Professional Documents
Culture Documents
pl/bezpieczenstwo-biznesu
Zarzdzanie ryzykiem
w cyberprzestrzeni
Kluczowe obserwacje z wynikw ankiety
Globalny stan bezpieczestwa
informacji 2015
(The Global State of Information Security Survey 2015)
Grudzie 2014
Spis treci
01
02
03
Cyber-ryzyka: grone
i rzeczywiste
Str. 9
Str. 13
Szpiedzy, hakerzy
i zorganizowane grupy
przestpcze to czarne
charaktery, na ktre wszyscy
chtnie wskazuj
Str. 5
Cyberbezpieczestwo
nierozcznie zwizane
z biznesem
Str. 7
Regulatorzy na caym wiecie
prowadz coraz aktywniejsze
dziaania w sprawie
cyber-ryzyka
Str. 11
Straty finansowe szybko
rosn
Diagram 2: Budet
na zapewnienie
bezpieczestwa informacji
Diagram 3: Incydenty s
bardziej kosztowne dla
wikszych organizacji
Str. 14
Diagram 4: Osoby z wewntrz
a osoby z zewntrz organizacji
Str. 15
Szybki wzrost spektakularnych
przestpstw
Str. 16
Suby specjalne: nowe rdo
zagroe
04
05
07
Podstawowe praktyki
w zakresie bezpieczestwa
informacji
Ewolucja: od zapewnienia
bezpieczestwa do
zarzdzania cyber-ryzykiem
Str. 17
Str. 21
Str. 27
Organizacje s zaniepokojone
wzrostem cyberprzestpczoci
Str. 22
Str. 30
Metodyka
Str. 18
Diagram 5: Na wiecie przecitne
budety na zapewnienie
bezpieczestwa nieco spady,
co zmienia dotychczasowy
trzyletni trend
Str. 19
Diagram 6:Priorytetowe wydatki
w polskich firmach w cigu
kolejnych 12 miesicy
Str. 31
Przypisy
06
Poprawa w niektrych
obszarach
Str. 24
Mimo zmniejszenia dziaa
zwizanych
z ochron s dziedziny, w ktrych
odnotowujemy wzrost
bezpieczestwa
Wstp
Piotr Urban
Partner,
Lider PwC Risk Assurance
Szanowni Pastwo,
Mamy przyjemno odda w Pastwa rce raport, ktry
stanowi nasz wkad w debat na temat aktualnego stanu
bezpieczestwa informacji w Polsce i na wiecie. Jest to druga
polska edycja raportu, prezentujemy w niej wyniki dla Polski
na tle rezultatw globalnych.
Cyberprzestpczo to realne zagroenie na wiecie. W tym
roku przekonalimy si, e Polska nie jest zielon wysp
i e temat w Polsce jest rwnie wany, realny, a co wicej nasila
si. Ataki na sektor finansowy, energetyczny czy ochrony
zdrowia wskazuj na rosnc skal tego zjawiska.
Rafa Jaczyski
Lider zespou PwC Cyber
Security w Polsce i Europie
Centralnej
01
Cyber-ryzyka: grone i rzeczywiste
Cyberbezpieczestwo
nierozcznie
zwizane z biznesem
Ataki na systemy informatyczne,
telekomunikacyjne
i produkcyjne nie s ju
przedmiotem zainteresowania
wycznie specjalistw
ds. bezpieczestwa informacji
i IT. Ich konsekwencje s
odczuwalne dla zarzdw firm
i innych interesariuszy, w tym
klientw.
Media czsto podaj wypadki
zwizane z przeamaniem
zabezpiecze, a przez ponad
12 ostatnich miesicy prawie kada
brana musiaa stawi czoa
zagroeniom cybernetycznym.
