Wyniki badania wskazują, że w ciągu roku 96% firm doświadczyło ponad 50 incydentów zagrożenia bezpieczeństwa. Do ich negatywnych skutków ankietowani najczęściej zaliczali straty finansowe i narażenie na ryzyko prawne czy proces sądowy, a także utratę klientów oraz wyciek korespondencji firmowej. – Biznes stoi przed dużym wyzwaniem związanym ze stabilnym zaufaniem w sieci i poczuciem bezpieczeństwa pracowników i klientów – komentuje Piotr Urban, Partner w Zespole Zarządzania Ryzykiem PwC.
Nowe regulacje
W maju 2018 roku wejdzie w życie rozporządzenie Unii Europejskiej o ochronie danych osobowych (znane pod skrótem RODO). Przewiduje ono między innymi, że administratorzy i podmioty przetwarzające dane mają wdrożyć odpowiednie środki techniczne i organizacyjne mające na celu zabezpieczenie przechowywanych danych.
Incydenty związane z naruszeniem bezpieczeństwa danych osobowych będą musiały być zgłaszane w ciągu 72 godzin do organu regulacyjnego. Dodatkowo każdy rodzaj biznesu przetwarzający takie dane będzie musiał przeprowadzić analizy ryzyka i wdrożyć adekwatne zabezpieczenia.
Naruszenie przepisów będzie wiązać się z ryzykiem nałożenia na przedsiębiorstwa kary finansowej do 20 mln euro lub w wysokości 4% wartości rocznego obrotu firmy.
Stopień przygotowania
Obecnie organizacje mają czas na przygotowanie się i wprowadzenie zasad spełniających wymagania zawarte w rozporządzeniu. Wśród badanych polskich firm 42% uwzględnia już mechanizmy ochrony danych osobowych w nowych systemach IT, 34% zobowiązało swoich pracowników do odbywania okresowych szkoleń w zakresie ochrony danych osobowych, a 27% wdrożyło zabezpieczenia danych osobowych oraz przeprowadza audyty firm zewnętrznych obsługujących te dane.
Z kolei zaledwie 15% prowadzi ocenę skutków operacji przetwarzania i tylko 12% utworzyło i aktualizuje rejestr operacji przetwarzania danych osobowych. Tyle samo badanych polskich pracodawców ogranicza liczbę operacji przetwarzania do minimum koniecznego do osiągnięcia celu, dla którego zostały zebrane.
Polskie firmy są na początku drogi w przygotowaniu do nowych przepisów – konstatują autorzy badania. O ile najprostsze do wdrożenia przepisy zostały zrealizowane, najgorzej wypada gotowość procesowa firm – program umożliwiający identyfikację wrażliwych zasobów wdrożyło zaledwie 11% firm, a 58% w ogóle go nie planuje.
– Wymagania zawarte w Ogólnym rozporządzeniu o ochronie danych mają wpływ na bardzo wiele obszarów działalności firmy. Dotyczą nie tylko działu prawnego, lecz także marketingu, HR-u czy obsługi klienta. W związku z tym, aby zapewnić adekwatne wdrożenie wymagań wynikających z przepisów RODO, zalecanym jest powołanie interdyscyplinarnego zespołu ekspertów, w szczególności z obszaru prawnego, biznesu oraz IT i bezpieczeństwa informacji – tłumaczą eksperci, Anna Kobylańska z kancelarii prawnej PwC Legal oraz Łukasz Ślęzak z Zespołu Cyber Security.
Gdzie czai się niebezpieczeństwo?
Firmy odnotowują rosnącą liczbę incydentów, co wiąże się ze zwiększającą się świadomością problemu i rozwijanymi procesami monitorowania. Jakie są typy incydentów naruszenia bezpieczeństwa?
Najczęstsze są ataki pishingowe (mające na celu zmylenie użytkownika i nakłonienie do wykonania zamierzonej operacji), wymienia je 39% badanych. W zestawieniu pojawiają się również: wykorzystanie zewnętrznego nośnika danych (np. dysk USB), urządzenia mobilnego, sieci, mediów społecznościowych, aplikacji, a najrzadszą formą jest wykorzystanie sytemu płatności mobilnych.
