Firmy ofiarą cyberprzestępców: miliony złotych strat i przestoje w działalności

Wróć

W 2017 roku ponad 80 proc. firm działających w Polsce padło ofiarą cyberataku, a co trzecia zaobserwowała wzrost liczby takich incydentów – wynika z ostatniego raportu KPMG. Analiza PwC wskazuje, że blisko połowa zaatakowanych firm poniosła z tego tytułu straty finansowe. Mimo to większość przedsiębiorstw optymistycznie ocenia poziom stosowanych zabezpieczeń, co – według ekspertów – może jednak świadczyć o braku pełnej świadomości zagrożeń. Poprawa bezpieczeństwa systemów IT staje się jednym z największych globalnych wyzwań. Szczególnie w kontekście nowych przepisów o ochronie danych osobowych. Firmy zaczną się na ten wypadek ubezpieczać.

Ataków jest coraz więcej

KPMG, tworząc raport „Barometr cyberbezpieczeństwa. Cyberatak zjawiskiem powszechnym”, przepytało przedstawicieli ponad 101 małych, średnich i dużych firm z polskim i zagranicznym kapitałem. Wyniki raportu nie napawają optymizmem.

Aż 82 proc. przedsiębiorstw działających w Polsce odnotowało w ubiegłym roku przynajmniej jeden cyberincydent. Jeszcze bardziej niepokojąca jest rosnąca skala zjawiska. 37 proc. badanych firm zaobserwowało wzrost liczby takich ataków, podczas gdy spadek – jedynie 5 proc.

Z badania, które przeprowadziliśmy, wynika, że przedsiębiorstwa działające w Polsce najbardziej obawiają się zorganizowanej cyberprzestępczości. W szczególności trudnych do zidentyfikowania i odparcia ataków ukierunkowanych, cyberprzestępstw realizowanych za pośrednictwem złośliwego oprogramowania oraz wspieranych przez socjotechnikę. Własny pracownik, który historycznie stanowił dla firm najczęstsze źródło naruszeń bezpieczeństwa, zszedł na drugi plan – mówi cytowany w komunikacie Michał Kurek, partner w dziale usług doradczych, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

Obrazują to dane. W cyberatakach zagrożenie widzi 84 proc. badanych firm. Cyberterroryzmu częściej niż organizacje generujące mniejsze obroty (35 proc.) obawiają się firmy o obrotach powyżej 100 mln zł (57 proc.). Zdaniem ekspertów powodem jest to, że duże firmy zwykle mają większą świadomość zagrożeń. W tej kategorii zagrożenie ze strony niezadowolonych lub podkupionych pracowników wskazało 56 proc. badanych, z kolei co trzecia firma obawia się grup wspieranych przez obce państwa.

Na szczegółowej liście zagrożeń numerem jeden jest złośliwe oprogramowanie (malware). Najczęściej wykorzystywane jest ono przez cyberprzestępców do zaawansowanych ataków ukierunkowanych APT (Advanced Persistent Threat), kradzieży danych lub wymuszenia okupu. Jak wskazują analitycy KPMG, „zagrożenia związane z czynnikiem ludzkim mogą doprowadzić do wyłudzenia danych uwierzytelniających (tzw. phishing) lub do kradzieży wrażliwych danych przez pracowników. W opinii respondentów ataki typu odmowa usługi (DoS/DDoS) czy kradzież danych na skutek naruszenia bezpieczeństwa stanowią stosunkowo najmniejsze ryzyko dla organizacji”.

„Wysoka samoocena to niska świadomość”

Jak firmy oceniają swoje przygotowanie na ewentualne cyberataki? Bardzo optymistycznie. Na pytanie o dojrzałość poszczególnych obszarów zabezpieczeń w swoich organizacjach aż 98 proc. wskazało na dobre zabezpieczenie ochrony przed złośliwym oprogramowaniem, a 95 proc. na bezpieczeństwo styku z siecią internetową.

Z perspektywy realizowanych audytów bezpieczeństwa wydaje się, że tak wysoka samoocena może niestety po części wynikać z wciąż niedostatecznej świadomości polskich firm w zakresie skali i złożoności dzisiejszych cyberzagrożeń. Pozytywnym sygnałem jest natomiast fakt, że firmy inwestują dziś w mechanizmy bezpieczeństwa pozwalające na wczesną identyfikację i reakcję na cyberatak, co jest zgodne z globalnym podejściem w zakresie cyberbezpieczeństwa, zakładającym, że cyberatak jest dziś zjawiskiem nieuchronnym i należy się na niego przygotować – dodaje Michał Kurek.

Według Indeksu Cyberbezpieczeństwa PwC (5. edycja Badania Stanu Bezpieczeństwa Informacji) tylko 8 proc. badanych firm jest dojrzałych pod względem bezpieczeństwa informacji. Dla przykładu, prawie połowa spółek nie posiada operacyjnych procedur na wypadek cyberincydentu, a jedna piąta średnich i dużych firm nie zatrudnia nikogo od cyberbezpieczeństwa. Co więcej, średnie wydatki na ten cel stanowią zaledwie 3 proc. budżetu IT, co w ocenie analityków PwC jest wartością co najmniej trzykrotnie niższą, niż powinna.

