Cyberzagrożenia ciągle ewoluują, a ich coraz poważniejsze skutki finansowe odczuwają firmy na całym świecie, także w Polsce. Hakerzy mają coraz lepsze umiejętności. Dodatkowo wg ekspertów firmy doradczej Deloitte, wraz z rozwojem nowoczesnych technologii rośnie liczba potencjalnych obszarów, które cyberprzestępcy mogą wykorzystać, aby włamać się do organizacji. W przypadku dużych i średnich firm takich tzw. punktów dostępu może być 190-200, a w mniejszych od 20 do 50. Dlatego odpowiedzialność za cyberbezpieczeństwo, które staje się problemem strategicznym, przesuwa się z działów IT w kierunku zarządów, co stanowi duże wyzwanie.
Niemal codziennie media na całym świecie informują opinię publiczną o atakach, których dokonują cyberprzestępcy dysponujący różnym poziomem wiedzy i determinacji. Dotyczy to również Polski. Ich ofiarami padają banki, instytucje ubezpieczeniowe, firmy telekomunikacyjne, serwisy aukcyjne, jak i agendy rządów.
„Przypadki, które wychodzą na światło dzienne stanowią wierzchołek góry lodowej. Dlatego należy docenić te instytucje i firmy, które publicznie przyznały się, że stały się obiektem cyberataku. To świadczy o dojrzałości ich i rynków, na których funkcjonują” – wyjaśnia Jakub Bojanowski, Partner w Dziale Zarządzania Ryzykiem Deloitte w Europie Środkowej.
Problem ukrywania ataków hakerskich dotyczy firm na całym świecie. Postępują tak z obawy przed utratą klientów i zaufania inwestorów. Jednak coraz częściej zdarza się, że organizacje w razie cyberataku przyjmują strategię pełnej transparentności wobec swoich interesariuszy. Jednym z takich przykładów jest brytyjski operator telekomunikacyjny Talk Talk, który w obliczu cyberataku w październiku ubiegłego roku informował klientów na bieżąco o podejmowanych działaniach. Strategia powiodła się nie tylko ze względu na widoczne polepszenie postrzegania firmy wśród klientów, ale również ze względu na wzrost dynamiki przychodów odnotowany w ostatnim raporcie finansowym.
Ewolucja zagrożeń i cyberataków odnosi się również do kompleksowości firm i prowadzonego biznesu. Deloitte wyliczył ile potencjalnych tzw. punktów wejścia do firmy mają cyberprzestępcy. Okazuje się, że w przypadku mniejszych firm zatrudniających od 10 do 250 osób takich miejsc jest od 20 do 50. Problem rośnie, gdy mowa jest o większych organizacjach, z zespołem liczącym powyżej 250 pracowników. Okazuje się, że liczba takich punktów dostępu wynosi aż 190-200. Są to, m.in.: strony internetowe, media społecznościowe, na których aktywni są pracownicy i sama firma, używane aplikacje mobilne oraz infrastruktura techniczna. Potencjalne niebezpieczeństwo stwarzają również dostawcy usług, którzy sami mogą stać się celem cyberataku.
„Dlatego zarząd i osoby decyzyjne powinny odpowiedzieć sobie na pytanie, kto i dlaczego może być potencjalnie zainteresowany atakiem na ich biznes, a także w jaki sposób może przeprowadzić atak. Sposób jego realizacji jest w dużej mierze zdeterminowany poprzez ekspozycję firmy na zagrożenia, która bardzo często nie jest do końca znana lub właściwie zarządzana. Zrozumienie samego atakującego oraz punktów wejścia do firmy, wskaże nam priorytety w zakresie ochrony, a także podpowie nam czy jesteśmy wyposażeni w odpowiednie kompetencje oraz narzędzia, które pozwolą nam efektywnie chronić się lub sprawnie odpowiedzieć na atak.” – wyjaśnia Marcin Ludwiszewski, Lider obszaru cyberbezpieczeństwa w Deloitte.
Szybko zmieniająca się rzeczywistość, także technologiczna, powoduje, że przedsiębiorstwa w tej chwili są połączone ze światem wieloma kanałami. W związku z tym, skala potencjalnych skutków ataku na infrastrukturę IT sprawia, że problem cyberbezpieczeństwa staje się kwestią strategiczną firmy, a odpowiedzialność za ten obszar przesuwa się stopniowo z działów IT w kierunku członków zarządu. Niestety dotychczasowa praktyka wskazuje, że odpowiedzialnością za dokonane cyberataki obarczani są często dyrektorzy IT.
Zdaniem ekspertów Deloitte jednym z kluczowych elementów, które może ochronić firmę przed zagrożeniami jest zrozumienie strategii atakującego. Każdy haker ma inną taktykę i cel, więc reakcja firmy powinna być dostosowana do rodzaju działań konkretnego hakera. „Firmy nie powinny zadawać sobie pytania, czy zaatakują nas cyberprzestępcy, tylko kiedy oraz w jaki sposób może to nastąpić. Aby najlepiej przygotować się na taki incydent, przedsiębiorstwo musi cyklicznie i na bieżąco identyfikować swoje słabe punkty, które mogą wykorzystać hakerzy. Jedyną metodą działania w takich przypadkach jest prewencja” – mówi Jakub Bojanowski.
Każdy atak realizowany jest w wielu etapach i na różnych płaszczyznach. Są ataki proste i bardziej złożone. Nie ma jednego środka bezpieczeństwa adresującego wszystkie ryzyka wynikające z etapów prowadzonego ataku. „Warto również wspomnieć, że atak ma różną dynamikę, są ataki celowe realizowane w długim horyzoncie czasowym, a także ataki wynikające z przypadkowego odnalezienia błędu np. w aplikacji web firmy. Biorąc to pod uwagę, istotne jest określenie apetytu firmy na ryzyko w kontekście prowadzonego biznesu i podjęcie decyzji, przed kim chcemy się chronić i w którym miejscu ta obrona będzie najbardziej efektywna.” – podsumowuje Marcin Ludwiszewski.
