www.pwc.

pl/bezpieczenstwo-biznesu

Zarzdzanie ryzykiem
w cyberprzestrzeni
Kluczowe obserwacje z wynikw ankiety
Globalny stan bezpieczestwa
informacji 2015
(The Global State of Information Security Survey 2015)

Grudzie 2014

Spis treci

01

02

03

Cyber-ryzyka: grone
i rzeczywiste

Liczba incydentw i ich

skutki finansowe nadal
rosn

Pracownicy wskazywani jako

najczstsze rdo
incydentw

Str. 9

Str. 13

Dalszy wzrost liczby

incydentw nie jest
niespodziank

Szpiedzy, hakerzy
i zorganizowane grupy
przestpcze to czarne
charaktery, na ktre wszyscy
chtnie wskazuj

Str. 5
Cyberbezpieczestwo
nierozcznie zwizane
z biznesem

Str. 7
Regulatorzy na caym wiecie
prowadz coraz aktywniejsze
dziaania w sprawie
cyber-ryzyka

Diagram 1: rednia roczna

stopa wzrostu liczby
cyberatakw to 66%

Str. 11
Straty finansowe szybko
rosn
Diagram 2: Budet
na zapewnienie
bezpieczestwa informacji
Diagram 3: Incydenty s
bardziej kosztowne dla
wikszych organizacji

Str. 14
Diagram 4: Osoby z wewntrz
a osoby z zewntrz organizacji

Str. 15
Szybki wzrost spektakularnych
przestpstw

Str. 16
Suby specjalne: nowe rdo
zagroe

04

05

07

Wzrost liczby incydentw,

spadek wydatkw na
bezpieczestwo

Podstawowe praktyki
w zakresie bezpieczestwa
informacji

Ewolucja: od zapewnienia
bezpieczestwa do
zarzdzania cyber-ryzykiem

Str. 17

Str. 21

Str. 27

Organizacje s zaniepokojone
wzrostem cyberprzestpczoci

Zabezpieczenia musz nada

za stale zmieniajcymi
si zagroeniami
i wymaganiami biznesu

Coraz wiksza liczba narusze

bezpieczestwa sprawia,
e cyber-ryzyko nie zostanie
cakowicie wyeliminowane

Str. 22

Str. 30

Diagram 7: Wiodce polskie firmy

wyrniaj si pozytywnie na tle
redniej globalnej

Metodyka

Str. 18
Diagram 5: Na wiecie przecitne
budety na zapewnienie
bezpieczestwa nieco spady,
co zmienia dotychczasowy
trzyletni trend

Str. 19
Diagram 6:Priorytetowe wydatki
w polskich firmach w cigu
kolejnych 12 miesicy

Str. 31
Przypisy

06
Poprawa w niektrych
obszarach

Str. 24
Mimo zmniejszenia dziaa
zwizanych
z ochron s dziedziny, w ktrych
odnotowujemy wzrost
bezpieczestwa

Wstp
Piotr Urban
Partner,
Lider PwC Risk Assurance

Szanowni Pastwo,
Mamy przyjemno odda w Pastwa rce raport, ktry
stanowi nasz wkad w debat na temat aktualnego stanu
bezpieczestwa informacji w Polsce i na wiecie. Jest to druga
polska edycja raportu, prezentujemy w niej wyniki dla Polski
na tle rezultatw globalnych.
Cyberprzestpczo to realne zagroenie na wiecie. W tym
roku przekonalimy si, e Polska nie jest zielon wysp
i e temat w Polsce jest rwnie wany, realny, a co wicej nasila
si. Ataki na sektor finansowy, energetyczny czy ochrony
zdrowia wskazuj na rosnc skal tego zjawiska.

Rafa Jaczyski
Lider zespou PwC Cyber
Security w Polsce i Europie
Centralnej

Zarzdzenie bezpieczestwem w cyberprzestrzeni to temat

istotny dla dziaw informatyki, ale nie jest to zagadnienie
tylko IT. Ryzyka zwizane z prowadzeniem biznesu
w cyberprzestrzeni, takie jak ryzyko utraty reputacji, straty
finansowe, przerwa w sprzeday, skutki dla innowacji, bada
i rozwoju, czy kary regulacyjne to tematy wane dla CEO, CFO,
COO, Dyrektora Sprzeday, PR oraz pracownikw firmy.
Dlatego te powinny znale si na mapie kluczowych ryzyk
do monitorowania przez Rady Nadzorcze i Audyt Wewntrzny
nie bez powodu w 2014 r. wiatowe Forum Gospodarcze
zaliczyo cyber-ataki do piciu najwaniejszych rodzajw
ryzyka pod wzgldem prawdopodobiestwa wystpienia.
Mamy nadziej, e informacje zawarte w naszym raporcie bd
inspiracj i wsparciem przy ksztatowaniu strategii
bezpieczestwa w Pastwa firmach.

01
Cyber-ryzyka: grone i rzeczywiste

Cyberbezpieczestwo
nierozcznie
zwizane z biznesem
Ataki na systemy informatyczne,
telekomunikacyjne
i produkcyjne nie s ju
przedmiotem zainteresowania
wycznie specjalistw
ds. bezpieczestwa informacji
i IT. Ich konsekwencje s
odczuwalne dla zarzdw firm
i innych interesariuszy, w tym
klientw.
Media czsto podaj wypadki
zwizane z przeamaniem
zabezpiecze, a przez ponad
12 ostatnich miesicy prawie kada
brana musiaa stawi czoa
zagroeniom cybernetycznym.
Ze wzgldu na wzrastajc
wiadomo konsumentw, obywateli
i wnikliwo mediw coraz rzadziej
powane wamanie pozostaje
niezauwaone i coraz czciej
wymaga od firm i instytucji
rzeczywistej, a nie tylko sownej,
reakcji. 1

Spki wiadczce usugi finansowe

nadal s gwnym celem atakw,
coraz czciej atakowane s giedy
papierw wartociowych
Przestpcy spowodowali straty
na rachunkach kart kredytowych dwch
bliskowschodnich bankw na caym
wiecie na ponad 45 mln USD. 2
Amerykaskie banki straciy dane
dziesitek mln klientw w wyniku
wama. Polskie banki byy przedmiotem
kampanii DDoS powodujcych
wielogodzinne wyczenia ich
internetowych kanaw obsugi
klientw. 3
Badanie 46 wiatowych gied
przeprowadzone przez Midzynarodow
Organizacj Komisji Papierw
Wartociowych (IOSCO) i wiatow
Federacj Gied wykazao ponadto,
e ponad poowa z nich (53%) pada ofiar
cyberataku.4 Warszawska Gieda Papierw
Wartociowych bya rwnie przedmiotem
atakw w cigu mijajcego roku.

Infrastruktura krytyczna na celowniku

Grupa hakerw skutecznie infiltrowaa przez Internet
amerykaskie przedsibiorstwo usug komunalnych
i uzyskaa dostp do sieci systemu sterujcego automatyk
przemysow. Na szczcie atak udao si powstrzyma
przed dokonaniem szkd. 8 Wyrafinowani cyber-szpiedzy
finansowani przez pastwo zastosowali specjalne zoliwe
oprogramowanie w celu zainfekowania systemw kontroli
przemysowej setek spek energetycznych w Stanach
Zjednoczonych i Europie.9

Rwnie w Polsce mijajcy rok upyn

pod znakiem atakw na istotne systemy
infrastruktury krytycznej w poowie
roku media donosiy o akcji grupy
hakerskiej wymierzonej w sektor
energetyczny . 5
Zanotowano rwnie wzrost atakw
na urzdzenia konsumenckie podczone
do globalnej sieci takie jak urzdzenia
do monitorowania maych dzieci,
termostaty czy telewizory ktre skadaj
si na Internet Rzeczy (ang. Internet
of Things), powstajcy ekosystem
urzdze, ktry wymienia midzy sob
informacje. Te urzdzenia podczone
do Internetu s naraone na ataki,
poniewa nie maj podstawowych
zabezpiecze, co ostatnio potwierdzio
badanie HP Fortify on Demand.
Firma HP dokonaa przegldu 10
najczciej uywanych urzdze i odkrya,
e 70% z nich zawiera powane podatnoci
mechanizmw ochrony. 6

Ryzyko dotyczy nie tylko urzdze

Pojawiy si informacje, e samochody
zawierajce dziesitki komputerw czsto
poczonych ze sob, a w niektrych
przypadkach komunikujcych
si bezprzewodowo z otoczeniem
zewntrznym mog by celem ataku
pozwalajcego na przejcie kontroli
nad systemami hamowania, sterowania,
a nawet silnika. Firma IOActive
opublikowaa badanie, ktre szczegowo
wykazuje, w jaki sposb hakerzy mog
kontrolowa Elektroniczne Jednostki
Kontroli (Electronic Control Units)
konkretnych samochodw i zaproponowali
mechanizmy umoliwiajce wykrycie
ataku. 7
Warto wspomnie rwnie spektakularn
kradzie danych prawie 4,5 mln pacjentw
z amerykaskiej sieci szpitali.
W Polsce w zeszym roku odnotowano
ataki na systemy firm wiadczcych
usugi medyczne. Przyczyn wamania
by jeden z najpowaniejszych problemw
z bezpieczestwem Internetu ujawniony
w 2014 roku.
Skutki bdu nazwanego Heartbleed
dotkny prawie dwie trzecie serwerw
sieciowych na caym wiecie, w tym
niektre najbardziej popularne usugi
poczty elektronicznej, witryny WWW
i spoecznociowe. Uwaa si,
e awaria ta zagrozia milionom serwisw,
sklepw internetowych i aplikacji, a take
komunikatorom internetowym,
narzdziom zdalnego dostpu
i urzdzeniom sieciowym. 10

Narastajce napicia polityczne i konflikty

midzypastwowe, szczeglnie midzy
Rosj i Ukrain, wywoay seri
cyberatakw, co doprowadzio
do zniknicia z Internetu stron rzdowych
tych pastw i do zainfekowania zoliwym
oprogramowaniem witryn ich ambasad.
Nie dziwi wic uwzgldnienie aspektw
cyberbezpieczestwa w podpisanej przez
Prezydenta RP w listopadzie 2014
Strategii Bezpieczestwa Narodowego
RP. Medialne doniesienia dotyczce
ujawnienia kodw rdowych oraz danych
uytkownikw systemu wspierajcego
wybory samorzdowe potwierdzaj tylko
potrzeb przeznaczenia na te zagadnienia
zwikszonej uwagi, czasu i rodkw.
Nawet ci, ktrzy opisuj wamania
do systemw IT nie uchronili si przed
atakiem. Niektre najbardziej
renomowane gazety takie jak The New
York Times, The Financial Times,
CNN czy Reuters, ulegy hakerom
- ich konta na Twitterze zostay przejte
lub strony zablokowane. Wiele
najpowaniejszych atakw
przeprowadzili hakerzy powizani
z rzdami pastw z Bliskiego Wschodu.
Kada istniejca lista incydentw jest
z pewnoci niekompletna. Trudno z ca
pewnoci stwierdzi, ktre organizacje
s infiltrowane, poniewa wiele z nich nie
wie, e zostay zaatakowane. Inne
niechtnie ujawniaj informacje
o wamaniach z uwagi na obaw przed
utrat reputacji, sprawami sdowymi czy
ledztwem regulatorw.