Najpoważniejsze skutki naruszenia bezpieczeństwa w firmach to: ryzyko prawne, straty finansowe, utrata klientów. Zagrożeniem dla firm jest także kradzież cennych danych: korespondencji firmowej, informacji poufnych, własności intelektualnej, co naraża je na osłabienie reputacji oraz utratę partnerów biznesowych.
Jak się bronić przed atakami?
Coraz większe uzależnienie przedsiębiorstw od technologii stanowiącej o ich przewadze konkurencyjnej sprawia, że ryzyko i skutki ataków na środowiska IT rosną. Zwiększa to potrzebę rozważnego doboru odpowiedniego zestawu zabezpieczeń technologicznych.
Jakie zatem zabezpieczenia są wdrażane w polskich firmach? Narzędzia umożliwiające wykrywanie nieznanych/niepożądanych urządzeń w sieciach teleinformatycznych posiada 31% ankietowanych organizacji, 26% może pochwalić się narzędziami umożliwiającymi wykrywanie złośliwego kodu (anty APT). Niewiele mniej, bo 25 i 23% stosuje, odpowiednio, metody umożliwiające wykrywanie luk w zabezpieczeniach (vulnerability scanning) oraz umożliwiające wykrywanie włamań. 21% badanych polskich przedsiębiorstw wdrożyło technologie zarządzania bezpieczeństwem IT (SIEM, Security Information Event Management), a 9% zainwestowało w wykrywanie złośliwego oprogramowania w urządzeniach mobilnych.
O rosnącej świadomości zagrożeń i możliwych strat z ich tytułu świadczy wykupowanie przez firmy. Taką decyzję podjęło 7% wśród badanych organizacji.
Najbliższa przyszłość
Zbadano również plany organizacji w zakresie cybersecurity na najbliższe miesiące. Najwięcej, bo ponad połowa pytanych deklaruje stały monitoring bezpieczeństwa (57%). Zainteresowaniem cieszą się również szkolenia mające na celu zwiększanie wiedzy z zakresu bezpieczeństwa (48%) i bezpieczeństwo fizyczne (40%).
Wśród priorytetów firm znajdują się również zarządzanie tożsamością i dostępem (32%), wykrywanie podsłuchów i zwalczanie zawansowanych zagrożeń typu APT – po 21%.
W mniejszym stopniu planowane jest wprowadzanie środków bezpieczeństwa urządzeń mobilnych (14%), chmury obliczeniowej (11%), zmian związanych z ochroną danych osobowych wedle zaleceń Unii Europejskiej (10%) oraz programów wykrywania zagrożeń wewnętrznych (7%).
Jak zauważają autorzy raportu, dziwi bardzo mały nacisk na wdrożenie zmian związanych z RODO. Wydaje się, że będzie się to zmieniać w nadchodzących miesiącach, w miarę jak świadomość na temat samego rozporządzania oraz jego wpływu na organizację będzie rosnąć.
Współpraca i zaufanie
Większość respondentów nie jest przekonanych, że podejmowane przez ich partnerów czy dostawców działania są wystarczające dla zapewnienia bezpieczeństwa informatycznego. Wykazują sceptycyzm w zakresie kooperacji i wymiany informacji z innymi podmiotami a główną przyczyną takiej sytuacji jest nieufność wobec zewnętrznych źródeł informacji. Mimo to większość ankietowanych uważa, że ich firma nie planuje wdrażać programów monitorujących lub audytów zewnętrznych partnerów i dostawców usług, dla zyskania pewności, że przestrzegają oni polityk bezpieczeństwa i ochrony danych obowiązujących w ich firmach.
Tymczasem wobec rosnącej świadomości i ostrożności klientów kwestia odpowiedniej ochrony danych osobowych jest ważka, w znaczącym stopniu wpływa bowiem na zaufanie klientów do firmy. Jego poziom pozostaje dość niski, a zwiększenie poziomu zabezpieczeń staje się w tym kontekście sposobem na pozytywne wyróżnienie marki w oczach zarówno partnerów, jak i usługobiorców.
Źrodło: PwC, Ochrona biznesu w cyfrowej transformacji, czyli 4 kroki do bezpieczniejszej firmy, 4. edycja badania stanu bezpieczeństwa informacji w Polsce, https://www.pwc.pl/stanbezpieczenstwa