Problemy z ochroną w wielu organizacjach — nawet pomimo rosnącego nacisku na cyberbezpieczeństwo
27 czerwca 2019
W ostatnim czasie znacząco zwiększono nacisk na bezpieczeństwo cybernetyczne, a z każdej strony słyszymy o tym, że ochrona stanowi priorytet nagłaśniany nawet na poziomie najwyższego kierownictwa firm. Mimo to wiele organizacji wciąż nie radzi sobie z ochroną przed rosnącą liczbą ataków.
Jak podaje Ponemon Institute, większość przedsiębiorstw jest nadal nieprzygotowana do właściwego reagowania na incydenty związane z bezpieczeństwem cybernetycznym. Co więcej, wiele z firm, które dysponują planami reagowania na incydenty, nie jest w stanie przeprowadzać ich testów.
Na zlecenie IBM firma analityczna przeprowadziła globalne badanie wśród ponad 3600 specjalistów ds. bezpieczeństwa i IT. 77% respondentów oświadczyło, że nie posiadają planu reagowania na incydenty związane z cyberbezpieczeństwem, który byłby konsekwentnie stosowany na skalę całego przedsiębiorstwa.
Jak wynika z badań prowadzonych w branży, firmy, które skutecznie reagują na ataki cybernetyczne w ciągu 30 dni, oszczędzają średnio ponad milion dolarów z tytułu kosztów naruszenia bezpieczeństwa danych. Mimo to braki w odpowiednim planowaniu reakcji na incydenty pozostały niezmienione na przestrzeni ostatnich czterech lat badania prowadzonego przez Ponemon.
Ponad połowa (54%) z ankietowanych organizacji, które posiadają plan reagowania na incydenty, nie testuje go w regularny sposób. W efekcie mogą być mniej przygotowani do skutecznego zarządzania złożonymi procesami i ich koordynowania, co musi nastąpić po ewentualnym ataku.
W badaniu stwierdzono ponadto, że wyzwania, jakie stoją przed zespołami ds. cyberbezpieczeństwa — związane z wdrażaniem planów reagowania na incydenty — wpływają również na ich zdolność do przestrzegania ogólnego rozporządzenia o ochronie danych osobowych (RODO). Blisko połowa (46%) ankietowanych organizacji uznało, że ich organizacje nie osiągnęły jeszcze pełnej zgodności z RODO, które, warto zaznaczyć, obowiązuje już od ponad roku, tj. od maja 2018 r.
Kolejnym ważnym wnioskiem z badania jest to, że w wielu organizacjach automatyzacja reagowania na incydenty dopiero się rozwija. Do celów raportu badacze zdefiniowali automatyzację jako stosowanie technologii zabezpieczeń, które rozszerzają lub zastępują pracę czynnika ludzkiego w procesach identyfikowania i blokowania naruszeń cybernetycznych. Technologie te polegają na sztucznej inteligencji (SI), uczeniu maszynowym, analityce i orkiestracji.
Mniej niż jedna czwarta respondentów była zdania, że ich organizacje w znaczącym stopniu korzystają z technologii automatyzacji — takich jak zarządzanie tożsamością i uwierzytelnianie, platformy reagowania na incydenty oraz narzędzia do zarządzania informacjami i zdarzeniami związanymi z bezpieczeństwem (SIEM).
77% ankietowanych odpowiedziało, że ich organizacje korzystają z automatyzacji tylko w stopniu umiarkowanym lub nieznacznym, bądź nie stosują jej wcale. Organizacje, które w dużym stopniu korzystają z automatyzacji, oceniają swoją zdolność do wykrywania ataków, reagowania na nie oraz ich powstrzymywania wyżej od ogółu ankietowanych.
Jak wynika z badania „2018 Cost of a Data Breach Study” przeprowadzonego przez Ponemon Institute, automatyzacja wciąż pozostaje niewykorzystaną szansą na zwiększenie odporności cybernetycznej — organizacje, które zdołały w pełni wdrożyć automatyzację zabezpieczeń, zaoszczędziły 1,5 miliona dolarów z tytułu całkowitych kosztów naruszenia danych. Ich przeciwieństwo stanowią organizacje, które nie korzystają z automatyzacji — w ich przypadku koszt naruszeń był znacznie wyższy.
Jak wynika z badania, utrzymująca się luka w umiejętnościach z zakresu bezpieczeństwa cybernetycznego wydaje się jeszcze bardziej osłabiać odporność organizacji — według nich brak personelu utrudnia im właściwe zarządzanie zasobami i potrzebami.
Zdaniem ankietowanych w firmach brakuje wykwalifikowanych specjalistów (od 10 do 20 osób w zespołach ds. bezpieczeństwa), którzy byliby w stanie należycie utrzymywać i testować posiadane plany reagowania. Tylko 30% respondentów uznało, że liczba osób zajmujących się bezpieczeństwem cybernetycznym jest wystarczająca do osiągnięcia wysokiego poziomu odporności.
Trzy czwarte badanych oceniło trudności związane z zatrudnianiem i utrzymywaniem wykwalifikowanego personelu ds. bezpieczeństwa cybernetycznego jako wysokie lub umiarkowanie wysokie. Co więcej, wiele organizacji boryka się z coraz większą złożonością infrastruktury zabezpieczeń. Niemal połowa (48%) z nich uważa, że ich organizacje wdrażają zbyt wiele narzędzi zabezpieczających, co ostatecznie zwiększa złożoność operacyjną i ogranicza przejrzystość ogólnej postawy związanej z bezpieczeństwem.
Jedną z pozytywnych zmian jest natomiast to, że organizacje wreszcie przyznają, jak współpraca pomiędzy zespołami ds. prywatności i bezpieczeństwa cybernetycznego może poprawiać odporność cybernetyczną. Blisko dwie trzecie (62%) jest zdania, że zbliżenie do siebie tych zespołów jest niezbędne do osiągnięcia odporności.
Większość ankietowanych dostrzega także rosnącą rolę ochrony prywatności — zwłaszcza od momentu wejścia w życie nowych regulacji, takich jak RODO czy kalifornijska ustawa o ochronie prywatności konsumentów (CCPA). W efekcie ochronę danych traktuje się dziś z wyższym priorytetem na etapie podejmowania decyzji zakupowych związanych z IT.
Jaki argument najczęściej stosuje się, aby usprawiedliwić wydatki na bezpieczeństwo cybernetyczne? Ponad połowa (56%) ankietowanych mówi w tym przypadku o ryzyku utraty lub kradzieży informacji. Ma to sens, ponieważ konsumenci żądają od firm, aby te podejmowały coraz więcej aktywnych działań na rzecz ochrony ich danych.