Cyber-ryzyka: grone i rzeczywiste

Regulatorzy na caym wiecie prowadz coraz

aktywniejsze dziaania w sprawie cyber-ryzyka
W wyniku wzrostu iloci incydentw rzdy
coraz aktywniej pomagaj organizacjom
w zwalczaniu cyberprzestpstw.

Moim zdaniem DOJ i FBI bd nadal

stosowa agresywn strategi wobec
pastw, ktre staraj si wyrzdzi
szkod gospodarce amerykaskiej.
Sean Joyce, dyrektor PwC i byy zastpca
dyrektora FBI

Przykadowo, amerykaskie Federalne

Biuro ledcze (FBI) ujawnio, e w 2013
roku zawiadomio 3000 spek
(m.in. banki, sklepy i spki z brany
produkcji wojskowej), e stay si ofiarami
atakw hakerskich. W nastpstwie tego
zdarzenia amerykaskie Ministerstwo
Sprawiedliwoci (DOJ) oskaryo piciu
chiskich hakerw o cyberszpiegostwo
gospodarcze wobec spek amerykaskich
dziaajcych w sektorze energii atomowej,
metalurgii i energii sonecznej. By
to pierwszy przypadek, kiedy USA
oficjalnie oskaryy urzdnikw
pastwowych o szpiegostwo gospodarcze
przy uyciu atakw sieciowych.
Przykadem planowanych zmian
w otoczeniu regulacyjnym jest ogoszony
niedawno plan Biura ds. Kontroli
Zgodnoci Komisji Papierw
Wartociowych i Gied USA (SEC Office
of Compliance Inspections
and Examinations OCIE) dotyczcy
sprawdzenia przygotowania ponad 50
zarejestrowanych maklerw/brokerw
i doradcw inwestycyjnych na ewentualny
atak cybernetyczny.
W Azji Ustawa o bezpieczestwie danych
osobowych Singapuru (Singapore Personal
Data Protection Act) okrela nowe
standardy zbierania, wykorzystania
i ujawniania danych osobowych.

Cyber-ryzyka: grone i rzeczywiste

Nowe wytyczne podkrelaj kilka

wyjtkowych wymogw, midzy innymi
sugeruj, e organizacje powinny zapewni
sobie ubezpieczenie cybernetyczne i by
w stanie sporzdzi kompleksow
inwentaryzacj wszystkich incydentw
naruszenia bezpieczestwa. Wytyczne SEC
wymagaj rwnie wprowadzenia
przez przedsibiorstwa procesw oceny
ryzyka oraz skuteczniejszej oceny ryzyka
sprzedawcy i zapewnienia waciwej
starannoci.
W Polsce Komisja Nadzoru Finansowego
regulujca rynek bankowy wydaa w 2013
roku Rekomendacj D, ktra wyznacza
nowe standardy w zakresie wymaga
dla zarzdzania systemami IT
i bezpieczestwem informacji w bankach.
Banki powinny si do niej dostosowa
do 1 stycznia 2015 roku, a kolejni
uczestnicy rynku finansowego w Polsce
s take sukcesywnie ni obejmowani.

Zarzdy firm przygldaj si nowemu

unijnemu rozporzdzeniu w sprawie
ochrony danych, ktre ma by opracowane
do 2015 roku. Oczekuje si,
e Rozporzdzenie doda nowe wymogi
dotyczce zawiadamiania osb fizycznych
o naruszeniach, wprowadzi wymogi
prowadzenia ocen ryzyka i audytw
dla organizacji administrujcych danymi
osobowymi i zwikszy znaczco kary
dla przedsibiorstw niewystarczajco
je chronicych.11

Przedsibiorcy zobowizani
do ujawniania organom ochrony
danych osobowych i osobom
fizycznym incydentw dotyczcych
ochrony danych osobowych, bd
baczniej analizowa podejmowane
dziaania i zwraca wiksz uwag
na przypadki ujawnienia danych
osobowych. Zakadam, e po wejciu
w ycie nowych przepisw, liczba
zgosze takich incydentw bdzie
rosa lawinowo, co przeoy
si na wiksz wiadomo ryzyka
zaistnienia cyberprzestpstw.
Przedsibiorcy, ktrzy dzi myl
kategoriami mnie to nie dotyczy,
bd musieli przygotowa si na
zmiany i podj dziaania
zabezpieczajce dane osobowe lub
ryzykowa zapat wysokich kar
pieninych.

Rzd USA wspiera take firmy

w podnoszeniu poziomu
cyberbezpieczestwa
W Stanach Zjednoczonych Narodowy
Instytut Standaryzacji i Technologii
(National Institute of Standards
and Technology NIST) opracowa
wytyczne do stosowania przez firmy
prywatne. Poszczeglne organizacje
korzystaj z wersji 1.0 dobrowolnego
standardu, by oceni i poprawi swoje
bezpieczestwo cybernetyczne oraz
stworzy wsplny jzyk do dyskusji
i wsppracy w zakresie wymiany
informacji o atakach i zagroeniach
oraz sposobach reagowania na nie.
W obszarze sektora prywatnego firma
Google uruchomia inicjatyw Project Zero,
ktra ma na celu popraw stanu
bezpieczestwa przez identyfikacj
i zapobieganie zagroeniom typu
zero-day (nieznane wczeniej
i niezaatane bdy oprogramowania),
zanim hakerzy bd mogli je wykorzysta.
Google twierdzi, e w ramach Project Zero
badacze bd pracowa nad popraw
bezpieczestwa szeroko uywanego
oprogramowania, studiowa motywacje
i techniki atakujcych oraz prowadzi
badania nad skutecznym monitorowaniem
i ograniczaniem zagroe
w cyberprzestrzeni. 12

Anna Kobylaska, adwokat prowadzca praktyk

ochrony praw wasnoci intelektualnej, nowych
technologii i danych osobowych
w kancelarii PwC Legal

Cyber-ryzyka: grone i rzeczywiste

02
Liczba incydentw i ich skutki
finansowe nadal rosn

Dalszy wzrost liczby

incydentw nie jest
niespodziank

W duszej perspektywie nasze dane

pokazuj, e rednia roczna stopa wzrostu
wykrytych incydentw naruszenia
bezpieczestwa wyniosa 66% rok do roku
od 2009 roku.
Te liczby nie s jednak w adnej mierze
ostateczne, reprezentuj jedynie czn
liczb wykrytych i zgoszonych incydentw.
Jak pisalimy wczeniej, wiele organizacji
nie zdaje sobie sprawy z atakw, inne
wiadomie nie publikuj dotyczcych ich
informacji.

Z uwagi na charakter i liczb istotnych

narusze bezpieczestwa w cigu
ostatniego roku nie jest niespodziank,
e liczba incydentw, o ktrych
informowali respondenci w naszym
badaniu, ponownie wzrosa
w porwnaniu do minionych lat.
Badanie to, przeprowadzone wrd ponad
9700 czonkw zarzdw spek
odpowiedzialnych za sprawy.
bezpieczestwa, IT i operacji, wykazao,
e czna liczba incydentw zwizanych
z naruszeniem bezpieczestwa wykryta
przez respondentw wzrosa w tym roku
do 42,8 mln, co odpowiada wzrostowi
o 48% w cigu 2013 roku. Stanowi
to rwnowarto 117 339 dokonanych
codziennie atakw.

42.8
miliona

Diagram 1:
rednia roczna stopa wzrostu
liczby cyberatakw to 66%
czna liczba wykrytych
incydentw
2011

22.7
22.7

2014

42.8
28.9
28.9miliona
2013

24.9
miliona
24.9

miliona

miliona

miliona

miliona
miliona

2010

9.4
9.4
miliona

miliona

2009

3.4
3.4
miliona

miliona

2009

2010

2011

2012

2013

2014

Wydaje si pewne, biorc pod uwag

zaawansowanie dzisiejszych atakw,
e znaczna liczba incydentw pozostaje
niewykryta. Jedna z firm ochrony
cybernetycznej oszacowaa ostatnio,
e nawet 71% zagroe bezpieczestwa
moe pozosta niewykrytych.13

W zakresie wykrywania
incydentw due spki
maj przewag nad
maymi
W naszej ankiecie due organizacje
(z rocznymi przychodami w wysokoci
1 mld USD lub wicej) wykryy o 44%
wicej incydentw ni w poprzednim roku.
Fakt, e due spki wykrywaj wicej
incydentw, nie jest zaskakujcy.
Autorzy zagroe zazwyczaj kieruj swoje
dziaania przeciwko duym organizacjom,
gdy przewanie oferuj one bogate zbiory
informacji cznie z dokumentami
dotyczcymi strategii handlowej, wasnoci
intelektualnej zwizanej z projektami
produktw i duymi ilociami danych
konsumenckich, ktre mona wykorzysta,
sprzeda albo uy do celw gospodarczych
lub wojskowych. Wiksze spki zazwyczaj
maj rwnie bardziej rozwinite procesy
i technologie bezpieczestwa, co pozwala
im na wykrywanie wikszej liczby
incydentw.
Z powodu wdraania przez wiksze firmy
bardziej efektywnych zabezpiecze autorzy
zagroe coraz czciej atakuj spki
redniej wielkoci, z ktrych wiele nie
wprowadzio rwnie zaawansowanych
rozwiza. To w czci wyjania 64-proc.
skok liczby incydentw wykrytych przez
organizacje redniej wielkoci
(o przychodach w wysokoci od 100 mln
USD do 1 mld USD).

Mae firmy czsto uwaaj, e nie s

akomym kskiem to duy bd. Naley
rwnie zauway, e zaawansowani
przeciwnicy czsto koncentruj
si na maych i rednich spkach, ktre
maj peni rol przyczka do wejcia
do powizanych z nimi przedsibiorstw
partnerskich. Dodatkowo due spki
czsto nie dokadaj stara,
by monitorowa bezpieczestwo swoich
partnerw, dostawcw czy acuchw
dostaw.
Brak waciwej starannoci w kontroli
stron trzecich jest tak powszechny,
e rosnca liczba regulatorw wymaga
teraz oceny moliwoci partnerw i caego
acucha dostaw firm w newralgicznych
sektorach rynkowych.

