Wydarzenie w przeszłości

Dziś już nikt nie pyta: „Czy możemy być na celowniku hakerów?”, teraz raczej pada pytanie „Kiedy?”

Podczas spotkania Grupy Roboczej ds. Telekomunikacji, Mediów i Techonologii, które miało miejsce 3 listopada 2015 r. przedyskutowaliśmy różne zagrożenia oraz możliwości zarządzania ryzykiem, z którym wiąże się obecność firmy w świecie wirtualnym.

Krajobraz bezpieczeństwa cybernetycznego zachęcony przez większą zależność człowieka od świata wirtualnego nadal bardzo szybko ulega wielu zmianom. Jednym ze sztampowych przykładów symbiozy między człowiekiem a światem cybernetycznym może być Internet Rzeczy (Internet of Things). To coraz większe uzależnienie od internetu i technologii ma niestety przyjść w parze z większą częstotliwością, wyrafinowaniem i profesjonalizmem cyber hakingu. Podczas gdy do niedawna firmy zadawały sobie pytanie „czy możemy być na celowniku hakerów”, teraz raczej pada pytanie "kiedy?".

Z pierwszej prezentacji przedstawionej przez pana Romana Skrzypczyńskiego -eksperta do spraw cyberprzestępczości w firmie PwC, jednoznacznie wynikało, że liczba cyber ataków drastycznie rośnie. W okresie między 2013 a 2014 rokiem wzrosła aż o 48%. Głównymi sektorami, które najbardziej narażone są na hakerstwo okazały się: sektor finansowy, energetyczny, technologiczny i ochrony zdrowia. „Biorąc pod uwagę ilość oraz rangę informacji, które przetwarzane są w powyżej wspomnianych gałęziach biznesu, właśnie tam należy szczególnie zawracać uwagę na ich ochronę.”-powiedział. Aby jeszcze mocniej podkreślić ogromną skalę zaniedbań związanych z nieodpowiednim zabezpieczaniem przetwarzanych danych, Pan Roman przedstawił wyniki, które były rezultatem 20 symulacji ataków, przeprowadzonych na polskich spółkach. Mianowicie, przede wszystkim większość z firm okazała się mieć bardzo słabe zabezpieczenia- 4 godziny, to średni czas ich złamania. Ponadto, tylko 10% organizacji wykryło oraz zareagowało na atak i co szokujące, aż 100% pracowników ujawniło (świadomie lub nieświadomie) hasła. Pomocna w udoskonalaniu zabezpieczeń, może być świadomość tego, kim zazwyczaj jest cyberprzestępca oraz jakie błędy są najczęściej spotykanymi. Być może nie jest to takie oczywiste ale 70% nadużyć zostaje popełnionych przez obecnych (często nieświadomie) lub byłych pracowników, a tylko 35% przez wykwalifikowanych hakerów: „Pracownik to tylko medium dla przenoszenia złośliwego oprogramowania”. Na zakończenie prezentacji Pan Roman podkreślił kilka najistotniejszych rzeczy o których należy pamiętać czyli: szybkość reakcji, ocena skali przestępstwa, ograniczenie strat, skoordynowana komunikacja i przede wszystkim: „jeśli sami nie możemy zapewnić sobie ekspertów, którzy na co dzień zajmą się chronieniem wykorzystywanych przez nas informacji i danych, zatrudnijmy kogoś z zewnątrz. Wymierność straty materialnej trudno określić ale może być ogromna, natomiast rysa na wizerunku jest gorsza. To jest wojna! Oni nas będą atakować, a my musimy umieć reagować”- dodał.

Drugi z prelegentów, gość specjalny wydarzenia, Mark Camillo, Head of Cyber, EMEA AIG UK odniósł się do tematu cyberprzestępczości w kontekście ubezpieczeń i powiedział: „Ponieważ rynek ubezpieczeń od ataków cybernetycznych bardzo się rozwinął, charakter zagrożeń również uległ zmianie. Ponieważ gospodarka globalna coraz częściej „przenosi się” do sieci, cyber zakłócenia stają się przyczyną ogromnych strat finansowych i utraty reputacji. Początkowo koncentrowano się na wyciekach danych, z kolei w dzisiejszych czasach ubezpieczenia takie pokrywają również zagadnienia przerwania ciągłości biznesu, kradzież IP i wiele innych. Zatem tak zwane cyber risk (ryzyko cybernetyczne) przekształciło się z bycia tylko ryzykiem IT, do kwestii zarządzania tym ryzykiem w skali całego przedsiębiorstwa, które wymaga interwencji na poziomie zarządu.” Wg. Marka Camillo najważniejsze jest podejmowanie działań zapobiegających atakom hakerskim i wzmacnianie świadomości zagrożeń płynących z tych przestępstw, nie tylko wśród szeregowych pracowników ale na poziomie prezesów również. Jak się dowiedzieliśmy, z ankiety przeprowadzonej przez AIG wśród kilkudziesięciu pracowników na szczeblu zarządu wynika, iż 50% z nich nie miało pojęcia o skali konsekwencji płynących z cyberprzestępstw. „A to głównie ich dotykają następstwa takich wydarzeń”- powiedział Mark.

Po wypowiedziach prelegentów odbył się panel dyskusyjny, w którym dodatkowo udział wzięli reprezentanci firm: SafeLaw i Support Online, z którego wnioski głęboko pokrywały się z wcześniejszymi prezentacjami. Paneliści zgodnie stwierdzili, że budowanie świadomości jest podstawą zarządzania cyber ryzykiem. Podobno aż 90% ataków hakerskich jest dokonywanych metodą socjotechniki dlatego jako pierwsza wymieniona została potrzeba szkolenia pracowników oraz ciągłe, nieustanne wymaganie od nich przestrzegania wcześniej ustalonej polityki wewnątrzfirmowej, po drugie potrzeba lepszego doboru pracowników podczas rekrutacji, a potrzecie odpowiednie zabezpieczanie urządzeń zarówno stacjonarnych jak i mobilnych.

Pytań z sali było wiele więc dyskusja naturalnie przeniosła się w kuluary, gdzie uczestnicy mogli wymienić się wizytówkami oraz wyrazić swoje komentarze podczas lunchu networkingowego.

Ponadto zachęcamy do przejrzenia załączonej prezentacji oraz przewodnika, który został stworzony, w celu pomocy głębszego rozumienia tematu cyber ryzyka.

Prezentacje:
Navigating Cybersecurity Storm, AIG

Jak uchronić Twój biznes przed cyberprzestępczością, PwC

Keywords cybersecurity
Policy Groups
2015-11-03, 09:30

Miejsce:
Organizator: British Polish Chamber of Commerce