W listopadzie ubiegłego roku, prestiżowa firma badawcza Forrester Research, opublikowała prognozę Cybersecurity Risks Intensify. Według analityków, w roku 2017 jedna z czołowych firm świata z listy Fortune 1000, upadnie wskutek ataku hakerskiego. Trudno dziś szacować, jakie skutki dla gospodarki będzie miało zainfekowanie wirusem WannaCry, systemów informatycznych w ok 200 krajach. Jednak z wielu badań wynika, że cyberbezpieczeństwo, to dziś główny obszar ryzyka dla spółek i rynków. Według danych FBI, tylko w pierwszym kwartale 2016, różne roku instytucje zapłaciły hakerom w formie okupu ponad 200 mln dolarów.
Rośnie ryzyko cyberataków na spółki
Zanim właściciele firm usłyszeli o największym w historii ataku hakerskim, już wcześniej nabierali świadomości, jak ważne jest bezpieczeństwo informatyczne. Według analizy Allianz Risk Barometer przestępczość cyfrowa to dziś drugie największe ryzyko, według odpowiedzi 1200 ekspertów w tej dziedzinie – 30% wskazań. Zaledwie dwa lata temu było to 17%, a w roku 2013 w ogóle poza dziesiątką zagrożeń. Jeszcze pięć lat temu, zagrożenie atakami na sieć wiązane były głównie z sektorem telekomunikacyjnym i IT. Wystarczło pięć lat, żeby obawa przed tym zagrożeniem stała się powszechna, bez podziału na sektory i branże. Także dlatego, że narzędzia telkomunikacyjne i IT są dziś krwioobiegiem gospodarki, bez względu na branżę.
źródło: Raport Alianz Risk Barometer 2017
O tym, że zagrożenia wspomniane w raporcie Allianz są realne, przekonujemy się od kilku lat, śledząc informacje o atakach na kolejne firmy, giełdy czy instytucje publiczne. Już w 2011 roku, po ataku hakerskim, upadłość ogłosił holenderski DigiNotar. Spółka zajmująca się wystawianiem cyfrowych certyfikatów bezpieczeństwa, została zaatakowana przez hakera z Iranu. Mając przez ponad miesiąc dostęp do jej systemów, wystawił około 500 fałszywych certyfikatów SSL. Po ujawnieniu sprawy, firma straciła wiarygodność, a kontynuowanie działalności stało się niemożliwe.
Takich konsekwencji uniknęła ADP, międzynarodowa firma księgowa (obecna również w Polsce). W maju 2016 roku z jej systemów wyciekły informacje o (zarobkach, bonusach, płaconych podatkach) dotyczące 640,000 firm i 1,400 pracowników. Gigantyczna ilość danych, które mogą służyć do szantażowania poszczególnych przedsiębiorstw, osłabiać ich działalność. Przede wszystkim jednak, podobnie jak w przypadku DigiNotar, hakerzy podważyli wiarygodność zaatakowanej firmy, w jej podstawowym obszarze działalności.
Firmy zaczynają coraz więcej inwestować w bezpieczeństwo
Wobec tysięcy takich sytuacji, nie dziwią wyniki najnowszego badania EY w tym zakresie. Przeprowadzone na podstawie ankiet wypełnionych przez ponad 1600 członków zarządów firm na świecie. 87% z nich nie ma pełnego zaufania do poziomu cyberbezpieczeństwa swoich przedsiębiorstw, a stosowane w nich rozwiązania nie spełniają ich wymagań. Dlatego też ponad połowa w zeszłym roku zwiększyła budżet na bezpieczeństwo informatyczne. Mimo tak skokowego wzrostu, nadal dziwi druga połowa zwlekających, skoro prawie 60% badanych firm przyznaje, że doświadczyło zagrożeń bezpieczeństwa informatycznego.
Zarządzający spółkami, podobnie jak eksperci mają świadomość, że ataki hakerskie będą się nasilały bez względu na działania podejmowane przez zarządy prywatnych firm czy władze publiczne. Mogą oni jedynie inwestować w szerokiego rodzaju bezpieczeństwo, dzięki czemu zahamują atak, lub zminimalizują jego skutki. Liczne ataki przeprowadzane są prostymi metodami, bazując na lekceważeniu podstawowych procedur bezpieczeństwa i tanich oszczędnościach w IT.
Czasami wystarczy do tego regularna aktualizacja systemów operacyjnych. Komentując wspomniany atak ransomwa'erowy (WannaCry), analitycy zwracają uwagę, że oprogramowanie rozprzestrzeniało się dzięki luce w systemie Windows. Była ona jednak zidentyfikowana już wiele miesięcy wcześniej, a łatka zabezpieczająca wymagała jedynie zainstalowania.
Oczywiście nie wszystkie ataki mają tak banalny przebieg, jednak często do osłabienia ich skutków wystarczy świadomość zagrożeń wszystkich pracowników i dobra architektura bezpieczeństwa. Zwraca na to uwagę Jarosław Bartniczuk, prezes firmy InterGuard:
trzeba wiedzieć jak bardzo zagrożenie jest realne, że nas to może dotknąć. Często spotykaliśmy się z takim podejściem przedsiębiorstw, że „my mamy pewne zasoby informacyjne w firmie, ale nie mamy wrogów, współpracujemy z konkurencją, nie robimy nieuczciwych rzeczy, to kto chciałby uzyskać dostęp do naszych informacji?
W rozmowie ze Strefą Inwestorów, ekspert zwraca uwagę także na stosunkowo niskie koszty podstawowej ochrony:
dla średniej wielkości spółki giełdowej, podstawowe kwestie zaradcze są dostępne od kilku do kilkunastu tysięcy zł. Począwszy od wstępnego audytu, oglądu sytuacji, testów penetracyjnych systemów. Górna granica to nawet kilkaset tysięcy złotych.
Jednak jak wskazują przytoczone badania, a także wzrost rynkowej wartości spółek zajmujących się cyberbezpieczeństwem, zarządzający coraz częściej dochodzą do wniosku, że to inwestycje konieczne.
Według FBI, w pierwszym kwartale 2016 roku instytucje zapłaciły w formie okupu ponad 200 mln dolarów. Jerzy Trzepla, szef polskiego odziału WatchGuard Technologies, szacuje, że globalnie kwota ta sięga 2 mld. Natomiast faktyczny koszt, uwzględniający przestoje w pracy, likwidację skutków tych zdarzeń, zaangażowanie firm w działania niezwiązane z ich działalnością, jest wielokrotnie wyższy. W raporcie IBM mówi się o 60-krotnym wzroście ataków tego typu.
Z takimi przestojami musiała na przykład zmierzyć się polska, międzynarodowa firma Inter Cars, zaatakowana przez ransomware'owy wirus Petya. Przed ponad trzy doby problemy z funkcjonowaniem miały jej sytemy sprzedażowe w kilku krajach. Tak długa przerwa spowodowała konieczność przekazania publicznego komunikatu dla użytkowników i inwestorów. Najczęściej jednak, władze spółek nie przyznają się do tego, że padły ofiarą hakerów.
Hakerzy włamują się do systemów teleinformatycznych z różnych powodów: kradzież danych do dalszego, przestępczego wykorzystania, szantaż, rabunek finansowy, albo szpiegostwo gospodarcze. Eksperci EY zwracają uwagę w swoim raporcie, że wraz ze wzrostem poziomu zabezpieczeń, wzrasta świadomość skali zagrożeń, na jakie narażone są duże spółki.
Podobne zdanie w tej kwestii ma Ginni Rometty, szefowa zarządu IBM. Według niej, koszty jakie firma może ponieść w wyniku takiego ataku, można porównać do fali epidemii, a powikłania stanowią tu kluczowy czynnik ryzyka dla przedsiębiorstw. Według analityków Juniper Research w latach 2013-15 straty powodowane przez cyberprzestępstwa zwiększyły się czterokrotnie, a w najbliższych latach będą rosły w tym samym tempie.
Wzrost tych zagrożeń wynika głównie z technologizacji życia. Zarówno osób prywatnych, jak i przedsiębiorstw. Coraz więcej, nawet prostych czynności regulują systemy sterowane internetowo. Wobec słabych zabezpieczeń, stanowią one potencjalnie bardzo łatwe źródło dostępu do systemów całej firmy. Minister Cyfryzacji Ann Streżyńska przestrzega przedsiębiorców, że ataków hakerskich nie powstrzymamy:
jest to proces wymagający stałego zaangażowania odpowiednich sił i środków, a nie stan, który da się zapewnić w sensie trwałym. Wszystkie podmioty rządowe i prywatne oraz wszyscy obywatele wchodzą w interakcję ze światem zewnętrznym, przez co są narażeni na ataki.
Łatwość dostępu do sieci, zwiększa lawinowy wzrost liczby urządzeń, jakie do nich podłączamy. Już dziś drukarki i urządzenia wielofunkcyjne, używane są jako punkty łatwego dostępu do sieci biurowych. Hakerzy od kilku lat są w stanie - poprzez komputery pokładowe - z dużych odległości zmieniać konfiguracje urządzeń sterujących samochodami. W ten sposób mają możliwość manipulować informacjami przekazywanymi kierowcy. Ataki hakerskie na sieci przesyłu ropy czy gazu nie wymagają już podkładania ładunków wybuchowych. Wystarczy dostać się do systemu informatycznego operatora i zmienić ustawienia ciśnienia w rurociągach. Jesteśmy jeszcze na etapie, kiedy takie operacje wymagają zaawansowanych środków i wyjątkowych kompetnecji. Jednak powszechność zastosowania IoT, oraz rozwój umiejętności przestępców, będą stale zwiększać ryzyko. Prędzej czy później, poszczególne elementy internetu rzeczy w przedsiębiorstwach, będą musiały zostać objęte taką samą ochroną, jak serwery i kompytery z danymi.
Dlatego już dziś warto wziąć pod uwagę wyniki innego raportu. Według przeprowadzonego przez brytyjski rząd badania Government’s Cyber Governance Health Check, w którym do problemu odnosili się liderzy 350 spółek z indeksu FTSE, ryzyko jakie niosą za sobą cyberataki, od 2014 roku wzrosło o 29% i stanowi obecnie największe zagrożenie wśród ryzyk dla biznesu.
