niedziela, 9 lutegoKrajowy Przegląd Samorządowy
Shadow

Cichy atak

43 proc. ankietowanych przez EY specjalistów ds. bezpieczeństwa informacji (CISO) nigdy dotąd nie martwiło się w takim stopniu jak obecnie o zdolność ich firm do odpierania cyberzagrożeń. 77 proc. ostrzega, że miało w ostatnich 12 miesiącach do czynienia ze wzrostem liczby ataków typu ransomware (wymuszenie okupu).

Ankietowani w ramach Ogólnoświatowego Badania Bezpieczeństwa Informacji EY (GISS – Global Information Security Survey) zwracali uwagę, że pandemia ujawniła luki w szeroko rozumianym ekosystemie, obejmującym łańcuch zależności firm, a tylko jeden na trzech CISO jest przekonany, że cały łańcuch dostaw w ich organizacji jest pod tym względem zabezpieczony i odporny. Sytuacja związana z zagrożeniami cyberatakami dotyczy nie tylko banków, firm produkcyjnych czy transportowych. To również realne zagrożenie dotyczące instytucji państwowych i samorządowych. Szczególnie te ostatnie ciągle zbyt często lekceważą sprawy związane z bezpieczeństwem informacji.

– Skupienie się na słabych punktach w ekosystemie partnerskim firm to jeden z oczywistych postpandemicznych priorytetów dla osób odpowiadających za bezpieczeństwo. Choć wcześniej ten problem był mniej dostrzegany, podczas pandemii został uwidoczniony, uświadamiając tym samym wielu firmom i instytucjom, jak poważne zagrożenia może nieść za sobą złe zabezpieczenie tak zwanych stron trzecich, dostarczających usługi, produkty czy rozwiązania. Bo to właśnie relacje z podmiotami trzecimi zwiększają liczbę punktów, poprzez które nasza organizacja może być potencjalnie zaatakowana. Dlatego tak ważne jest, by podlegały one stałemu monitoringowi pod kątem zagrożeń – mówi Kazimierz Klonecki, partner EY i lider Działu Cyberbezpieczeństwa.

To nie koniec wyzwań, na które wskazali w tym roku ankietowani. Prawie 40 proc. CISO zwróciło uwagę na to, że nie dysponuje budżetem odpowiednim do wyzwań, które pojawiły się w ich firmach w ostatnich 12 miesiącach. Co więcej, 36 proc. jest zdania, że kwestią czasu jest to, że ich organizacje doświadczą znaczącego incydentu z zakresu cyberbezpieczeństwa, którego można by uniknąć, dzięki odpowiednim inwestycjom.

– Z badania EY wynika, że większość kosztów związanych z cyberbezpieczeństwem w firmach alokowana jest w szeroko rozumianych budżetach IT lub w wydatkach na technologię. To z jednej strony utrudnia właściwe i elastyczne zarządzanie takim budżetem, a z drugiej pokazuje, jak rozumiane i postrzegane są funkcje fachowców od bezpieczeństwa. Co więcej, niewystarczająca wysokość budżetów w rękach menedżerów zajmujących się cyberbezpieczeństwem powoduje konieczność dopasowania stosowanych rozwiązań i presję na zmniejszanie kosztów w pełnym zagrożeń środowisku. Tym samym trwa stała walka o to, by wypełnić lukę między potrzebami a możliwościami finansowania – mówi Jakub Walarus, Associate Partner EY w Dziale Cyberbezpieczeństwa.

Przed „strażnikami bezpieczeństwa” stoją też wyzwania wynikające z relacji z innymi działami i osobami odpowiedzialnymi za podejmowanie decyzji. Bardzo często zespoły cyberbezpieczeństwa nie biorą udziału w konsultacjach na etapie planowania nowych inicjatyw biznesowych, albo dołączają do nich zbyt późno. Często wówczas, gdy „pożar już wybuchł”.

Część firm zdaje już sobie sprawę, że funkcje bezpieczeństwa informacji są kluczowe dla ich działalności, ale wciąż istnieje jeszcze grupa tych, postrzegających CISO jako hamulcowych, którzy spowalniają, a wręcz wstrzymują część biznesowych inicjatyw.

(in,ey)