Phishing, malware, kradzież danych przez pracowników… Lista cyberzagrożeń dla firm jest długa i niestety w 2023 roku tylko co trzeciej polskiej firmie udało się ich uniknąć. W tym jedna firma na 9 odnotowała 30 lub więcej ataków na swoje cyberbezpieczeństwo. Co mówi nam o atakach na bezpieczeństwo polskiego biznesu, ale też o zabezpieczeniach firm najnowszy raport firmy doradczej KPMG?
To powinien być dzwonek alarmowy. Mniej więcej dwie na trzy polskie firmy odnotowały w ubiegłym roku incydenty w tak ważnym zakresie jak cyberbezpieczeństwo. Jak pisze KPMG w swoim raporcie, procent firm, które nie odnotowały żadnych incydentów, spadł z 42% rok wcześniej. I choć 60% firm uważa, iż liczba ataków w zeszłym roku nie zmieniła się w stosunku do 2022, to aż 34% firm odnotowało wzrost, a tylko 6% – spadek.
Phishing wciąż jednym z największych zagrożeń
Phishing, a więc wyłudzanie danych logowania, pozostaje najpoważniejszym zagrożeniem cyberbezpieczeństwa dla polskich firm. Ponad 40% przedsiębiorstw przebadanych przez KPMG postrzega phishing jako bardzo duże lub duże ryzyko.
I nic dziwnego. O tym, jakim zagrożeniem jest phishing, boleśnie przekonał się notowany na warszawskiej giełdzie dyskont Pepco, którego węgierski oddział stracił w wyniku ataku phishingowego 15 milionów euro.
Na czym polega atak phishingowy? Na skrzynkę e-mailową lub na telefon w postaci SMS-a przychodzi wiadomość, która ma nas zaniepokoić. Np. iż na naszym koncie bankowym odnotowano nietypową aktywność. Taka wiadomość ma nas skłonić do tego, żebyśmy gwałtownie zareagowali, klikając na podany link.
Taki link oczywiście nie przenosi nas na stronę banku, tylko na łudząco podobną stronę przygotowaną przez przestępców. jeżeli spróbujemy się zalogować na takiej stronie, to nasze dane zostaną na tacy podane przestępcom. Będą oni wtedy mogli dowolnie dysponować np. naszym kontem bankowym. Los taki stał się udziałem niejednego klienta polskich banków, o czym często donosiły media.
Pewnym zabezpieczeniem jest tak zwane dwustopniowe uwierzytelnianie – gdy do zalogowanie się do konta potrzebne jest nie tylko hasło, ale i kod przesyłany SMS-em lub potwierdzenie w aplikacji mobilnej.
Przed phishingiem zabezpieczają nas głównie filtry antyspamowe (i zdrowy rozsądek). Niestety te pierwsze nie aktualizują się tak często jak oprogramowanie antywirusowe, więc ich skuteczność jest niższa. Drugim problemem są wiadomości SMS, gdzie filtry antyspamowe są mniej rozwinięte. Sytuacja być może poprawi się w kwietniu, gdy operatorzy telekomunikacyjni będą zobowiązani blokować podejrzane SMS-y.
Popularne także malware, kradzież danych
Nieco lepsza sytuacja dotyczy złośliwego systemu (tzw. malware). Przed takim zagrożeniem powinno nas chronić oprogramowanie antywirusowe. Niestety cyberprzestępcy są z natury rzeczy szybsi od firm antywirusowych. Te drugie muszą dostosowywać swoje oprogramowanie do zagrożeń, które już są obecne na rynku. Dlatego też choćby używanie systemu antywirusowego nie usuwa w pełni ryzyka.
Polskie firmy zdają sobie z tego sprawę. Malware jest postrzegane jako drugie najpoważniejsze ryzyko. Niemal co trzecia firma uważa, iż tego typu zagrożenie może spowodować w jej przypadku bardzo duże lub duże ryzyko.
Dużym problemem są też nieuczciwi pracownicy. Co ósma firma postrzega kradzież danych przez pracowników jako bardzo duże ryzyko, a co szósta – jako duże. Ponieważ chodzi o osoby mające bezpośredni i autoryzowany przez firmę dostęp do wielu wrażliwych systemów i danych, jest to niebezpieczeństwo trudne do uniknięcia.
Kolejnym zagrożeniem jest tak zwane advanced persistent threat (APT). Jest to włamanie, często długo niewykrywane, zwykle dokonywane przez obce państwo lub przez grupy związane z takim państwem w konkretnym celu. Może chodzić w tym przypadku o kradzież (często własności intelektualnej), szpiegostwo czy spowodowanie dezinformacji. Duże lub bardzo duże ryzyka tego typu dostrzega co czwarta polska firma.
Mniejszą, ale jak odnotowuje KPMG rosnącą, rolę odgrywają ataki związane z kradzieżą lub zgubieniem nośników i urządzeń mobilnych, naruszenie bezpieczeństwa fizycznego, ataki na urządzenia mobilne czy na sieci bezprzewodowe.
Firmy częściowo przygotowane, są jednak luki
Czy są jakieś wnioski optymistyczne? Czy firmy za coś należałoby pochwalić? Jak pisze KPMG, są sprawy, w których firmy wykazują się „wyższym poziomem dojrzałości”. Głownie chodzi o zakres „styku z siecią internet oraz ochrony przed złośliwym oprogramowaniem”. Dobre i to. Wyższy poziom dojrzałości w porównaniu do poprzedniego roku potwierdziło w tym przypadku ponad 40% respondentów.
