STUDIU Organizaţiile se confruntă cu riscuri mari generate de atacurile cibernetice. Metodele obişnuite de atac au încă succes

Circa 56% dintre organizaţii sunt îngrijorate de creşterea atacurilor cibernetice şi de impactul asupra planurilor lor de business, în timp ce doar 12% declară ca sunt capabile să detecteze un atac cibernetic sofisticat, conform studiului EY Global Information Security Survey (GISS). Totodată, cele mai multe dintre organizaţii spun că au nevoie de fonduri mai mari cu până la 50% pentru a se apăra de aceste ameninţări.

Rezultatele studiului, la care au participat peste 1200 de lideri ai celor mai mari organizaţii din lume, arată că 56% dintre cei chestionaţi îşi modifică sau intenţionează să schimbe strategia şi planul de business în contextul creşterii ameninţărilor cibernetice. Accelerarea rapidă a gradului de conectivitate din interiorul organizaţiei globale – alimentată de creşterea explozivă a dispozitivelor inteligente conectate la internet (IoT) – a generat noi vulnerabilităţi pe care infractorii cibernetici, din ce în ce mai sofisticaţi, le pot exploata.

Raportul arată că atacurile obişnuite – atacuri informatice efectuate de actori individuali, nesofisticaţi – au exploatat cu succes aceste vulnerabilităţi de care organizaţiile erau conştiente, iar acest fapt indică o lipsă de rigoare în implementarea procedurilor standard de securitate.

Carmen Adamescu, Partener EY România, spune: „În ultimul timp, atacurile cibernetice cele mai eficiente au folosit metode obişnuite care au fructificat vulnerabilităţi cunoscute în organizaţii. De exemplu, prin campaniile recente de tip ransomware, hackerii au criptat sistemele informatice ale unor organizaţii şi au solicitat recompense, exploatând  vulnerabilităţi cunoscute din sistemele de operare neactualizate la timp. De asemenea, hiper-conectivitatea şi abundenţa noilor tehnologii, deşi generează oportunităţi imense, introduc riscuri şi noi vulnerabilităţi. Drept urmare, pe măsură ce se adaptează erei digitale, companiile trebuie să-şi examineze întregul ecosistem digital ca să-şi protejeze afacerea azi, mâine şi în viitor”.

Rezultatele studiului arată că cele mai multe organizaţii continuă să-şi crească cheltuielile legate de securitatea cibernetică, peste 90% din respondenţi afirmând că se aşteaptă la bugete mai mari în acest an. Cum intensificarea atacurilor cibernetice necesită un răspuns mai ferm, 87% dintre respondenţi spun că au nevoie de o creştere a finanţării de până la 50%. Cu toate acestea, doar 12% se aşteaptă să primească o creştere de peste 25% în acest an.

76% la sută dintre respondenţi au declarat că una dintre cauzele care ar putea genera mărirea bugetelor alocate securităţii ar fi descoperirea unui atac care a provocat daune. Însă, 64% (faţă de 62% anul trecut) spun că un incident care nu provoacă daune nu are prea multe şanse să genereze o creştere a bugetului de securitate, în ciuda faptului că daunele generate de un atac cibernetic nu sunt vizibile imediat.

Mulţi respondenţi recunosc, totuşi, că lipsa alocării unor resurse adecvate poate duce la creşterea riscurilor legate de securitatea cibernetică. 56% dintre companiile sondate au declarat că au schimbat sau iau în considerare revizuirea strategiilor şi planurilor de răspuns pentru astfel de situaţii. Însă, 20% dintre ele admit că nu dispun de o evaluare corectă a implicaţiilor şi vulnerabilităţilor legate de securitatea informaţiilor, pentru a trece la implementarea acestor măsuri.

