Identyfikacja cyberzagrożeń i ocena ryzyka

W globalnej gospodarce cyberataki stają się zjawiskiem o coraz większym nasile-niu, częstotliwości i różnorodności. Przedsiębiorstwa starają się nadążać za rozwojem zagrożenia, tworząc systemy zabezpieczeń oraz reakcji na tego rodzaju ataki. Prze-szkodą w tym procesie jest często brak wiedzy dotyczącej natury cyberryzyka (ang.

cyber-risk), brak technicznych możliwości stworzenia zabezpieczeń odpowiedniej kla-sy oraz brak skutecznych, aktualizowanych procedur bezpieczeństwa, uwzględniają-cych charakter zabezpieczanych danych.

W funkcjonowaniu każdego przedsiębiorstwa pojawia się szereg rozmaitych da-nych, które są wykorzystywane do realizacji procesów. Część dada-nych, jak np. dane

osobowe pracowników czy dane fakturowe, występuje w każdej działalności. Po-szczególne branże dodatkowo przetwarzają Po-szczególne dane, właściwe specyfice swojej działalności. Stopień cyfryzacji poszczególnych branż jest różny, warto jednak zwrócić uwagę na fakt, że Polska jest jedną z najszybciej cyfryzujących się gospoda-rek. Na rys. 1 przedstawiono stopień cyfryzacji w poszczególnych branżach w Polsce.

Rys. 1. Polskie branże na tle średniej europejskiej we wskaźniku cyfryzacji gospodarki (pkt) Źródło: Czas na przyspieszenie. Cyfryzacja gospodarki Polski, Raport, Polityka Insight, Warszawa 2016, http://zasoby.politykainsight.pl/politykainsight.pl/public/Czas-na-przyspieszenie--Cyfryzacja-gospodarki-Polski.pdf (15.03.2016).

W skutecznym zarządzaniu danymi istotne jest określenie szczegółowej mapy ty-pów przetwarzanych danych. Bazując na mapie procesów, określa się grupy komuni-katów, które pojawiają się na poszczególnych etapach działalności, oraz określa się ich miejsce w systemie komunikacji przedsiębiorstwa. Poszczególne grupy danych mogą charakteryzować się różnym poziomem wrażliwości, który można ogólnie scharakte-ryzować jako poziom potencjalnych strat poniesionych przez przedsiębiorstwo w sy-tuacji ich kradzieży lub udostępnienia podmiotom nieuprawnionym. W zależności od stopnia wrażliwości danych dobiera się odpowiednie parametry ich ochrony. Ten etap ma podstawowe znaczenie dla bezpieczeństwa całego systemu. Do najczęściej wykorzystywanych typów informacji należą:

 dane osobowe pracowników, wynagrodzenia, szczegóły stosowanych syste-mów motywacyjnych,

 informacje handlowe (stawki za usługi, programy rabatowe, ceny towarów i usług, harmonogramy i plany sprzedaży),

 bazy informacji o klientach i dane transakcji (nazwy firm, adresy, osoby kon-taktowe, szczegóły dotychczasowych transakcji i towarzysząca im dokumen-tacja: identyfikatory towarów, ilości towaru, ceny, wartość zamówienia, data zamówienia, data odbioru),

 dane związane z zarządzaniem zapasami: ewidencja obrotu towarowego, ter-miny i szczegóły zamówień,

średnia Polska Ubezpieczenia i finanse

Informacja i komunikacja Inne usługi Handel Przetwórstwo przemysłowe Usługi specjalistyczne Usługi administracyjne Energetyka Transport i magazynowanie Nieruchomosci Hotelarstwo i garstronomia Budownictwo

0 20 40 60 80 100 120

 harmonogramy produkcji,

 dane związane z funkcjonowaniem sieci dystrybucji,

 dane związane z zarządzaniem transportem,

 dane finansowe (pensje pracowników, programy motywacyjne, koszty działal-ności, przychody z działaldziałal-ności, mierniki rentowności),

 baza wiedzy (know-how, posiadane patenty, technologie, metody organizacji pracy, strategie konkurencyjne),

 informacje rynkowe i marketingowe – szczegóły strategii rozwoju, w tym pla-nowanych inwestycji, kampanii marketingowych czy plany ekspansji rynkowej.

