Cyberataki wirtualne, ale realne

Przeczytaj także: Bezpieczeństwo cybernetyczne - prognozy na 2020 r.

Potwierdzają to raporty za lata 2011 i 2012 opracowane przez Ponemon Institute, niezależną instytucję badawczą specjalizującą się w obszarze prywatności i bezpieczeństwa informacji. Wyniki badań pokazują, że do najważniejszych czynników wzrostu kosztów kradzieży i wycieku danych należą błędy i zaniedbania osób trzecich.

Czas zmian

Przeformułowanie strategii bezpieczeństwa i zarządzania cyber ryzykiem jest tym bardziej palące, że badania Insurance Information Institute z 2013 roku pokazują, iż to właśnie wewnętrzne zaniedbania i brak ostrożności użytkowników stanowią przyczynę blisko 40% zdarzeń, w których doszło do utraty danych. Dopiero na drugim miejscu (37%) wymienia się złośliwe i celowe ataki. Na trzecim zaś – usterki i błędy samych systemów informatycznych (24%). Tym samym, abstrahując od celowych ataków, okazuje się, że blisko 65% przypadków znajduje się w obszarze, który powinien znajdować się pod kontrolą firm. Niestety – tylko teoretycznie.

Wiele organizacji wychodzi bowiem z założenia, że skuteczna ochrona jest domeną działu IT i w dodatku wewnętrznym problemem organizacji, który rozwiązuje się, stosując właściwe technologie. Istnieje również powszechna tendencja do skupiania się głównie na zagrożeniach zewnętrznych, bez uwzględniania zagrożeń, które mogą pojawiać się ze strony własnych pracowników, klientów oraz partnerów w łańcuchu dostaw – czyli wszędzie tam, gdzie pojawia się wymiana informacji. A w dzisiejszym cyberświecie, gdzie każdy z każdym połączony jest elektronicznie, zanika również rozróżnienie między zagrożeniami zewnętrznymi i wewnętrznymi.

Trzeba nowego podejścia do zarządzania tym obszarem – przekonuje Tom Kellermann, były członek amerykańskiej Komisji ds. Cyberbezpieczeństwa, a dziś dyrektor zarządzajacy Alvarez&Marsal. Same działy IT zazwyczaj nie posiadają uprawnień do zarządzania ryzykiem i mają ograniczony wpływ na decyzje zarządcze najwyższego szczebla. Zdaniem Kellermanna, stanowisko dyrektora ds. bezpieczeństwa informacji, tj. CISO (Chief Information Security Officer), ma stanowić ogniwo łączące główny obszar działalności firmy oraz jej strategiczne planowanie z zagadnieniami bezpieczeństwa danych. Problemu bezpieczeństwa cybernetycznego nie można traktować tylko i wyłącznie jako obszaru technologicznego, za które odpowiedzialny będzie dział IT.

Analitycy Ponemon Institute twierdzą, że plan reagowania i zarządzania w sytuacji kryzysowej, zatrudnienie zewnętrznych konsultantów do obsługi tego typu zdarzeń, czy – wreszcie – wprowadzenie do kierownictwa stanowiska CISO skutecznie ograniczą koszt kradzieży i utraty danych.

Polityka europejska nie pozostaje w tyle, gdyż obok proponowanych zmian w regulacjach chce inwestować w rozwój technologii cyberbezpieczeństwa. W ramach programu Horyzont 2020 wyasygnowano budżet 500 milionów euro, który w całości przeznaczony zostanie na projekty badawczo-rozwojowe, mające wzmocnić europejską politykę cyberbezpieczeństwa zarówno od strony technologicznej, jak i w obszarze lepszej diagnozy niebezpieczeństw, przeciwdziałania oraz metod radzenia sobie ze skutkami ataków. Unia Europejska wydaje się być więc przekonana, że pieniądze na ochronę cyberprzestrzeni warto wydawać. Teraz czas na to, by przekonały się o tym firmy. Bo w końcu jedno jest pewne. Ataki nastąpią. Pytanie tylko kiedy i jak się do tego przygotować.