Cyberbezpieczeństwo – wielkie wyzwanie

Najnowsze raporty Microsoft i EY omawiane podczas konferencji „Cyberbezpieczeństwo w Polsce i na świecie" pokazują, że problemy w tym obszarze rodzą zarówno niewystarczające działania z zakresu polityki bezpieczeństwa wewnątrz organizacji, jak i zagrożenia z zewnątrz, np. ataki hakerskie.

Jak pokazują wyniki 17. Światowego Badania Bezpieczeństwa Informacji, przeprowadzonego przez EY, niefrasobliwość pracowników wciąż jest postrzegana jako największe zagrożenie dla bezpieczeństwa informatycznego firm – tak stwierdziło 57% ankietowanych. Uzupełnieniem tego obrazu jest 17. edycja Microsoft Security Intelligence Report, która wśród problemów i obszarów szczególnie wrażliwych wymienia kwestię odpowiedniego zabezpieczenia danych logowania czy korzystanie z aktualnego oprogramowania (a także iluzoryczne poczucie bezpieczeństwa, które dają wygasłe wersje próbne programów antywirusowych).

„Wszyscy widzimy, że temat cyberbezpieczeństwa coraz częściej wchodzi na agendy zarządów największych firm” – powiedział Ronald Binkofski, Dyrektor Generalny polskiego oddziału Microsoft. „Myślę, że po części jest to związane ze wzrostem ilości realnych zagrożeń, ale przede wszystkim wzrostem świadomości ich wagi i ceny, jaką firmy i instytucje mogą ponieść, lekceważąc te kwestie”.

Niedostateczne wewnętrzne zasady dotyczące polityki bezpieczeństwa IT przekładają się na podatność na zagrożenia z zewnątrz. Co ważne – wzrasta ich świadomość i, jak podaje raport EY, już 53% ankietowanych wskazuje na organizacje przestępcze jako źródło niebezpieczeństwa. Badani upatrują główne cele cyberataków w dezorganizacji przedsiębiorstw (25% respondentów wskazało to jako podstawowe zagrożenie), kradzieży danych finansowych, w tym numerów kart kredytowych czy haseł do bankowości internetowej (28%), ponadto 20% wskazało kradzież własności intelektualnej, a 19% nadużycia finansowe. Jako nowe cele ataków wskazywano również systemy informatyki przemysłowej, czyli technologie związane z wytwarzaniem prądu, systemami dystrybucji gazu czy kontroli transportu, w tym lotniczego.

„Wspólnie z Microsoft dostrzegamy skalę zagrożeń i ich potencjalne skutki” – zaznaczył Kazimierz Klonecki, Partner EY, Lider Działu Zarządzania Ryzykiem Informatycznym. „Od wielu lat badamy i analizujemy znaczenie tych obszarów, starając się zdefiniować trendy dotyczące zarówno samych ataków, jak i sposobów obrony przed nimi”.

Jeśli chodzi o narzędzia, wciąż jednym z najpopularniejszych pozostaje malware – jak pokazuje raport Microsoft, w II kwartale 2014 roku najczęściej spotykane jego formy to trojany, robaki i wirusy. Choć częściej stykają się z nimi użytkownicy prywatni, to również firmy i organizacje znajdują się na ich celowniku. Istotnym zagrożeniem pozostaje także phishing, dla którego sieci społecznościowe stały się jednym z istotniejszych nośników.

Na agendzie dyskusji o cyberbezpieczeństwie wyróżnia się również paląca kwestia bezpieczeństwa informatycznego w sektorze publicznym. Jak podaje raport Rządowego Zespołu Reagowania na Incydenty Komputerowe, CERT.GOV.PL:

„W 2013 roku największą grupę, jak co roku, stanowiły incydenty w kategorii <>. Zespół CERT.GOV.PL zarejestrował aż 4270 incydentów dotyczących oprogramowania złośliwego działającego na stacjach roboczych, podłączonych do sieci teleinformatycznej jednostek administracji publicznej. Najczęściej występującymi typami botnetów w 2013 roku, wykrytymi w infrastrukturze administracji państwowej, były botnety Citadel, Conficker oraz Downadup" [1].

Przypadki tych ataków bynajmniej nie są incydentalne, a poziom stosowanych zabezpieczeń może budzić wątpliwości – CERT.GOV.PL podaje, że na przebadanych 45 stronach internetowych 15 instytucji państwowych znalazł 755 błędów, z których 244 o bardzo wysokim poziomie zagrożenia.

Istotność skali problemu w wyrazisty sposób opisała Magdalena Taczanowska, Dyrektor sektora publicznego w polskim oddziale Microsoft. „Jestem przekonana, że niezbyt dużą przesadą byłoby stwierdzenie, że w dzisiejszych czasach firmy możemy podzielić na te, które zostały zaatakowane i się do tego publicznie przyznają, te które ukrywają taki fakt i te które nie zdają sobie z niego sprawy” – podkreśliła.

Według raportu EY firmy, mimo świadomości rosnących zagrożeń, bardzo rzadko planują zwiększanie budżetów na zapewnianie bezpieczeństwa informacji, a w zaledwie 14% przypadków pracownicy odpowiedzialni za ten obszar raportują bezpośrednio do zarządu. Dane dotyczące konsumentów i sektora publicznego również nie są optymistyczne. To pokazuje, że mimo skali tych wyzwań wciąż nie przykłada się do nich odpowiedniej wagi – dlatego tak istotna staje się działalność edukacyjna i budowanie świadomości wśród organizacji publicznych, prywatnych i konsumentów.

Problem został już dostrzeżony na arenie międzynarodowej – we wrześniu 2014 roku NATO podczas szczytu w Walii przedstawiło 16 nowych priorytetów, w tym obronę cybernetyczną. Konferencje i działania edukacyjne firm takich jak Microsoft czy EY podejmowane są z myślą o wpisaniu się w tę strategię i zwiększeniu bezpieczeństwa użytkowników nowych technologii na całym świecie.