Cyberbezpieczeństwo wśród największych ryzyk biznesowych w 2020 r.

Ataki cybernetyczne będą w 2020 r. należeć do najpoważniejszych ryzyk, z jakimi będzie musiał mierzyć się świat. W najnowszej edycji badania „Global Risks Report”, opracowanego na zlecenie Światowego Forum Ekonomicznego, cyberprzestępczość i kradzież danych pod względem znaczenia ustępuje tylko katastrofom środowiskowym i niekorzystnym zmianom klimatycznym. W podobnym raporcie, wydanym przez grupę Allianz „Barometrze Ryzyk”, incydenty cybernetyczne wskazane zostały jako najważniejsze ryzyko biznesowe na świecie w 2020 r.

Powszechne zastosowanie informatyki w różnych sektorach gospodarki przyczyniło się do dużej technologicznej zależności biznesu od komputerów. I chociaż nikt przy zdrowych zmysłach nie będzie dziś postulował zmiany tego stanu rzeczy, to rozwój nowoczesnych technologii informatycznych obok masy korzyści generuje też poważne wyzwania. Im więcej urządzeń końcowych, tym większe środki trzeba wykładać na ich zabezpieczenie. Im więcej danych jest przesyłanych nowoczesnymi, cyfrowymi środkami komunikacji, tym większe znaczenie ochrony danych w postaci mechanizmów backupu i odzyskiwania.

W „Barometrze Ryzyk Allianz 2019” incydenty cybernetyczne na szczycie listy zagrożeń biznesowych znalazły się po raz pierwszy w dziewięcioletniej historii tego badania. Wskazało tak 39 proc. uczestników ankiety raportu – w tym biznesowych klientów firmy, menedżerów wyższego szczebla i ekspertów ds. ubezpieczeń. Dla porównania, w 2013 r. podobnego zdania było 6 proc. respondentów.

Zobacz również:

Firmy stają przed wyzwaniem związanym z większymi i droższymi naruszeniami danych, wzrostem liczby oprogramowania ransomware i incydentami fałszowania. „Incydenty stają się coraz bardziej szkodliwe, coraz częściej atakując duże firmy wyrafinowanymi metodami i wymuszeniami. Pięć lat temu typowy popyt na oprogramowanie ransomware wyniósłby dziesiątki tysięcy dolarów. Teraz można to liczyć w milionach” – mówi Severin Gettinger, ekspert ds. cybernetycznych w Allianz Global Corporate & Specialty.

Straty mogą być też wynikiem niedostępności krytycznych danych, systemów lub technologii, zarówno z powodu usterki technicznej, jak i cyberataku. „Wiele incydentów jest skutkiem błędu ludzkiego i można je złagodzić poprzez szkolenia uświadamiające pracowników, jednak nie są one jeszcze rutynową praktyką w firmach” – dodaje Marek Stanisławski, Deputy Global Head of Cyber w AGCS.

Szkolenie pracowników staje się szczególnie pilną potrzebą w kontekście coraz większej ilości posiadanych przez nich urządzeń końcowych. Firma Kaspersky w ubiegłorocznym raporcie „IT security economics in 2019” podała, że w 2019 r. niemal połowa organizacji borykała się ze skutkami infekcji malware na prywatnych urządzeniach wykorzystywanych przez pracowników do celów służbowych. Nie należy oczekiwać, by w 2020 r. ryzyko z tym związane spadło. Wręcz przeciwnie: umożliwienie pracownikom korzystania z własnych urządzeń to dla wielu organizacji sposób na zwiększenie ich wydajności, a zarazem – na obniżenie kosztów.

Tyle tylko, że urządzenia prywatne są zwykle gorzej zabezpieczone niż firmowe. Napastnikom może być łatwiej zinfiltrować sieć przedsiębiorstwa poprzez włamanie do smartfona z aplikacją nieaktualną (lub w ogóle szkodliwą – a takie też trafiają do sklepu Google Play) niż tworzenie wyrafinowanych wektorów ataku na firmowe skrzynki pocztowe. Firmy będą musiały zatem pochylić się nad poprawą polityk bezpieczeństwa – bądź wprowadzić nowe, takie jak Zero Trust – i ściśle je egzekwować.

„Follow the money”

Można powiedzieć, że tradycyjnie już podstawową motywacją cyberprzestępców będzie chęć zarobku. Zdaniem Piotra Kupczyka z Kaspersky Lab Polska ta motywacja w 2020 r. będzie jeszcze silniejsza, a celem ataku będą tak użytkownicy indywidualni, jak i instytucjonalni.

W tym roku eksperci Kaspersky’ego spodziewają się wzrostu aktywności ugrupowań specjalizujących się w sprzedaży innym przestępcom sieciowego dostępu do banków. „Ich głównym celem są małe banki oraz organizacje finansowe zakupione niedawno przez większych graczy, którzy dostosowują swoje systemy cyberbezpieczeństwa zgodnie ze standardami firm-matek” – wyjaśnia Kupczyk. Dodaje też, że te same banki mogą również paść ofiarą ataków ukierunkowanych z wykorzystaniem oprogramowania ransomware, ponieważ należą do organizacji, które prędzej zapłacą okup, niż pogodzą się z utratą danych.

Firma spodziewa się także wzrostu liczby ugrupowań cyberprzestępczych atakujących systemy przetwarzania płatności online (kradzież danych kart płatniczych ze sklepów internetowych), pojawienia się nowych mobilnych trojanów bankowych oraz ataków na mobilne aplikacje inwestycyjne.


TOP 200