Ze wzgldu na wzrastajc
wiadomo konsumentw, obywateli
i wnikliwo mediw coraz rzadziej
powane wamanie pozostaje
niezauwaone i coraz czciej
wymaga od firm i instytucji
rzeczywistej, a nie tylko sownej,
reakcji. 1
Przedsibiorcy zobowizani
do ujawniania organom ochrony
danych osobowych i osobom
fizycznym incydentw dotyczcych
ochrony danych osobowych, bd
baczniej analizowa podejmowane
dziaania i zwraca wiksz uwag
na przypadki ujawnienia danych
osobowych. Zakadam, e po wejciu
w ycie nowych przepisw, liczba
zgosze takich incydentw bdzie
rosa lawinowo, co przeoy
si na wiksz wiadomo ryzyka
zaistnienia cyberprzestpstw.
Przedsibiorcy, ktrzy dzi myl
kategoriami mnie to nie dotyczy,
bd musieli przygotowa si na
zmiany i podj dziaania
zabezpieczajce dane osobowe lub
ryzykowa zapat wysokich kar
pieninych.
02
Liczba incydentw i ich skutki
finansowe nadal rosn
42.8
miliona
Diagram 1:
rednia roczna stopa wzrostu
liczby cyberatakw to 66%
czna liczba wykrytych
incydentw
2011
22.7
22.7
2014
42.8
28.9
28.9miliona
2013
24.9
miliona
24.9
miliona
miliona
miliona
miliona
miliona
2010
9.4
9.4
miliona
miliona
2009
3.4
3.4
miliona
miliona
2009
2010
2011
2012
2013
2014
W zakresie wykrywania
incydentw due spki
maj przewag nad
maymi
W naszej ankiecie due organizacje
(z rocznymi przychodami w wysokoci
1 mld USD lub wicej) wykryy o 44%
wicej incydentw ni w poprzednim roku.
Fakt, e due spki wykrywaj wicej
incydentw, nie jest zaskakujcy.
Autorzy zagroe zazwyczaj kieruj swoje
dziaania przeciwko duym organizacjom,
gdy przewanie oferuj one bogate zbiory
informacji cznie z dokumentami
dotyczcymi strategii handlowej, wasnoci
intelektualnej zwizanej z projektami
produktw i duymi ilociami danych
konsumenckich, ktre mona wykorzysta,
sprzeda albo uy do celw gospodarczych
lub wojskowych. Wiksze spki zazwyczaj
maj rwnie bardziej rozwinite procesy
i technologie bezpieczestwa, co pozwala
im na wykrywanie wikszej liczby
incydentw.
Z powodu wdraania przez wiksze firmy
bardziej efektywnych zabezpiecze autorzy
zagroe coraz czciej atakuj spki
redniej wielkoci, z ktrych wiele nie
wprowadzio rwnie zaawansowanych
rozwiza. To w czci wyjania 64-proc.
skok liczby incydentw wykrytych przez
organizacje redniej wielkoci
(o przychodach w wysokoci od 100 mln
USD do 1 mld USD).
10
Diagram 2:
Budet na zapewnienie
bezpieczestwa informacji
wedug wielkoci spki (przychody)
w 2014 r. (Polska)
Straty finansowe
szybko rosn
W miar wzrostu liczby cyberatakw rosn
koszty zarzdzania i ograniczania skutkw
incydentw.
Na wiecie roczne szacowane rednie straty
finansowe przypisywane incydentom
naruszania cyberbezpieczestwa wyniosy
2,7 mln USD, co stanowi znaczny,
bo 34% wzrost w porwnaniu
z 2013 rokiem.
