wysokim poziomie zagrożenia.
Istotność skali problemu w wyrazisty sposób opisała Magdalena Taczanowska, Dyrektor sektora publicznego w polskim oddziale Microsoft. - Jestem przekonana, że niezbyt dużą przesadą byłoby stwierdzenie, że w dzisiejszych czasach firmy możemy podzielić na te, które zostały zaatakowane i się do tego publicznie przyznają, te które ukrywają taki fakt i te które nie zdają sobie z niego sprawy - podkreśliła.
Według raportu EY firmy, mimo świadomości rosnących zagrożeń, bardzo rzadko planują zwiększanie budżetów na zapewnianie bezpieczeństwa informacji, a w zaledwie 14 proc. przypadków pracownicy odpowiedzialni za ten obszar raportują bezpośrednio do zarządu. Dane dotyczące konsumentów i sektora publicznego również nie są optymistyczne. To pokazuje, że mimo skali tych wyzwań wciąż nie przykłada się do nich odpowiedniej wagi - dlatego tak istotna staje się działalność edukacyjna i budowanie świadomości wśród organizacji publicznych, prywatnych i konsumentów.
Problem został już dostrzeżony na arenie międzynarodowej - we wrześniu 2014 roku NATO podczas szczytu w Walii przedstawiło 16 nowych priorytetów, w tym obronę cybernetyczną. Konferencje i działania edukacyjne firm takich jak Microsoft czy EY podejmowane są z myślą o wpisaniu się w tę strategię i zwiększeniu bezpieczeństwa użytkowników nowych technologii na całym świecie.