Każda z grup danych będzie gromadzona i użytkowana w zaplanowany sposób, co umożliwia określenie rodzaju zabezpieczeń, jakie powinny zostać zastosowane w stosunku do każdej z nich. Ryzyko jest wyższe dla grup danych, w których dane będą przedmiotem komunikacji za pośrednictwem różnych systemów informatycz-nych (należy przydzielić dla nich odpowiedni system kodowania). Analogicznie, ry-zyko wzrasta wraz z liczbą użytkowników (podmiotów uprawnionych do wglądu i przetwarzania określonych grup informacji). Stopień ryzyka zależny jest również od fizycznych warunków gromadzenia i przetwarzania danych – najmniejsze przypisa-ne jest do danych, które znajdują się na wewnętrznych serwerach przedsiębiorstwa, zlokalizowanych w siedzibie, niepołączonych z siecią zewnętrzną oraz odpowiednio chronionych zasadami restrykcji dostępu. Takie warunki zapewnić można jednak prawie wyłącznie danym archiwizowanym, które nie są bezpośrednio wykorzysty-wane do bieżącej działalności operacyjnej.

Im wyższa przydatność danych w bieżącej działalności, tym bardziej konieczne staje się jednak udostępnianie ich wielu użytkownikom. Większość wymienionych da-nych jest niezbędna i w sposób ciągły przetwarzana przez pracowników w codziennej pracy przedsiębiorstwa. Ryzyko związane z tymi grupami danych jest tym większe, im większa jest liczba uprawnionych użytkowników, a także rośnie w miarę wzrostu liczby operacji przewidywanych w związku z transferem danych – który może prze-biegać nie tylko w postaci ustandaryzowanych komunikatów EDI (ang. Electronic Data Interchange) pomiędzy systemami informatycznymi poszczególnych użytkowników, ale również w formie poczty elektronicznej. Ryzyko wzrasta także wraz ze wzrostem liczby urządzeń, które będą przeznaczone do gromadzenia, przetwarzania i przesy-łania danych oraz z lokalizacją tych urządzeń. Na szczególne zagrożenia narażone są systemy, w których użytkownicy łączą się z siecią firmową za pomocą urządzeń mo-bilnych i uzyskują możliwość nie tylko użytkowania, ale również przetwarzania za-mieszczonych tam danych. Międzynarodowy charakter przepływu danych to kolejny czynnik wzrostu ryzyka, np. w branżach takich jak logistyka czy handel. Niedostatki ustawodawstwa międzynarodowego, dotyczącego zasad prywatności, transparent-ności przepływu i gromadzenia danych oraz zasad ich ochrony, kodowania, ochrony własności intelektualnej oraz konkurencji stanowią potencjalne zagrożenie.

Świadomość istnienia zagrożeń ze strony cyberataków, a także błędów wynika-jących z niewłaściwego używania systemów IT przez pracowników leży u podstaw właściwego zabezpieczenia danych cyfrowych i efektywnej kontroli pracy systemów.

Z raportu World Economic Forum The The Global Risks Report 2016 wynika, że w skali globalnej obecnie najważniejszymi zagrożeniami związanymi z cyfryzacją są¹:

 niekorzystne konsekwencje rozwoju technologii,

 awarie sieci informatycznych i infrastruktury systemów przetwarzania infor-macji krytycznych,

 cyberataki o dużej skali,

 incydenty masowej kradzieży i fałszowania danych.

Świadomość i zmiany w postrzeganiu ryzyka przez przedsiębiorstwa w skali glo-balnej przedstawiono w Allianz Risk Barometer 2016². Z raportu wynika, że zagroże-nia związane z postępującą cyfryzacją oraz postępem technologicznym są obecnie uznawane za jedne z najszybciej rozwijających się zagrożeń funkcjonowania biznesu.