Wielko firmy:
Maa
rednia
redni budet na
bezpieczestwo
721 tys. z
1 552 tys. z
4 270 tys. z
Wielko budetu
cakowitego
organizacji
<100 mln z
100-500 mln z
>500 mln z
Dua
2014
2013
$10.3
$10.8
miliona
miliona
Diagram 3:
Incydenty s bardziej
kosztowne dla wikszych
organizacji
rednie straty finansowe
wynikajce z incydentw
bezpieczestwa,
lata 20132014 (globalnie)
11
2013
$2.8
miliona
2013
$0.92
miliona
2014
$3.0
miliona
2014
$0.73
miliona
Maa
rednia
Dua
12
03
Pracownicy wskazywani jako
najczstsze rdo incydentw
Szpiedzy, hakerzy
i zorganizowane grupy
przestpcze to czarne
charaktery, na ktre
wszyscy chtnie
wskazuj
Po raz kolejny obecni i byli
pracownicy okazali si gwnymi
podejrzanymi
o cyberprzestpstwa.
Co ciekawe, w polskim badaniu
w odrnieniu od wynikw
globalnych w tym roku
respondenci rzadziej wskazywali
pracownikw i byych
pracownikw jako rda
incydentw. Sdzimy, e jest
to skutkiem rosncego
zrozumienia, e pracownicy
w wielu przypadkach mog
niewiadomie powodowa
zagroenie dla bezpieczestwa
danych, np. bdc ofiarami
phishingu - stajc si w ten
sposb narzdziem w rku
rzeczywistych sprawcw.
Z wewntrz
50%
Z zewntrz
48%
43%
39%
Obecni pracownicy
Nie wiem
25%
25%
22%
Byli pracownicy
Brak danych
22%
35%
Hakerzy
Brak danych
17%
Partnerzy biznesowi
15%
5% 9%
17%
Aktywici/organizacje aktywistw/aktywici-hakerzy
10% 9%
10%
Klienci
Konkurenci
5% 4%
5% 4%
Terroryci
9%
10% 4%
Diagram 4
Przestpczo zorganizowana
3% 4%
Brokerzy informacji
14
Zagroenie ze strony
tych, ktrym ufamy
narasta
i nie mwimy tu
o pracownikach
Procent incydentw przypisywanych
w polskim badaniu partnerom
biznesowym i obecnym usugodawcom,
konsultantom i wykonawcom wzrs
odpowiednio do 22% i 17% w 2014 roku.
Jest to zgodne z trendem
zaobserwowanym w wynikach
globalnych.
To zagroenie szczeglnie wyranie
pokazay liczne ataki na sklepy w USA
w ubiegym roku. Cz atakw
przeprowadzili przestpcy, ktrzy zdobyli
dostp do sieci i systemw sklepw
detalicznych przez infiltracj ze strony
obcych dostawcw i wykonawcw
w tym tak wydawaoby si
nieprawdopodobnych, jak dostawcy
systemw klimatyzacyjnych.
Firma Verizon okrelia w swoim
dorocznym raporcie Data Breach
Investigations Report rok 2013 jako
rok naruszenia bezpieczestwa handlu
detalicznego, gdy incydenty w tym
obszarze miay miejsce w 467 miejscach
na wiecie. Verizon zauway, e gwnym
celem atakw byy dane z kart patniczych,
ktrych dotyczyo 95% wszystkich
incydentw w firmach handlu
detalicznego.20
Wyglda na to, e rok 2014 bdzie
kolejnym zym rokiem dla tego sektora.
W chwili sporzdzania przez nas tego
raportu ujawniono informacj o kolejnym
wycieku informacji ze sklepw w Stanach
Zjednoczonych, ktry spowodowa utrat
56 mln danych z kart patniczych.21
W Polsce testy, ktre PwC przeprowadza
u swoich klientw z wykorzystaniem
autorskiej metodyki STRIKE, take
pokazuj, e przeamanie pierwszej linii
obrony firm zajmuje niepokojco mao
czasu, a jeli tylko atakujcy znajdzie
si w sieci wewntrznej, organizacje
s praktycznie bezbronne.
Na kilkadziesit wykonanych do tej pory
symulacji, wszystkie zakoczyy si
sukcesem (a raczej porak zabezpiecze),
czyli uzyskaniem nieautoryzowanego
dostpu do istotnych informacji
biznesowych, a dodatkowo adne
z aktywnoci nie byy zazwyczaj
wykrywane.
