Kurs samoobrony to za mało

0
68

Doświadczenie cyberataku na nasze dane komputerowe, firmowe czy prywatne, należy do ścisłej piątki rodzajów ryzyka o najwyższym prawdopodobieństwie wystąpienia.

Ustawa o ochronie danych osobowych osiągnie pełnoletność 30 kwietnia 2016 roku. Tymczasem firma doradcza PwC po przebadaniu 126 polskich ekspertów zajmujących się IT i bezpieczeństwem informacji wykazała, że co trzecie przedsiębiorstwo nadal nie jest w stanie ustawy tej przestrzegać. Mniej niż połowa polskich przedsiębiorstw ma jasno zdefiniowane reguły bezpieczeństwa – na świecie posiada je 91 proc. firm. Aż 40 proc. polskich przedsiębiorców nie zatrudnia i nie planują zatrudnić dyrektora ds. bezpieczeństwa IT lub informacji. Jest to tym dziwniejsze, że ryzyko cyberataków nieustannie wzrasta. PwC wskazuje, że w 2015 roku liczba wykrytych incydentów w stosunku do poprzedniego roku wzrosła o 46 proc.

Kary za brak ochrony danych

Obecnie generalny inspektor ochrony danych osobowych może – po uprzednim nakazie dostosowania się do zaleceń – wymierzyć karę od 50 do 200 tys. zł. Nadchodzi jednak zmiana. Prawdopodobnie już w 2018 roku wejdą w życie przepisy – nad czym pracuje Parlament Europejski – które zaostrzą kary za brak ochrony danych. Grzywny będą wyższe i przyznawane bezpośrednio po wykryciu naruszeń. Autorzy raportu PwC podkreślają, że sama zgodność z wymogami wynikającymi z przepisów prawa to obecnie i tak za mało. Specjaliści ds. zarządzania ryzykiem szacują, że prawdopodobieństwo cyberataku na sieć przedsiębiorstwa jest bliskie 100 proc. Jak wskazuje PwC, aż 31 proc. ankietowanych przedsiębiorstw wskazało, że incydenty były związane z ujawnieniem lub modyfikacją danych i aż w 33 proc. przełożyło się to na straty finansowe, utratę klientów czy też spór sądowy z tytułu naruszenia bezpieczeństwa informacji. Utrata danych klienta prowadzi do utraty lojalności i zaufania odbiorców, a to wyciska piętno na reputacji.

Zagrożeniem są pracownicy

Światowe Forum Gospodarcze w raporcie „Globalne ryzyka 2014” uznało, że cyberataki należą do ścisłej piątki o najwyższym prawdopodobieństwie wystąpienia obok dysproporcji przychodów, ekstremalnych zjawisk pogodowych, bezrobocia i zmian klimatycznych. Pierwszym krokiem w budowie skutecznej ochrony jest przede wszystkim identyfikacja zagrożeń płynących z użytkowania cyberprzestrzeni. W badaniu przeprowadzonym przez firmę PwC aż 70 proc. respondentów jako główne źródło zagrożeń wskazało pracowników. Atak nieznanych hakerów to 67 proc. wskazań, przestępców z grupy zorganizowanej wybrało 41 proc. ankietowanych, a zagrożenia ze strony usługodawców osiągnęły 35 proc. Eksperci ds. bezpieczeństwa informacji podkreślają, że aby stawić czoło najnowszym zagrożeniom, niezbędne jest tworzenie kultury bezpieczeństwa i odpowiedzialności we współpracy wszystkich członków organizacji. W czasach coraz liczniejszych zagrożeń czyhających w sieci przewagę rynkową zyskują te firmy i instytucje, które nie tylko skutecznie reagują na zaistniałe incydenty, ale wykazują się także zdolnością doskonalenia procesów ochrony i przewidywania incydentów, które mogą zaistnieć w przyszłości.

Lęk przed ochroną z zewnątrz

Czy przedsiębiorcy poszukują wsparcia na zewnątrz? Raport PwC wskazuje, że zaledwie 45 proc. firm biorących udział w badaniu zadeklarowało współpracę z innymi podmiotami z branży na rzecz poprawy bezpieczeństwa informacji. Przyczyną jest głównie brak zaufania do instytucji zewnętrznych i obawa przed utratą tajnych informacji. Na polisę ubezpieczeniową od cyberzagrożeń zdecydowało się jedynie 8 proc. respondentów. Ubezpieczenie od ryzyk cybernetycznych pojawiło się w Polsce w 2015 roku i zapewnia pokrycie roszczeń odszkodowawczych w przypadku utraty danych przez ubezpieczające się przedsiębiorstwo. W zamian towarzystwa oferują pokrycie kosztów profesjonalnego doradztwa specjalistów ds. informatyki śledczej i odzyskiwania danych, prawników, jak również konsultantów ds. PR. Ochrona ma de facto w jak największym stopniu zminimalizować negatywne skutki oddziałujące na reputację.

Biznes bez nowych technologii?

Autorzy raportu „Nowe technologie. Droga do rozwoju małych i średnich firm w Polsce”, przygotowanym przez ekspertów The Boston Consul-ting Group we współpracy z polskim oddziałem Microsoft, przeprowadzili badanie na 500 mikro-, małych i średnich firmach działających w różnych branżach w Polsce. Chcieli poznać zależność między wykorzystaniem nowych technologii a dynamiką przychodów i zdolnością do tworzenia nowych miejsc pracy.
Wyróżniono trzy rodzaje przedsiębiorstw, przypisując im wykorzystywane technologie. Technologiczne żółwie: komputer PC, laptop, dostęp do Internetu i programy do zwiększania produktywności (np. MS Office). Technologiczne zającze: smartfon, poczta elektroniczna i strona w mediach społecznościowych. Technologiczne gepardy: tradycyjny portal dla klientów, portal dla klientów na urządzenia mobilne i usługi IT w chmurze. Okazało się, że gepardy rozwijały się w tempie średnio 26,6 proc. rok do roku i odnotowały średnio roczny wzrost zatrudnienia o 8 proc., osiągając przy tym dwukrotną przewagę nad wynikami zaobserwowanymi w grupie zajęcy. Przedsiębiorstwa zakwalifikowane do grupy żółwi osiągnęły średnioroczny wzrost przychodów jedynie o 5,7 proc. i zmniejszyły zatrudnienie o 1 proc.

Należy jednak pamiętać, że stabilność i rozwój współczesnych przedsiębiorstw w najwyższym stopniu zależą od poziomu zabezpieczenia cyberprzestrzeni. Obecnie polityką cyberbezpieczeństwa nie powinny zajmować się wyłącznie działy informatyczne. Poza specjalistami branży IT niezbędni są eksperci w dziedzinie bezpieczeństwa i przedstawiciele organizacji trudniących się walką z cyberprzestępcami.

Artykuł pochodzi z nr 3/2016 Eurogospodarki

LEAVE A REPLY

Please enter your comment!
Please enter your name here