Już piąty rok z rzędu prezentujemy praktyki polskich firm w obszarze cyberbezpieczeństwa:
- jedynie 8% przebadanych firm można zaliczyć do organizacji -
- dojrzałych pod względem cyberbezpieczeństwa
- 21% firm padło ofiarą zaszyfrowania dysku (ransomware)
- 44% poniosło straty finansowe na skutek ataków
- 1/2 oceniła swój stan przygotowania do RODO na 30% lub mniej
- budżet na bezpieczeństwo stanowił średnio 3% całego budżetu IT
Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście? Pełen raport dostępny na https://pwc.to/2BYtrtm
1. Cyber-ruletka
po polsku
Dlaczego firmy w walce
z cyberprzestępcami
liczą na szczęście
www.pwc.pl/badaniebezpieczenstwa
6 lutego 2018 r.
Prezentacja wyników 5. edycji badania
„Stan bezpieczeństwa informacji w Polsce”
2. PwC
Cyber przestępczość – zagrożenie globalne
WannaCry
4 miliardy USD strat
300 tysięcy zainfekowanych
komputerów
kradzież
Bitcoinów
64m USD strat w 2017 r.
co 40 sekund
firma pada ofiarą
ransomware
Petya
300m USD straty
(pojedynczy atak)
2
* Lloyd's of London 2017 *oficjalne komunikaty spółek
* NiceHash *Federal Bureau of Investigation, 2017
3. PwC
Cyberryzyko istotne…
3
*PwC 21st CEO Survey
61%
80%
2016
2017
Świat
46%
77%
2016
2017
Europa
Środkowo-
Wschodnia
Jaki odsetek firm uważa cyberryzyko
za „dość” lub „bardzo istotne”:
USA:
Europa Zachodnia:
Europa Środkowo-
Wschodnia:
Pozycja cyberzagrożeń na liście
najważniejszych wyzwań firmy:
…ale tylko w deklaracjach
#4
#1
#11
4. PwC
Indeks
Cyberbezpieczeństwa PwC
przebadanych firm jest dojrzałe pod względem
cyberbezpieczeństwa8%
4
Wdrożone systemy:
• SIEM
• Anty APT
• IPS/IDS
• SOC
Budżet
bezpieczeństwa
10% wydatków
na IT lub więcej
Zespół cybersecurity
min 2 osoby
Raportowanie o stanie
cyberbezpieczeństwa
bezpośrednio
do zarządu
Stanowisko Dyrektora/
Kierownika
ds. cyberbezpieczeństwa
5. 5
Trudna rozgrywka Ryzykowny blef Gra o wysoką stawkę
44%
firm poniosło straty finansowe
wskutek cyber ataków. W 2016 – 35%.
62%
spółek odnotowało zakłócenia
i przestoje funkcjonowania
46%
nie posiada procedur reakcji na
incydenty
Firmy są zainteresowane
inwestowaniem w technologie, ale w
bezpieczeństwo tych technologii już
nie.
3%
Budżet na bezpieczeństwo stanowi
jedynie 3% budżetów IT. To trzy razy
za mało.
Rośnie nacisk regulacyjny: W 2018 r.
wchodzi RODO i NIS.
3%
firm jest w pełni gotowych do RODO.
26%
Tylko 26% spółek z sektorów
kluczowych dla NIS jest dojrzałych
pod względem cyberbezpieczeństwa.
7. PwC
Najczęstszym źródłem incydentów pozostają
aktualni pracownicy firmy
33%
28%
13%
13%
6%
5%
Aktualni
pracownicy
Hakerzy
Byli
pracownicy
Nie wiem
Aktualni
usługodawcy
Służby wywiadowcze
innych krajów
Źródła incydentów
Trudna rozgrywka
7
8. PwC
44%
< 1 godz.
15%
1-8 godz.
19%
9-24 godz.
12%
1-2 dni
6%
Ponad 3 dni
8%
Czas trwania zakłóceń
Incydenty bezpieczeństwa przynoszą konkretne
straty…
Trudna rozgrywka
odnotowało zakłócenia
i przestoje funkcjonowania
firm poniosło straty
finansowe na skutek
cyberataków
62%
8
9. PwC
…i realne konsekwencje dla funkcjonowania firmy
21% 20% 19%
18%
16% 15%
11% 10%
Systemy
zainfekowane
ransomware
(zaszyfrowanie
dysku)
Spowolnienie
działania,
brak dostępu
do sieci
Utrata lub
uszkodzenie
danych
Narażenie
reputacji
Brak dostępu
do skrzynki
pocztowej
Przestój
w prowadzeniu
działalności
Kradzież
„miękkiej”
własności
intelektualnej
Wyciek danych
o klientach
Skutki incydentów bezpieczeństwa
Trudna rozgrywka
9
10. PwC
Ryzykowny blef
3%
Środki na bezpieczeństwo
stanowią jedynie średnio 3%
budżetów IT – to co najmniej
trzy razy za mało.
10
11. PwC
Firmy są zainteresowane technologiami,
ale ich bezpieczeństwem już nie.
27%
36% 39%
23% 25%
Chmura obliczeniowa Urządzenia
mobilne
Urządzenia
prywatne
wykorzystywane
do celów firmowych
Media społecznościowe Big Data
62%
Internet rzeczy
53%
Sztuczna inteligencja
44%
Robotyka
Spółki w ciągu 3 lat zamierzają inwestować w zaawansowane technologie przyszłości…
Ryzykowny Blef
11
…ale nie dbają o bezpieczeństwo technologii obecnie posiadanych.
