Studiu EY: Organizațiile se confruntă cu riscuri mari generate de atacurile cibernetice; metodele obișnuite de atac au încă succes

  • 56% dintre organizațiile sondate sunt îngrijorate de creșterea atacurilor cibernetice și de impactul asupra planurilor lor de business
  • 87% declară că au nevoie de fonduri mai mari cu până la 50% pentru a se apăra de amenințărilor atacurilor cibernetice
  • Doar 12% declară ca sunt capabile să detecteze un atac cibernetic sofisticat

Organizațiile globale consideră că amenințările din prezent legate de atacurile cibernetice constituie un risc ridicat pentru ele, conform celei de-a douăzecea ediții anuale a studiului EY Global Information Security Survey (GISS), la care au participat peste 1200 de lideri ai celor mai mari organizații din lume.

Rezultatele studiului arată că 56% dintre cei chestionați își modifică sau intenționează să schimbe strategia și planul de business în contextul creșterii amenințărilor cibernetice. Accelerarea rapidă a gradului de conectivitate din interiorul organizației globale – alimentată de creșterea explozivă a dispozitivelor inteligente conectate la internet (IoT) – a generat noi vulnerabilități pe care infractorii cibernetici, din ce în ce mai sofisticați, le pot exploata.

Raportul arată că atacurile obișnuite – atacuri informatice efectuate de actori individuali, nesofisticați – au exploatat cu succes aceste vulnerabilități de care organizațiile erau conștiente, iar acest fapt indică o lipsă de rigoare în implementarea procedurilor standard de securitate.

Carmen Adamescu, Partener EY România, spune:

„În ultimul timp, atacurile cibernetice cele mai eficiente au folosit metode obișnuite care au fructificat vulnerabilități cunoscute în organizații. De exemplu, prin campaniile recente de tip ransomware, hackerii au criptat sistemele informatice ale unor organizații și au solicitat recompense, exploatând vulnerabilități cunoscute din sistemele de operare neactualizate la timp. De asemenea, hiper-conectivitatea și abundența noilor tehnologii, deși generează oportunități imense, introduc riscuri și noi vulnerabilități. Drept urmare, pe măsură ce se adaptează erei digitale, companiile trebuie să-și examineze întregul ecosistem digital ca să-și protejeze afacerea azi, mâine și în viitor.”

Rezultatele studiului arată că cele mai multe organizații continuă să-și crească cheltuielile legate de securitatea cibernetică, peste 90% din respondenți afirmând că se așteaptă la bugete mai mari în acest an. Cum intensificarea atacurilor cibernetice necesită un răspuns mai ferm, 87% dintre respondenți spun că au nevoie de o creștere a finanțării de până la 50%. Cu toate acestea, doar 12% se așteaptă să primească o creștere de peste 25% în acest an.

76% la sută dintre respondenți au declarat că una dintre cauzele care ar putea genera mărirea bugetelor alocate securității ar fi descoperirea unui atac care a provocat daune. Însă, 64% (față de 62% anul trecut) spun că un incident care nu provoacă daune nu are prea multe șanse să genereze o creștere a bugetului de securitate, în ciuda faptului că daunele generate de un atac cibernetic nu sunt vizibile imediat.

Mulți respondenți recunosc totuși că lipsa alocării unor resurse adecvate poate duce la creșterea riscurilor legate de securitatea cibernetică. 56% dintre companiile sondate au declarat că au schimbat sau iau în considerare revizuirea strategiilor şi planurilor de răspuns pentru astfel de situații. Însă, 20% dintre ele admit că nu dispun de o evaluare corectă a implicațiilor și vulnerabilităților legate de securitatea informațiilor, pentru a trece la implementarea acestor măsuri.

