Zarządzanie ryzykiem w cyberprzestrzeni

  • View
    226

  • Download
    4

Embed Size (px)

Text of Zarządzanie ryzykiem w cyberprzestrzeni

  • Kluczowe obserwacje z wynikw ankiety Globalny stan bezpieczestwa informacji 2015

    Zarzdzanie ryzykiem w cyberprzestrzeni

    (The Global State of Information Security Survey 2015)

    Grudzie 2014

    www.pwc.pl/bezpieczenstwo-biznesu

  • Spis treci

    01 02 03 Cyber-ryzyka: grone i rzeczywiste

    Str. 5

    Cyberbezpieczestwo nierozcznie zwizane z biznesem

    Str. 7

    Regulatorzy na caym wiecie prowadz coraz aktywniejsze dziaania w sprawie cyber-ryzyka

    Liczba incydentw i ich skutki finansowe nadal rosn

    Str. 9

    Dalszy wzrost liczby incydentw nie jest niespodziank

    Diagram 1: rednia roczna stopa wzrostu liczby cyberatakw to 66%

    Str. 11

    Straty finansowe szybko rosn

    Diagram 2: Budet na zapewnienie bezpieczestwa informacji

    Diagram 3: Incydenty s bardziej kosztowne dla wikszych organizacji

    Pracownicy wskazywani jako najczstsze rdo incydentw

    Str. 13

    Szpiedzy, hakerzy i zorganizowane grupy przestpcze to czarne charaktery, na ktre wszyscy chtnie wskazuj

    Str. 14

    Diagram 4: Osoby z wewntrz a osoby z zewntrz organizacji

    Str. 15

    Szybki wzrost spektakularnych przestpstw

    Str. 16

    Suby specjalne: nowe rdo zagroe

  • 04 05 07 Wzrost liczby incydentw, spadek wydatkw na bezpieczestwo

    Str. 17

    Organizacje s zaniepokojone wzrostem cyberprzestpczoci

    Str. 18

    Diagram 5: Na wiecie przecitne budety na zapewnienie bezpieczestwa nieco spady, co zmienia dotychczasowy trzyletni trend

    Str. 19

    Diagram 6:Priorytetowe wydatki w polskich firmach w cigu kolejnych 12 miesicy

    Podstawowe praktyki w zakresie bezpieczestwa informacji

    Str. 21

    Zabezpieczenia musz nada za stale zmieniajcymi si zagroeniami i wymaganiami biznesu

    Str. 22

    Diagram 7: Wiodce polskie firmy wyrniaj si pozytywnie na tle redniej globalnej

    Ewolucja: od zapewnienia bezpieczestwa do zarzdzania cyber-ryzykiem

    Str. 27

    Coraz wiksza liczba narusze bezpieczestwa sprawia, e cyber-ryzyko nie zostanie cakowicie wyeliminowane

    Str. 30

    Metodyka

    Str. 31

    Przypisy

    06 Poprawa w niektrych obszarach

    Str. 24

    Mimo zmniejszenia dziaa zwizanych z ochron s dziedziny, w ktrych odnotowujemy wzrost bezpieczestwa

  • Wstp

    Szanowni Pastwo,

    Mamy przyjemno odda w Pastwa rce raport, ktry stanowi nasz wkad w debat na temat aktualnego stanu bezpieczestwa informacji w Polsce i na wiecie. Jest to druga polska edycja raportu, prezentujemy w niej wyniki dla Polski na tle rezultatw globalnych.

    Cyberprzestpczo to realne zagroenie na wiecie. W tym roku przekonalimy si, e Polska nie jest zielon wysp i e temat w Polsce jest rwnie wany, realny, a co wicej nasila si. Ataki na sektor finansowy, energetyczny czy ochrony zdrowia wskazuj na rosnc skal tego zjawiska.