W Ameryce Pnocnej w tym roku

respondenci wykryli o 11% wicej
incydentw. Respondenci z Dalekiego
Wschodu deklaruj mniejsze osignicia
w zakresie wykrywania incydentw
i zgaszaj 5% wzrost wykrytych
przypadkw.
Jedynym rejonem, gdzie odnotowano
spadek wykrytych zagroe, jest Ameryka
Poudniowa: liczba incydentw spada tam
o 9%. Warto zauway, e wydatki
na bezpieczestwo informacji spady
w Ameryce Poudniowej o 24%, znacznie
bardziej ni w innych regionach.

Aby poprawi swoj sytuacj w zakresie

bezpieczestwa, jedn z moliwoci dla
maych i rednich spek jest rozwaenie
korzystania z outsourcingu. To pozwoli im
na zastosowanie nowoczesnych technologii
i procesw do wykrycia incydentw
zagroenia bezpieczestwa w oszczdny
sposb.
Naley jednak zwrci uwag,
e Polska, w porwnaniu do liderw,
ma jeszcze sporo do nadrobienia
w zakresie szerokoci oferty outsourcingu
usug zarzdzania bezpieczestwem.
Usugi tego typu s czsto oferowane
przez mae podmioty, z definicji nie
posiadajce moliwoci ludzkich
i kapitaowych, pozwalajcych na
spenienie wymaga cigoci dziaania
i kontraktowej odpowiedzialnoci.
Przygldajc si incydentom dotyczcym
bezpieczestwa w rnych regionach
geograficznych, wida,
e cyberprzestpczo ronie w istotny
sposb w Europie, gdzie zanotowano
41% skok liczby wykrytych incydentw.

Mae organizacje okazay si wyjtkiem

w liczbie wykrywanych zagroe. Spki
o przychodach niszych ni 100 mln USD
wykryy w tym roku o 5% mniej
incydentw. Przyczyny nie s oczywiste,
ale jednym z moliwych wyjanie jest to,
e mae spki inwestuj mniej
w bezpieczestwo informacji, co moe
sprawia, e s niezdolne do wykrywania
incydentw i e s lepszym celem dla
cyberprzestpcw.

Liczba incydentw i ich skutki finansowe nadal rosn

10

Diagram 2:

Budet na zapewnienie
bezpieczestwa informacji
wedug wielkoci spki (przychody)
w 2014 r. (Polska)

Straty finansowe
szybko rosn
W miar wzrostu liczby cyberatakw rosn
koszty zarzdzania i ograniczania skutkw
incydentw.
Na wiecie roczne szacowane rednie straty
finansowe przypisywane incydentom
naruszania cyberbezpieczestwa wyniosy
2,7 mln USD, co stanowi znaczny,
bo 34% wzrost w porwnaniu
z 2013 rokiem.

Wielko firmy:

Maa

rednia

redni budet na
bezpieczestwo

721 tys. z

1 552 tys. z

4 270 tys. z

Wielko budetu
cakowitego
organizacji

<100 mln z

100-500 mln z

>500 mln z

Podobnie jak czna liczba incydentw,

wiatowy koszt cyberprzestpczoci
jest niestety niemoliwy
do zweryfikowania, gdy wiele atakw
pozostaje niezgoszonych, a warto
niektrych informacji, takich jak wasno
intelektualna, jest trudna do wyliczenia.
Ostatnio prowadzone przez Center
for Strategic and International Studies
badanie wykazao, e s trudnoci
w oszacowaniu skutkw finansowych,
lecz szacuje si, e roczny koszt
cyberprzestpczoci dla gospodarki
wiatowej waha si od 375 mld USD
do 575 mld USD.14

Dua

Ta kwota wydaje si wysoka, jednak nawet

w przyblieniu jest nisza od strat, jakie
mog wynikn z kradziey tajemnic
handlowych i wasnoci intelektualnej.
Wpyw tego rodzaju utraty informacji
mona mierzy wskanikami finansowymi
i niefinansowymi.

2014
2013

$10.3

$10.8
miliona

miliona

Diagram 3:

Incydenty s bardziej
kosztowne dla wikszych
organizacji
rednie straty finansowe
wynikajce z incydentw
bezpieczestwa,
lata 20132014 (globalnie)

11

2013

$2.8
miliona
2013

$0.92
miliona

2014

$3.0
miliona

2014

$0.73
miliona

Maa

rednia

Dua

Przychody nisze ni 100 mln USD

Przychody od 100 mln USD do 1 mld USD

Przychody powyej 1 mld USD

Liczba incydentw i ich skutki finansowe nadal rosn

Skutki finansowe mog obejmowa spadek

przychodw, zakcenia w dziaalnoci
gospodarczej, kary od organw nadzoru
i odpyw klientw.
Skutki niefinansowe mog obejmowa
utrat reputacji, piractwo produktw,
zmian kierunku informacji dotyczcych
bada i rozwoju, skutki dla innowacji,
kradzie projektw lub prototypw
produktw, kradzie procesw
gospodarczych lub produkcyjnych, a take
utrat wraliwych informacji, takich jak
plany fuzji lub pocze oraz strategii
przedsibiorstwa. Naley wspomnie
rwnie o coraz czstszych konsekwencjach
personalnych dla zarzdw firm.
Korzystajc z danych Banku wiatowego,
ktry podaje szacowane roczne wiatowe
PKB za 2013 rok na poziomie 74,9 bln
USD, straty z tytuu tajemnicy handlowej
mog si waha od 749 mld USD
do nawet 2,2 bln USD rocznie.15
Centrum odpowiedzialnej
przedsibiorczoci i handlu (Center for
Responsible Enterprise And Trade
CREATe.org) wsplnie z PwC
oszacoway wpyw kradziey tajemnicy
handlowej na 1% do 3% rocznego produktu
krajowego brutto danego kraju (PKB).16
Potencjalne straty wydaj si jeszcze
groniejsze, gdy wliczy si
prawdopodobiestwo dziaa hakerskich.
W 2014 roku w globalnym raporcie
na temat ryzyka wiatowe Forum
Gospodarcze zaliczyo cyber-ataki
do piciu najpowaniejszych rodzajw
ryzyka pod wzgldem
prawdopodobiestwa wystpienia.17
Moliwo naruszenia bezpieczestwa
stanowi zagroenie, z ktrego coraz wicej
czonkw wyszego kierownictwa zdaje
sobie spraw.

Prawie poowa (48%) respondentw

sondau Global Economic Crime Survey
2014 przeprowadzonego przez PwC
stwierdzia, e postrzeganie ryzyka
cyberprzestpczoci dla ich organizacji
w cigu ubiegego roku wzroso, podczas
gdy w 2011 roku byo to 39% badanych.18
Czonkowie kierownictwa wyranie widz,
e zagroenia cybernetyczne stay
si istotnym problemem w zarzdzaniu
ryzykiem przedsibiorstwa.
Cho ryzyko stao si powszechne, nasze
badanie dotyczce bezpieczestwa
wykazao, e straty z tytuu incydentw
naruszenia bezpieczestwa rni
si znacznie w zalenoci od wielkoci
przedsibiorstwa. Aby zrozumie
te rozbienoci, przyjrzelimy si
sposobom pomiaru skutkw finansowych
incydentw dotyczcych bezpieczestwa
dla przedsibiorstw.
Analiza z punktu widzenia wielkoci
przedsibiorstw nie przyniosa
zaskakujcych wynikw due wiatowe
spki zazwyczaj wydaj wicej
na bezpieczestwo informacji, wdraaj
bardziej dojrzae programy i w zwizku
z tym bardziej prawdopodobne jest
posiadanie przez nie procesw i wiedzy
wystarczajcych do dokadnego wyliczenia
strat finansowych. Dziki temu mog
rozway peny zakres moliwych skutkw,
cznie z kosztami zwizanymi z utrat
klientw, opatami za obron sdow,
ugodami sdowymi, badaniami
kryminalistycznymi i utrat reputacji.
Wiksze organizacje maj rwnie bardziej
strategiczne podejcie do bezpieczestwa
dziki okreleniu wraliwych aktyww
i przeznaczeniu wydatkw na najbardziej
wartociowe dane; zazwyczaj rozumiej
one rwnie ryzyko ze strony stron
trzecich, dziki zastosowaniu linii
odniesienia do bezpieczestwa dotyczcego
partnerw gospodarczych.
Due spki zazwyczaj rwnie wdroyy
procesy i technologie pozwalajce
na aktywne monitorowanie i analizowanie
informacji wywiadowczych dotyczcych
bezpieczestwa; w przypadku wykrycia
anomalii s lepiej przygotowane
do szybkiego zareagowania na incydent.
Due organizacje czciej kultywuj kultur
bezpieczestwa dziki uwiadamianiu
pracownikw i programom szkoleniowym,
a take dziki temu, e wysza kadra
kierownicza rozpowszechnia wiedz
o znaczeniu cyberbezpieczestwa
w przedsibiorstwie.

W Polsce respondenci w wikszoci

wskazuj, e nie znaj kosztu zwizanego
z incydentem bezpieczestwa albo
pozostaje on w granicach 50 000 PLN.
Moe to wskazywa na fakt, e firmy
nie zaczy jeszcze analizowa kosztw
incydentw, a co za tym idzie, nie
s w stanie stwierdzi jak skuteczne
s ich nakady na obszar bezpieczestwa
wniosek taki jest uzasadniony
szczeglnie w wietle wynikw innego
badania PwC Badanie przestpczoci
gospodarczej Polska 2014, w ktrym
43% respondentw zadeklarowao brak
wiedzy w zakresie strat i kosztw
zwizanych z incydentami
cyberbezpieczestwa. Takie podejcie
ma niestety swoje konsekwencje funkcja
bezpieczestwa jest czsto postrzegana
przez polskie zarzdy jako niepotrzebny
kosztogenny narzut na organizacj,
a nie element budujcy przewag
konkurencyjn firmy bd ograniczajcy
wymierne i reputacyjne straty.
Globalne firmy maj czsto moliwo
ograniczenia strat w przypadku udanego
cyberataku dziki ubezpieczeniu
od nastpstw incydentw
cyberbezpieczestwa. Skorzystanie
z tej moliwoci nie zwalnia jednak
od zapewnienia naleytego bezpieczestwa
informacji i systemw przeciwnie,
ograniczenie ryzyka jest koniecznym
warunkiem wykupienia polisy.
W Polsce wiedza o istnieniu takich
moliwoci nie jest jeszcze powszechna
- w naszej ankiecie tylko 3%
respondentw zadeklarowao korzystanie
z tej formy transferu ryzyka
- a znalezienie firmy oferujcej
cyberubezpieczenia, dziaajcej na
lokalnym rynku nie jest proste.
Analiza rynku ubezpiecze w Stanach
Zjednoczonych i Europie Zachodniej
(w szczeglnoci Wielkiej Brytanii)
wskazuje jednak, e jest to najszybciej
rosncy segment wrd ubezpiecze
specjalizowanych, dlatego przewidujemy,
e tego typu produkty bd wkrtce
dostpne take na polskim rynku.
Mae spki zgosiy spadek kosztw
incydentw o 37% w porwnaniu
z poprzednim rokiem, a due spki
zanotoway 53% wzrost szkd
finansowych. redniej wielkoci
przedsibiorstwa znajduj si gdzie
w poowie stawki, zgaszajc wzrost
kosztw incydentw o 25% w porwnaniu
z rokiem ubiegym.

