Aon: dlaczego kuleje zarządzanie ryzykiem cybernetycznym?

Przeczytaj także: 10 globalnych zagrożeń wg AON. Cyberataki na szczycie rankingu

Jak wyjaśnia Aon, omawiane poniżej opracowanie to analiza czterech, najistotniejszych obecnie tematów związanych z cyberryzykiem. Każdy temat został porównany z metodami kontroli cyberbezpieczeństwa tak, aby możliwe stało się wskazanie trendów wydajności w organizacjach przy wykorzystaniu wiedzy z narzędzia Aon do samodzielnej oceny ryzyka – Cyber Quotient Evaluation (CyQu).

Ogólnie rzecz biorąc, globalne dane CyQu ujawniają, że praktyki i technologie zarządzania ryzykiem w zakresie cyberbezpieczeństwa nie są sformułowane w organizacjach, a ryzyko jest rozwiązywane w przeważającej mierze w sposób reaktywny. Przykładowo, tylko dwie na pięć firm deklarują, że są przygotowane do radzenia sobie z nowymi zagrożeniami wynikającymi z szybkiej ewolucji cyfrowej.

Co bardziej niepokojące, tylko 17% organizacji deklaruje posiadanie odpowiednich środków bezpieczeństwa aplikacji, a zaledwie 21% organizacji posiada podstawowe środki nadzoru nad krytycznymi dostawcami. Jest to szczególnie alarmujące w kontekście ostatnich przypadków naruszenia bezpieczeństwa SolarWinds i Accellion, które ilustrują podatność na ataki sieci podmiotów trzecich.

Oto kluczowe wnioski nt. czterech, opisywanych w raporcie obszarów.

Rozpoznanie nowych ryzyk: Szybki rozwój cyfrowy

W 2020 roku wszelkie myśli o dynamicznych i strategicznych planach w obszarze cyfrowym zostały odrzucone na bok na rzecz przetrwania. Dane CyQu ujawniły, że organizacje mają trudności z poruszaniem się w tym nowym środowisku. Tylko 40% firm deklaruje posiadanie odpowiednich strategii pracy zdalnej. Ewolucja cyfrowa nie zatrzymuje się, więc organizacje są zmuszone do rozważenia przewidywanych korzyści wynikających z transformacji cyfrowej w stosunku do wprowadzonego ryzyka.

Znajomość partnerów biznesowych: Ryzyko związane z podmiotami trzecimi

W tym roku organizacje będą oceniać ryzyko cyber związane z łańcuchami dostaw w nowy sposób i z większą troską. Wystarczy jedna niestrzeżona furtka, aby zagrozić rentowności firmy. Dane z CyQu mówią nam, że organizacje nie są jeszcze w pełni gotowe do oceny i zarządzania ryzykiem związanym z zewnętrznymi partnerami.

Niepokojąco niski odsetek 21%, czyli jedna na pięć organizacji, zgłasza posiadanie podstawowych środków wdrożonych w celu nadzorowania krytycznych dostawców. Wyniki badań sugerują jednak, że strategie bezpieczeństwa fizycznego są lepiej zarządzane.

W mojej ocenie jednym z najbardziej niedocenianych obszarów jest zarządzanie ryzykiem usług zewnętrznych w zakresie szeroko rozumianego IT – sporadycznie spotykamy umowy, które zabezpieczają naszych klientów w przypadku wystąpienia cyber incydentu po stronie zewnętrznego partnera. Bardzo często atak z tego kierunku (wektora) również może zastopować lub istotnie zakłócić działanie firmy - komentuje Adam Kuich, ekspert z zakresu cyber w Aon Polska.

Koncentracja na elementach kontroli: Ransomware

Liczba i różnorodność ataków ransomware gwałtownie wzrosły w 2020 roku. Siedem na dziesięć ataków wiązało się z groźbą wycieku wykradzionych danych lub wystawieniem ich na aukcji. Ubezpieczyciele zwracają na to uwagę, a 62% z nich wymienia kontrolę dostępu jako temat krytyczny.

Dane CyQu ujawniły, że wiele organizacji znajduje się w początkowej fazie zarządzania ryzykiem i nie koncentruje się na właściwych kontrolach. Tylko 31% firm deklaruje posiadanie odpowiednich środków odporności biznesowej, co powinno zapalić czerwone światło, ponieważ ransomware wiąże się z ryzykiem przerwania działalności.

Jednym z najczęstszych typów ataków, także w Polsce, są taki typu ransomware (np. atak na CD Projekt z początku br.). W zależności od tego, w jakim stopniu firma jest przygotowana na takie sytuacje (czy robi kopie zapasowe, a jeśli tak, to czy przechowuje je w bezpiecznym miejscu i czy potrafi jest poprawnie odtworzyć), będzie zależała dolegliwość takiego ataku (zarówno w wymiarze czasowym, jak i finansowym) – mówi Adam Kuich.

Doskonalenie podstaw: Regulacje prawne

Szybkie zmiany wymuszone przez COVID-19 przyczyniły się jedynie do poszerzenia istniejących wcześniej luk w zakresie zgodności i potencjalnie wygenerowały nowe. Na początku 2021 r. zmiany są w toku i zaczynają obowiązywać bardziej restrykcyjne przepisy dotyczące ochrony danych. Zgodność z przepisami nie jest jednak równoznaczna z bezpieczeństwem, standardy wyznaczają jedynie punkt odniesienia. Dane CyQu mówią nam, że organizacje muszą jeszcze udoskonalić podstawy, przy czym mniej niż dwie na pięć firm (36%) deklaruje, że posiada odpowiedni poziom gotowości w zakresie bezpieczeństwa danych.

Wnioski z globalnego raportu Aon (2021 Cyber Security Risk Report) oddają również sytuację, z jaką mamy do czynienia w Polsce. W pracy z naszymi klientami obserwujmy, że świadomość i wiedza o nowych ryzykach związanych z cyberprzestrzenią jest nadal niestety na dość niskim poziomie. Wiele podmiotów nie docenia wpływu cyber incydentów na działalność firmy (w tym na możliwość spowodowania zastopowania lub istotnego zakłócenia w takiej działalności).

Pandemia koronawirusa spowodowała również, że znaczna część firm przeszła w tryb pracy zdalnej, ale nie zawsze spowodowało to wprowadzenie dodatkowych zabezpieczeń (jak np. wieloetapowe uwierzytelnianie czy szyfrowanie dysków w laptopach) – mówi Adam Kuich z Aon Polska.

Dane CyQu pokazują, że organizacje o różnych poziomach przychodów, z różnych branż i regionów osiągają wyniki poniżej normy, jeśli chodzi o zarządzanie ryzykiem cyber. Jak można się było spodziewać, branże, które postrzegane są jako agregatory danych – instytucje finansowe, nowe technologie, media i telekomunikacja – osiągają wyniki wyższe niż globalna średnia branżowa w zakresie czterech zidentyfikowanych przez Aon obszarów. Żadna branża nie osiągnęła jednak poziomu dojrzałości, na którym zarządzanie ryzykiem w zakresie cyberbezpieczeństwa jest zakorzenione w większej części działalności i struktur organizacyjnych.