Doar 12% dintre organizații sunt capabile să detecteze un atac cibernetic sofisticat

Doar 12% dintre organizatii sunt capabile sa detecteze un atac cibernetic sofisticat

Organizațiile se confruntă cu riscuri mari generate de atacurile cibernetice, iar metodele obișnuite de atac au încă succes, se arată în cea de-a douăzecea ediție anuală a studiului EY Global Information Security Survey (GISS), la care au participat peste 1200 de lideri ai celor mai mari organizații din lume.

Conform studiului:

• 56% dintre organizațiile sondate sunt îngrijorate de creșterea atacurilor cibernetice și de impactul asupra planurilor lor de business;
• 87% declară că au nevoie de fonduri mai mari cu până la 50% pentru a se apăra de amenințările atacurilor cibernetice;
• doar 12% declară ca sunt capabile să detecteze un atac cibernetic sofisticat;

Rezultatele studiului arată că 56% dintre cei chestionați își modifică sau intenționează să schimbe strategia și planul de business în contextul creșterii amenințărilor cibernetice. Accelerarea rapidă a gradului de conectivitate din interiorul organizației globale – alimentată de creșterea explozivă a dispozitivelor inteligente conectate la internet (IoT) – a generat noi vulnerabilități pe care infractorii cibernetici, din ce în ce mai sofisticați, le pot exploata.

Raportul arată că atacurile obișnuite – atacuri informatice efectuate de actori individuali, nesofisticați – au exploatat cu succes aceste vulnerabilități de care organizațiile erau conștiente, iar acest fapt indică o lipsă de rigoare în implementarea procedurilor standard de securitate.

Carmen Adamescu, Partener EY România, spune: „În ultimul timp, atacurile cibernetice cele mai eficiente au folosit metode obișnuite care au fructificat vulnerabilități cunoscute în organizații. De exemplu, prin campaniile recente de tip ransomware, hackerii au criptat sistemele informatice ale unor organizații și au solicitat recompense, exploatând vulnerabilități cunoscute din sistemele de operare neactualizate la timp. De asemenea, hiper-conectivitatea și abundența noilor tehnologii, deși generează oportunități imense, introduc riscuri și noi vulnerabilități. Drept urmare, pe măsură ce se adaptează erei digitale, companiile trebuie să-și examineze întregul ecosistem digital ca să-și protejeze afacerea azi, mâine și în viitor”.

Mulți respondenți recunosc, totuși, că lipsa alocării unor resurse adecvate poate duce la creșterea riscurilor legate de securitatea cibernetică. 56% dintre companiile sondate au declarat că au schimbat sau iau în considerare revizuirea strategiilor şi planurilor de răspuns pentru astfel de situații. Însă, 20% dintre ele admit că nu dispun de o evaluare corectă a implicațiilor și vulnerabilităților legate de securitatea informațiilor, pentru a trece la implementarea acestor măsuri.

Amenințări în creștere legate de malware și de neglijența angajaților

Malware-ul (64% față de 52% în 2016) și phishing-ul (64% față de 51% anul trecut) sunt percepute drept amenințările care au crescut cel mai mult expunerea la risc a organizațiilor în ultimele 12 luni. Angajații neglijenți sau cei care nu conștientizează aceste amenințări sunt considerați drept vulnerabilitatea cu cea mai mare rată de creștere din zona securității organizației (60% față de 55% în 2016). „De exemplu, un memory stick introdus de către un angajat în PC-ul companiei are o probabilitate mai mare de a crea o breșă de securitate în sistem, decât un atac extern,” spune Carmen Adamescu.

În privința celei mai probabile surse de atac, 77% din respondenți menționează angajații neglijenți ai companiei, urmați de grupări infracționale (56%) și angajați rău intenționați (47%).

Citește și: Cum fac angajații companiile mai vulnerabile, din interior

Când vine vorba despre a riposta împotriva unui atac avansat – din partea unor grupări sofisticate şi bine organizate – multe organizații sunt serios îngrijorate de nivelul scăzut de sofisticare al sistemelor lor curente de protecție. 75% dintre respondenți evaluează maturitatea sistemelor de identificare a vulnerabilităților drept „foarte scăzută sau moderată”. Alți 12% spun că nu au instalat un program formal de detectare a pătrunderilor ilegale în sistem, în vreme ce 35% își descriu politicile de protecție date ca fiind ad-hoc sau inexistente. 38% fie nu au un program de identificare sau de acces, fie nu au convenit, în mod oficial, asupra unui asemenea program.

Citește și: Un angajat informat – un atac cibernetic evitat

Raportul subliniază faptul că organizațiile care au la baza abordării operaționale procese mature sunt capabile să implementeze sisteme de securitate încă din faza de proiectare – security by design – care pot răspunde la riscuri neașteptate și la pericole emergente.

„În cazul preocupării actuale a organizațiilor pentru a se pregăti să răspundă noilor reglementărhi ale Regulamentului UE – GDPR (General Data Protection Regulation), care intră în vigoare în mai 2018, în activitățile de proiectare a soluțiilor de securitate cibernetică, ar trebui să țină cont încă de la început și de principiile privacy by default și privacy by design impuse de GDPR.

Cu alte cuvinte, protecția datelor personale ar trebui asigurată conform Regulamentului GDPR încă din etapa de design a sistemelor de securitate. De exemplu, în cazul în care un angajat neglijent sau rău intenționat încearcă să trimită în afara organizației fișiere care conțin date personale ale clienților sau furnizorilor, soluțiile de securitate ar trebui să îl poată atenționa că încalcă legea și/sau să îl blocheze în cazuri specifice. Pe de altă parte, cea mai simplă modalitate de a asigura securitatea datelor cu caracter personal este stabilirea cu claritate a drepturilor de acces în aplicațiile care procesează acest tip de date”,  detaliază Carmen Adamescu.

Citește și: Schimbările majore pe care le aduce GDPR

Rezultatele arată că mai sunt multe de făcut până când security by design va deveni o practică standard. În timp ce 50% dintre respondenți afirmă că raportează regulat consiliilor de administrație, 24% spun că persoana responsabilă de securitate cibernetică ocupă un loc în consiliul de administrație și doar 17% – că membrii consiliilor de administrație au suficiente cunoștințe privind securitatea informatică pentru a evalua corect eficiența măsurilor preventive.

„Este important ca organizațiile să depășească etapa în care consideră securitatea cibernetică doar o atribuție a funcției IT și să se concentreze pe guvernanța securității informatice și, în mod special, pe conceptul security-by-design”, concluzionează Carmen Adamescu.

EY este una dintre cele mai mari firme de servicii profesionale la nivel global, cu 250.000 de angajaţi în peste 700 de birouri din 150 de ţări. În România, EY este liderul de pe piaţa serviciilor profesionale încă de la înfiinţare, în anul 1992. Cei 770 de angajaţi din România şi Republica Moldova furnizează servicii integrate de audit, asistenţă fiscală, asistenţă în tranzacţii şi servicii de asistenţă în afaceri către companii multinaţionale şi locale.