Liczba incydentw i ich skutki finansowe nadal rosn

12

03
Pracownicy wskazywani jako
najczstsze rdo incydentw
Szpiedzy, hakerzy
i zorganizowane grupy
przestpcze to czarne
charaktery, na ktre
wszyscy chtnie
wskazuj
Po raz kolejny obecni i byli
pracownicy okazali si gwnymi
podejrzanymi
o cyberprzestpstwa.
Co ciekawe, w polskim badaniu
w odrnieniu od wynikw
globalnych w tym roku
respondenci rzadziej wskazywali
pracownikw i byych
pracownikw jako rda
incydentw. Sdzimy, e jest
to skutkiem rosncego
zrozumienia, e pracownicy
w wielu przypadkach mog
niewiadomie powodowa
zagroenie dla bezpieczestwa
danych, np. bdc ofiarami
phishingu - stajc si w ten
sposb narzdziem w rku
rzeczywistych sprawcw.

Polscy respondenci co prawd rzadziej,

ale wci w wikszoci wskazuj jako
gwne rda incydentw pracownikw,
hakerw i byych pracownikw
Co ciekawe, znaczca liczba respondentw
przyznaje, ze nie jest w stanie
zidentyfikowa rde atakw. Jak wida
pogld, e rdem wszelkiego za
s pracownicy, ma si nadal dobrze. Naley
jednak zwrci uwag, e w dobie atakw
hybrydowych na organizacje, pracownik
zazwyczaj jest tylko medium
dla przenoszenia zoliwego
oprogramowania, obiektem ataku
phishingowego, czy te innego
wykorzystujcego socjotechnik.
Rozpatrujc dane w tym kontekcie naley
zwrci wiksz uwag na kwestie
podnoszenia wiadomoci pracownikw,
praktyki w zakresie bezpieczestwa
partnerw biznesowych oraz wasn
zdolno do wykrywania
i reakcji na incydenty bezpieczestwa.
W tych obszarach niestety podobnie,
jak w roku poprzednim polskie firmy
na tle globalnych wynikw prezentuj
si sabiej.
Ujawnione ataki na polski sektor
energetyczny pokazuj,
e ju nie tylko nasze firmy powinny si
obawia atakw oportunistycznych,
ale take celowanych w konkretne brane.
Warto zauway, e na wiecie tylko 9%
odpowiedzi wskazywao na to zagroenie
(wzrost o 2 punkty procentowe
w stosunku do zeszego roku).

Inne zagroenie dotyczy tego, e firmy

czsto same zajmuj si naprawianiem
skutkw cyberprzestpczoci
pracownikw. Okazuje si, e 75%
respondentw w sondau dotyczcym
cyberprzestpczoci w USA stwierdzio,
e nie angauj organw cigania
i nie wnosz oskare w zwizku
z przestpstwami popenianymi przez
osoby z wewntrz firmy.19 Takie podejcie
niesie ze sob niestety powane
konsekwencje dla caego ekosystemu
biznesowego warto pamita, e brak
naszej reakcji powoduje naraenie na
ryzyko innych organizacji, by moe
bdcych w przyszoci naszymi
partnerami z uprzywilejowanym dostpem
do zasobw.
Jestemy przekonani, e jako reakcji
rwnie polskich przedsibiorstw
na cyberprzestpstwa moe i powinna
ulec znacznej poprawie.
Waciwa reakcja obejmuje konieczno
zaangaowania nie tylko ekspertw
technicznych, ale rwnie prawnikw,
specjalistw PR i osoby dowiadczone
we wsppracy z organami cigania. Nasze
dotychczasowe obserwacje wskazuj,
e wiele polskich firm nie posiada jeszcze
opracowanych zawczasu procedur reakcji
na cyberprzestpstwa i nie dysponuje
wasnymi bd wsppracujcymi
ekspertami w kadej z powyszych,
kluczowych dziedzin. W sytuacji kryzysu
wywoanego wamaniem do systemw,
kiedy istotna jest zarwno trafno
podejmowanych decyzji, jak i ich czas,
takie nieprzygotowane firmy zwikszaj
ryzyko poniesienia niepowetowanych
szkd reputacyjnych i utraty informacji
istotnych do przeprowadzenia penego
dochodzenia.

Z wewntrz
50%

Z zewntrz
48%

43%

39%

Obecni pracownicy

Nie wiem

25%

25%

22%

Byli pracownicy
Brak danych

22%

35%

Hakerzy
Brak danych

17%

Partnerzy biznesowi

Podmioty i organizacje zagraniczne

15%

5% 9%

17%

Obecni dostawcy usug/konsultanci/wykonawcy

Aktywici/organizacje aktywistw/aktywici-hakerzy

10% 9%

10%

Klienci

Konkurenci

5% 4%

5% 4%

Byli dostawcy usug/konsultanci/wykonawcy

Terroryci

9%

10% 4%
Diagram 4

Osoby z wewntrz a osoby

z zewntrz organizacji
rda incydentw dotyczcych
bezpieczestwa, 20132014 (Polska)

Przestpczo zorganizowana
3% 4%

Brokerzy informacji

Pracownicy wskazywani jako najczstsze rdo incydentw

14

Zagroenie ze strony
tych, ktrym ufamy
narasta
i nie mwimy tu
o pracownikach
Procent incydentw przypisywanych
w polskim badaniu partnerom
biznesowym i obecnym usugodawcom,
konsultantom i wykonawcom wzrs
odpowiednio do 22% i 17% w 2014 roku.
Jest to zgodne z trendem
zaobserwowanym w wynikach
globalnych.
To zagroenie szczeglnie wyranie
pokazay liczne ataki na sklepy w USA
w ubiegym roku. Cz atakw
przeprowadzili przestpcy, ktrzy zdobyli
dostp do sieci i systemw sklepw
detalicznych przez infiltracj ze strony
obcych dostawcw i wykonawcw
w tym tak wydawaoby si
nieprawdopodobnych, jak dostawcy
systemw klimatyzacyjnych.
Firma Verizon okrelia w swoim
dorocznym raporcie Data Breach
Investigations Report rok 2013 jako
rok naruszenia bezpieczestwa handlu
detalicznego, gdy incydenty w tym
obszarze miay miejsce w 467 miejscach
na wiecie. Verizon zauway, e gwnym
celem atakw byy dane z kart patniczych,
ktrych dotyczyo 95% wszystkich
incydentw w firmach handlu
detalicznego.20
Wyglda na to, e rok 2014 bdzie
kolejnym zym rokiem dla tego sektora.
W chwili sporzdzania przez nas tego
raportu ujawniono informacj o kolejnym
wycieku informacji ze sklepw w Stanach
Zjednoczonych, ktry spowodowa utrat
56 mln danych z kart patniczych.21
W Polsce testy, ktre PwC przeprowadza
u swoich klientw z wykorzystaniem
autorskiej metodyki STRIKE, take
pokazuj, e przeamanie pierwszej linii
obrony firm zajmuje niepokojco mao
czasu, a jeli tylko atakujcy znajdzie
si w sieci wewntrznej, organizacje
s praktycznie bezbronne.
Na kilkadziesit wykonanych do tej pory
symulacji, wszystkie zakoczyy si
sukcesem (a raczej porak zabezpiecze),
czyli uzyskaniem nieautoryzowanego
dostpu do istotnych informacji
biznesowych, a dodatkowo adne
z aktywnoci nie byy zazwyczaj
wykrywane.
15

Szybki wzrost
spektakularnych
przestpstw
Cyberprzestpstwa, ktre
przycigaj najwicej uwagi
infiltracja przez
terrorystw, przestpczo
zorganizowan
i konkurencj
s najrzadsze.
Nie jest to jednak pocieszajce wyniki
naszego sondau pokazuj, e te zagroenia
rosn najszybciej.

Polska przestaa by anonimowym

punktem na mapie celowanych
atakw. Obserwujemy coraz wiksz
aktywno hakerw
i pastw w obszarach infrastruktury
krytycznej, take polskiej. Liczba
atakw ze strony zorganizowanych
grup przestpczych rwnie wydaje
si najwysza w historii, a stopie
ich zorganizowania i infrastruktury
s bezprecedensowe.
Patryk Gborys, meneder w zespole
PwC Cyber Security w Polsce

Pastwa prowadzce agresywn polityk

w cyberprzestrzeni czsto celuj
w gwnych dostawcw infrastruktury
w celu kradziey wasnoci intelektualnej
i tajemnic handlowych, co jest rodkiem
do uzyskania przewagi politycznej
i gospodarczej. W zwizku z tym nie jest
niespodziank, e patrzc na wyniki
globalne incydenty ze strony obcych
pastw s najczstsze w takich sektorach
jak sektor ropy naftowej i gazu (11%),
lotniczy i technologii kosmicznych,
obronny (9%), technologiczny (9%),
a take telekomunikacyjny (8%).

Pracownicy wskazywani jako najczstsze rdo incydentw

Przyczyn tego wzrostu moe by

to, e spki odkrywaj, i w zwizku
z rozpowszechnieniem przechowywania
informacji w formie cyfrowej coraz atwiej,
taniej i szybciej jest wykra wasno
intelektualn i tajemnice handlowe,
zamiast samemu opracowywa
odpowiednie rozwizania. Prowadzc
podobne ataki, konkurenci czsto cz
zaawansowane techniki z innymi
metodami, takimi jak rekrutacja
pracownikw spki bdcej przedmiotem
ataku, przekupstwo, wymuszenie czy
obietnica nowej pracy. Zwikszenie liczby
cyberprzestpstw przypisywanych subom
pastwowym i konkurentom jest
skorelowane ze wzrostem kradziey
wasnoci intelektualnej i innych rodzajw
informacji wraliwych.
W tym roku kradzie wasnoci
intelektualnej wzrosa o 19% w porwnaniu
z rokiem 2013. Prawie jedna czwarta (24%)
respondentw zgosia kradzie mikkiej
wasnoci intelektualnej, ktra obejmuje
informacje na temat procesw i wiedzy
instytucjonalnej. Mniej (15%) twierdzi,
e ukradziono im tward wasno
intelektualn, tak jak strategiczne
biznesplany, dokumenty z transakcji
kapitaowych oraz wraliwe dokumenty
finansowe.
W tym roku 15% respondentw twierdzio,
e rdem incydentw jest przestpczo
zorganizowana, w zeszym roku byo
to 12%. W podziale na regiony liczba
kradziey spowodowanych przez
przestpczo zorganizowan bya
szczeglnie wysoka w Malezji (35%),
Indiach (22%), i Brazylii (18%).
Kradzie wasnoci intelektualnej jest
najwysza wrd respondentw z brany
lotniczej i technologii kosmicznych oraz
obronnej ich tajemnice handlowe mog
zawiera informacje krytyczne dla
bezpieczestwa narodowego danego kraju.
W tym roku respondenci z brany lotniczej
i kosmonautycznej oraz obronnej zgosili
97% wzrost kradziey twardej wasnoci
intelektualnej i 66% wzrost kradziey
mikkiej wasnoci intelektualnej
s to wzrosty o wiele wysze
ni w innych sektorach.