Różnice w ocenie wagi poszczególnych kategorii ryzyka dla przedsiębiorstw zależą od branży. Świadomość zagrożenia cyfrowego jest najwyższa w branżach, które naj-intensywniej wykorzystują technologie IT w swojej podstawowej działalności, takich jak finanse, produkcja, energetyka czy transport. W tabeli 1 przedstawiono główne czynniki ryzyka dla poszczególnych branż w 2016 roku.

Tab.1. Czynniki ryzyka dla poszczególnych branż w 2016 roku

Lp. Wyszczególnienie Odsetek

wskazań

Ranga w 2015

roku

Trend

Branża morska i żegluga

1 Warunki rynkowe (zmienność warunków, nasilenie

konkurencji, stagnacja) 46% nowe

2 Kradzieże, fałszerstwa, korupcja 33% 4 (27%)

3 Zakłócenia w funkcjonowaniu biznesu (w tym

zakłó-cenia w łańcuchach dostaw) 31% nowe

4 Katastrofy naturalne 30% 3 (27%)

5 Ryzyko polityczne 20% 5 (21%)

-Energetyka

1 Zmiany legislacyjne i inne regulacje (sankcje

ekono-miczne, protekcjonizm) 48% 2 (34%)

2 Zakłócenia w funkcjonowaniu biznesu (w tym

zakłó-cenia w łańcuchach dostaw) 42% 1 (47%)

3 Katastrofy naturalne 35% 5 (18%)

4 Ogień, eksplozje 31% 4 (18%)

-1 The Global Risks Report 2016, World Economic Forum, http://ssileng.eu/wp-content/uplo-ads/2016/01/TheGlobalRisksReport2016.pdf (01.04.2016).

2 Allianz Risk Barometer 2016, http://ssileng.eu/wp-content/uploads/2016/02/AllianzRiskBarome-ter2016.pdf (10.04.2016).

5 Cyberataki (cyberprzestępczość, kradzież danych,

awarie systemów IT) 27% nowe

Transport

1 Kradzieże, fałszerstwa, korupcja 48% 1 (47%)

-2 Katastrofy naturalne 33% 2 (37%)

-3 Warunki rynkowe (zmienność warunków, nasilenie

konkurencji, stagnacja) 30 nowe

4 Zmiany makroekonomiczne 24% nowe

5 Cyberataki (cyberprzestępczość, kradzież danych,

awarie systemów IT) 22% nowe

Budownictwo, nieruchomości

1 Warunki rynkowe (zmienność warunków, nasilenie

konkurencji, stagnacja) 39% nowe

2 Katastrofy naturalne 34% 1 (42%)

3 Zakłócenia w funkcjonowaniu biznesu (w tym

zakłó-cenia w łańcuchach dostaw) 32% 2 (39%)

4 Zmiany makroekonomiczne 27% nowe

5 Ogień, eksplozje 24% 3 (36%)

Usługi finansowe

1 Warunki rynkowe (zmienność warunków, nasilenie

konkurencji, stagnacja) 44% nowe

2 Cyberataki (cyberprzestępczość, kradzież danych,

awarie systemów IT) 44 2 (31%)

-3 Zmiany legislacyjne i inne regulacje (sankcje

ekono-miczne, protekcjonizm) 37% 1 (33%)

4 Zmiany makroekonomiczne 29% nowe

5 Utrata reputacji i wartości marki 20% nowe

Produkcja

1 Zakłócenia w funkcjonowaniu biznesu (w tym

zakłó-cenia w łańcuchach dostaw) 65% 1 (68%)

-2 Warunki rynkowe (zmienność warunków, nasilenie

konkurencji, stagnacja) 38% nowe

3 Katastrofy naturalne 29% 3 (41%)

-4 Utrata reputacji i wartości marki 24% nowe

5 Cyberataki (cyberprzestępczość, kradzież danych,

awarie systemów IT) 21% nowe

Źródło: Allianz Risk Barometer 2016, http://ssileng.eu/wp-content/uploads/2016/02/Allian-zRiskBarometer2016.pdf (10.04.2016).

Analizując dane z tabeli, należy podkreślić, że zagrożenie cyberatakami jest jed-nym z tych, które stają się najbardziej powszechne w działalności przedsiębiorstw niezależnie od branży.