Ryzyko cyber znalazło się w Polsce na trzecim miejscu listy najistotniejszych zagrożeń dla biznesu, a jeszcze 2 lata temu zajmowało dopiero 18. pozycję – wynika z raportu Aon „Globalne badanie zarządzania ryzykiem 2023”.
- Na ten moment niespełna 43 proc. firm w kraju ma wdrożoną politykę zarządzania cyberryzykiem. Na świecie jest to blisko 89 proc.
- Eksperci ubezpieczeniowi spodziewają się w 2024 r. wzrostu zainteresowania polisami od cyberryzyk, które obejmują m.in. potencjalne koszty kar administracyjnych czy okupu dla hakerów, a także zapewniają dostęp do usług kancelarii prawnej, informatyków śledczych czy agencji PR.
Koszt pojedynczego naruszenia danych w przedsiębiorstwie wzrósł w latach 2022 – 2023 do historycznego maksimum wynoszącego prawie 4,5 miliona dolarów. W firmach, które nie wykorzystują sztucznej inteligencji i automatyzacji w ramach swoich działań związanych z bezpieczeństwem, wyniósł około 5,4 miliona dolarów (Aon, „2023 Cyber Resilience Report”).
– Coraz większa skala i koszty cyberataków na infrastrukturę informatyczną firm oraz naruszeń bezpieczeństwa danych sprawiły, że na świecie i w Europie zagrożenie to znalazło się na pierwszym miejscu najistotniejszych dla biznesu ryzyk. Tak wynika z przeprowadzonego przez Aon „Globalnego badania zarządzania ryzykiem 2023”. Ranga ataków cyber wzrosła również w Polsce, gdzie odnotowały skok na 3. pozycję z 18. zaledwie dwa lata wcześniej. Spodziewam się, że w najbliższych 12 miesiącach ich znaczenie będzie jeszcze rosło, mobilizując przedsiębiorstwa do odpowiednich zabezpieczeń, także przed ich skutkami – mówi Paweł Krak, Practice Director, Financial & Professional Lines, Aon Polska.
Poniżej 3 kluczowe dla cyberryzyk wątki, którymi biznes rozpoczyna 2024 rok. Co zdefiniuje podejście firm do tego tematu?
Coraz więcej branż obawia się ataków cyber
Wzrost znaczenia ataków cyber w branży zarządzania ryzykiem w 2024 r. pokazuje też sektorowa różnorodność firm, które wskazały je jako najistotniejsze z punktu widzenia prowadzonej działalności. Cyberataków obawiają się m.in. przemysł farmaceutyczny, handel, hotelarstwo, usługi finansowe, media i nowa technologia. Dotyczy to również sektora publicznego, sportu i rozrywki, doradztwa biznesowego, ubezpieczeń oraz usług opieki zdrowotnej. W tych branżach ryzyko cyber znalazło się na pierwszym miejscu. Producenci żywności i napojów, przemysł rolno-spożywczy oraz transport i logistyka umiejscowiły to zagrożenie na drugiej pozycji. Natomiast budownictwo, produkcja i przemysł oraz branża zasobów naturalnych – na trzeciej. Prawie każda gałąź gospodarki może zostać zaatakowana przez hakerów i większość zaczyna zdawać sobie z tego sprawę.
Polska jednym z najczęściej atakowanych cybernetycznie krajów
Według Fintech Global w 2022 r. wzrost liczby cyberataków zgłosiło 58% organizacji brytyjskich, 49% w regionie DACH (Niemcy, Austria, Szwajcaria) i 47% w krajach skandynawskich. CERT Polska zarejestrował w 2022 r. aż o 34% więcej zgłoszeń niż w 2021. Sąsiedztwo z krajem, w którym toczy się wojna oraz jasne poparcie dla Ukrainy sprawiły, że aż 59% polskich małych i średnich przedsiębiorstw stało się celem ataków cyber.
– Analiza dostępnych danych pozwala stwierdzić, że najczęstszymi atakami w Polsce są zdarzenia DDos, polegające na zablokowaniu możliwości korzystania ze strony internetowej, poczty czy sklepu internetowego. Częste są także phishing czy ransomware – głośny ostatnio w związku z atakiem
grupy RA World na sieć laboratoriów ALAB. Rok 2024 upłynie więc najpewniej pod znakiem wprowadzania w firmach zabezpieczeń przed tego typu cyberprzestępstwami. Na znaczeniu zyskają departamenty zarządzania ryzykiem i gotowe rozwiązania – polisy ubezpieczeniowe chroniące przedsiębiorstwa przed kosztownymi skutkami cyberataków – tłumaczy Piotr Rudzki, Senior Broker, Financial & Professional Lines, Aon Polska.
Czy firmy mają politykę zarządzania ryzykiem cyber?
Aon sprawdził także, czy polskie firmy są przygotowane na zagrożenie atakami cyber i czy mają wprowadzoną politykę zarządzania tym ryzykiem. Okazuje się, że obecnie niespełna 43 proc. krajowych przedsiębiorstw posiada wdrożony plan lub formalny przegląd ryzyka, na co składają się kwantyfikacja i ocena ryzyka, kalkulacja rozwiązań finansowania, opracowanie planów ciągłości oraz planu zarządzania ryzykiem. Jest to nadal niewielki odsetek w porównaniu z wynikami globalnymi na poziomie blisko 89 proc.
Polisa tylko dla firm świadomie zarządzających ryzykiem
Dla przedsiębiorstw pomocnym narzędziem transferu ryzyka będzie polisa od cyberryzyk. Wszystkie koszty ataku mogą podlegać ochronie ubezpieczeniowej, włącznie z karą administracyjną czy samą kwotą okupu oczekiwanego przez hakerów. Polisa może zapewnić także dostęp do usług kancelarii prawnej, informatyków śledczych czy nawet firmy specjalizującej się w usługach PR, ponieważ utrata reputacji może okazać się równie kosztowna. Dostępność do oferty ubezpieczenia od cyberryzyk jest jednak ograniczona.
– Z odmową ubezpieczycieli mogą spotkać się firmy, w których budżety na bezpieczeństwo IT są nieadekwatne. Nieco łatwiej powinno być podmiotom, które świadomie zarządzają tym ryzykiem. Niemniej także i one powinny wykazać nie tylko posiadanie antywirusów czy firewalli, ale też m.in. czy posiadają uwierzytelnianie wieloskładnikowe, wykonują cyklicznie kopie zapasowe i je testują, szyfrują dane krytyczne, a także dane w transferze, stosują procedury zarządzania poprawkami, posiadają plany ciągłości BCP/DRP oraz czy szkolą pracowników w zakresie bezpieczeństwa i higieny pracy w sieci – dodaje Piotr Rudzki.
Każdego dnia w Polsce odnotowywane są przypadki cyberataków. Nie ma obecnie branży, która może czuć się bezpiecznie bez wprowadzenia odpowiednich działań przeciwdziałających ich skutkom. Skala problemu w kraju, ale i na całym świecie, plasuje obecnie ataki cyber jako najważniejsze zagrożenie dla gospodarki i najistotniejsze z punktu widzenia branży zarządzania ryzykiem.