Suby specjalne: nowe

rdo zagroe
Informacje ujawnione przez Edwarda
J. Snowdena dotyczce inwigilacji
ze strony rzdw USA i Wielkiej
Brytanii doday do listy zagroe
nowego gracza: krajowe suby
wywiadowcze.
W wyniku przeciekw Snowdena ronie
sceptycyzm przedsibiorstw
i caego spoeczestwa w zwizku
z inwigilacj ze strony sub; ronie
te obawa o potencjalne skutki
dla poufnoci zebranych danych
i moliwoci ich nieuprawnionego
wykorzystania.

Efekt Snowdena, ktry pomg klientom

zrozumie koncepcj analizy duych
zbiorw danych (ang. Big Data analytics)
wywoa rwnie czujno wrd
spoeczestw. Przecieki Snowdena
i rozpowszechnienie Big Data
spowodoway konieczno poddania
pod debat publiczn kwestii poufnoci
danych osobowych. Unia Europejska
zapowiedziaa wzmocnienie wymaga
i kontroli w tym obszarze, a due zmiany
s przewidywane najdalej w 2016 roku.
Kwestie, ktre najbardziej martwi
zarzdy? Poufno danych osobowych,
potencjalne ryzyko prawne i utrata
wasnoci intelektualnej.

Rewelacje Snowdena, ktre trafiy

na pierwsze strony gazet, spowodoway
uwiadomienie i znaczne obawy wrd
czonkw kadry kierowniczej
przedsibiorstw. Nie tylko wywouj
pytania o inwigilacj ze strony rzdw USA
i Wielkiej Brytanii, ale rwnie o spki
telekomunikacyjne i technologiczne, ktre
musiay da rzdowi dostp do danych
oraz rzdy innych pastw, ktre przy tym
wsppracoway.
59% respondentw na caym wiecie
twierdzi, e czonkowie ich zarzdw
martwi si inwigilacj ze strony rzdu.
Obawy s znacznie wysze w Chinach
(93%), Indiach (83%) i Brazylii (77%).
Te obawy wi si z potencjalnie
rozlegymi skutkami dla niektrych spek
telekomunikacyjnych i zaawansowanych
technologii. Firmy, zwaszcza ze Stanw
Zjednoczonych, ale take z Europy,
tradycyjnie dominoway na rynku
telekomunikacji i sprztu sieci
komunikacyjnych dla przedsibiorstw.
Jednak perspektywy spek azjatyckich
s janiejsze od chwili odkrycia, e rzd
amerykaski zbiera wraliwe informacje
o niektrych krajowych firmach
technologicznych i telekomunikacyjnych.
W rezultacie organizacje w niektrych
krajach donosz, e ponownie rozwa
zaopatrzenie w sprzt u producentw
uznawanych dotychczas za zaufanych.
Faktycznie, globalnie 42% respondentw
twierdzi, e nabywanie produktw i usug
z zaufanych krajw jest weryfikowane,
a 29% twierdzi, e obecnie kupuj mniej
produktw i usug z tych krajw.

Pracownicy wskazywani jako najczstsze rdo incydentw

16

04
Wzrost liczby incydentw, spadek
wydatkw na bezpieczestwo

Organizacje
s zaniepokojone
wzrostem
cyberprzestpczoci
Prawie poowa (48%)
respondentw badania Global
Economic Crime Survey 2014
przeprowadzonego przez PwC
stwierdzia, e wiadomo
ryzyka cyberprzestpczoci w ich
organizacji w cigu ubiegego
roku wzrosa, w roku 2011
twierdzio tak 39%.22

W Polsce ostatnich dwch lat

cyber-przestpstw dowiadczyo 19%
organizacji w Polsce (wg tego samego
badania), natomiast a 35% organizacji
wierzy, e stanie si ofiara cyber-atakw
w najbliszej przyszoci. Jest to poziom
zbliony do wynikw Badania z 2011 roku
zagroenie w przyszoci ze strony
cyber-przestpczoci zadeklarowao 1/3
organizacji w Polsce.
Jednoczenie coroczne badanie
przeprowadzone przez PwC wrd
prezesw firm wykazao, e 48%
wiatowych czonkw zarzdw ma obawy
zwizane z zagroeniami cybernetycznymi
dotyczcymi ich spek, cznie z utrat
bezpieczestwa informacji.23
Mimo zwikszonych obaw nasze badanie
wykazao, e wiatowe budety
na zapewnienie bezpieczestwa informacji
w rzeczywistoci spady o 4%
w porwnaniu z 2013 rokiem. Wydatki
na bezpieczestwo przez ostatnie pi lat
nie przekroczyy 4% caego budetu
przeznaczonego na informatyk.
Co ciekawe, w tegorocznym badaniu
w Polsce powiao w tym obszarze
optymizmem deklarowany budet na
bezpieczstwo w stosunku do budetu IT
wynis rednio 5,5%, co zblia polskie
firmy do firm zagranicznych. Panuje
przekonanie, e wydatki na
bezpieczestwo wzrosn w cigu 12
miesiecy (43% respondentw) lub
pozostan na tym samym poziomie (28%
badanych). Polscy respondenci nie
przewiduj odkadania zaplanowanych
ju inicjatyw.

Tendencja ta wydaje si by spowodowana

przytoczonymi ju spektakularnymi
doniesieniami medialnymi z incydentw
majcych miejsce w naszym kraju,
co spowodowao znaczcy wzrost
wiadomoci wrd decydentw. Polscy
szefowie bezpieczestwa coraz lepiej
negocjuj budet, przechodzc z pozycji
FUD (fear-uncertainity-doubt strachniepewno-zwtpienie) do partnerskiej
rozmowy z zarzdami i biznesem o ryzyku
prowadzenia biznesu.
Daleko jednak jeszcze wszystkim polskim
firmom do osignicia wynikw z prognozy
Gartnera, przewidujcej wzrost wydatkw
na bezpieczestwo o prawie 17%
na przestrzeni lat 2014-2015. Cieszy
na razie, e przynajmniej liderzy w Polsce
wzili sobie do serca obecne zagroenia dla
informacji i systemw IT.
Patrzc na wyniki globalne, jedynym
wyjanieniem ograniczenia wydatkw
na wiecie, moe by wielko inwestycji
odnotowanych w zeszorocznym badaniu.
W 2013 roku spki globalnie zwikszyy
w porwnaniu do 2012 roku inwestycje
informatyczne o 40%, a wydatki
na bezpieczestwo o 51%. By moe
respondentom w tym roku trudno byo
utrzyma takie tempo wzrostu inwestycji.
W polskich firmach i urzdach z kolei
mamy do czynienia w wikszoci
z wieloletnim niedoinwestowaniem
dlatego tegoroczny wzrost wydatkw
cieszy, ale nie doprowadzi w krtkim
czasie do zniwelowania dystansu
do najlepszych wiatowych praktyk.

5,5%
Diagram 5

3,6%

3,8%

3,5%

3,8%

Na wiecie przecitne budety

na zapewnienie bezpieczestwa
nieco spady, co zmienia
dotychczasowy trzyletni trend,

3,5%
2,7%

W Polsce odwrotnie: zanotowano

zwikszenie udziau bezpieczestwa
w budecie IT
% budetu IT wydany na bezpieczestwo
wiat
Polska

2010

2011

2012

Na wiecie najwysze wzrosty

w wydatkach na bezpieczestwo wykazuje
brana ochrony zdrowia i ubezpiecze
medycznych (66%), brana ropy naftowej
i gazu (15%) oraz usug komunalnych (9%).
Wzrost wydatkw w ochronie zdrowia jest
szczeglnie widoczny, ale z pewnoci
uzasadniony, biorc pod uwag obecne
ryzyko i utrzymujce si trendy. W tym
roku brana ochrony zdrowia i ubezpiecze
medycznych wykazaa 60% wzrost
wykrytych incydentw, co doprowadzio
do niesychanego wzrostu strat
finansowych o 282% w porwnaniu
z rokiem 2013.
Wyjanieniem tej lawiny incydentw i strat
finansowych moe by fakt, e hakerzy
celuj w sub zdrowia i ubezpieczycieli
z racji coraz wyszej wartoci, jak
stanowi dane na temat zdrowia
pacjentw. Ewidencja zdrowotna czsto
zawiera pene informacje finansowe,
medyczne, rodzinne i osobowe ktre
mona wykorzysta do stworzenia penej
tosamoci.
Peen zestaw wykradzionych danych
medycznych jest wart na czarnym rynku
setki dolarw, osiga nawet 1000 USD
za kad tosamo, a same dane
z ubezpieczenia zdrowotnego daj dochody
rzdu 20 USD za sztuk. Dla porwnania,
skradzione karty patnicze zazwyczaj
sprzedawane s po 1 USD kada. 24

2013

2014

Czarny rynek
kradzionych danych
ronie zarwno pod
wzgldem rozmiarw,
jak i stopnia
skomplikowania
Cho nie wiadomo, ile jest witryn
sprzedajcych dane, liczba przestpcw
uczestniczcych w tym handlu
prawdopodobnie wzronie, gdy wedug
RAND Corp42 coraz atwiej jest uzyska
do niego dostp. Czciowo dlatego,
e dzisiejszy czarny rynek skada si z coraz
wikszej liczby witryn, forw oraz kanaw
czatowych, na ktrych mona nabywa
i sprzedawa towary.
Brana ochrony zdrowia i ubezpiecze
medycznych musi zwiksza nakady
na inwestycje zapewniajce
bezpieczestwo, przygotowujc
si na wprowadzenie poczonych sieciowo
urzdze do monitorowania stanu zdrowia
i wzrostu iloci danych tego, co niesie
za sob Internet Rzeczy (ang. Internet
of Things). Dla brany ochrony zdrowia
Internet Rzeczy ju teraz nie jest
futurystycznym wymysem, a ryzyko z nim
zwizane nie jest teoretyczne.