Ile firm ma strategie bezpieczeństwa procesów?
12. PwC
20%
średnich i dużych firm
nie posiada żadnego
specjalisty
od cyberbezpieczeństwa
46%
nie posiada procedur
reakcji na incydenty
42%
uważa, że cyberbezpieczeństwo
nie jest kompetencją
kluczową dla ich firmy
Czy cyberbezpieczeństwo naprawdę jest na
agendzie zarządów?
Ryzykowny Blef
79%
Firm nie posiada procedur
regularnego raportowania
stanu cyberbezpieczeństwa
do zarządu
12
13. PwC
Gra o wysoką stawkę
Gra o wysoką
stawkę
97%
badanych firm nie jest
gotowych na RODO
13
14. PwC
firm osiągnęło pełną
gotowość do RODO
respondentów oceniło
stan swojej gotowości
do RODO na poziomie
poniżej 30%
respondentów
nie zaczęło jeszcze
przygotowań
Firmy dalej nie są gotowe do RODO
Gra o wysoką stawkę
50%3% 20%
14
15. PwC
Zabezpieczenia danych osobowych wdrożone w firmach (%):
57
Zatrudnienie specjalisty ds. ochrony
danych osobowych
46
Zobowiązanie osób trzecich
do przestrzegania firmowej polityki
prywatności
38
Zobowiązanie pracowników
do odbywania okresowych szkoleń
35
Ograniczenie liczby operacji
przetwarzania danych osobowych
do minimum
35
Wdrożenie zabezpieczeń
szyfrujących dane
35
Uwzględnienie mechanizmów
ochrony danych osobowych
w opracowywanych systemach IT
Gra o wysoką stawkę
15
Pozostaje jeszcze wiele do zrobienia…
16. PwC
Pozostaje jeszcze wiele do zrobienia…
16
Zabezpieczenia danych osobowych wdrożone w firmach (%):
Ocena wpływu na prywatność
wszystkich operacji przetwarzania
danych osobowych obarczonych
wysokim ryzykiem
Audyty zgodności firm zewnętrznych
w celu sprawdzenia, czy odpowiednie
zabezpieczenia zostały wdrożone
Wdrożenie zabezpieczeń pozwalających
regularnie weryfikować, oceniać i analizować
skuteczność mechanizmów zapewniających
bezpieczeństwo przetwarzania danych
162020
Gra o wysoką stawkę
17. PwC
Co dalej? Dyrektywa NIS (Network and Information Systems Directive)
Obowiązki spółek :
• Odpowiednie zarządzanie ryzykiem
dla wykorzystywanych sieci i systemów IT
• Środki zapobiegawcze dla zapewnienia ciągłości
świadczenia usług kluczowych
• Niezwłoczne zgłaszanie incydentów
właściwemu organowi lub CSIRT, zawierając
m.in. informacje o:
• liczbie użytkowników
• czasie trwania
• zasięgu geograficznym
Oczekiwania organów:
• Przekazanie informacji niezbędnej do oceny
bezpieczeństwa sieci i systemów IT
• Dowody na skuteczną realizację polityki
bezpieczeństwa, np. audyt bezpieczeństwa
• Realizacja środków zaradczych w przypadku
uchybień
• Eliminacja przypadków niespełniania
wymagań
Gra o wysoką stawkę
Kogo dotyczy?
• tzw. „operatorzy usług
kluczowych”
• dostawcy usług cyfrowych
Czym jest?
Ustanowienie wspólnych
standardów cyber-
bezpieczeństwa oraz poprawa
współpracy między krajami Unii
17
18. PwC
Indeks Cyberbezpieczeństwa dla Operatorów
Usług Kluczowych
18
Gra o wysoką stawkę
26%
przebadanych spółek z sektorów
kluczowych jest dojrzałe pod względem
cyberbezpieczeństwa
19. 19
Trudna rozgrywka Ryzykowny blef Gra o wysoką stawkę
44%
firm poniosło straty finansowe
wskutek cyber ataków. W 2016 – 33%.
62%
spółek odnotowało zakłócenia
i przestoje funkcjonowania
46%
nie posiada procedur reakcji na
incydenty
Firmy są zainteresowane
inwestowaniem w technologie, ale w
bezpieczeństwo tych technologii już
nie.
3%
Budżet na bezpieczeństwo stanowi
jedynie 3% budżetów IT. To trzy razy
za mało.
Rośnie nacisk regulacyjny: W 2018 r.
wchodzi RODO i NIS.
3%
firm jest w pełni gotowych do RODO.
26%
Tylko 26% spółek z sektorów
kluczowych dla NIS jest dojrzałych
pod względem cyberbezpieczeństwa.
20. PwC
Metodyka badania
Raport został przygotowany
na podstawie badania,
w którym wzięło udział
127 polskich ekspertów
zajmujących się IT
i bezpieczeństwem informacji.
Badanie zostało przeprowadzone w listopadzie 2017 roku
metodą ankiety online.
Cyber-ruletka po polsku
20
21. PwC
Kontakty
Cyber-ruletka po polsku
21
Piotr Urban
Partner, lider zespołu zarządzania
ryzykiem w Polsce
Tel. 502 184 157
E: piotr.urban@pwc.com
Tomasz Sawiak
Wicedyrektor, zespół Cyber Security
Technology Services
Tel. 519 504 234
E: tomasz.sawiak@pwc.com
Patryk Gęborys
Wicedyrektor, zespół Cyber Security
Technology Services
Tel. 519 506 760
E: patryk.geborys@pwc.com