Istraživanje koje je kompanija EY provela, ukazuje na podatak da značajan broj organizacija (77 posto) još uvijek djeluje s jako ograničenim sistemom cyber sigurnosti. Moguće je da još uvijek nemaju ni jasnu viziju o tome koje su informacije i sredstva od najveće važnosti, niti da imaju adekvatne mjere za zaštitu ovih podataka i sredstava. Ovo je razlog zbog čega je za većinu organizacija bitno uspostaviti sistem cyber sigurnosti od samih osnova
Više od dva desetljeća nakon što je revizorsko-konzultantska kompanija EY počela istraživati svijest kompanija o rastućim prijetnjama koje cyber sigurnost nosi sa sobom, potreba da se kompanije više pozabave ovom temom veća je nego ikada. Broj cyber napada svakodnevno raste, postaju sve opasniji za organizacije i pojedince, a istovremeno su i sve sofisticiraniji.
Ovogodišnja studija koju je kompanija EY provela na globalnoj razini pod nazivom “Je li cyber sigurnost više od zaštite?”, uključila je 1400 ispitanika na rukovodećim pozicijama, koji se prvenstveno bave pitanjem cyber sigurnosti. Istraživanje ukazuje na podatak da je sve veći broj kompanija koje su posvećene unaprjeđivanju cyber sigurnosti u svojim organizacijama. Istovremeno, ove kompanije se i dalje susreću s problemom rastućih prijetnji koje cyber rizici nose sa sobom.
Svakako, cilj za sve organizacije treba biti ne samo zaštita kompanija postavljanjem i održavanjem dobrog sistema cyber sigurnosti, već i kontinuiran razvoj alata i strategija kako bi se sam sistem sigurnosti unaprjeđivao. Kako živimo u vremenu digitalnih transformacija, tako i sam sistem cyber sigurnosti mora biti u funkciji osnaživanja a ne blokiranja promjena i inovacija.
Rezultati istraživanja ukazuju na to da organizacije trebaju uložiti veće napore u razvoj sistema cyber sigurnosti. Naime, više od tri četvrtine ispitanika (87 posto) istaklo je da nema budžet koji bi osigurao kompleksniji sigurnosni sistem. Glavni izazovi s kojima se kompanije susreću, primarno su grupirani u tri segmenta:
1. Zaštita kompanija od cyber rizika
2. Optimizacija sistema cyber sigurnosti
3. Aktivnosti koje omogućuju rast kompanije
Kako bi kompanija napredovala na polju cyber sigurnosti, ova tri imperativa moraju se postizati istovremeno. Učestalost i obim kršenja sigurnosti širom svijeta ukazuje na činjenicu da je izuzetno mali broj kompanija implementirao i osnovnu razinu sigurnosti. Međutim, čak i kada žele ostvariti zavidnu razinu sigurnosti, organizacije moraju prilagoditi postojeći sistem s ciljem njegove optimizacije i rasta. Kako program digitalne transformacije okreće organizacije prema novim tehnologijama i poslovnim modelima, cyber sigurnost svakako treba biti osnova i ključna premisa rasta.
1. Zaštita kompanija s fokusom na identifikaciji sredstava i izgradnji prve linije obrane
Istraživanje koje je kompanija EY provela, ukazuje na podatak da značajan broj organizacija (77 posto) još uvijek djeluje s jako ograničenim sistemom cyber sigurnosti. Moguće je da još uvijek nemaju ni jasnu viziju o tome koje su informacije i sredstva od najveće važnosti, niti da imaju adekvatne mjere za zaštitu ovih podataka i sredstava. Ovo je razlog zbog čega je za većinu organizacija bitno uspostaviti sistem cyber sigurnosti od samih osnova. To podrazumijeva prvenstveno identifikaciju ključnih podataka i intelektualnog vlasništva, potom preispitivanje rizika i mogućnosti cyber sigurnosti, procesa upravljanja i finalno nadogradnju sistema zaštite.
