Szefowie polskich przedsiębiorstw nie wiedzą, jak duże straty ponieśli w związku z atakami. Specjalista do spraw bezpieczeństwa w firmie doradczej PwC, Rafał Jaczyński wyjaśnia, że rodzime przedsiębiorstwa coraz częściej padają ofiarą ataków.

Według niego tegoroczne ataki na Giełdę Papierów Wartościowych i firmy energetyczne pokazują, że Polska znalazła się na celowniku grup hakerskich, które stają się coraz bardziej profesjonalne i korzystają z zewnętrznego finansowania.

"Polskie firmy nie są dostatecznie zabezpieczone przed cyberprzestępczością"
Zdaniem szefa zespołu do spraw zarządzania ryzykiem w PwC, Piotra Urbana symulowane ataki hakerskie pokazują, że polskie firmy nie są dostatecznie zabezpieczone przed cyberprzestępczością. Symulacje są wcześniej uzgadniane tylko z kierownictwem firmy i szefem działu bezpieczeństwa. Średni czas złamania zabezpieczeń wynosi 4 godziny. Piotr Urban dodaje, że testowane firmy wykrywają 10 procent symulowanych ataków.
Ekspert zwraca jednak uwagę, że przedsiębiorstwa wydają na bezpieczeństwo coraz więcej pieniędzy. W poprzednim roku w ramach budżetu na elektronikę, ankietowane firmy przeznaczyły 2,7 procent środków na bezpieczeństwo. W tym roku jest to już 5,5 procent. Eksperci zalecają utrzymanie takiego finansowania. To pozwoli nadrobić zaległości z poprzednich lat. Średnia wydatków na bezpieczeństwo dla całego świata wynosi niecałe 4 procent.

43 miliony naruszeń cyberbezpieczeńtwa
Zdobycie informacji na temat polskiego rynku jest trudne, ponieważ firmy nie przyznają się lub nie wiedzą, że padły ofiarą informatycznego przestępstwa. Uczestnicy światowego badania zadeklarowali, że odnotowali prawie 43 miliony naruszeń cyberbezpieczeńtwa. W Europie w ostatnim roku nastąpił wzrost liczby ataków o 41 procent. Według szacunków światowa gospodarka traci na działalności hakerskiej około 575 miliardów dolarów rocznie.
Badanie firmy doradczej PwC przeprowadzono wśród 9 tysięcy 700 członków kadry kierowniczej firm w 154 rajach. W polskiej części raportu przepytano 77 firm i organizacji. Są to przedstawiciele branż: finansowej, telekomunikacyjnej czy przemysłu.

IAR, awi

Na całym świecie 10 tysięcy organizacji, uwzględnionych w raporcie, zgłosiło  czterdzieści dwa miliony ataków.

Ataki ściśle ukierunkowane

Działania hakerów coraz częściej są ściśle ukierunkowane, podkreśla Piotr Urban, partner PwC, odpowiedzialny za usługi związane z bezpieczeństwem i ryzykiem.

- Ataki te są coraz bardziej profesjonalne. Dawniej atak hakerów polegał na wejściu, uzyskaniu tego, co chciano, albo tego, co udało się zebrać i ucieczce. Teraz atakujący może nawet firmę infiltrować przez 1 – 6 miesięcy, starać się pozostać przez ten czas niezauważonym – wyjaśnia Piotr Urban.

Duże straty firm

Atakujący  liczą na zdobycie informacji, które mają dużą wartość.

- To są np. bazy danych klientów, informacje o kluczowych pracownikach, wynagrodzeniach, umowach handlowych, cennikach, know-how, informacje przemysłowe, które dają przewagę konkurencyjną. Strata firm, która z tytułu takiego ataku wynika, to nie tylko zakłócenie działalności, ale i utrata rynku, klientów, reputacji – wyjaśnia ekspert PwC.

Polskie firmy wydają coraz więcej na obronę przed atakami

Polskie firmy zwiększają wydatki na obronę przed rosnącym zagrożeniem.