Naley zauway, e na wiecie prawie

poowa (47%) respondentw z brany
ochrony zdrowia twierdzi, e wykorzystuje
technologie konsumenckie, takie jak
przenone urzdzenia do monitorowania
stanu zdrowia, czy technologie operacyjne,
np. zautomatyzowane systemy wydawania
lekw.

Jednak nie udao im si

wystarczajco szybko zapewni
bezpieczestwa urzdze
medycznych poczonych
z Internetem.
Wicej ni jedna trzecia (34%)
respondentw z brany ochrony zdrowia
skontaktowaa si z producentami
urzdze w celu zrozumienia moliwoci
ochrony i ryzyka zwizanego ze sprztem,
a 58% dokonao oceny ryzyka urzdze
lub technologii. Tylko 53% wprowadzio
mechanizmy kontroli bezpieczestwa
poczonych z Internetem urzdze.

Wzrost liczby incydentw, spadek wydatkw na bezpieczestwo

18

Diagram 6

Priorytetowe wydatki
w polskich firmach
w cigu kolejnych
12 miesicy
Zapobiega, chroni, wykrywa,
reagowa

15%

21%

Narzdzia
zapobiegania
utracie danych
(DLP)

Zarzdzanie
urzdzeniami
mobilnymi (MDM)

13%
16%
Program szkole
z zakresu wiedzy
o bezpieczestwie

Strategia
bezpieczestwa
dotyczca
korzystania przez
pracownikw
z wasnych
urzdze na terenie
przedsibiorstwa

13%
Program
identyfikacji
aktyww wraliwych

Zapobiega

19

Wzrost liczby incydentw, spadek wydatkw na bezpieczestwo

6%
Ustalone minimalne
wymogi / standardy
bezpieczestwa dla
partnerw
zewntrznych
/ klientw /
dostawcw towarw
lub usug

10%

15%
Narzdzia
do zarzdzania
poprawkami
oprogramowania

11%
Narzdzia
do zarzdzania
aktywami

Dostp
uytkownikw
uprzywilejowanych

Chroni

26%
Wykrywanie zoliwego
oprogramowania
w urzdzeniach
mobilnych

26%

24%
Profilowanie
i monitorowanie
zachowa

7%

11%
15%
Narzdzia
do
wykrywania
wama

Monitorowanie
nieuprawnione
go dostpu lub
korzystania

Narzdzia
do wykrywania
zoliwego
kodu

Rozwizania
w zakresie
zarzdzania ochron
/ wykrywaniem
zagroe APT
(advanced persistent
threats)

11%
Narzdzia
do skanowania
pod ktem luk

7%
Narzdzia korelacji
zdarze dotyczcych
bezpieczestwa

7%
Scentralizowane
przechowywanie
danych
o uytkownikach

Wykrywa

20

Wzrost liczby incydentw, spadek wydatkw na bezpieczestwo

Reagowa

05
Podstawowe praktyki w zakresie
bezpieczestwa informacji

Zabezpieczenia musz
nada za stale
zmieniajcymi
si zagroeniami
i wymaganiami biznesu
Aby to osign, naley
skoncentrowa si na
waciwych procesach
i technologiach dla
zapobiegania, ochrony,
wykrywania i reagowania
na ryzyka w obszarze
bezpieczestwa informacji.
Mwic wprost, niepokojco
wiele organizacji na wiecie nie
radzi sobie z tym wyzwaniem.

Biorc pod uwag dzisiejszy wzajemnie

poczony ekosystem gospodarczy,
w ktrym generuje si dane w postpie
geometrycznym i dzieli si je z partnerami
biznesowymi i dostawcami, szczeglne
obawy budzi brak polityki i waciwej
starannoci wobec stron trzecich. Niepokj
budz wyniki globalnego badania, ktre
wskazuj, e w cigu ostatniego roku osab
nacisk na bezpieczestwo stron trzecich,
mimo e wzrosa liczba incydentw
przypisywanym tej kategorii
uytkownikw.
Nadzr nad usugodawcami i partnerami
biznesowymi staje si jednym z kluczowych
aspektw ochrony zasobw sabo
zabezpieczony dostawca majcy zaufany
dostp do sieci wewntrznej firmy moe
zniweczy wszelkie wysiki woone
w oddzielenie organizacji od zagroe
zewntrznych. W zwizku z tym naley
zwrci szczegln uwag na nastpujce
aspekty: dobra ochrona umowna, stay
monitoring i kontrola, do jakich zasobw
ma dostp strona trzecia. Monitoring
powinien obejmowa zarwno wasne
systemy, jak i cykliczne audyty
w lokalizacjach dostawcy.

Oceniajc na podstawie tych kryteriw,

stwierdzamy, e wielu respondentw nie
stosuje tych zasad. Na przykad tylko 50%
twierdzi, e ocenia ryzyko swoich
dostawcw (spadek z 53% w 2013 roku),
a 50% potwierdza przeprowadzenie
inwentaryzacji wszystkich stron trzecich,
ktre maj styczno z danymi osobowymi
pracownikw i klientw. Nieco ponad
poowa (54%) respondentw owiadczya,
e ma oficjaln polityk, ktra wymaga
od stron trzecich przestrzegania ich zasad
poufnoci, co stanowi spadek wobec 58%
w 2013 roku.

Diagram 7:

Wiodce polskie firmy wyrniaj

si pozytywnie na tle redniej
globalnej
Zapobiega, chroni, wykrywa,
reagowa

Zapobiega
wiat

Chroni

Polska

59%

90%

Zabezpieczenia kontroli dostpu

56%

79%

Dostp uytkownikw
uprzywilejowanych

51%

55%

Reagowa

Polska

wiat

Polska

wiat

Polska

65%

55%

70%

55%

71%

Szyfrowanie wiadomoci e-mail

55%

85%

Systemy wykrywania
i zapobiegania wamaniom (IPS)

65%

Program podnoszenia wiadomoci

w zakresie bezpieczestwa informacji

54%

wiat

Wykrywa

75%

Wymg, by firmy i osoby

wsppracujce przestrzegay
firmowej polityki ochrony
bezpieczestwa

52%

59%

Narzdzia zapobiegania utracie

danych (DLP)

53%

74%

Narzdzia do zarzdzania
poprawkami oprogramowania

49%

Narzdzia do wykrywania
wama

Narzdzia korelacji zdarze

dotyczcych bezpieczestwa

59%

61%

70%

Narzdzia do wykrywania
zoliwego kodu

55%

67%

Monitorowanie
nieuprawnionego dostpu
lub korzystania

54%

78%

81%

Plany zapewnienia cigoci

dziaania / dziaa
odtworzeniowych
(ang. disaster recovery)

52%

72%

Procedura reagowania
na incydenty suca
do zgaszania przypadkw
naruszenia zasad
do podmiotw zewntrznych,
ktre maj do czynienia
z danymi, oraz do obsugi takich
zgosze

Narzdzia do skanowania
podatnoci

33%

Rozwizania w zakresie zarzdzania

ochron / wykrywaniem zagroe APT
(advanced persistent threats)
Podstawowe praktyki w zakresie bezpieczestwa informacji

22

Szkolenie i uwiadamianie pracownikw

jest podstawowym elementem kadego
programu, poniewa ludzie s najczciej
najsabszym ogniwem w acuchu
bezpieczestwa. Czsto acuch pka,
poniewa przedsibiorstwa zatrudniaj
niewaciwych pracownikw i nie
uwiadamiaj ich za pomoc programw
komunikacyjnych.

W tym roku a 65% respondentw

z Polski stwierdzio, e maj
program uwiadamiania zagroe
i organizowania odpowiednich
szkole, co wyglda imponujco
na tle globalnego poziomu 51%.
Niemal tyle samo firm, bo 64%,
twierdzi, e wymaga od
pracownikw zakoczenia
szkolenia w zakresie zasad
poufnoci.

23

Skuteczne uwiadamianie kwestii

bezpieczestwa wymaga rwnie
zaangaowania na wszystkich szczeblach
od gry do samego dou i sprawnej
komunikacji, taktyki, ktra jest czsto
niedoskonaa. Tylko 49% respondentw
twierdzi, e w ich firmie jest zesp
midzydziaowy, ktry regularnie zbiera
si, by omawia, koordynowa
i komunikowa si w sprawach
dotyczcych bezpieczestwa informacji.
Wymaga to rwnie bezporedniego
zaangaowania dyrekcji i zarzdu.

Podstawowe praktyki w zakresie bezpieczestwa informacji

Na dyrekcji spoczywa odpowiedzialno

za ochron przed cyber-ryzykiem
i za zapewnienie, e zarzd rozumie,
jak organizacja bdzie si broni przed
atakami w sieci i jak bdzie na nie
reagowa.
Grad incydentw, jaki wystpi w ostatnim
czasie i minionym roku, wywoa liczne
dyskusje na temat zaangaowania zarzdu
w sprawy bezpieczestwa. Jednak mimo
wielu rozmw wida, e przedsibiorstwa
nie doprowadziy dyskusji na temat
bezpieczestwa na szczebel zarzdw.

06
Poprawa w niektrych obszarach

Mimo zmniejszenia
dziaa zwizanych
z ochron s dziedziny,
w ktrych
odnotowujemy wzrost
bezpieczestwa
Ryzyko cybernetyczne,
technologie i naraenia na atak
ewoluuj z prdkoci wiata,
tym samym silny program
zapewnienia bezpieczestwa
cybernetycznego wymaga przede
wszystkim dzielenia si przez
podmioty prywatne i publiczne
informacjami na temat
cyber-ryzyka i szybkiego
reagowania.

Na wiecie coraz wicej podmiotw

jest skonnych do wsppracy z innymi
jednostkami dla poprawy bezpieczestwa
i wymiany informacji dotyczcych
zagroe. Gary Hayes, dyrektor dziau
informatyki z CenterPoint mwi,
ze jego spka aktywnie wspdziaa
z kilkoma orodkami dzielenia
si informacjami i prowadzenia analiz
(Information Sharing and Analysis Centers
ISAC) i stowarzyszeniami branowymi,
a take z agendami rzdowymi.
Ta inicjatywa okazaa si nieoceniona.

Jeli nie bierzesz udziau

w konwersacjach, tracisz wtek.
W obecnym otoczeniu czyhajcych
zagroe nie ma powodw do
unikania wsppracy.
Gary Hayes, dyrektor dziau informatyki
z CenterPoint

Respondenci globalnego badania

zaczynaj docenia znaczenie
wspdziaania.

