Szacuje się, że w 2021 roku skumulowane straty wynikające z działalności przestępczej w Internecie wyniosły około 6 bilionów USD [1]. Dane Banku Światowego przestawiające największe gospodarki świata obecnie klasyfikują na podium USA (20,9 biliona USD), Chiny (14,7 biliona USD) oraz Japonie (5 bilionów USD). Fikcyjny cyberprzestępczy kraj zepchnąłby Japonię na 4 miejsce, jednocześnie deklasując Polskę, która w takim zestawieniu zajęłaby 22 miejsce (0.6 biliona).
Przytoczone statystyki w dużej mierze są estymami. Nie sposób wyliczyć dokładnych wartości strat. Wynika to z faktu, że w znacznej części są to straty niematerialne i bardzo ciężko jest je bezpośrednio przeliczyć na pieniądze. Innym poważnym wyzwaniem związanym z dokładnym obliczeniem skutków cyberataków jest nadal powszechne zjawisko niezgłaszania naruszeń wynikających z cyberprzestępczości przez przedsiębiorstwa. Jest to zjawisko, z którym borykają się zarówno służby w USA jak i Polsce. Liczba postępowań sądowych w sprawie cyberprzestępstw jest nieporównywalnie niższa niż liczba incydentów cyberbezpieczeństwa raportowanych przez zajmujące się bezpieczeństwem organizacje. Źródła statystyczne [2] pokazują, że te dwie miary są oddalone od siebie o kilka rzędów wielkości. W USA wymóg raportowania incydentów bezpieczeństwa teleinformatycznego znany jest od dawna, w Polsce również nie jest nowością. Operatorzy usług kluczowych, firmy i samorządy mają obowiązek zgłaszania tego typu incydentów do CERT Polska, działającego w NASK. Niestety dość często incydenty nie są zgłaszane wcale, lub też ich skala jest zaniżana. Przeprowadzone przez firmę Karpersky badania pokazały, że kilka lat temu w 40% firm na całym świecie pracownicy świadomie ukrywali incydenty bezpieczeństwa. Ten sam raport podkreśla, że ukrywanie sytuacji często prowadzi do dramatycznych konsekwencji, zwiększając szkody. Nawet jedno niezgłoszone zdarzenie może w konsekwencji być przyczyną ogromnego wycieku danych lub spowodować zniszczenia w całej infrastrukturze organizacji. Jak pokazują statystyki, lekceważenie oraz celowe ukrywanie incydentów ma znaczący wpływ na bezpieczeństwo firmowych danych. Według wcześniej wspomnianego raportu [3] 46% firm potwierdziło, że incydenty wynikające z nieodpowiednich działań pracowników skutkowały wyciekiem danych lub naraziły ich na bezpieczeństwo. Ponad jedna czwarta firm (28%) utraciła, sklasyfikowane jako poufne lub bardzo wrażliwe, informacje dotyczące klientów w wyniku wspomnianych niestaranności pracowników. 25% firm ujętych w zestawieniu utraciło informacje finansowe, w tym informacje dotyczące płatności. Tego typu wycieki mogą przenieść natychmiastowe straty finansowe oraz mieć też długoterminowy wpływ na reputację przedsiębiorstwa. Dlatego tak ważne jest, aby reagować szybko, gdy w firmie wydarzy się incydent bezpieczeństwa. Istotne jest przeszkolenie pracowników, aby byli w stanie nie tylko dostrzegać zagrożenia, ale też swoim postępowaniem mogli łagodzić ryzyko.
Osobnym problemem związanym ze zjawiskiem ukrywania cyberincydentów oraz strat z nimi związanych jest fakt, że przedsiębiorstwa monitorują incydenty selektywnie. Firmy a zwłaszcza duże korporacje mogą być niechętne do raportowania wszystkich incydentów w obawie przed potencjalnie negatywnymi skutkami ujawnienia tego typu informacji. Przyznanie się do incydentu może mieć wpływ na cenę akcji, reputację marki czy nałożenie kar finansowych. Dlatego też włamania czy wycieki nie raz nie zostają ujawnione, po podjęciu przez przedsiębiorstwo świadomej decyzji wynikającej z analizy progów istotności naruszenia, skutków prawnych i regulacyjnych wymogów.
W następstwie zeszłorocznego ataku Solarwinds [4] Stany Zjednoczone zintensyfikowały swoje wysiłki na rzecz wspierania większego partnerstwa publiczno-prywatnego, kładąc duży nacisk na rozwój przepisów, które otwierają drogę do bardziej powszechnych wymogów w zakresie obowiązkowego raportowania incydentów. Nowe regulacje implementuje też Polska w oparciu o unijne przepisy takie jak NIS2 i DORA [5]. Same przepisy mogę jednak nie być wystarczające aby poprawić statystyki zgłoszeń dotyczących cyberprzestępczości. Rozwiązanie tego problemu wymaga od firm lepszego szkolenia swoich pracowników, wspierania i zachęcania do zgłaszania incydentów wewnętrznie, a przede wszystkim dzielenia się tymi informacjami z władzami, organizacjami operującymi w branży cyberbezpieczeństwa oraz społeczeństwem. Ujawnienie tego typu informacji oraz wdrożenie mechanizmów ich wymiany, przyczyni się do zwiększenia skuteczności odstraszania i obrony przed narastającym problemem cyberprzestępczości.
[1] https://www.varonis.com/blog/cybersecurity-statistics
[2] https://www.verizon.com/business/resources/reports/2020-data-breach-investigations-report.pdf
[3] https://plblog.kaspersky.com/the-human-factor-in-it-security/7079/
[4] https://www.cm-alliance.com/cybersecurity-blog/what-really-happened-in-the-solarwinds-cyber-attack
[5] https://cyberpolicy.nask.pl/wstepne-porozumienie-rady-i-parlamentu-europejskiego-na-temat-nis2/
WIKTOR SĘDKOWSKI
Wiktor Sędkowski ukończył teleinformatykę na Politechnice Wrocławskiej, specjalizując się w dziedzinie bezpieczeństwa cybernetycznego. Jest ekspertem od zagrożeń cyfrowych. Posiadacz certyfikatu CISSP, OSCP i MCTS, pracował jako inżynier i solution architect dla wiodących firm informatycznych.
Artykuł pierwotnie ukazał się na stronie think tanku Warsaw Institute.
![Profile stalowe w budownictwie - rodzaje, zalety i zastosowania [Materiał promocyjny]](https://cdn.fronda.pl/imgcache/262x147/c/uploads/news/3265-1713445634.jpg)
![Co warto wiedzieć przed wzięciem kredytu konsolidacyjnego dla firm? [Materiał promocyjny]](https://cdn.fronda.pl/imgcache/262x147/c/uploads/news/habzafinanse1-1713444994.jpg)
