Polskie firmy słabo zabezpieczone przed cyberatakami? "Wystarczą 4 godziny"

Krzysztof Berenda: Czy jeżeli chodzi o polskie firmy to zagrożenie cyberatakami, cyberprzestępczością rośnie? Jeżeli popatrzeć na same różne doniesienia medialne, to jest tego coraz więcej.

Piotr Urban, partner w PWC: Ja myślę, że w ogóle raport, który dzisiaj oddajemy w państwa ręce, raport, który jest przygotowany przede wszystkim dla Polski, ale też pokazujemy w nim tło światowe, pokazuje, że tych ataków hakerskich, ataków na cenne aktywa firm jest coraz więcej. Na świecie mówimy o dynamice wzrostu prawie 50 procent rocznie, więc jak się zastanowimy, jaki jest logarytmiczny czy geometryczny wzrost tych wartości to za okres kolejnych 3 lat spodziewamy się ogromnych liczb. To są już na dziś ogromne liczby, czyli około 100 tysięcy ataków dziennie. W Polsce jest podobna dynamika. Rynek polski - dawniej mówiliśmy, że jest zieloną wyspą w wielu aspektach, ale również w tym. Mówiono tak: w Polsce się to nie zdarza, to jest problem tych za wielką wodą. Okazuje się, że w Polsce też się to zdarza. Ostatnie 6 miesięcy to potwierdziło. Różne media donosiły na temat ataków na sektor energetyczny, dotykało to też instytucji finansowych, ucierpiała giełda. Nasze badanie pokazuje, że połowa giełd światowych była przedmiotem ataków hakerskich, nie ominęło to również Polski. Z jednej strony się nasila ilość ataków, z drugiej strony nasilają się skutki ataków. Jak popatrzymy na skutki, to też respondenci mówią, że o 1/3 wzrastają koszty tych incydentów, czyli strata dla firm: czy to finansowa, czy inna.

Jeżeli popatrzymy na polskie firmy to one przede wszystkich są celem ataków, nazwijmy to czysto biznesowych, ataków złośliwych, czy może geopolitycznych, niekoniecznie związanych z biznesem?

Jeśli chodzi o geopolityczne czy też polityczne przesłanki to respondenci mówią, że to jest najrzadszy przypadek, czyli koło 4 procent. Natomiast jak popatrzymy w ogóle na ryzyko związane z operowaniem w cyberprzestrzeni to jest to ryzyko głównie biznesowe. Czyli nie mówimy tylko o systemach IT, ale mówimy przede wszystkim o aktywach firmy, takich jak bazy klientów, informacje o kluczowych pracownikach, jak wszelkiego rodzaju przewaga konkurencyjna typu know how, typu patenty, typu nowe myśli. To jest główny przedmiot ataków. Kradzież danych, kradzież informacji, bo jak popatrzymy nawet na wyceny spółek, to gro wartości spółek pochodzi z aktywów niematerialnych.

Jeżeli celem ataków są nasze dane, to jak możemy się przed tym zabezpieczyć, żeby ktoś na przykład nie wykorzystał naszego hasła, które mamy takie samo wszędzie, do tego, żeby się zalogować gdzieś indziej, coś nam wykraść?

Są generalnie trzy metody: prewencja, czyli dobrze się zabezpieczyć, druga metoda to monitorowanie i wykrywanie i trzecia to reakcja, czyli niwelacja skutków. W tych trzech się powinniśmy poruszać. Polskie firmy dosyć dobrze wypadają na tle zagranicznych. Ten poziom zabezpieczeń, prewencji, reakcji, niwelowania, przynajmniej respondenci tak odpowiadają, jest dosyć wysoki. Z drugiej strony nakłady w Polsce dotychczas były dużo niższe niż światowych firm na bezpieczeństwo. Raport z zeszłego roku pokazywał 2,7 proc nakładów na bezpieczeństwo, w tym roku już 5,5 proc., gdzie średnia światowa jest od 3,5 do 4. Ostatni rok był pozytywny dla Polski, zwiększyły się nakłady, ale ten trend musimy utrzymać, żeby dogonić świat. Respondenci czują się coraz bardziej komfortowo. Firmy coraz częściej poddają się symulowanym atakom hakerskim, my takich wykonaliśmy parędziesiąt i wyniki jednak pokazują, że średni czas wejścia do firmy, przełamanie zabezpieczeń fizycznych, czy hasła, wejście do danych wrażliwych to jest 4 godziny.

To dużo czy mało?

To jest ogromnie mało. Przy tych naszych symulowanych atakach hakerskich tylko jeden na 10 firma wie o tym i widzi, że ktoś się włamuje. Więc to jest też kwestia tego, jak monitorujemy, czyli może tak być, że gros firm zaatakowanych o tym nie wie i to te symulacje potwierdzają. No i ostatnie nasze spostrzeżenie: udało się przejąć hasła pracowników, kierownictwa, administratorów poprzez różnego typu metody. Głównie my to nazywamy phishingiem: to jest udzielenie pendrive'a danemu pracownikowi, wysłanie e-maila ze złośliwym załącznikiem i wiele innych metod, gdzie pracownicy zdradzają swoje hasła. A mając klucz, to już jesteśmy w stanie w sposób niezauważony penetrować zasoby firmy.

To wracając do tych trzech pól zabezpieczania. Co my możemy zrobić, żeby kradzież danych była dla nas jak najmniej bolesna?

Zauważyliśmy w tym roku, że moment, w którym firmy informowały klientów, że nastąpił wyciek danych, był spóźniony. Często atak trwał już 3-6 miesięcy i dopiero wtedy firmy informowały. My, konsumenci nie byliśmy poinformowani na czas w związku z tym nie mogliśmy zadziałać. Jeśli miałbym mówić o osobistej prewencji, to częsta zmiana haseł na przykład, niepodpinanie się pod media społecznościowe ze swoimi danymi wrażliwymi. To też jest częsty przypadek, że nasze kalendarze biznesowe podpinamy pod media społecznościowe i ktoś tymi drzwiami przez media społecznościowe jest w stanie dojść do naszych informacji biznesowych. Tutaj nawiązuje do naszej świadomości, że na każdym kroku, poprzez też rozwój urządzeń mobilnych to ryzyko się w sposób geometryczny, logarytmiczny zwiększa.