Cyberzagrożenia w świetle RODO

Złośliwe oprogramowanie, ataki sieciowe i przez aplikacje internetowe, phishing, oprogramowanie ransomware, włamania do baz danych, wyciek informacji i cyberszpiegostwo. Lista zagrożeń oraz świadomość ich istnienia staje się coraz większa. Specjaliści są zgodni: organizacje czeka jeszcze wiele pracy, aby na każdym szczeblu zrozumiano powagę sytuacji.

Znalezienie odpowiedniej metody na zabezpieczenie przedsiębiorstwa wymaga współpracy pomiędzy zarządem firmy, IT, ryzykiem, pozostałymi działami oraz ubezpieczycielami. W walce z cyberprzestępczością najważniejsze jest współdziałanie. Jest to szczególnie ważne w świetle wchodzącego w życie RODO, czyli unijnych regulacji dotyczących ochrony danych osobowych.


Jak przygotować się na zmiany?

Według raportu Chubb[1] połowa ankietowanych zgodziła się z tym, że pracownicy ich organizacji nie są świadomi, jak bardzo jest ona narażona na cyberataki. Potwierdza to przekonanie o tym, że nawet najbardziej zaawansowane technologie nie są w stanie zapewnić przedsiębiorstwu 100 proc. skuteczności, ponieważ jedną z najczęstszych przyczyn udanych ataków komputerowych jest czynnik ludzki.

Raport został stworzony w oparciu o opinie menedżerów wyższego szczebla z ponad 250 firm z całej Europy pracujących w sektorze IT oraz sektorze zarządzania ryzykiem. Więcej niż co czwarty ankietowany informuje, że w czasie ostatnich 12 miesięcy w jego otoczeniu przydarzył się cyberincydent o poważnych skutkach lub dokonano włamania do firmowych systemów informatycznych. Mimo że większość badanych osób dobrze ocenia sposób, w jaki jego organizacja powróciła do normalnego funkcjonowania (w mniej niż 12 godzin), jednocześnie uważają oni, że zdarzenie to pozostawiło widoczne skutki. Dodatkowo tylko 46 proc. ankietowanych uważa, że po włamaniu wyciągnięto odpowiednie wnioski i wystąpienie podobnego incydentu w przyszłości jest mniej prawdopodobne.


Coraz większe ryzyko ataku

Jak wskazują autorzy raportu Ponemon Institute z 2016 roku[2], w którego badaniu wzięło udział 237 przedsiębiorstw z 6 krajów – w omawinym okresie średnio dwa razy w tygodniu dochodziło u badanych do ataku cyberprzestępców. Do najpopularniejszych typów należały: ataki malware (98 proc. organizacji dotkniętych atakami), phishing (70 proc.) i ataki na usługi w Internecie (63 proc.). Co ciekawe, autorzy wspomnianego raportu uwzględnili w swoim zestawieniu także sytuacje, w których za ataki mógł być odpowiedzialny pracownik firmy, który umyślnie działa na jej szkodę (41 proc.).

Najczęściej ataki cyberprzestępców są skierowane w firmy i instytucje z branży finansowej, branży detalicznej, służby zdrowia i usług publicznych. Specjaliści przestrzegają[3], że haker potrzebuje zaledwie 2-6 godzin, aby uzyskać dostęp do atakowanej infrastruktury. Dalsze 6-12 godzin zajmie mu zlokalizowanie i wyprowadzanie wrażliwych danych. Z kolei firmom wykrycie takiego cyberataku zajmuje średnio aż 99 dni.

Do mediów przedostają się przeważnie informacje o spektakularnych atakach hakerskich jak ransomware WannaCry czy Petya. Dziennikarze informują o zainfekowanych tysiącach komputerów na całym świecie i stratach rzędu setek milionów dolarów. Ataki hakerskie mają miejsce również w Polsce, a ich ofiarami mogą paść zarówno duże organizacje, jak i mniejsze podmioty. Ostatnio głośno było o jednym z warszawskich teatrów, który padł ofiarą ataku na serwery i utracił dostęp do planu widowni oraz informacji o sprzedanych biletach. Cyberprzestępcy próbowali wymusić na instytucji opłacenie okupu w bitcoinach w zamian za odszyfrowanie plików. Według instytucji napad nie spowodował wycieku danych, ponieważ zaatakowany serwer kasowy nie przechowywał i nie miał dostępu do transakcji finansowych ani danych osobowych. Gdyby okazało się inaczej, konsekwencje tego incydentu mogłyby być znacznie poważniejsze, zwłaszcza w świetle nadchodzących zmian w polskim prawie.

Wcześniej dużym echem odbiła się historia cyberprzestępców, którzy obrali sobie za cel polskie instytucje samorządowe i za pomocą złośliwego oprogramowania podmieniali numery rachunków bankowych. Wszystko po to, aby przelewy wychodzące trafiały na ich konta. W ten sposób z kilku urzędów samorządowych skradziono ponad 2 mln zł. Przestępcy zostali finalnie wykryci i złapani, lecz ta sprawa wyraźnie pokazuje, że żadna instytucja nie może czuć się bezpiecznie w obliczu narastających cyberzagrożeń.


Nowe wyzwania w związku z RODO

Zgodnie z raportem Chubb ponad połowa ankietowanych uważa, że utrata danych o klientach ich firm naraziłaby ich przedsiębiorstwo na dotkliwe konsekwencje. Może to wynikać z faktu objęcia tego rodzaju danych ochroną zgodnie z regulacjami RODO. Nowe europejskie Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych, wchodzi w życie 25 maja i stawia przedsiębiorców przed nowymi wyzwaniami.