Ameninţări în creştere legate de malware şi de neglijenţa angajaţilor

Malware-ul (64% faţă de 52% în 2016) şi phishing-ul (64% faţă de 51% anul trecut) sunt percepute drept ameninţările care au crescut cel mai mult expunerea la risc a organizaţiilor în ultimele 12 luni. Angajaţii neglijenţi sau cei care nu conştientizează aceste ameninţări sunt consideraţi drept vulnerabilitatea cu cea mai mare rată de creştere din zona securităţii organizaţiei (60% faţă de 55% în 2016). „De exemplu, un memory stick introdus de către un angajat în PC-ul companiei are o probabilitate mai mare de a crea o breşă de securitate în sistem, decât un atac extern”, spune Carmen Adamescu.

În privinţa celei mai probabile surse de atac, 77% din respondenţi menţionează angajaţii neglijenţi ai companiei, urmaţi de grupări infracţionale (56%) şi angajaţi rău intenţionaţi (47%).

Când vine vorba de a riposta împotriva unui atac avansat – din partea unor grupări sofisticate şi bine organizate – multe organizaţii sunt serios îngrijorate de nivelul scăzut de sofisticare al sistemelor lor curente de protecţie. 75% din respondenţi evaluează maturitatea sistemelor de identificare a vulnerabilităţilor drept "foarte scăzută sau moderată". Alţi 12% spun că nu au instalat un program formal de detectare a pătrunderilor ilegale în sistem, în vreme ce 35% îşi descriu politicile de protecţie date ca fiind ad-hoc sau inexistente. 38% fie nu au un program de identificare sau de acces, fie nu au convenit, în mod oficial, asupra unui asemenea program.

Studiul mai arată că bugetele de securitate cibernetică sunt mai mari în organizaţii care:

- Creează roluri dedicate, cum ar fi ofiţeri de securitate în punctele cheie ale afacerii

- Întocmesc de cel puţin două ori pe an rapoarte de securitate cibernetică pentru consiliul de administraţie şi pentru comitetul de audit intern

- Identifică cele mai importante active IT şi le protejează în mod diferenţiat.

Raportul subliniază faptul că organizaţiile care au la baza abordării operaţionale procese mature sunt capabile să implementeze sisteme de securitate încă din faza de proiectare – security by design - care pot răspunde la riscuri neaşteptate şi la pericole emergente.

„În cazul preocupării actuale a organizaţiilor pentru a se pregăti să răspundă noilor reglementări ale Regulamentului UE - GDPR (General Data Protection Regulation), care intră în vigoare în mai 2018, în activităţile de proiectare a soluţiilor de securitate cibernetică, ar trebui să ţină cont încă de la început şi de principiile «privacy by default» şi «privacy by design» impuse de GDPR.

Cu alte cuvinte, protecţia datelor personale ar trebui asigurată conform Regulamentului GDPR încă din etapa de design a sistemelor de securitate. De exemplu, în cazul în care un angajat neglijent sau rău intenţionat încearcă să trimită în afara organizaţiei fişiere care conţin date personale ale clienţilor sau furnizorilor, soluţiile de securitate ar trebui să îl poată atenţiona că încalcă legea, şi/sau să îl blocheze în cazuri specifice. Pe de altă parte, cea mai simplă modalitate de a asigura securitatea datelor cu caracter personal este stabilirea cu claritate a drepturilor de acces în aplicaţiile care procesează acest tip de date”, detaliază Carmen Adamescu.

Rezultatele arată că mai sunt multe de făcut până când security by design va deveni o practică standard. În timp ce 50% dintre respondenţi afirmă că raportează regulat consiliilor de administraţie, 24% spun că persoana responsabilă de securitate cibernetică ocupă un loc în consiliul de administraţie şi doar 17% - că membrii consiliilor de administraţie au suficiente cunoştinţe privind securitatea informatică pentru a evalua corect eficienţa măsurilor preventive.

„Este important ca organizaţiile să depăşească etapa în care consideră securitatea cibernetică doar o atribuţie a funcţiei IT şi să se concentreze pe guvernanţa securităţii informatice şi, în mod special, pe conceptul security-by-design”, concluzionează Carmen Adamescu.