8 minute read
NOWE OBLICZA
Cyberzagro E
W 2022 roku 58% firm w Polsce odnotowało przynajmniej jeden incydent polegający na naruszeniu bezpieczeństwa, natomiast 33% firm zauważyło wzrost intensywności prób cyberataków, z kolei 20% organizacji odnotowało wzmożoną aktywność cyberprzestępców w związku trwającą wojną w Ukrainie. Największym zagrożeniem dla firm są wyłudzenia danych uwierzytelniających, a blisko jedna trzecia respondentów wskazała, że padła w przeszłości ofiarą ataku ransomware.
Z badania KPMG w Polsce wynika, że aż 57% firm nie przegląda regularnie logów bezpieczeństwa. Najpopularniejszym podejściem w reakcji na cyberataki stosowanym przez firmy w Polsce, jest opracowanie ogólnofirmowych procedur reagowania na wypadek ich wystąpienia, które przygotowano w 73% badanych organizacji. 24% firm posiada wykupioną polisę ubezpieczeniową od skutków cyberataku.
58% badanych organizacji odnotowało w 2022 roku incydenty polegające na naruszeniu bezpieczeństwa. Oznacza to, że ubiegły rok mógł być bezpieczniejszy pod względem prób cyberataków w porównaniu do 2021 roku. Optymizm studzi jednak fakt, że w przypadku aż jednej na trzy badane firmy wzrosła intensywność prób naruszeń bezpieczeństwa. Jest to najwyższy wynik od pięciu lat. Jednocześnie w ubiegłym roku aż 12% firm przyznało, że zanotowało 30 i więcej incydentów bezpieczeństwa, co świadczy o wzroście aktywności cyberprzestępców. 1/5 ankietowanych organizacji odnotowała w 2022 roku wzmożoną aktywność cyberprzestępców w związku trwającą wojną w Ukrainie.
Obawy o ataki obcych państw
Bez zmian w stosunku do poprzednich edycji badania KPMG, firmy najbardziej obawiają się zagrożeń ze strony szeroko rozumianej cyberprzestępczości. Wskazało na nią 88% firm, co oznacza nieznaczny spadek, o 4 punkty procentowe w stosunku do ubiegłego roku. Firmy w Polsce najbardziej obawiają się zorganizowanych grup cyberprzestępczych, na które wskazało 70% ankietowanych firm. O połowę zmniejszył się odsetek osób obawiających się niezadowolonych lub podkupionych pracowników (21% wskazań), znacząco zwiększył się z kolei odsetek firm obawiających się zagrożeń płynących ze strony grup wspieranych przez obce państwa – na to zagrożenie wskazuje obecnie aż 38% firm w Polsce.
- Agresja rosyjska w Ukrainie i towarzysząca jej cyberwojna zmieniły oblicze cyberbezpieczeństwa. Polskie organizacje, a w szczególności operatorzy usług kluczowych, bardziej niż kiedykolwiek zrozumiały, że są ciągłym celem zaawansowanych cyberataków, prowadzonych przez grupy wspierane przez obce państwa. Obrona przed tak dobrze zorganizowanymi cyberprzestępcami wymaga proaktywnego podejścia wspartego wyspecjalizowanymi narzędziami. Polskie firmy powinny krytycznie przyjrzeć się swojej architekturze bezpieczeństwa i skuteczności wdrożonych zabezpieczeń – mówi Michał Kurek, Partner w Dziale Doradztwa Biznesowego, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
- Cyberzagrożenia wywołane trwającą wojną w Ukrainie nawet jeśli nie bezpośrednio, to w pośredni sposób pojawiają się w odpowiedziach ankietowanych - mówi Łukasz Staniak, Dyrektor, Dział Doradztwa Biznesowego, Zespół Cyberbezpieczeństwa, KPMG w Polsce. - Firmy szukają pomocy w zidentyfikowaniu i zaadresowaniu wszelkich słabości w infrastrukturze teleinformatycznej, które mogłyby zostać wykorzystane przez zorganizowane grupy cyberprzestępcze. Świadomość swoich słabości oraz odpowiednie podejście do zminimalizowania ryzyka, które z nich wynika, jest kluczowa w obecnej sytuacji.
Wyłudzenia danych uwierzytelniających
Firmy biorące udział w badaniu KPMG zadeklarowały, że największym cyberzagrożeniem są dla nich wyłudzenia danych uwierzytelniających (phishing) oraz zaawansowane ataki ze strony profesjonalistów (Advanced Persistent Threat). W czołówce głównych cyberzagrożeń znajdują się również wycieki danych za pośrednictwem malware. Za całkowicie nieistotne blisko jedna trzecia firm uznała włamania do urządzeń mobilnych oraz ataki na sieci bezprzewodowe (odpowiednio 28% i 27% ). W ostatnich miesiącach nasileniu uległy ataki typu ransomware polegające na szyfrowaniu danych firmowych znajdujących się na dysku lub blokowaniu dostępu do systemu i żądaniem zapłacenia okupu w zamian za przywrócenie dostępu. Blisko jedna trzecia respondentów wskazała, że padła w przeszłości ofiarą tego typu ataku. Żadna z badanych firm nie przyznała się jednak do zapłacenia okupu, twierdząc, że udało im się obronić przed atakiem i odtworzyć ciągłość działania.
Za małe budżety 57% firm przyznało, że największą barierą utrudniającą budowanie odpowiedniego poziomu zabezpieczeń jest brak wystarczających budżetów. 47% wskazało natomiast na trudności w znalezieniu oraz utrzymaniu odpowiednio wykwalifikowanych pracowników. Aż o 10 punktów procentowych w porównaniu z ubiegłoroczną edycją badania wzrósł odsetek firm wskazujących na ograniczenia wynikające z braku dobrze zdefiniowanych mierników. Firmy starają się adresować te wyzwania, powierzając outsourcing funkcji i procesów bezpieczeństwa zewnętrznym dostawcom. 81% respondentów badania przyznało, że w ich organizacjach kwestie bezpieczeństwa danych są realizowane przez zewnętrznych dostawców, z czego 68% zleca na zewnątrz wiele funkcji. Firmy najczęściej korzystają z zewnętrznej pomocy w przypadku wsparcia w reakcji na cyberataki (53% ), analizy złośliwego oprogramowania (49% ) oraz testów podatności infrastruktury (48% )
Zaniedbane logi bezpieczeństwa
Organizacje podchodzą do kwestii monitorowania bezpieczeństwa na wiele sposobów. Regularne monitorowanie bezpieczeństwa zostało już formalnie wpisane w obowiązki pracowników w 61% badanych organizacji, a w 36% powierzono je zewnętrznej firmie. Również 36% firm powołało w swoich strukturach komórkę SOC (Security Operations Center) do monitorowania zagrożeń, ale w większości przypadków nie działa ona całodobowo. W ponad jednej trzeciej firm monitoruje się bezpieczeństwo kontrahentów (37% ), a 26% prowadzi tzw. Threat Hunting, poszukując cyberprzestępców, którzy mogą być już w chronionej infrastrukturze. Niestety aż 57% respondentów przyznało, że logi bezpieczeństwa nie są jednak w ich organizacjach przeglądane regularnie. Firmy stosują szeroki wachlarz rozwiązań mających na celu wykrycie cyberataków. Najczęściej (68% wskazań) wykorzystują w tym celu zewnętrzne źródła informacji o cyberzagrożeniach. Dużą popularnością cieszą się również centralne repozytoria logów, stosowane przez 64% badanych organizacji oraz wewnętrznie rozwijane bazy wiedzy o cyberzagrożeniach typu Indicator of Compromise oraz Tactics, Techniques, and Procedures, z których korzysta ponad połowa firm. Najrzadziej spotykanym w Polsce rozwiązaniem są systemy typu Deception stanowiące swego rodzaju pułapki zastawiane na cyberprzestępców (14% ) oraz rozwiązania klasy SOAR (Security Orchestration, Automation and Response) usprawniające monitorowanie bezpieczeństwa i reakcję (16% ).
