Podsumowanie dyskusji p.t."Koszty Cyberbezpieczeńśtwa"

Adam Mizerski bezpieczeństwo informatyka audyt cybersecurity

20.06.2018 miałem przyjemność prowadzić dyskusję w formie roundtable podczas Konferencji Technology Risk Management Forum https://techrisk.pl/agenda-konferencji/

Poniżej przedstawiam główne tezy wypracowane podczas dyskusji:

Wg raportu firmy Symantec w roku 2017 ofiarami cyberprzestępców padło ok. 978 milionów ludzi
z 20 krajów. Całkowite straty wyniosły 172 mld dolarów.

Wg raportu PWC za rok 2017 o znaczącym tytule „Cyber-ruletka po polsku”* :

  • 44% firm poniosło straty finansowe na skutek ataków
  • 62% spółek odnotowało zakłócenia i przestoje funkcjonowania
  • 21% padło ofiarą zaszyfrowania dysku

a jednocześnie

  • 20% średnich i dużych firm nie posiada nikogo od cyberbezpieczeństwa
  • 46% spółek nie posiada operacyjnych procedur reakcji na incydenty
  • aż 28% średnich i dużych firm deklaruje że wydatkuje na bezpieczeństwo informacji mniej niż 50 tyś zł rocznie

Tezy wypracowane w ramach dyskusji:

  • O ile w sektorze finansowym regulator rekomendacją D i cyklicznymi kontrolami niejako zmusił do wysokiego poziomu dojrzałości w zakresie cyberbezpieczeństwa to zarówno administracja publiczna jak i sektor SMB ma bardzo wiele do nadrobienia
  • Brak zrozumienia organizacji że IT i wydatki na IT to nie to samo co cyberbezpieczeństwo i że wydatki na cyberbezpieczeństwo powinny być co najmniej ok 10% budżetu IT (zgodnie z wytycznymi Indeksu Cyberbezpieczeństwa PWC)
  • Konieczność umocowania cyberbezpieczeństwa w strukturze organizacji. Z jednej strony w części organizacji IT podlega pod wyznaczonego członka zarządu brak jednak takiego wyznaczenia dotyczącego cyberbezpieczeństwa. Często co jest błędne cyberbezpieczeństwo łączone jest z IT o nie zawsze jest optymalnym rozwiązaniem. Rekomendacją jest umocowanie cyberbezpieczeństwa w pionie odpowiedzialności prezesa/dyrektora organizacji.
  • Konieczność zmiany paradygmatu „bezpieczeństwa papierowego/proceduralnego” na bezpieczeństwo oparte na adekwatnym do wyników analizy ryzyka dobraniu rozwiązań technicznych
  • Konieczność regularnych audytów technologicznych
  • Konieczność regularnego procesu rozwoju kompetencji w zakresie bezpieczeństwa wszystkich pracowników organizacji ze szczególnym uwzględnieniem osób zarządzających

Światełkiem w tunelu do pozytywnych zmian jest zauważenie, że ryzyko związane z kosztami wynikającymi z incydentów bezpieczeństwa może być jednym z elementów podejmowania współpracy pomiędzy firmami – patrz Beata Dratwińska-Kania (Uniwersytet Ekonomiczny w Katowicach) "Koszty cyberprzestępczości - perspektywa rachunkowości” **:

„Koszty cyberprzestępczości oraz zarządzanie ryzykiem cyberprzestępczości stanowią nową kategorię w systemie rachunkowości w zakresie jej ujmowania i sprawozdawania, jak również jako istotnej kategorii zarządzania, zwłaszcza w odniesieniu do zarządzania ryzykiem. Ze względu na dość dużą i rosnącą częstotliwość takich incydentów oraz istotne konsekwencje ekonomiczne i finansowe cyberataków, nakłady na eliminację tego typu zagrożeń mogą stać się interesującą kategorią sprawozdawczą, zwłaszcza dla potencjalnych kontrahentów, nawiązują­cych współpracę z podmiotem gospodarczym.

* „Cyber-ruletka po polsku” https://www.pwc.pl/pl/pdf/publikacje/2018/cyber-ruletka-po-polsku-raport...

** Koszty cyberprzestępczości - perspektywa rachunkowości http://kolegia.sgh.waw.pl/pl/KZiF/czasopisma/zeszyty_naukowe_studia_i_pr...