 Amenințări în creștere legate de malware și de neglijența angajaților

 Malware-ul (64% față de 52% în 2016) și phishing-ul (64% față de 51% anul trecut) sunt percepute drept amenințările care au crescut cel mai mult expunerea la risc a organizațiilor în ultimele 12 luni. Angajații neglijenți sau cei care nu conștientizează aceste amenințări sunt considerați drept vulnerabilitatea cu cea mai mare rată de creștere din zona securității organizației (60% față de 55% în 2016). „De exemplu, un memory stick introdus de către un angajat in PC-ul companiei, are o probabilitate mai mare de a crea o breșă de securitate în sistem, decât un atac extern,” spune Carmen Adamescu.

În privința celei mai probabile surse de atac, 77% din respondenți menționează angajații neglijenți ai companiei, urmați de grupări infracționale (56%) și angajați rău intenționați (47%).

Când vine vorba de a riposta împotriva unui atac avansat – din partea unor grupări sofisticate şi bine organizate – multe organizații sunt serios îngrijorate de nivelul scăzut de sofisticare al sistemelor lor curente de protecție. 75% din respondenți evaluează maturitatea sistemelor de identificare a vulnerabilităților drept „foarte scăzută sau moderată”. Alți 12% spun că nu au instalat un program formal de detectare a pătrunderilor ilegale în sistem, în vreme ce 35% își descriu politicile de protecție date ca fiind ad-hoc sau inexistente. 38% fie nu au un program de identificare sau de acces, fie nu au convenit, în mod oficial, asupra unui asemenea program.

Studiul mai arată că bugetele de securitate cibernetică sunt mai mari în organizații care:

  • Creează roluri dedicate, cum ar fi ofițeri de securitate în punctele cheie ale afacerii
  • Întocmesc de cel puțin două ori pe an rapoarte de securitate cibernetică pentru consiliul de administrație și pentru comitetul de audit intern
  • Identifică cele mai importante active IT și le protejează în mod diferențiat.

Raportul subliniază faptul că organizațiile care au la baza abordării operaționale procese mature sunt capabile să implementeze sisteme de securitate încă din faza de proiectare – security by design – care pot răspunde la riscuri neașteptate și la pericole emergente.

„În cazul preocupării actuale a organizațiilor pentru a se pregăti sa răspundă noilor reglementări ale Regulamentului UE – GDPR (General Data Protection Regulation) care intră în vigoare în mai 2018, în activitățile de proiectare al soluțiilor de securitate cibernetică ar trebui să țină cont încă de la început și de principiile „privacy by default” și „privacy by design” impuse de GDPR.

Cu alte cuvinte, protecția datelor personale ar trebui asigurată conform Regulamentului GDPR încă din etapa de design a sistemelor de securitate. De exemplu, în cazul în care un angajat neglijent sau rău intenționat încearcă să trimită în afara organizației fișiere care conțin date personale ale clienților sau furnizorilor, soluțiile de securitate ar trebui să îl poată atenționa ca încalcă legea, și/sau să îl blocheze în cazuri specifice. Pe de altă parte, cea mai simplă modalitate de a asigura securitatea datelor cu caracter personal este stabilirea cu claritate a drepturilor de acces în aplicațiile care procesează acest tip de date,” detaliază Carmen Adamescu.

Rezultatele arată că mai sunt multe de făcut până când security by design va deveni o practică standard. În timp ce 50% dintre respondenți afirmă că raportează regulat consiliilor de administrație, 24% spun că persoana responsabilă de securitate cibernetică ocupă un loc în consiliul de administrație și doar 17% – că membrii consiliilor de administrație au suficiente cunoștințe privind securitatea informatică pentru a evalua corect eficiența măsurilor preventive.

„Este important ca organizațiile să depășească etapa în care consideră securitatea cibernetică doar o atribuție a funcției IT și să se concentreze pe guvernanța securității informatice și, în mod special, pe conceptul security-by-design,” concluzionează Carmen Adamescu.

Cum te putem ajuta?

Contactează cel mai apropiat birou EY România sau completează formularul online și te vom contacta noi.