15
Szybki wzrost
spektakularnych
przestpstw
Cyberprzestpstwa, ktre
przycigaj najwicej uwagi
infiltracja przez
terrorystw, przestpczo
zorganizowan
i konkurencj
s najrzadsze.
Nie jest to jednak pocieszajce wyniki
naszego sondau pokazuj, e te zagroenia
rosn najszybciej.
16
04
Wzrost liczby incydentw, spadek
wydatkw na bezpieczestwo
Organizacje
s zaniepokojone
wzrostem
cyberprzestpczoci
Prawie poowa (48%)
respondentw badania Global
Economic Crime Survey 2014
przeprowadzonego przez PwC
stwierdzia, e wiadomo
ryzyka cyberprzestpczoci w ich
organizacji w cigu ubiegego
roku wzrosa, w roku 2011
twierdzio tak 39%.22
5,5%
Diagram 5
3,6%
3,8%
3,5%
3,8%
3,5%
2,7%
2010
2011
2012
2013
2014
Czarny rynek
kradzionych danych
ronie zarwno pod
wzgldem rozmiarw,
jak i stopnia
skomplikowania
Cho nie wiadomo, ile jest witryn
sprzedajcych dane, liczba przestpcw
uczestniczcych w tym handlu
prawdopodobnie wzronie, gdy wedug
RAND Corp42 coraz atwiej jest uzyska
do niego dostp. Czciowo dlatego,
e dzisiejszy czarny rynek skada si z coraz
wikszej liczby witryn, forw oraz kanaw
czatowych, na ktrych mona nabywa
i sprzedawa towary.
Brana ochrony zdrowia i ubezpiecze
medycznych musi zwiksza nakady
na inwestycje zapewniajce
bezpieczestwo, przygotowujc
si na wprowadzenie poczonych sieciowo
urzdze do monitorowania stanu zdrowia
i wzrostu iloci danych tego, co niesie
za sob Internet Rzeczy (ang. Internet
of Things). Dla brany ochrony zdrowia
Internet Rzeczy ju teraz nie jest
futurystycznym wymysem, a ryzyko z nim
zwizane nie jest teoretyczne.
18
Diagram 6
Priorytetowe wydatki
w polskich firmach
w cigu kolejnych
12 miesicy
Zapobiega, chroni, wykrywa,
reagowa
15%
21%
Narzdzia
zapobiegania
utracie danych
(DLP)
Zarzdzanie
urzdzeniami
mobilnymi (MDM)
13%
16%
Program szkole
z zakresu wiedzy
o bezpieczestwie
Strategia
bezpieczestwa
dotyczca
korzystania przez
pracownikw
z wasnych
urzdze na terenie
przedsibiorstwa
13%
Program
identyfikacji
aktyww wraliwych
Zapobiega
19
6%
Ustalone minimalne
wymogi / standardy
bezpieczestwa dla
partnerw
zewntrznych
/ klientw /
dostawcw towarw
lub usug
10%
15%
Narzdzia
do zarzdzania
poprawkami
oprogramowania
11%
Narzdzia
do zarzdzania
aktywami
Dostp
uytkownikw
uprzywilejowanych
Chroni
26%
Wykrywanie zoliwego
oprogramowania
w urzdzeniach
mobilnych
26%
24%
Profilowanie
i monitorowanie
zachowa
7%
11%
15%
Narzdzia
do
wykrywania
wama
Monitorowanie
nieuprawnione
go dostpu lub
korzystania
Narzdzia
do wykrywania
zoliwego
kodu
Rozwizania
w zakresie
zarzdzania ochron
/ wykrywaniem
zagroe APT
(advanced persistent
threats)
11%
Narzdzia
do skanowania
pod ktem luk
7%
Narzdzia korelacji
zdarze dotyczcych
bezpieczestwa
7%
Scentralizowane
przechowywanie
danych
o uytkownikach
Wykrywa
20
Reagowa
05
Podstawowe praktyki w zakresie
bezpieczestwa informacji
Zabezpieczenia musz
nada za stale
zmieniajcymi
si zagroeniami
i wymaganiami biznesu
Aby to osign, naley
skoncentrowa si na
waciwych procesach
i technologiach dla
zapobiegania, ochrony,
wykrywania i reagowania
na ryzyka w obszarze
bezpieczestwa informacji.