Jedan od krucijalnih problema je nedostatak vještina – procjenjuje se da će u roku od pet godina, globalni manjak profesionalaca koji se bave temom cyber sigurnosti iznositi čak 1,8 milijuna ljudi. Ovaj nedostatak vidljiv je čak i u sektorima koji posjeduju najviše resursa, pa je borba u regrutaciji ovog kadra sve jača. Poseban izazov je veće uključivanje ženske populacije i socijalnih manjina u profesionalce, koji se bavi temom cyber sigurnosti. Raznolikost je postala poslovni imperativ, s obzirom na to da ovakvi timovi postižu značajno bolje rezultate – njihova suradnja je bolja, oni su inovativni i objektivni. Sve ovo značajno je s aspekta cyber sigurnosti, gdje je prisutna konstantna borba da ostanemo korak ispred napadača.
Vrlo mali broj organizacija je zabrinut zbog ranjivosti kojima ih sada nove tehnologije izlažu, što je jako zabrinjavajuća činjenica jer su ove tehnologije dostupne i napadačima
Više od polovine organizacija ne podrazumijeva zaštitu kao integralni dio svoje strategije i plana. Iznenađujuće, veće organizacije imaju značajno veće šanse da naprave grešku u odnosu na manje organizacije (58 posto u odnosu na 54 posto). Dobra vijest je da su ipak budžeti namijenjeni sistemima za cyber sigurnost u porastu. Svakako, veće kompanije imaju bolje izglede za uvećavanje ovih budžeta (63 posto) u odnosu na manje kompanije (50 posto).
Nije iznenađujuće da informacije o klijentima, financijski podaci i strateški planovi čine tri glavne grupe informacija koje kompanije žele zaštititi. Informacije o članovima izvršnih odbora i lozinke korisnika su odmah potom na listi zaštite.
Organizacije priznaju da je malo vjerojatno da će povećati ulaganja u tehničke ili organizacijske aspekte cyber sigurnosti, osim ukoliko ne budu pretrpjeli neku vrstu napada ili incidenta koji bi uzrokovali negativne implikacije. Na osnovu istraživanja uočeno je da eventualni nastanak incidenta, koji ne bi prouzrokovali štetu, ne bi dovela do većeg ulaganja u mjere cyber zaštite u 63 posto ispitanih organizacija. Pored navedenog, veliki broj kompanija nije u mogućnosti jasno ukazati na to jesu li i koliko uspješni u identifikaciji sigurnosnih incidenata i njihovih posljedica. Među onim kompanijama, koje su u protekloj godini bile pogođene nekim cyber napadom, manje od trećine ističe da je rješenje otkriveno od strane njihovog sigurnosnog centra.
2. Optimizacija sistema cyber sigurnosti s fokusom na zaustavljanju kritičnih napada, povećanju efikasnosti i reinvestiranju sredstava u nove i inovativne tehnologije u cilju poboljšanja postojećih sistema zaštite
Istraživanje EY sugerira da čak 77 posto organizacija nastoji unaprijediti svoj sistem za cyber sigurnost. Ove organizacije nastavljaju raditi na unaprjeđenju osnovnih mjera cyber sigurnosti koje već provode, ali usporedo se pokušavaju premjestiti iz poznatih kontrolnih okvira i proširiti svoje znanje u cilju zaštite poslovnih podataka. Ovo između ostalog podrazumijeva implementaciju umjetne inteligencije, procese automatizacije i analitike podataka, a sve u cilju povećanja zaštite i unaprjeđenja njihovog poslovanja.
Trenutno postoji dosta prostora za poboljšanja i unaprjeđenja sistema za cyber zaštitu. Manje od 1 na svakih 10 organizacija vjeruje da se sigurnost njihovih informacija u potpunosti poklapa s potrebama kompanije i evidentno je da manje kompanije češće zaostaju u ovom segmentu. Dok 78 posto većih organizacija potvrđuje da se zaštita njihovih podataka u najmanju ruku podudara s potrebama kompanije, taj postotak pada na 65 posto manjih organizacija koje dijele isto mišljenje.
