Piotr Ciepiela, szef Centrum Bezpieczeństwa Automatyki Przemysłowej IoT EY – specjalnego laboratorium związanego z walką z cyberatakami i zabezpieczeniem korporacji, które świadczy usługi dla klientów EY na całym świecie, w komentarzu eksperckim dla ISBtech o ostatnich cyberatakach na znane korporacje.
Polscy przedsiębiorcy przywykli do myśli, że cyberbezpieczeństwo dotyczy wąskiej grupy
zabezpieczeń, za którą odpowiada zespół specjalistów schowanych głęboko w piwnicy. Grupa osób, którą wzywa się w przypadku nagłej awarii, a nie konsultuje z nią bieżące działania i kreśli strategię.
Tymczasem świat fizyczny coraz bardziej przenika się z cyfrowym i według ekspertów już w połowie XXI wieku czeka nas technologia 6G, która przyniesie połączenie nie tylko systemów świata fizycznego i cyfrowego, ale nawet biologicznego. W zeszłym roku już 4,5 mld osób korzystało z internetu. Do sieci podłączone są nasze żarówki, telewizory, pralki, a nawet zamki do drzwi.
W przemyśle są to zarówno maszyny odpowiadające za skomplikowane procesy produkcji, jak i monitoring czy zabezpieczenia dostępu. Szacuje się, że w 2029 roku liczba rzeczy przyłączonych do sieci wyniesie 15 mld, przy silnym trendzie wzrostowym.
Rozwój technologiczny niesie jednak ze sobą także spore ryzyko. Cyberprzestępcy są w stanie powodować realne szkody w świecie fizycznym, niszcząc sieć elektryczną czy sieć produkcji. Znane są przypadki ataków np. na oczyszczalnie wody dla dużych ośrodków miejskich, gdzie zhakowano systemy bezpieczeństwa i nieoczyszczona woda trafiła do wodociągów. Internet rzeczy wciąż wymaga wiele uwagi, a marcowe włamanie do wewnętrznego kanału nadzorów wideo Tesli pokazuje, że nawet najbardziej innowacyjni liderzy biznesu technologicznego nie doceniają wagi problemu.
Obiektem ataków stają się przede wszystkim duże firmy, ponieważ takie działanie może zastopować produkcję nawet na pół roku, a realne koszty przestojów często potrafią wielokrotnie przekroczyć „gratyfikację” dla przestępców – np. odtworzenie zaatakowanego systemu klimatyzacji magazynu konkretnego producenta wiąże się ze stratami na poziomie 800-900 mln euro. Porównując więc taką stratę do wysokości żądania okupu, można dojść do smutnego wniosku, że jest to dla firmy prostsze i szybsze rozwiązanie.
Cyberprzestępcy czują się bezpiecznie, ponieważ większość korporacji decyduje się na zapłacenie okupu i to nie małego; najczęściej wynosi on od 750 tys. do 2 mln dol. Bardzo głośna jest sprawa Colonian Pipeline, gdzie w wyniku ataku aż 45% zachodniego wybrzeża Stanów było zagrożone brakiem dostaw – decyzja o przekazaniu 4,5 mln okupu okazała się niepisaną wytyczną dla hakerów. Można tylko z przykrością skonstatować, że w obliczu takich kwot nie dziwi, że wg raportu Deep Instinct liczba żądań okupów wzrosła o 435% (RDR).
Każda firma, niezależnie czy zatrudnia 10, 50 czy 200 osób, potrzebuje ochrony i strategii
cyberbezpieczeństwa ukierunkowanej na jej konkretne potrzeby. Może ją wypracować samodzielnie albo po prostu zlecić zewnętrznej firmie, która podpowie odpowiednie standardy. Im szybciej zostanie ona wprowadzona w życie, tym lepiej. Obecnie czołowym problemem jest nie tyle brak zabezpieczeń w firmach, co sam brak świadomości, jak bardzo są one potrzebne.
Niedocenianie tego obszaru uwypukliła szczególnie pandemia, kiedy firmy – próbując dostosować się do nowych warunków pracy – w dużej mierze przechodząc w tryb pracy zdalnej, ograniczyły inwestycje w rozwój oraz budżety działów odpowiadających za cyberbezpieczeństwo. Aż 59 proc. polskich przedsiębiorców deklarowało ograniczenie środków na nowe inwestycje z uwagi na pandemię (badanie EY „Rok z COVID-19 oczami polskich przedsiębiorców”, marzec br.).
Polacy wpisują się niestety w trend globalny. Zgodnie ze światowym badaniem Global Information Security Survey (GISS), w którym EY przeprowadza ankiety wśród ponad tysiąca senior liderów ds. cyberbezpieczeństwa, aż 81 proc. z nich zadeklarowało ograniczenie środków na wydatki związane z bezpieczeństwem cyfrowym. Przed pandemią poziom cyberbezpieczeństwa znajdował się na 3 poziomie 5-stopniowej skali. Z uwagi na ograniczanie inwestycji oraz rosnącą ilość ataków, poziom też może okazać się niewystarczający.
Mamy więc paradoksalną sytuację, w której firmy ograniczają wydatki na zabezpieczenia, a skala cyberataków rośnie i jest wielokrotnie wyższa niż wskazują na to informacje publiczne. Powód jest prosty – zaatakowane firmy, nie chcą same tego ujawniać. Tylko w
ciągu roku, od czasu publikacji raportu GISS w 2020 r., nastąpił znaczny wzrost liczby destrukcyjnych i wyrafinowanych ataków, z których wielu można by uniknąć, gdyby firmy wdrożyły właściwe zabezpieczenia. Najbardziej nagłaśniane są przypadki kradzieży danych osobowych, ale rodzajów cyberataków jest mnóstwo.
Z audytu przeprowadzonego przez EY wynika na przykład, że ciężko znaleźć sieć szpitalną w Stanach Zjednoczonych, która nie padłaby dotychczas ofiarą cyberataków. Co prawda nie zagrażały one życiu pacjentów, lecz skupione były na pozyskaniu zasobów do kopania bitcoinów.
Przedsiębiorcy są trochę jak polscy pacjenci, którzy w czasie pandemii przestali chodzić do specjalistów i tym samym w ciągu dwóch, trzech lat będziemy mieli ogromną liczbę osób chorujących na poważne, przewlekłe choroby. Tak samo w polskim biznesie zaniedbania z powodu cyberbezpieczeństwa najprawdopodobniej wrócą ze zdwojoną siłą.
Problemem osób odpowiedzialnych za bezpieczeństwo cyfrowe w firmie jest nie tylko ograniczanie środków finansowych, ale także brak odpowiednich przepisów oraz niedostateczna komunikacja z kierownictwem oraz poszczególnymi działami firmy, przez co specjaliści od cyberbezpieczeństwa są pomijani na etapie planowania nowych inicjatyw i strategii biznesowych. I choć osiem na dziesięć rad nadzorczych uważa, że odpowiednio dostosowane zarządzanie ryzykiem będzie miało kluczowe znaczenie dla ochrony cyfrowej (jak wynika z Global Board Risk Study EY 2021), to jako EY spodziewamy się, że wkład zespołów ds. cyberbezpieczeństwa będzie jeszcze mniej doceniany w chwili obecnej.
Warto pamiętać, że skuteczny atak hakerski to przede wszystkim strata finansowa firmy, która może doprowadzić nawet do jej upadku. Zatem wszelkie nakłady poniesione na obszar cyberbezpieczeństwa należy traktować nie jako koszty, a jako inwestycję.