W tym roku 55% respondentw twierdzi,

e wsppracuje z innymi w celu
zapewnienia bezpieczestwa; stanowi
to wzrost o 12% w porwnaniu z 2013
rokiem. Im wiksza spka, tym bardziej
prawdopodobne jest nawizywanie
wsppracy z innymi: robi tak 66% duych
przedsibiorstw w porwnaniu z 49%
maych firm. Wsppraca jest czciej
podejmowana w regionach, w ktrych
rozwj infrastruktury informatycznej
w cigu ostatniej dekady nastpowa
szybko. Na przykad respondenci
z Ameryki Poudniowej i Dalekiego
Wschodu chtniej nawizuj wspprac
z innymi w celu zwikszenia zakresu
informacji wywiadowczych dotyczcych
bezpieczestwa.
Niestety w Polsce obserwujemy trend
wrcz odwrotny. Tylko 48% odpowiedzi
wskazywao, e organizacja oficjalnie
wsppracuje z innymi podmiotami
w brany jest to 7-proc. spadek
w stosunku do 2013 roku. Wzrosa
nieufno a poowa z grupy nie
wsppracujcej w zakresie
bezpieczestwa wskazuje, e przyczyn
jest brak zaufania do konkurentw
w zeszym roku nikt nie wskaza takiej
odpowiedzi. Brak zainteresowania
wspprac wynika take
z pogldu, e konkurencja nie jest bardziej
zaawansowana od pozostaych (75%
odpowiedzi w tej grupie). Trudno
wytumaczy taki stan rzeczy, jednak
naley si spodziewa, e zwiekszajca
si liczba atakw spowoduje zmian
nastawienia polskich firm.

Smartfony i tablety stay si wszechobecne,

mimo to spki nie spieszyy
si z wprowadzaniem zabezpiecze
majcych przeciwdziaa zagroeniom
ze strony urzdze przenonych.
W tym roku jednak zauwaylimy
zdecydowany postp.
60% respondentw z Polski (54%
globalnie) twierdzi, e wdroyo strategi
bezpieczestwa dla urzdze
przenonych. Z uwagi na ryzyko zwizane
z mobilnoci nadal nie jest to wiele,
ale i tak wicej ni 44%, co byo wynikiem
za 2013 rok.

Kolejn dziedzin, ktr

mona poprawi, jest
podejcie do ubezpiecze
od nastpstw
cyber-atakw

Zarzdzanie urzdzeniami przenonymi

(Mobile Device Management MDM)
i zarzdzanie aplikacjami przenonymi
(Mobile Application Management MAM)
to rozwizania niezbdne do
zabezpieczenia floty urzdze danej firmy.

W Polsce takie rozwizanie take

dopuszcza Komisja Nadzoru Finansowego
w Rekomendacji D dot. zarzdzania IT
i bezpieczestwem.

W tym roku 59% respondentw

z Polski twierdzi, e stosuje rozwizania
MDM/ MAM, co jest popraw w stosunku
do 48% w poprzednim roku. Wynik ten
jednak mona i naley jeszcze znacznie
poprawi.

W Stanach Zjednoczonych wytyczne SEC

OCIE sugeruj, aby firmy z sektora usug
finansowych zawieray umowy
ubezpieczenia przed cyber-ryzykiem
w ramach skutecznej strategii zarzdzania
nim.

Z racji wyszego ryzyka dzisiejszego

otoczenia i rosncych kosztw
cyberprzestpczoci uwaamy,
e ochrona przed stratami finansowymi
spowodowanymi przez ryzyko w sieci
powinna by traktowana rwnie powanie
jak inne rodzaje ubezpieczenia.

Jest to podejcie, ktre wiele firm

na wiecie zdaje si doskonale rozumie.
Globalnie ponad poowa (51%)
respondentw twierdzi, e nabya
ubezpieczenie zapewniajce
bezpieczestwo w sieci, co stanowi wzrost
w porwnaniu z 45% w poprzednim roku.
By moe waniejsze jest odkrycie,
e niektre spki wykorzystuj
ubezpieczenie w sieci jako sposb poprawy
swoich programw bezpieczestwa. Ponad
jedna trzecia (36%) twierdzi, e podja
kroki majce na celu popraw sytuacji
w zakresie bezpieczestwa, aby obniy
skadk ubezpieczeniow. Ubezpieczenie
w sieci zapewne najchtniej bd kupowa
spki lotnicze, przemysu technologii
kosmicznych, obronnego, samochodowego,
rozrywki i mediw, a take firmy
wiadczce usugi finansowe.
Z niecierpliwoci czekamy na ofert
ubezpieczycieli dla polskich
przedsibiorstw.

Nie dziwi fakt, e zaawansowanie

w dziedzinie bezpieczestwa urzdze
mobilnych jest wysze w wikszych
firmach, ktre generalnie maj bardziej
rozwinite systemy bezpieczestwa.
Z punktu widzenia sektorw gospodarki,
najwiksze postpy w tej dziedzinie
odnotoway firmy z sektora finansowego,
telekomunikacyjne i produktw
przemysowych.

Pod wzgldem zawartych umw

ubezpieczenia informacji w sieci przoduje
Ameryka Poudniowa, gdzie polisy wykupio
58% respondentw. W Stanach
Zjednoczonych zainteresowanie tym
ubezpieczeniem jest najmniejsze i wykupio
je 44% respondentw. W Polsce jest
to rozwizanie rzadko spotykane
w ofercie ubezpieczycieli i raczej
niestosowane przez firmy. Naley
si jednak spodziewa wprowadzenia takiej
oferty w kolejnych latach.

Poprawa w niektrych obszarach

25

Wydatki strategiczne na bezpieczestwo

wymagaj od firm ustalenia i inwestowania
w te rozwizania bezpieczestwa
(technologie i procesy), ktre
s najistotniejsze z punktu widzenia
nowoczesnych zaawansowanych atakw.
Wane jest stworzenie i wdroenie
procesw, ktre w peni integruj
moliwoci w zakresie przewidywania,
zapobiegania, wykrywania i reagowania
na incydenty w celu minimalizowania ich
skutkw.
Wane jest rwnie inwestowanie rodkw
w kwalifikacje ludzi, co pozwala spkom
na szybkie reagowanie na incydenty
i ograniczanie ich skutkw.
Naley te zapewni wystarczajce
fundusze na kompleksowe, stae szkolenie
pracownikw i programy uwiadamiania
zagroe.

Spki, ktre maj

programy budowania
wiadomoci
w obszarze
bezpieczestwa,
zgaszaj znacznie
nisze straty finansowe
z tytuu incydentw
w sieci
Oszczdnoci mog by znaczne: spki,
ktre nie przewiduj szkole w dziedzinie
bezpieczestwa dla nowych pracownikw,
wykazay roczne straty finansowe
czterokrotnie wysze od tych, ktre maj
takie szkolenia45.
Skuteczne zabezpieczenia wymagaj
rwnie wiedzy na temat obecnych
i przyszych wrogw, cznie z motywami,
zasobami i metodami ataku.
Nie jest to moliwe bez budetu na analiz
i monitorowanie zagroe oraz
powicenia czasu i rodkw
na wspprac z innymi firmami, organami
porzdku publicznego i innymi
podmiotami.
Obecnie, w obliczu zmieniajcych si cigle
zagroe, praktyki zapewniania
bezpieczestwa oparte na ryzyku powinny
by podstawowym elementem oglnego
modelu zarzdzania ryzykiem przez firm.

26

Poprawa w niektrych obszarach

Cho dobrze zaprojektowany program

zarzdzania ryzykiem bezpieczestwa
w sieci nie eliminuje ryzyka cakowicie,
moe uatwi firmom przeciwdziaanie
zagroeniom dziki procesowi
pozyskiwania informacji i podejmowania
decyzji, zwikszy sprawno funkcji
zapewniania bezpieczestwa i zbudowa
bardziej odporn na zagroenia
organizacj.
Naszym zdaniem w nadchodzcych latach
pojawi si coraz bardziej zaawansowane
rozwizania wspierajce firmy w lepszym
zarzdzaniu ryzykiem i minimalizowaniu
skutkw zagroe bezpieczestwa w sieci.
Zmiany w technologii prawdopodobnie
pomog spkom zmniejszy zoono
procesw zarzdzania bezpieczestwem,
szybciej wykrywa i reagowa na incydenty
oraz zwiksza moliwoci monitorowania
i analizowania zagroe. Do tego czasu
organizacje due i mae musz
zrozumie, e zarzdzanie ryzykiem
cyberbezpieczestwa jest kluczowe
dla przetrwania w cyfrowym, poczonym
wiecie. I jest to jedno z gwnych wyzwa
dla prezesw, zarzdw i rad nadzorczych
i organw administracji pastwowej.

07
Ewolucja: od zapewnienia
bezpieczestwa do zarzdzania
cyber-ryzykiem
Coraz wiksza liczba
narusze
bezpieczestwa
sprawia,
e cyber-ryzyko
nie zostanie cakowicie
wyeliminowane.

Obecny ekosystem wzajemnych powiza

wymaga przejcia od bezpieczestwa
koncentrujcego si na zapobieganiu
do podejcia opartego na ryzyku, w ktrym
priorytetem jest koncentracja
na najbardziej wartociowych aktywach
przedsibiorstwa oraz najwikszych
dla nich zagroeniach.

Krytyczn kwesti stao si szybkie

wykrywanie przypadkw przeamania
zabezpiecze lub nawet ju samego faktu
wypywu danych oraz byskawiczne
i skuteczne reakcje. Aby to osign,
przedsibiorstwa musz przeorganizowa
swoje strategie bezpieczestwa poprzez
cilejsze poczenie technologii, procesw
i kwalifikacji pracownikw z szerszymi
dziaaniami w zakresie zarzdzania
ryzykiem.

Firmy zazwyczaj nie maj rodkw, ani wiedzy, aby skutecznie

wykry i zareagowa na incydenty. Nadal zbyt czsto
bezpieczestwo informacji jest traktowane jako problem w zasadzie
techniczny i moliwy do rozwizania przez zakup waciwego
oprogramowania lub kolejnego zunifikowanego lub nowej
generacji urzdzenia. Bezpieczestwo informacji dotyczy
tymczasem wsppracy ludzi, procesw i technologii a sztuk jest
skierowanie inwestycji we waciwe miejsca i dobranie waciwych
proporcji pomidzy prewencj, a detekcj zagroe i reakcj
na nie.
Rafa Jaczyski, lider zespou PwC Cyber Security w Polsce i Europie Centralnej

Przedsibiorstwa, ktre staraj

si zapewni waciwe proporcje inwestycji
ludzi, procesy i technologi, powinny
zapozna si ze schematem NIST
Cybersecurity Framework. Cho schemat
ten jest kierowany do dostawcw
infrastruktury krytycznej w Stanach
Zjednoczonych, przedstawia skuteczny
model bezpieczestwa opartego na ryzyku
dla spek rnych bran na caym wiecie.

