Badanie Marsh i Microsoft: Wzrost liczby ataków ransomware i globalnych zagrożeń zmniejsza zaufanie liderów do gotowości ich organizacji na ryzyko cybernetyczne.
Obserwowane na przestrzeni ostatnich trzech lat zmiany w miejscu pracy, transformacja cyfrowa oraz nasilające się ataki ransomware sprawiły, że większość liderów nie jest już tak pewna swojej zdolności do zarządzania ryzykiem cybernetycznym jak dwa lata temu – wynika z raportu opublikowanego przez firmę Marsh i Microsoft.
Raport The State of Cyber Resilience dostarcza odpowiedzi ponad 660 decydentów w zakresie zarządzania ryzykiem cybernetycznym, na podstawie których dokonano analizy postrzegania cyberryzyka przez kadrę kierowniczą w wiodących organizacjach na świecie, w tym dyrektorów generalnych, specjalistów ds. ryzyka i ubezpieczeń, finansów, IT i cyberbezpieczeństwa.
Według publikacji, stopień pewności liderów do podstawowych zdolności ich organizacji w zakresie zarządzania ryzykiem cybernetycznym, w tym zdolności do rozumienia i oceny cyber zagrożeń, łagodzenia/przeciwdziałania atakom oraz do zarządzania/reagowania na incydenty cybernetyczne – pozostaje w głównej mierze niezmieniony od czasu ostatniego badania w 2019 r., kiedy to 19.7% respondentów wyraziło, że są wysoce przekonani o gotowości firmy na ryzyko cybernetyczne (w porównaniu do 19% w 2022 r.).
„Mając na uwadze nieustanny wzrost popularności ataków ransomware oraz obecny, burzliwy krajobraz zagrożeń, nie jest zaskakującym fakt, że wiele organizacji nie czuje się bardziej pewnie w zakresie reagowania na zagrożenia cybernetyczne niż miało to miejsce w 2019 roku” – komentuje wyniki raportu Sarah Stephens, Head of Cyber, International w Marsh.
Co więcej, wiele organizacji nadal ma trudności ze zrozumieniem zagrożeń stwarzanych przez dostawców i cyfrowe łańcuchy dostaw, które stanowią elementy strategii cyberbezpieczeństwa tych firm. Tylko 43% respondentów stwierdziło, że przeprowadziło ocenę ryzyka swoich dostawców lub łańcuchów dostaw.
Pozostałe wnioski:
- Tylko 41% organizacji wykracza poza kwestie bezpieczeństwa cybernetycznego i ubezpieczeń, aby angażować swoje działy prawne, planowania korporacyjnego, finansowe, operacyjne lub zarządzania łańcuchem dostaw w tworzenie planów dotyczących ryzyka cybernetycznego.
- Blisko czterech na dziesięciu respondentów (38%) stwierdziło, że ich organizacja wykorzystuje metody ilościowe do pomiaru swojej ekspozycji na ryzyko cybernetyczne, co stanowi ważny krok w zrozumieniu, w jaki sposób cyberataki i inne incydenty mogą zwiększać niestabilność firm. Jest to poprawa w porównaniu do badania z 2019 r., w którym trzech na dziesięciu respondentów (30%) zadeklarowało, że ich organizacja stosuje metody ilościowe.
„Ryzyko cybernetyczne jest wszechobecne w większości organizacji. Skuteczne przeciwdziałanie zagrożeniom cybernetycznym powinno być głównym celem firm, ukierunkowanym na budowanie cyberodporności w całym przedsiębiorstwie, a nie na pojedyncze inwestycje w zapobieganie incydentom lub ochronę przed cyberatakami. Poprawa komunikacji wewnątrz organizacji może pomóc zniwelować istniejące luki, zwiększyć możliwości oraz lepiej informować o strategicznych decyzjach dotyczących zagrożeń cybernetycznych.” – podsumowuje raport Tom Reagan, Cyber Risk Practice Leader, US & Canada w Marsh.
Anna Pluta – Lider Praktyki Cybernetycznej w Marsh Polska dodaje: „Blisko dwie trzecie respondentów przyznało, że ich firmy stały się ofiarą ataku w minionym roku. Najczęściej były wskazywane phishing i ataki ransomware. Raport Marsh i Microsoft jest zbieżny z danymi publikowanymi przez Cert Polska. W 2021 najwięcej odnotowanych zdarzeń dotyczyło szyfrowania zasobów i okupu w zamian za ich odblokowanie a także licznych ataków polegających na podszywaniu się pod inne firmy lub organizacje w celu wyłudzenia danych i kradzieży tożsamości.
Departamenty cyberbezpieczeństwa i IT przejmują inicjatywę w zrównoważonym wdrażaniu technologii i środków kontroli, takich jak: filtrowanie poczty e-mail i bezpieczeństwo stron www, wykrywanie i reagowanie w punktach końcowych, technik wzmacniania dla protokołu zdalnego dostępu (RDP), czy w też zarządzaniu dostępem uprzywilejowanym (PAM).
Wdrożenie większej liczby środków kontroli ryzyka prowadzi do wyższej oceny higieny cybernetycznej. Jednak tylko 3% respondentów wskazało, że poziom higieny w zakresie bezpieczeństwa cybernetycznego jest na najwyższym poziomie.
Organizacje, które chcą strategicznie zająć się ryzykiem cybernetycznym powinny rozważyć przyjęcie 12 metod kontroli rekomendowanych przez ekspertów ds. cyberbezpieczeństwa, które pomagają zapobiegać, reagować, minimalizować i odzyskiwać dane po incydencie. Zastosowanie wszystkich lub większości metod prawie dwukrotnie zwiększa prawdopodobieństwo przypisania wysokich ratingów” w zakresie oceny dbałości cyberbezpieczeństwo organizacji”.