Firma PwC wskazuje, że od 2014 r. gwałtownie wzrasta liczba wykrytych incy-dentów dotyczących bezpieczeństwa informatycznego w jednostkach gospo-darczych [Raport PwC 2015]. W 2015 r. w stosunku do roku poprzedniego liczba tego typu incydentów na świecie wzrosła aż o 38%, a w Polsce o ponad 46% [Raport PwC 2016]. Z badania przeprowadzonego w 2017 r. w polskich spół-kach wynika, że z powodu cyberataków 44% z nich poniosło straty finansowe, 62% odnotowało zakłócenia i przestoje funkcjonowania systemów informa-tycznych, a 21% padło ofiarą ransomware (zaszyfrowania dysku). Jednocze-śnie 20% badanych spółek nie zatrudniało specjalisty od cyberbezpieczeń-stwa, 46% nie posiadało operacyjnych procedur reakcji na incydenty bezpie-czeństwa i tylko 3% budżetu IT przeznaczały one średnio na bezpieczeństwo informatyczne [Raport PwC 2018].
Z badań KPMG z 2016 r. wynika, że 29% zarządów badanych podmiotów uznało cyberbezpieczeństwo za bardzo ważny problem, który ma największy wpływ na funkcjonowanie ich podmiotów obecnie i w przyszłości [Raport KPMG 2016a]. PwC w raporcie za 2017 r. wskazało, że 62% zarządów badanych spółek uważa, że cyberzagrożenia będą w większym stopniu wpływać na glo-balny rynek [Raport PwC 2018].
KPMG w innym raporcie [2016b] opisało także zjawisko nasilenia się cyber-ataków pochodzących z wewnątrz organizacji. Określiło profil korporacyjnego oszusta wywodzącego się spośród pracowników firmy. Korporacyjni oszuści, według badań KPMG, w ostatnich latach pełnią wiodącą rolę wśród sprawców cyberataków. Również PwC w 2018 r. ogłosiło, że 70% incydentów
bezpie-Model zarządzania bezpieczeństwem informacji korporacyjnych w przedsiębiorstwie
197 czeństwa w firmach w 2017 r. było powodowanych przez pracowników6. Na-leży podkreślić, że dotychczas wiele organizacji prowadzących tego typu ba-dania wskazywało głównie obawy podmiotów przed zagrożeniami, które po-chodzą z zewnątrz organizacji, a ataki wewnętrzne dotychczas traktowano marginalnie.
Ernst & Young w raporcie rocznym za 2016 r. podkreśla, że dla zapewnienia bezpieczeństwa informacji w podmiotach najważniejsze jest rozumienie przez kierownictwo niebezpieczeństw i wyzwań związanych z cyberprzestępczością, a w szczególności znajomość aktualnych rodzajów ataków, jak również spo-sobów ich przeprowadzania, przygotowania się do nich, przeciwdziałania im oraz usuwania lub minimalizowania ich skutków. Obecnie kierownictwo musi mieć odpowiednią i aktualną wiedzę oraz rozumieć istotę bezpieczeństwa informatycznego [Raport EY 2016].
PwC w 2017 r. zbadało również kluczowe wyzwania w obszarze bezpieczeń-stwa informatycznego dla zarządów spółek na 2018 r. Dla 48% badanych firm poważnym wyzwaniem jest zarządzanie tożsamością oraz kontrola dostępu użytkowników do danych i zasobów informatycznych. Natomiast zarządzanie poprawkami i aktualizację oprogramowania planowało 43% firm. Monitorowa-nie dostępu i korzystaMonitorowa-nie z informacji to nadal wyzwaMonitorowa-nie dla 38% firm. Dosto-sowanie się do wymogów regulacyjnych jako wyzwanie wskazało 37% firm. Problem zapobiegania atakom socjotechnicznym i zwiększanie świadomości pracowników w obszarze cyberbezpieczeństwa postawiło sobie za cel 36% badanych firm. Zatem należy stwierdzić, że z roku na rok świadomość zarządów w zakresie bezpieczeństwa informacji rośnie [Raport PwC 2018].