    Zarzdzenie bezpieczestwem w cyberprzestrzeni to temat istotny dla dziaw informatyki, ale nie jest to zagadnienie tylko IT. Ryzyka zwizane z prowadzeniem biznesu w cyberprzestrzeni, takie jak ryzyko utraty reputacji, straty finansowe, przerwa w sprzeday, skutki dla innowacji, bada i rozwoju, czy kary regulacyjne to tematy wane dla CEO, CFO, COO, Dyrektora Sprzeday, PR oraz pracownikw firmy. Dlatego te powinny znale si na mapie kluczowych ryzyk do monitorowania przez Rady Nadzorcze i Audyt Wewntrzny nie bez powodu w 2014 r. wiatowe Forum Gospodarcze zaliczyo cyber-ataki do piciu najwaniejszych rodzajw ryzyka pod wzgldem prawdopodobiestwa wystpienia.

    Mamy nadziej, e informacje zawarte w naszym raporcie bd inspiracj i wsparciem przy ksztatowaniu strategii bezpieczestwa w Pastwa firmach.

    Piotr Urban Partner, Lider PwC Risk Assurance

    Rafa Jaczyski Lider zespou PwC Cyber Security w Polsce i Europie Centralnej

  • Cyber-ryzyka: grone i rzeczywiste

    01

    Cyberbezpieczestwo nierozcznie zwizane z biznesem

    Spki wiadczce usugi finansowe nadal s gwnym celem atakw, coraz czciej atakowane s giedy papierw wartociowych

    Ataki na systemy informatyczne, telekomunikacyjne i produkcyjne nie s ju przedmiotem zainteresowania wycznie specjalistw ds. bezpieczestwa informacji i IT. Ich konsekwencje s odczuwalne dla zarzdw firm i innych interesariuszy, w tym klientw.

    Media czsto podaj wypadki zwizane z przeamaniem zabezpiecze, a przez ponad 12 ostatnich miesicy prawie kada brana musiaa stawi czoa zagroeniom cybernetycznym.

    Ze wzgldu na wzrastajc wiadomo konsumentw, obywateli i wnikliwo mediw coraz rzadziej powane wamanie pozostaje niezauwaone i coraz czciej wymaga od firm i instytucji rzeczywistej, a nie tylko sownej, reakcji.1

    Przestpcy spowodowali straty na rachunkach kart kredytowych dwch bliskowschodnich bankw na caym wiecie na ponad 45 mln USD.2

    Amerykaskie banki straciy dane dziesitek mln klientw w wyniku wama. Polskie banki byy przedmiotem kampanii DDoS powodujcych wielogodzinne wyczenia ich internetowych kanaw obsugi klientw.3

    Badanie 46 wiatowych gied przeprowadzone przez Midzynarodow Organizacj Komisji Papierw Wartociowych (IOSCO) i wiatow Federacj Gied wykazao ponadto, e ponad poowa z nich (53%) pada ofiar cyberataku.4 Warszawska Gieda Papierw Wartociowych bya rwnie przedmiotem atakw w cigu mijajcego roku.

  • Ryzyko dotyczy nie tylko urzdze

    Pojawiy si informacje, e samochody

    zawierajce dziesitki komputerw czsto

    poczonych ze sob, a w niektrych

    przypadkach komunikujcych

    si bezprzewodowo z otoczeniem

    zewntrznym mog by celem ataku

    pozwalajcego na przejcie kontroli

    nad systemami hamowania, sterowania,

    a nawet silnika. Firma IOActive

    opublikowaa badanie, ktre szczegowo

    wykazuje, w jaki sposb hakerzy mog

    kontrolowa Elektroniczne Jednostki

    Kontroli (Electronic Control Units)

    konkretnych samochodw i zaproponowali

    mechanizmy umoliwiajce wykrycie

    ataku.7

    Warto wspomnie rwnie spektakularn kradzie danych prawie 4,5 mln pacjentw z amerykaskiej sieci szpitali.

    W Polsce w zeszym roku odnotowano ataki na systemy firm wiadczcych usugi medyczne. Przyczyn wamania by jeden z najpowaniejszych problemw z bezpieczestwem Internetu ujawniony w 2014 roku.