- Rok temu było to 3,5 – 4 proc. wydatków na bezpieczeństwo w relacji do wydatków na technologie IT. Tyle miał świat, Polska miała niecałe 3 proc. Teraz mamy trochę więcej, 5,5 proc. Przez lata nie inwestowaliśmy wystarczająco, teraz świadomość wzrasta. Firmy widzą, że dobrze zabezpieczając się przed atakami hakerów, mają przewagę konkurencyjną – tłumaczy Piotr Urban.

W polskiej części raportu przeanalizowano dane z 77 firm i organizacji. Są to przedstawiciele branż: finansowej, telekomunikacyjnej i przemysłowej.

Elżbieta Szczerbak, awi

Organizatorzy tego wydarzenia są przekonani, że Cybersec pozwoli zbudować platformę współpracy pomiędzy przedstawicielami rządów, organizacji międzynarodowych, organizacji pozarządowych i kluczowych podmiotów sektora prywatnego w celu wypracowywania strategicznych decyzji wzmacniających poziom cyberbezpieczeństwa w Europie.  Podkreślano szczególne znaczenie i rolę przedsiębiorstw w tym procesie, bowiem bez sektora prywatnego państwu nie uda się chronić jego obywateli w cyberprzestrzeni – mówi dyrektor programowa Forum Joanna Świątkowska z Instytutu Kościuszki.

- Cyberprzestrzeń zmieniła środowisko i architekturę bezpieczeństwa zarówno na poziomie kraju, jak i międzynarodowym. Tradycyjne hierarchiczne podejście już nie wystarcza. Musimy zmienić i przemodelować sposób myślenia, przejść na bardziej wielopodmiotową kooperację i tutaj sektor prywatny jest absolutnie esencją tych działań. Musi każdego dnia współpracować z podmiotami publicznymi, a podmioty publiczne muszą zrozumieć rolę sektora prywatnego i próbować to środowisko tak zagospodarować, aby ta współpraca była skuteczna.

Rośnie skala zagrożeń

To poważne wyzwanie, z którym musimy się zmierzyć, tym bardziej, że skala zagrożeń płynących z cyberprzestrzeni rośnie i to we wszystkich obszarach naszego życia. To również problem, z którym na co dzień zmagają się firmy.

Dynamiczny rozwój cyberprzestrzeni bowiem stworzył zupełnie nowe, niespotykane wcześniej możliwości prowadzenia biznesu. Przedsiębiorcy bez wielkich przeszkód prowadzą działalność w skali globalnej, ale też łatwiej stają się celem ataków cyberprzestępców –podkreśla Joanna Świątkowska.

- Tutaj możemy mówić o kolosalnych stratach szeroko rozumianych, zarówno finansowych, jak i wizerunkowych. Jak podaje Europol, w ubiegłych latach zyski z cyberprzestępczości przekroczyły globalnie zyski płynące z handlu narkotykami, czyli ten biznes przestępstw w Internecie zaczyna wzrastać i zaczyna przynosić coraz większe dochody, a tym samym coraz większe straty.

Polska ma jeszcze wiele do zrobienia

I choć trudno skutecznie walczyć z przestępczością w sieci, bo trudno też nadążyć za rozwojem nowych technologii, to jednak musimy taką walkę podjąć, jednomyślnie podkreślają paneliści na Forum. Polska ma jednak jeszcze wiele do zrobienia w tym zakresie.

Zwraca na to uwagę również NIK w swoim ostatnim raporcie, który wymienia kilka uchybień, m.in. brak jasno określonych ról, kompetencji i sprecyzowanych zadań dla podmiotów, które powinny polską cyberprzestrzeń chronić. Polskę czeka również wiele prac nad rozwiązaniami legislacyjnymi, które należy podjąć – mówi Joanna Świątkowska.

Europejskie Forum Cyberbezpieczeństwa zakończy się we wtorek 29 września. Organizatorzy liczą, że w trakcie dwóch dni debat, uda się wypracować rekomendacje, które staną się punktem wyjścia do przyszłorocznej konferencji Cybersec 2016.

Elżbieta Szczerbak