Wysoką lub bardzo wysoką dojrzałość w zakresie ochrony przed złośliwym oprogramowaniem deklaruje 83% firm, a w zakresie bezpieczeństwa styku z internetem kilka mniej, bo 78%. Oceny są również silne w zakresie reagowania na incydenty bezpieczeństwa, bezpieczeństwo sieci wewnętrznej czy zarządzanie tożsamością i dostępem. Tu w dwóch najwyższych poziomach ocen mieści się przeszło 70% firm.
A gdzie jest istotnie gorzej? W sześciostopniowej skali KPMG, gdzie 6 oznacza pełną dojrzałość zabezpieczeń, a 0 (zero) ich brak, istotną liczbę odczytów z dolnej połowy skali zebrały następujące zakresy spraw:
- Bezpieczeństwo w procesach wytwarzania systemu (33% w dolnej połowie skali, w tym 19% z oceną 0)
- Programy podnoszenia świadomości pracowników (26% w dolnej połowie skali)
- Zarządzanie bezpieczeństwem partnerów biznesowych (23% w dolnej połowie skali)
- Zarządzanie bezpieczeństwem urządzeń mobilnych (21% w dolnej połowie skali).
Inwestycje pójdą tam, gdzie… już jest dobrze
Z ankiety KPMG wynika, iż ta niska dojrzałość zabezpieczeń w pewnych zakresach często wynika z wyboru priorytetów, nie ze słabości intelektualnej firm. Świadczą o tym plany inwestycyjne – największe inwestycje w cyberbezpieczeństwo pójdą tam, gdzie już jest dobrze pod względem bezpieczeństwa. Po prostu pewne kwestie związane z bezpieczeństwem uznaje się – słusznie lub nie – za obszary niskiego ryzyka.
A jakie są priorytety inwestycyjne? Najwięcej firm planuje znaczące inwestycje w ochronę przed złośliwym oprogramowaniem (29% firm), reagowanie na incydenty bezpieczeństwa (26%), bezpieczeństwo styku z siecią internet (25%) oraz bezpieczeństwo sieci wewnętrznej. (24%).
Jednak sporo firm, bo 31%, nie planuje żadnych inwestycji w bezpieczeństwo wytwarzania oprogramowania, a 27% w bezpieczeństwo partnerów biznesowych. Tu priorytety – czy też ich brak – pozostają niezmienne.
Cyberbezpieczeństwo – tu pracy nie zabraknie
W czasach, gdy testerzy oprogramowania, a choćby deweloperzy stają przed perspektywą długich poszukiwań pracy, jeżeli stracą obecną, ten problem raczej nie będzie dotyczył specjalistów od cyberbezpieczeństwa. Jak już wcześniej pisaliśmy w HomoDigital, cyberbezpieczeństwo będzie priorytetem. To ta część sektora IT, obok BIG Data, sztucznej inteligencji i chmury obliczeniowej, w których praca szuka człowieka, a nie na odwrót.
Raport KPMG jest tego potwierdzeniem. Aż 53% polskich firm postrzega problemy w zatrudnieniu i utrzymaniu wykwalifikowanych pracowników jako istotną przeszkodę w osiągnięciu odpowiedniego poziomu bezpieczeństwa. To więcej niż rok wcześniej, gdy tę przeszkodę wymieniało 47% firm.
Drugą najważniejszą przeszkodą są zbyt niskie budżety, ale tu widać pewną poprawę. Wciąż sporo firm, bo 43% narzeka na zbyt niskie budżety na cyberbezpieczeństwo. Skąd narzekania? Może na ankietę odpowiadały osoby odpowiedzialne za tę dziedzinę, a nie prezesi… To jednak i tak spadek z 57% rok wcześniej.
Gorzej czy lepiej, czyli o percepcji bezpieczeństwa
Patrząc na dane KPMG z kolejnych lat, można by dojść do wniosku, iż nastąpiło dramatyczne pogorszenie bezpieczeństwa. Jeszcze w 2020 roku 75% firm oceniało, iż wykazuje się dojrzałością we wszystkich lub większości zakresów cyberbezpieczeństwa. W obecnej ankiecie to tylko 25%, a więc raptem 1/3 stanu sprzed 4 lat. Czy sytuacja aż tak bardzo zmieniła się na gorsze?
Wręcz przeciwnie, sytuacja zmieniła się na lepsze. Dane z lat 2020-2021 pokazują po prostu fałszywe poczucie bezpieczeństwa. w tej chwili mocno wzrosła świadomość zagrożeń.
„Ocena dojrzałości analizowanych obszarów bezpieczeństwa uległa zmianom na przestrzeni lat, szczególnie w kontekście wpływu pandemii Covid-19 oraz trwającej wojny w Ukrainie” – zauważa KPMG.
A więc po prostu firmy w końcu dostrzegają zagrożenia, które wcześniej im umykały. A prawidłowa diagnoza jest podstawą leczenia. Byle specjalistów nie zabrakło.
Źródło zdjęcia: Sztuczna inteligencja, model Dall-E 3