Mwic wprost, niepokojco
wiele organizacji na wiecie nie
radzi sobie z tym wyzwaniem.
Diagram 7:
Zapobiega
wiat
Chroni
Polska
59%
90%
56%
79%
Dostp uytkownikw
uprzywilejowanych
51%
55%
Reagowa
Polska
wiat
Polska
wiat
Polska
65%
55%
70%
55%
71%
55%
85%
Systemy wykrywania
i zapobiegania wamaniom (IPS)
65%
54%
wiat
Wykrywa
75%
52%
59%
53%
74%
Narzdzia do zarzdzania
poprawkami oprogramowania
49%
Narzdzia do wykrywania
wama
59%
61%
70%
Narzdzia do wykrywania
zoliwego kodu
55%
67%
Monitorowanie
nieuprawnionego dostpu
lub korzystania
54%
78%
81%
52%
72%
Procedura reagowania
na incydenty suca
do zgaszania przypadkw
naruszenia zasad
do podmiotw zewntrznych,
ktre maj do czynienia
z danymi, oraz do obsugi takich
zgosze
Narzdzia do skanowania
podatnoci
33%
22
23
06
Poprawa w niektrych obszarach
Mimo zmniejszenia
dziaa zwizanych
z ochron s dziedziny,
w ktrych
odnotowujemy wzrost
bezpieczestwa
Ryzyko cybernetyczne,
technologie i naraenia na atak
ewoluuj z prdkoci wiata,
tym samym silny program
zapewnienia bezpieczestwa
cybernetycznego wymaga przede
wszystkim dzielenia si przez
podmioty prywatne i publiczne
informacjami na temat
cyber-ryzyka i szybkiego
reagowania.
25
26
07
Ewolucja: od zapewnienia
bezpieczestwa do zarzdzania
cyber-ryzykiem
Coraz wiksza liczba
narusze
bezpieczestwa
sprawia,
e cyber-ryzyko
nie zostanie cakowicie
wyeliminowane.
29%
25%
28
29
Metodyka
Ankieta Globalny Stan
Bezpieczestwa Informacji 2015
jest wiatowym przedsiwziciem
PwC, CIO Magazine
i CSO Magazine. Zostaa ona
przeprowadzona poprzez badanie
on-line w dniach od 27 marca
2014 do 25 maja 2014 roku.
Czytelnicy magazynw CIO i CSO oraz
klienci PwC zostali zaproszeni poprzez
wiadomoci elektroniczne do wzicia
udziau w ankiecie. wiatowe wyniki
omawiane w niniejszym raporcie
opieraj si na odpowiedziach od ponad
9700 respondentw, wrd ktrych
znaleli si prezesi, czonkowie zarzdw
firm i organizacji, dyrektorzy i osoby
odpowiedzialne za finanse, informatyk,
bezpieczestwo, czy te prywatno ze
154 krajw. 35% respondentw
pochodzio z regionu Ameryki
Pnocnej, 34% z Europy, 14%
z Dalekiego Wschodu, 13% z Ameryki
Poudniowej i 4% z Bliskiego Wschodu
i Afryki. Margines bdu wynosi mniej
ni 1 %.