Na niektóre z nich wskazuje raport Trend Micro[4]. Jego twórcy zwracają uwagę, że cyberprzestępcy coraz częściej skupiają się na strategicznych atakach, które mogą przynieść im bardzo wysokie zyski. Niektórzy z nich mogą wykorzystać zmiany w prawie na swoją korzyść. Na początku poprzez ustalenie wysokości kary, którą firma musiałaby zapłacić zgodnie z nowym rozporządzeniem jako konsekwencję ewentualnego ataku, a w dalszej kolejności poprzez zaproponowanie okupu za dostęp do zaatakowanych danych, nieco niższego od przewidywanej kary. Ze względu na rosnące zagrożenie zarządzający organizacjami powinni skupić się nie tylko wdrażaniu zmian, lecz także na możliwości ubezpieczenia od konsekwencji cyberataków.

Choć świadomość istnienia cyberzagrożeń upowszechnia się, nadal pozostają one jednym z największych wyzwań, z którymi organizacjom przyjdzie zmierzyć się w związku z przetwarzaniem danych osobowych – mówi Michał Kluska, Senior Associate z kancelarii DZP – Nasi prawnicy nieustannie monitorują ustawodawstwo, uczestniczą w tworzeniu dobrych praktyk w zakresie ochrony danych oraz jako jedni z pierwszych w Polsce rozpoczęli doradztwo w zakresie RODO we współpracy z liderami sektora IT i technologii.


Jak bronić się przed atakiem?

Przede wszystkim zwiększając świadomość potencjalnego ryzyka. Po to, aby być przygotowanym na atak cybernetyczny i wiedzieć, jakie kroki należy przedsięwziąć w przypadku wystąpienia takiego zdarzenia. Warto również rozważyć skorzystanie z ubezpieczenia w zakresie ryzyk cybernetycznych, popularnie zwanego ubezpieczeniem cyber. To oferowane przez polski oddział spółki Chubb European Group powstało jako odpowiedź zarówno na rosnące ryzyka cybernetyczne, na które są narażone firmy, jak i na najnowsze zmiany regulacyjne związane z ochroną danych osobowych w Polsce (RODO).

– Polisa chroni przed konsekwencjami takich zdarzeń jak: utrata dostępu do danych, ich naruszenie lub zniszczenie, ale też finansowe następstwa działania złośliwego oprogramowania typu ransomware, które jest uznawane za jedno z najniebezpieczniejszych zagrożeń cybernetycznych – wylicza Marta Paruch, Financial Lines Senior Underwriter w Chubb – Ubezpieczenie obejmuje szeroki zakres oceny ryzyka cybernetycznego na etapie przed zawarciem polisy, zarządzania kryzysowego po wystąpieniu incydentu oraz rozwiązań w zakresie przeniesienia części ryzyka na ubezpieczyciela w celu zabezpieczenia firmy przed rosnącymi ryzykami i zagrożeniami związanymi z prywatnością danych – dodaje Marta Paruch.

Spółka Chubb w ramach ubezpieczenia cyber oferuje w Polsce profesjonalną pomoc w postaci usługi incident management. Współpracuje w tym celu z liderem w zarządzaniu kryzysowym, czyli firmą Crawford. Z myślą o klientach została uruchomiona specjalna całodobowa infolinia w języku polskim, gdzie można zgłaszać informacje o zdarzeniach.

Dedykowany Incident Manager, po zapoznaniu się z informacjami, organizuje pomoc specjalistów z zakresu informatyki śledczej, wymuszeń komputerowych, usług prawnych czy wsparcia public relations. Wszystko po to, aby zarządzić zaistniałym incydentem cybernetycznym możliwie szybko i zapobiec w ten sposób dalszym niepożądanym działaniom – precyzuje M. Paruch.


Przywrócić spokój przedsiębiorstwa

Nawet firmy z bardzo silnymi zabezpieczeniami i zaawansowanymi procedurami w zakresie bezpieczeństwa prywatności mogą być ofiarami cyberprzestępstw. Przykładowo dane z raportu IBM & Ponemon Institute[5] wskazują, że naruszenia poufności danych kosztują firmy nawet 4 miliony dolarów za zdarzenie w zależności od wielkości ataku. Polisa na wypadek ryzyk cybernetycznych pozwala na szybką i skoordynowaną reakcję na incydent, ale też uświadamia zagrożenia, w obliczu których może znaleźć się każda organizacja.

Jak wynika z opublikowanych badań, 100-proc. zabezpieczenie przed coraz częstszymi cyberincydentami zdaje się niemożliwe. Przedsiębiorstwa powinny jednak wdrożyć odpowiednie zmiany i przemyśleć skorzystanie z oferty polisy ubezpieczającej od cyberryzyk, która pomoże uporać się ze skutkami możliwego ataku. Narzędzie zminimalizuje straty finansowe oraz wizerunkowe, a także pomoże sprawnie powrócić organizacji do codziennego funkcjonowania.

[1] Ochrona przed cyberzagrożeniami, Chubb (2017).

[2] Cost of Cyber Crime Study & the Risk of Business Innovation, Ponemon Institute (2016).

[3] Cyberprzestępczość w Polsce i na świecie, EY (2017).

[4] Security Roundup for 2017, Trend Micro Inc.

[5] IBM & Ponemon Institute 2016 Cost of Data Breach Study.

 

Zobacz również: