Cyberataki wirtualne, ale realne

Przeczytaj także: Bezpieczeństwo cybernetyczne - prognozy na 2020 r.

Eksperci twierdzą, że każda z tych kategorii wymaga szczególnych umiejętności, procedur i technologii, by skutecznie chronić własną organizację. Tymczasem, wbrew faktom i prognozom, zarządy wielu firm wciąż mają dobre samopoczucie, jeśli chodzi o ryzyko cyberataków. Wierzą, że bezpieczeństwo ich firmy spoczywa w ręku speców od IT. Cyberzagrożenia ewaluują jednak wraz z rozwojem biznesu i wnikają głęboko w tkankę prowadzonej działalności. Analiza zagrożeń musi się zatem wiązać z analizą procesów biznesowych, a zarządzanie ryzykiem z zarządzaniem całością firmy. Biznes powoli zaczyna sobie zdawać sprawę z tego, jak dotkliwy jest to problem.

Najświeższe ubiegłoroczne raporty dotyczące ryzyka nie pozostawiają złudzeń. Według raportu The World Economic Forum’s Global Risk cyberataki są najbardziej prawdopodobnym ryzykiem technologicznym, a jeśli chodzi o negatywne konsekwencje – drugim ryzykiem po krytycznych błędach systemu. Raport Lloyd’s Risk Index 2013 stwierdza zaś, że ryzyko związane z kwestiami cyberbezpieczeństwa znalazło się wśród trzech najgroźniejszych obszarów ryzyka. Warto nadmienić, że jeszcze w 2011 roku ryzyko złośliwych cyberataków lokowało się na 12. pozycji, a inne cyberzagrożenia – na pozycji 19. W roku 2009 cyberzagrożenia znajdowały się według analityków Lloyd’s dopiero na 20. miejscu. Ale taki skok na wyższą pozycję jest zrozumiały.

W 2012 roku miały miejsce ataki, które wstrzasnęły cyberświatem. Wśród nich spektakularne cyberataki na serwisy www Interpolu, CIA czy gigantów przemysłu takich jak Boeing, masowa kradzież haseł użytkowników portalu LinkedIn, wyłączenie witryn 6 amerykańskich banków,
w tym tych największych – JPMorgan Chase & Co. oraz Wells Fargo & Co.

Najsłabsze ogniwo

Firmy tracą miliony z powodu cyberataków na swoich stronach internetowych i w sieci, ich pracownicy są namierzani za pomocą informacji uzyskanych z mediów społecznościowych. Globalny koszt cyberprzestępsw to miliardy dolarów rocznie ze stałą tendencją wzrostową – twierdzą na swoim blogu Art Ehuan i Mike Gibbons – eksperci od cyberbezpieczeństwa firmy Alvarez&Marsal. Żadna organizacja nie może czuć się bezpieczna, jednak szczególnie narażone są korporacje, które dysponują cenną własnością intelektualną, realizujące projekty w zakresie badań i rozwoju (B+R). Jak przyznają Ehuan i Gibbons, firma A&M pracowała z klientem prowadzącym biznes o globalnym zasięgu, który swoje koszty wynikające z utraty poufnych informacji oszacował na 3,2 miliarda dolarów w jednym tylko roku obrotowym.

Zarządzanie cyber ryzykiem musi stanowić jeden z głównych tematów, nad którymi pochylają się zarządy firm. Negatywne konsekwencje cyberataków obejmują nie tylko konieczność odbudowania infrastruktury komputerowej czy bieżące łatanie dziur w systemach bezpieczeństwa. Analitycy mówią, że cyberzagrożenia mogą skutkować obniżeniem wskaźnika zysku na akcję (earnings per share), utratą klientów wynikającą z obniżenia zaufania do usługodawcy, nie wspominając o tym, jak dotkliwe mogą być straty dla firm działających w branżach zaawansowanych technologii, które narażone są na utratę własności intelektualnej, wliczając w to wyniki prac badawczo-rozwojowych, będące rezultatem wielomilionowych inwestycji.

Cyber ryzyko nie może być zatem minimalizowane jedynie za pomocą technologii. Cyberprzestępcy wykorzystują najsłabsze ogniwo w łańcuchu: niektóre procesy biznesowe, zachowania pracowników i słabą dyscyplinę w korzystaniu z technologii. Największym ryzykiem dla organizacji jest to, że atakom mogą ulec jej partnerzy i dostawcy. Na przykład bank może przekazać swoje najbardziej wrażliwe dane cyfrowe zewnętrznym partnerom biznesowym, albo doradcom prawnym. Bez względu na zabezpieczenia samego banku, jego dane będą de facto zabezpieczone na takim poziomie, jaki praktykowany jest przez jego partnerów. Każdy łańcuch jest tak silny, jak silne jest najsłabsze jego ogniwo.