    Skutki bdu nazwanego Heartbleed dotkny prawie dwie trzecie serwerw sieciowych na caym wiecie, w tym niektre najbardziej popularne usugi poczty elektronicznej, witryny WWW i spoecznociowe. Uwaa si, e awaria ta zagrozia milionom serwisw, sklepw internetowych i aplikacji, a take komunikatorom internetowym, narzdziom zdalnego dostpu i urzdzeniom sieciowym.10

    Narastajce napicia polityczne i konflikty midzypastwowe, szczeglnie midzy Rosj i Ukrain, wywoay seri cyberatakw, co doprowadzio do zniknicia z Internetu stron rzdowych tych pastw i do zainfekowania zoliwym oprogramowaniem witryn ich ambasad. Nie dziwi wic uwzgldnienie aspektw cyberbezpieczestwa w podpisanej przez Prezydenta RP w listopadzie 2014 Strategii Bezpieczestwa Narodowego RP. Medialne doniesienia dotyczce ujawnienia kodw rdowych oraz danych uytkownikw systemu wspierajcego wybory samorzdowe potwierdzaj tylko potrzeb przeznaczenia na te zagadnienia zwikszonej uwagi, czasu i rodkw.

    Rwnie w Polsce mijajcy rok upyn pod znakiem atakw na istotne systemy infrastruktury krytycznej w poowie roku media donosiy o akcji grupy hakerskiej wymierzonej w sektor energetyczny.5

    Zanotowano rwnie wzrost atakw na urzdzenia konsumenckie podczone do globalnej sieci takie jak urzdzenia do monitorowania maych dzieci, termostaty czy telewizory ktre skadaj si na Internet Rzeczy (ang. Internet of Things), powstajcy ekosystem urzdze, ktry wymienia midzy sob informacje. Te urzdzenia podczone do Internetu s naraone na ataki, poniewa nie maj podstawowych zabezpiecze, co ostatnio potwierdzio badanie HP Fortify on Demand.

    Firma HP dokonaa przegldu 10 najczciej uywanych urzdze i odkrya, e 70% z nich zawiera powane podatnoci mechanizmw ochrony.6

    Infrastruktura krytyczna na celowniku

    Grupa hakerw skutecznie infiltrowaa przez Internet

    amerykaskie przedsibiorstwo usug komunalnych

    i uzyskaa dostp do sieci systemu sterujcego automatyk

    przemysow. Na szczcie atak udao si powstrzyma

    przed dokonaniem szkd.8 Wyrafinowani cyber-szpiedzy

    finansowani przez pastwo zastosowali specjalne zoliwe

    oprogramowanie w celu zainfekowania systemw kontroli

    przemysowej setek spek energetycznych w Stanach

    Zjednoczonych i Europie.9

    Nawet ci, ktrzy opisuj wamania do systemw IT nie uchronili si przed atakiem. Niektre najbardziej renomowane gazety takie jak The New York Times, The Financial Times, CNN czy Reuters, ulegy hakerom ich konta na Twitterze zostay przejte lub strony zablokowane. Wiele najpowaniejszych atakw przeprowadzili hakerzy powizani z rzdami pastw z Bliskiego Wschodu.

    Kada istniejca lista incydentw jest z pewnoci niekompletna. Trudno z ca pewnoci stwierdzi, ktre organizacje s infiltrowane, poniewa wiele z nich nie wie, e zostay zaatakowane. Inne niechtnie ujawniaj informacje o wamaniach z uwagi na obaw przed utrat reputacji, sprawami sdowymi czy ledztwem regulatorw.

    6 Cyber-ryzyka: grone i rzeczywiste

  • 7

    Nowe wytyczne podkrelaj kilka wyjtkowych wymogw, midzy innymi sugeruj, e organizacje powinny zapewni sobie ubezpieczenie cybernetyczne i by w stanie sporzdzi kompleksow inwentaryzacj wszystkich incydentw naruszenia bezpieczestwa. Wytyczne SEC wymagaj rwnie wprowadzenia przez przedsibiorstwa procesw oceny ryzyka oraz skuteczniejszej oceny ryzyka sprzedawcy i zapewnienia waciwej starannoci.

    W Polsce Komisja Nadzoru Finansowego

    regulujca rynek bankowy wydaa w 2013

    roku Rekomendacj D, ktra wyznacza

    nowe standardy