- Cyberataki są dziś zjawiskiem powszechnym. Łupem hakerów stają się najbardziej zaawansowane technologicznie firmy. Nie należy dziś pytać „czy?”, ale „kiedy?” nastąpi cyberatak w organizacji. Nie ma zabezpieczeń gwarantujących bezpieczeństwo, w związku z czym krytyczne stają się inwestycje w procesy monitorowania bezpieczeństwa i reakcji na cyberataki. Tylko dzięki nim możliwe jest skrócenie czasu, w jakim niewykryty haker bezkarnie działa w firmowej infrastrukturze. Czasu, który wynosi obecnie średnio ponad pół roku i mocno skorelowany jest z poziomem poniesionych strat – mówi Michał Kurek, Partner w Dziale Doradztwa Biznesowego, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Wewnętrzny zespół jest rzadkością
Najpopularniejszym podejściem w reakcji na cyberataki stosowanym przez firmy w Polsce, jest opracowanie ogólnofirmowych procedur reagowania na wypadek ich wystąpienia. Takie rozwiązanie jest zastosowane w 73% badanych organizacji. 42% respondentów posiada podpisane umowy ramowe z zewnętrznymi firmami na wypadek konieczności wsparcia przy obsłudze cyberataku. Co trzecia badana organizacja korzysta z testów penetracyjnych typu Red Teaming do weryfikowania własnej skuteczności w obronie przed cyberatakami. 24% firm posiada wykupioną polisę ubezpieczeniową od skutków cyberataku, a 21% powołało wewnętrzny zespół do reagowania na incydenty. Firmy, które w przeszłości zetknęły się z cyberatakiem, w zdecydowanej większości deklarują, że w jego wyniku zwiększyła się świadomość zarządu na temat cyberbezpieczeństwa (83% wskazań). 60% organizacji zwiększyło budżet na zabezpieczenia, a połowa przyznała, że cyberatak wpłynął na gruntowną zmianę podejścia firmy do kwestii związanych z bezpieczeństwem cyfrowym. Natomiast 10% badanych firm, które w przeszłości doświadczyło cyberataku przyznało, że jego wystąpienie nie zmieniło niczego w podejściu organizacji do zapewnienia bezpieczeństwa.
Zdecydowana większość badanych firm powierza kwestie bezpieczeństwa danych w organizacji zewnętrznym dostawcom. Na koniec 2022 roku z outsourcingu korzystało już 81% ankietowanych, a jak pokazują badania KPMG, odsetek ten rośnie z każdym kolejnym rokiem. Podobnie zwiększa się grupa firm, które realizują więcej niż jedną funkcję bezpieczeństwa w sieci za pośrednictwem zewnętrznych dostawców. Wsparcie w reakcji na cyberataki, analiza złośliwego oprogramowania oraz testy podatności infrastruktury to trzy najczęściej outsourcowane procesy bezpieczeństwa. Z usług zewnętrznych firm do ich realizacji korzysta około połowa respondentów.
- Bezpieczeństwo w świecie cyfrowym wymaga proaktywnych działań, nieustannej edukacji oraz codziennych praktyk związanych z tzw. cyberhigieną - podsumowje Piotr Smulikowski, Starszy Menadżer, Dział Doradztwa Biznesowego, Zespół Cyberbezpieczeństwa, KPMG w Polsce. - Nie chcąc ryzykować utraty danych czy naru-
Cyberataki są dziś zjawiskiem powszechnym.
Łupem hakerów stają się najbardziej zaawansowane technologicznie firmy. Nie należy dziś pytać „czy?”, ale
„kiedy?” nastąpi cyberatak w organizacji szenia reputacji firmy powinniśmy się na to odpowiednio przygotować m.in. posiadać i regularnie testować scenariusze postępowania na wypadek ewentualnych cyberataków. Działania wyłącznie ‘post factum’ nie są w stanie zapewnić nam bezpieczeństwa, a straty związane ze skutkami ataków w konsekwencji mogą prowadzić do utraty zaufania klientów i ograniczenia zysków.
Codzienna cyberhigiena
W dobie dynamicznej digitalizacji działalności biznesowej zapewnienie środków ochrony to więcej niż konieczność. W pierwszej połowie roku liczba cyberataków tygodniowo wzrosła na całym świecie o 42%. Przyglądając się aktualnym zdarzeniom, możemy spodziewać się rozwoju pomniejszych, a co za tym idzie – trudniejszych do zidentyfikowania, grup cyberprzestępców. Wśród bieżących trendów coraz częściej przywołuje się również zjawisko haktywizmu czy przewiduje pierwsze ataki w metaversie.
Obecnie, bardziej niż kiedykolwiek wcześniej, każda firma, niezależnie od obszaru działalności, jest firmą zajmującą się danymi. Szacuje się, że do 2025 roku osoby prywatne i firmy na całym świecie będą wytwarzać 463 eksabajty danych każdego dnia, czyli niemal 155 razy więcej w porównaniu z dekadą wcześniej. Operując w coraz bardziej zdigitalizowanym środowisku, firmy stawiają czoła zarządzaniu znaczną ilością danych. Na rynku istnieją szyte na miarę produkty, który ten proces upraszczają i pozwalają w bezpieczny sposób zarządzać zasobami cyfrowymi z jednego miejsca, unikając błędów podczas kompilowania czy przekształcania danych.