29%

Przyjcie tych wytycznych moe rwnie

zapewni dodatkowe korzyci obejmujce
lepsz wspprac i komunikowanie
postawy sprzyjajcej bezpieczestwu
wrd dyrekcji i przedsibiorstw z brany
oraz potencjalne zmniejszenie naraenia na
sprawy sdowe w przyszoci, a nawet
pomoc w przestrzeganiu przepisw. 25

25%

Schemat NIST Framework to doskonay

przykad wsppracy sektora prywatnego
i pastwowego zapewniajcy doskonae
ramy dla bezpieczestwa w sieci.
Sean Joyce, dyrektor PwC, uczestniczy
w przygotowaniu regulacji umoliwiajcych
wprowadzenie tych wytycznych

Firmy w USA ju zaczynaj wprowadza zasady NIST

Framework. Zauwaylimy, e 29% respondentw z Ameryki
twierdzi, e przyjo wytyczne, a kolejne 25%, e ich przyjcie
jest dla nich priorytetem na przyszo.

Ewolucja: od zapewnienia bezpieczestwa do zarzdzania cyber-ryzykiem

28

Wrd pierwszych krokw proponowanych

przez NIST jest okrelenie
i sklasyfikowanie najbardziej
wartociowych aktyww informacyjnych
oraz ustalenie, gdzie zlokalizowane
s najbardziej wartociowe dane
w ekosystemie i kto ma do nich dostp.
Dla spki grniczej Vale ten wstpny
proces stworzy solidny fundament
dla programu bezpieczestwa informacji.
Spka zacza od ustalenia, ktre
posiadane przez ni informacje s poufne
i gdzie si je przechowuje. To pozwolio
zrozumie stron biznesow
bezpieczestwa informacji i sposb
korzystania z nich przez pracownikw.
Pozwolio take ustali poszczeglne
szczeble ochrony i zrozumie dziedziny,
w ktrych spka moe sobie pozwoli
na wiksz pobaliwo, oraz te, w ktrych
powinna postpowa z ca stanowczoci.

Jednak wielu respondentw badania takich

krokw nie podjo. Tylko 54%
ma program pozwalajcy na ustalenie
aktyww wraliwych, a tylko 56% podjo
wysiek inwentaryzacji zbierania,
przekazywania i przechowywania
wraliwych danych dla pracownikw
i klientw.
W Polsce klasyfikacj wartoci biznesowej
danych dokonuje tylko 36% badanych,
ale ju 60% przeprowadzio jak form
zarzdzania aktywami.

Pod wzgldem regionalnym respondenci

z Ameryki Poudniowej i Dalekiego
Wschodu chtniej przeznaczaj wydatki
na najbardziej wartociowe dane. Wane
jest te dostosowanie strategii
bezpieczestwa do konkretnych potrzeb
biznesowych - to krok, z ktrego 40%
respondentw na wiecie rezygnuje. Wrd
bran, ktre najprawdopodobniej pocz
strategie bezpieczestwa i biznesu, s:
sektor produktw przemysowych,
usugodawcy i patnicy z brany ochrony
zdrowia oraz sektor usug finansowych.
Pod wzgldem geograficznym w tym
podejciu przoduj respondenci
z dalekiego Wschodu i Ameryki Pnocnej.
Warto zauway, e w Polsce a ponad
80% respondentw deklaruje, e polityka
bezpieczestwa spki jest dobrze
dostosowana do jej celw biznesowych.

Kolejnym podstawowym krokiem jest dostosowanie wydatkw

inwestycyjnych do aktyww strategicznych firmy. Jednak
globalnie 34% respondentw nie kieruje wydatkw
na bezpieczestwo do najbardziej zyskownych pionw
dziaalnoci.

29

Ewolucja: od zapewnienia bezpieczestwa do zarzdzania cyber-ryzykiem

Metodyka
Ankieta Globalny Stan
Bezpieczestwa Informacji 2015
jest wiatowym przedsiwziciem
PwC, CIO Magazine
i CSO Magazine. Zostaa ona
przeprowadzona poprzez badanie
on-line w dniach od 27 marca
2014 do 25 maja 2014 roku.
Czytelnicy magazynw CIO i CSO oraz
klienci PwC zostali zaproszeni poprzez
wiadomoci elektroniczne do wzicia
udziau w ankiecie. wiatowe wyniki
omawiane w niniejszym raporcie
opieraj si na odpowiedziach od ponad
9700 respondentw, wrd ktrych
znaleli si prezesi, czonkowie zarzdw
firm i organizacji, dyrektorzy i osoby
odpowiedzialne za finanse, informatyk,
bezpieczestwo, czy te prywatno ze
154 krajw. 35% respondentw
pochodzio z regionu Ameryki
Pnocnej, 34% z Europy, 14%
z Dalekiego Wschodu, 13% z Ameryki
Poudniowej i 4% z Bliskiego Wschodu
i Afryki. Margines bdu wynosi mniej
ni 1 %.

W tym raporcie, dane z globalnego

badania zostay porwnane z wynikami
z ankiety polskiej na zaproszenie
skierowane do klientw PwC Polska
odpowiedziao dodatkowo 77 firm
i organizacji dziaajcych w Polsce.
Ze wzgldu na ograniczon liczb
odpowiedzi, obserwacje wynikajce
z polskiej czci maj charakter
jakociowy. Gwnie reprezentowane
wrd polskich respondentw brane
to sektor finansowy (bankowo
i ubezpieczenia), telekomunikacyjny,
wytwarzania oprogramowania oraz usug
doradczych.

Podzikowania
Polska edycja raportu Global State of Information Security 2015 powstaa dziki
zaangaowaniu i pomocy nastpujcych osb:
Cz merytoryczna:

Projekt graficzny:

Piotr Urban

Aneta Zieliska

Rafa Jaczyski

Marta Olkowicz-Abaied

Patryk Gborys

Edyta Ziajowska

Mateusz Nalewajski

Marcin Kowalczyk

Wojciech Kubiak
30

Przypisy
Cyber-ryzyka: grone i rzeczywiste
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.

http://www.cbsnews.com/news/data-breach-costs-take-toll-on-target-profit/
Cnet.com, U.S. charges 8 in $45M global cybercrime scheme, 9 maja 2013
JP Morgan rdo: http://www.reuters.com/article/2014/10/03/us-jpmorgan-cybersecurity-idUSKCN0HR23T20141003
IOSCO and the World Federation of Exchanges Office, Cyber-crime, securities markets and systemic risk, lipiec 2013
http://www.symantec.com/connect/blogs/dragonfly-western-energy-companies-under-sabotage-threat
HP Fortify on Demand, Internet of Things State of the Union Study, lipiec 2014
lOActive, Adventures in Automotive Networks and Control Units, sierpie 2013
Department of Homeland Security, ICS-CERT Monitor, January-April 2014, maj 2014
Financial Times, Energy companies hit by cyber attack from Russia-linked group, 30 czerwca 2014
CHS: http://www.foxnews.com/tech/2014/08/18/community-health-systems-hacked-records-nearly-45-million-patients-stolen
Vormetric Data Security, Security measures to go under spotlight as new Data Protection Directive approaches, 8 lipca 2014
Google Online Security Blog, Announcing Project Zero, 15 lipca 2014

Liczba incydentw i ich skutki finansowe nadal rosn

13.
14.
15.
16.
17.
18.

Trustwave Holdings, 2014 Trustwave Global Security Report, maj 2014

Center for Strategic and international Studies, Net Losses: Estimating the Global Cost of Cybercrime, czerwiec 2014
Bank wiatowy, World Development Indicators Database, lipiec 2014; obliczenia PwC
Create.org i PwC, Economic Impact of Trade Secret Theft, luty 2014
World Economic Form, Global Risks 2014, Ninth Edition, grudzie 2013
PwC, Economic Crime: A threat to business globally, luty 2014

Pracownicy wskazywani jako najczstsze rdo incydentw

19.
20.
21.

US State of Cybercrime Survey, wspsponsorowane przez magazyn CSO, Dzia CERT Software Engineering Institute w Carnegie Mellon University, PwC, i US
Secret Service, marzeckwiecie 2014
Verizon, 2014 Data Breach Investigations Report, kwiecie 2014
The Financial Times, Home Depot attack bigger than Target's, 19 wrzenia 2014

Wzrost liczby incydentw, spadek wydatkw na bezpieczestwo

22.
23.
24.

PwC, Economic Crime: A threat to business globally, luty 2014

PwC, Fit for the future: Capitalizing on global trends, kwiecie 2014
Dell SecureWorks, Hackers Sell Health Insurance Credentials, Bank Accounts, SSNs and Counterfeit Documents, for over $1,000 Per Dossier, 15 lipca 2013

Ewolucja: od zapewnienia bezpieczestwa do zarzdzania cyber-ryzykiem

25.

PwC, Why you should adopt the NIST Cybersecurity Framework, maj 2014

31

Nasi eksperci s do Pastwa dyspozycji, zarwno

w kwestiach dotyczcych tego raportu, jak i wszelkich
pyta zwizanych z bezpieczestwem informacji
i systemw teleinformatycznych.
Osoby kontaktowe
PwC Cyber Security

Piotr Urban
Partner
Lider PwC Risk Assurance
K: +48 502 184 157
E: piotr.urban@pl.pwc.com

Rafa Jaczyski
Lider PwC Cyber Security
K: +48 519 507 122
E: rafal.jaczynski@pl.pwc.com
Patryk Gborys
K: +48 519 506 760
E: patryk.geborys@pl.pwc.com
Rafa Skoczylas
K: +48 519 506 661
E: rafal.skoczylas@pl.pwc.com

www.pwc.pl/bezpieczenstwo-biznesu

The Global State of Information Security jest znakiem zastrzeonym International Data Group, Inc.
2014 PricewaterhouseCoopers Sp. z o.o. Wszystkie prawa zastrzeone. Nazwa PwC odnosi si do firm wchodzcych w skad sieci
PricewaterhouseCoopers International Limited, z ktrych kada stanowi odrbny i niezaleny podmiot prawny.
Niniejsza prezentacja zostaa przygotowana wycznie w celach oglnoinformacyjnych i nie stanowi porady w rozumieniu polskich przepisw. Nie powinni
Pastwo opiera swoich dziaa/decyzji na treci informacji zawartych w tej prezentacji bez uprzedniego uzyskania profesjonalnej porady. Nie
gwarantujemy (w sposb wyrany, ani dorozumiany) prawidowoci, ani dokadnoci informacji zawartych w naszej prezentacji. Ponadto, w zakresie
przewidzianym przez prawo polskie, PricewaterhouseCoopers Sp. z o.o., jej partnerzy, pracownicy, ani przedstawiciele nie podejmuj wobec Pastwa
adnych zobowiza oraz nie przyjmuj na siebie adnej odpowiedzialnoci ani umownej, ani z adnego innego tytuu za jakiejkolwiek straty, szkody
ani wydatki, ktre mog by porednim lub bezporednim skutkiem dziaania podjtego na podstawie informacji zawartych w naszej prezentacji lub decyzji
podjtych na podstawie tej prezentacji.