Podzikowania
Polska edycja raportu Global State of Information Security 2015 powstaa dziki
zaangaowaniu i pomocy nastpujcych osb:
Cz merytoryczna:
Projekt graficzny:
Piotr Urban
Aneta Zieliska
Rafa Jaczyski
Marta Olkowicz-Abaied
Patryk Gborys
Edyta Ziajowska
Mateusz Nalewajski
Marcin Kowalczyk
Wojciech Kubiak
30
Przypisy
Cyber-ryzyka: grone i rzeczywiste
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
http://www.cbsnews.com/news/data-breach-costs-take-toll-on-target-profit/
Cnet.com, U.S. charges 8 in $45M global cybercrime scheme, 9 maja 2013
JP Morgan rdo: http://www.reuters.com/article/2014/10/03/us-jpmorgan-cybersecurity-idUSKCN0HR23T20141003
IOSCO and the World Federation of Exchanges Office, Cyber-crime, securities markets and systemic risk, lipiec 2013
http://www.symantec.com/connect/blogs/dragonfly-western-energy-companies-under-sabotage-threat
HP Fortify on Demand, Internet of Things State of the Union Study, lipiec 2014
lOActive, Adventures in Automotive Networks and Control Units, sierpie 2013
Department of Homeland Security, ICS-CERT Monitor, January-April 2014, maj 2014
Financial Times, Energy companies hit by cyber attack from Russia-linked group, 30 czerwca 2014
CHS: http://www.foxnews.com/tech/2014/08/18/community-health-systems-hacked-records-nearly-45-million-patients-stolen
Vormetric Data Security, Security measures to go under spotlight as new Data Protection Directive approaches, 8 lipca 2014
Google Online Security Blog, Announcing Project Zero, 15 lipca 2014
US State of Cybercrime Survey, wspsponsorowane przez magazyn CSO, Dzia CERT Software Engineering Institute w Carnegie Mellon University, PwC, i US
Secret Service, marzeckwiecie 2014
Verizon, 2014 Data Breach Investigations Report, kwiecie 2014
The Financial Times, Home Depot attack bigger than Target's, 19 wrzenia 2014
PwC, Why you should adopt the NIST Cybersecurity Framework, maj 2014
31
Piotr Urban
Partner
Lider PwC Risk Assurance
K: +48 502 184 157
E: piotr.urban@pl.pwc.com
Rafa Jaczyski
Lider PwC Cyber Security
K: +48 519 507 122
E: rafal.jaczynski@pl.pwc.com
Patryk Gborys
K: +48 519 506 760
E: patryk.geborys@pl.pwc.com
Rafa Skoczylas
K: +48 519 506 661
E: rafal.skoczylas@pl.pwc.com
www.pwc.pl/bezpieczenstwo-biznesu
The Global State of Information Security jest znakiem zastrzeonym International Data Group, Inc.
2014 PricewaterhouseCoopers Sp. z o.o. Wszystkie prawa zastrzeone. Nazwa PwC odnosi si do firm wchodzcych w skad sieci
PricewaterhouseCoopers International Limited, z ktrych kada stanowi odrbny i niezaleny podmiot prawny.
Niniejsza prezentacja zostaa przygotowana wycznie w celach oglnoinformacyjnych i nie stanowi porady w rozumieniu polskich przepisw. Nie powinni
Pastwo opiera swoich dziaa/decyzji na treci informacji zawartych w tej prezentacji bez uprzedniego uzyskania profesjonalnej porady. Nie
gwarantujemy (w sposb wyrany, ani dorozumiany) prawidowoci, ani dokadnoci informacji zawartych w naszej prezentacji. Ponadto, w zakresie
przewidzianym przez prawo polskie, PricewaterhouseCoopers Sp. z o.o., jej partnerzy, pracownicy, ani przedstawiciele nie podejmuj wobec Pastwa
adnych zobowiza oraz nie przyjmuj na siebie adnej odpowiedzialnoci ani umownej, ani z adnego innego tytuu za jakiejkolwiek straty, szkody
ani wydatki, ktre mog by porednim lub bezporednim skutkiem dziaania podjtego na podstawie informacji zawartych w naszej prezentacji lub decyzji
podjtych na podstawie tej prezentacji.