Wraz z rosnącym zapotrzebowaniem biznesu na dane w czasie rzeczywistym, organizacje potrzebują rozwiązań, które płynnie pobierają dane z wielu źródeł i wprowadzają je do chmury pod kątem ich dalszego przetwarzania. W ich codziennym użytkowaniu kluczową rolę odgrywa również zarządzanie bezpieczeństwem. Platformy przetwarzające łączą dane wsadowe i strumieniowe, pozwalając na ich transformację, a jednocześnie zapewnia bezpieczne uwierzytelnianie, autoryzację i dostęp do danych. Jest to przykład tego, jak optymalizować działalność biznesu, zabezpieczając jej cyfrowe zasoby.
AI w cyberzpieczeństwie
W przypadku cyberbezpieczeństwa, sztuczna inteligencja z pewnością nie jest przystosowana do podejmowania wrogiego działania. Zapewnia natomiast znacznie większą użyteczność niż standardowy prosty, oparty na regułach cyfrowy strażnik. Ten ostatni automatycznie sygnalizuje anomalie bez kontekstu, to znaczy bez świadomości zachodzących wydarzeń poprzedzających lub równoległych.
– Obecnie potrzebujemy uogólnionych możliwości wykrywania zagrożeń, które wykraczają poza wąskie reguły oparte na znanych metodach ataku, potrafiące wydedukować cele atakującego. Potrzebujemy rozwiązań, które skalują się bez utraty wydajności i mogą przygotować się na nieznane jeszcze formy cyberagresji. Sztuczna inteligencja jest niezbędnym narzędziem obronnym w dzisiejszym zestawie narzędzi bezpieczeństwa – mówi Christian Putz, Country Manager w Vectra AI.
4 pytania, które ujawniają prawdziwą jakość AI
Jak odróżnić dobrą propozycję od złej? Poniższe cztery pytania pomogą zorientować się, jak realna jest propozycja dotycząca AI.
Czy oferowana AI skupia się na wykrywaniu nietypowych zachowań czy na wskazywaniu problemów bezpieczeństwa? Produkt, który zajmuje się wykrywaniem ogólnych informacji o anomaliach nie przechodzi testu: nie każda anomalia jest zagrożeniem. Co więcej, nie każde prawdziwe zagrożenie objawia się jako nietypowe zachowanie.
Jak i gdzie dostawca wdraża sztuczną inteligencję? Niektórzy wykorzystują sztuczną inteligencję do rozwiązywania problemów peryferyjnych, ale nadal pozostają zależni od starszych technologii, jeśli chodzi o podstawowe funkcje. Im bardziej centralną rolę odgrywa AI, tym większą wartość może zapewnić, np. wykryć operacje atakującego, priorytetyzować wieloetapowe ataki i zarządzać systemem.
Czy występuje uzupełniający czynnik ludzki? AI jest tak dobra, jak jej twórcy. Może odzwierciedlać ludzkie przeoczenia, uprzedzenia lub inne ograniczenia. Do projektowania AI niezbędne są wydajne zespoły ze spójną wizją i wysokimi umiejętnościami. Ważne, by specjaliści w dziedzinie analizy danych i badań nad bezpieczeństwem wnosili do tworzenia AI różnorodne umiejętności, od neurobiologii po fizykę, od reagowania na realne incydenty po inżynierię wsteczną.
Gdy AI jest wdrażana u klientów, równie ważny pozostaje czynnik ludzki. AI powinniśmy zawsze traktować jedynie jako pomoc i przewodnika - świadoma decyzja w wielu obszarach nadal należy do człowieka.
Czy AI jest przedstawiana jako lekarstwo na wszystko? Jako uniwersalny antybiotyk na wszystkie infekcje w cyberprzestrzeni? Prawdziwa AI nie działa w ten sposób. Zmieniająca się, ewoluująca topografia domen sieciowych - czego przykładem są nowe strategie chmur hybrydowych oraz wzrost liczby dostawców SaaS i PaaS - regularnie stawia nowe wyzwania. Należy zachować ostrożność wobec dostawców, którzy mogą przesadzać w obietnicach dotyczących ich produktów.
Kształt przyszłych zagrożeń jest nieznany. Najlepsza obrona przed nieznanym polega na odpowiednim poziomie doświadczenia, zwinności i gotowości do iteracji. Oprac. WZ