Wysokie koszty

Co takie ataki oznaczają dla firm? Raport PwC wskazuje, że 44 proc. firm poniosło straty finansowe na skutek ataków, a 62 proc. odnotowało zakłócenia i przestoje w funkcjonowaniu. Cyberataki od kilku lat generują gigantyczne koszty. Dane różnych firm i ośrodków badawczych wykazują różnice, ale sumy zawsze robią wrażenie. Raport firmy Bitdefender, producenta systemów bezpieczeństwa, wskazuje, że w tym roku straty z powodu cyberataków mogą sięgnąć 180 mld dolarów, a w przyszłym roku kwota ta ma już wynieść 2 bln dolarów. Z zestawienia firmy wynika, że największe szkody ponoszą instytucje finansowe, energetyka i branża nowych technologii.

W przypadku kosztów często przywoływany jest raport „Cyber Resiliency in the Fourth Industrial Revolution”, który w 2016 roku przygotowały firmy Hewlett Packard Enterprise, FireEye i Marsh & McLennan. Mowa w nim o 445 mld dolarów, które rocznie na cyberatakach traci światowa gospodarka.

Z kolei IBM ujawniło, że skradziony rekord kosztuje firmę średnio 158 dolarów, choć kwota ta różni się w zależności od państw i sektorów. Najwyższe koszty zanotowano w USA, najniższe w Indiach.

Problemy z RODO

Cyberataki mogą okazać się jeszcze bardziej kosztowne. Wszystko za sprawą wchodzących w życie w maju 2018 roku unijnych przepisów o ochronie danych osobowych. RODO dotyczy firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Chodzi zarówno o duże korporacje, jak i małe przedsiębiorstwa, np. sklepy internetowe. Choć za brak zgodności z RODO grożą kary (nawet 4 proc. rocznego globalnego obrotu firmy), raport KPMG pokazuje niepokojącą zwłokę wielu przedsiębiorców. Tylko 9 proc. firm stwierdziło, że osiągnęło pełną, potwierdzoną audytem zgodność z wymogami unijnej dyrektywy. Na podstawie własnej oceny wewnętrznej taką deklarację złożyło 15 proc. ankietowanych przedsiębiorców. Z kolei 12 proc. przyznało, że nie prowadzi żadnych działań w tym zakresie. Badanie PwC jest jeszcze mniej optymistyczne – zgodnie z nim tylko 3 proc. przedsiębiorstw osiągnęło pełną gotowość, a 20 proc. nie rozpoczęło żadnych przygotowań.

Ubezpieczenie od cyberataków

Zarówno rosnące zagrożenie ze strony cyberprzestępców, ewentualne straty z tego tytułu, jak i kary za złamanie unijnych regulacji mogą zachęcić firmy do cyberubezpieczeń. Dotychczas niewiele podmiotów takie polisy posiada.

Nie wszyscy przedsiębiorcy zdają sobie sprawę, że ich polisy nie pokrywają szkód powstałych przez wadliwe działanie systemu, czyli np. wyciek danych. RODO uruchomi szeroki strumień takich polis. Wejście w życie dyrektywy uświadomi namacalność zagrożeń – przekonuje Łukasz Zoń, prezes Stowarzyszenia Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych.

Cyberpolisy skupiają się na trzech obszarach: wewnętrznym, czyli w przypadku wycieku danych u samego przedsiębiorcy, zewnętrznym, czyli w razie cyberataku, oraz w przypadku niedostosowania do unijnych przepisów.

RODO wprowadza obowiązek poinformowania osób, których dane wyciekły. To oznacza koszt. Kolejnym jest wypłata ewentualnych odszkodowań – zaznacza Łukasz Zoń.

Zdaniem prezesa SPBUiR ubezpieczyciele już wprowadzają pierwsze rozwiązania na wypadek kar administracyjnych, które przedsiębiorca musiałby zapłacić za niedostosowanie firmy do wymogów RODO.

Takie rozwiązania już są, ale nie są powszechne. Jeszcze zobaczymy, czy rynek odpowie na te polisy pozytywnie – dodaje Zoń. – W związku z RODO sprzedaż cyberpolis będzie rosła. Praktyka pokaże, jak będzie kształtował się rynek. Więcej będzie wiadomo po pół roku od wejścia w życie dyrektywy.

Poprzedni artykuł Cel: mniej wypadków drogowych i ofiar Następny artykuł Wielkie odliczanie do RODO [WIDEO]

Podobne posty

Posadź drzewo… po śmierci

Jak mawiał Benjamin Franklin, tylko dwie rzeczy na świecie są pewne: śmierć i podatki. A skoro każdy z nas umrze, każdy dostanie też swoje miejsce na cmentarzu. Czy to znaczy, że miasta będą stopniowo zamieniać się w ogrodzone murami…

Czytaj więcej

Rynek, który leży prawie odłogiem

Siedem spośród dziesięciu podmiotów z sektora MSP kupuje polisy majątkowe. Zainteresowanie pozostałymi produktami jest wśród nich marginalne. Z jednej strony jest to wynik braku świadomości ubezpieczycieli odnośnie…

Czytaj więcej

TOP 6 upadłych magazynów

Kiedyś stanowiły jedno z podstawowych źródeł informacji, relaksu i określeń statusu społecznego. Zwinięte w rulon pod pachą pozycjonowały właściciela wysoko na drabinie atrakcyjności. Czasopisma znane, czytane i kolekcjonowane w…

Czytaj więcej