Oprócz raportów światowych, opracowywanych przez wyżej wymienione organizacje, od kilku lat w prasie codziennej i specjalistycznej dla księgowych pojawiają się artykuły na temat bezpieczeństwa informatycznego w polskich firmach. Z doniesień prasowych wynika, że od 2014 r. w Polsce nasiliła się fala ataków na księgowych firm, którzy wykonują przelewy przez Internet. Wiele artykułów i raportów dotyczących bezpieczeństwa informacji w firmach wska-zuje, że cyberprzestępcy wykorzystują niefrasobliwe zachowania i słabości ludzi, a w szczególności pośpiech, brak cierpliwości i zwykłą niedbałość pra-cowników przy wykonywaniu czynności w Internecie, a także ignorancję kie-rownictwa w zakresie zarządzania bezpieczeństwem zasobów informatycz-nych. Te zachowania i słabości tworzą potencjalną lukę w systemach bezpie-czeństwa informatycznego w podmiotach. Dlatego „podkładając” złośliwe
oprogramowanie (wirusy, robaki, konie trojańskie) czy programy szpiegujące, aby uzyskiwać informacje o systemie lub sieci firmowej i ich podatnościach, ze zdumiewającą śmiałością zmierzają do kradzieży tożsamości (Phishing) i nieautoryzowanego dostępu, a następnie przejęcia systemu lub przechwy-cenia danych podczas transmisji.
Polski dostawca Internetu dla firm i klientów indywidualnych CERT Orange Polska, obsługujący około 40% krajowego rynku w tym zakresie, w swoim raporcie przestrzega równocześnie, że czasy, gdy użytkownikowi Internetu instalowano wirusa już mijają, obecnie złośliwe oprogramowanie instalujemy sobie sami na swoich komputerach i urządzeniach mobilnych, otwierając określone strony i pliki, które sugerują na przykład zmianę numeru rachunku bankowego naszego kontrahenta lub zachęcają księgowego do otwarcia „odpowiednio” nazwanego pliku Excela. CERT w 2016 r. odnotowała aż 17 199 incydentów bezpieczeństwa informatycznego, z tego prawie 20% to próby włamań, 17% to ataki DdoS, a 6,7% to ataki malware [Raport CERT 2016]. Po-dobna skala incydentów bezpieczeństwa była rok wcześniej. CERT przestrzega również, że niektóre złośliwe oprogramowania doprowadzające do wykona-nia przelewu na inne „podstawione” konto mogą nagle zniknąć z komputera, na którym się uaktywniły, zacierając jednocześnie ślady swojego wcześniej-szego działania. Odwagi cyberprzestępcom dodaje mała skuteczność wykry-wania sprawców oraz niska liczba zgłoszeń do organów ścigania. Działalność cyberprzestępców ułatwia także fakt, że dziś nie muszą oni pisać złośliwego oprogramowania od podstaw. Malware i narzędzia do jego dystrybucji można kupić w Internecie i skonfigurować je dla własnych potrzeb, kierując atak na wybraną osobę lub zasoby w sieci. CERT przedstawia także przykładowe opisy metodyki współczesnych ataków [Raport CERT 2016].
Poza rocznymi raportami firm KPMG, Ernst & Young, PwC i innych bardzo trudno jest znaleźć jakiekolwiek badania empiryczne, które były prowadzone przez teoretyków w tym zakresie. W nielicznych opracowaniach na ten temat omawiane były takie zagadnienia, jak: wyniki badań dotyczące różnych aspektów ochrony zasobów informatycznych w jednostkach, powody i skala niedostępności systemów informatycznych, rodzaje i sposoby ataków na zasoby informatyczne firm, poziom strat wyrządzanych firmom, poziom wydatków oraz inne działania zarządów w zakresie zapewnienia bezpieczeństwa informatycznego w jednostkach [Szczepankiewicz, Dudek 2008; Dudek, Szczepankiewicz 2009; Pałęga, Knapiński, Kulma 2014].
Model zarządzania bezpieczeństwem informacji korporacyjnych w przedsiębiorstwie
199