Cyber napadi su sve češći, a njihovi uspjesi kompanije mnogo koštaju. U nedavnom napadu, jedna banka u Indiji izgubila je 944 milijuna rupija (13.5 milijuna eura), nakon što su hakeri instalirali softver na server Banke koji kontrolira bankomate, koji im je omogućio da izvrše lažne isplate gotovine.
Cilj je integrirati i ugraditi sigurnost unutar poslovnih procesa od samog osnivanja kompanija ili uspostavljanja poslovnog procesa i tako izgraditi sigurnije radno okruženje za sve zaposlene
Ukupno 96 posto organizacija su zabrinute za zaštitu svojih podataka i manjak resursa predstavlja glavni izazov za organizacije. Čak 30 posto organizacija se bori s nedostatkom znanja i vještina, dok 25 posto navodi budžetska ograničenja kao glavnu prepreku za poboljšanje cyber zaštite.
Posebno su zabrinute manje kompanije: 28 posto njih kaže da se njihov sistem za zaštitu podataka ne poklapa s njihovim potrebama, ali i da očekuju napredak u narednom periodu, dok 56 posto manjih kompanija navodi da nemaju znanja, vještine ili budžet koji bi pokrio unaprjeđenja sistema za cyber sigurnost.
Poboljšanje sistema planiranja i provođenja odgovora na incidente, važan je segment u kojem mnoge organizacije trebaju optimizirati svoje sposobnosti. Svega 15 posto organizacija tvrdi da se izvještavanje o stanju sigurnosti informacijskog sistema u potpunosti poklapa s njihovim očekivanjima.
Kompanije koje direktno surađuju s potrošačima, suočavaju se s posebnim izazovima kada je u pitanju cyber sigurnost. Održavanje povjerenja je ključno za njihov biznis, ali su istovremeno posebno ranjivi jer posluju na tržištu gdje potrošači zahtijevaju uslugu 24 sata dnevno kroz različite poslovne modele. Cyber hakeri koriste slabosti ovih organizacija zbog vrijednosti i obima podataka o njihovim potrošačima, kojim istovremeno zaposleni imaju pristup. Izvještaji ukazuju da cyber hakeri sada prodaju programe koji im omogućavaju da istovremeno ciljaju više online maloprodajnih lanaca.
U međuvremenu, cyber napadi ne prestaju. S nekim od njih smo upoznati, kao što je napad na kompaniju British Airways u rujnu 2018. godine, koji je imao direktan utjecaj na 380.000 klijentskih transakcija.
Sektor financijskih usluga nalazi se u središtu borbe protiv cyber napada. Ne samo da cjelokupan sektor predstavlja ogromnu metu za cyber hakere, već i sam sektor sve više zavisi od podataka. Financijske organizacije moraju čuvati ove podatke po svaku cijenu, čak i ako se prilagođavaju inicijativama kao što je “open-banking initiative” koja podrazumijeva da organizacije eksterno dijele podatke s trećim stranama. Ovi napori će se morati značajno ubrzati, s obzirom na to da cyber hakeri nastavljaju targetirati organizacije koje pružaju financijske usluge. Također, nove “on-line” tehnologije moraju konstantno biti praćene: lažne aplikacije za online bankarstvo u prosjeku prevare više od jednog od tri potrošača. Istovremeno se nastavljaju i “tradicionalne prevare”. Novi izvještaji o poslovnim zloupotrebama elektronske pošte, kao što su maliciozne “phishing” kampanje, navode da su “trojanci” u bankama sada u širokoj upotrebi. Ono što je dodatno alarmantno je i to da cyber hakeri danas sve više međusobno surađuju. U ljeto 2018. godine FBI je upozorio na pažljivo osmišljen multinacionalni napad na bankarski sektor koji bi ispraznio gotovinu s bankomata za samo nekoliko sati.
3. Osigurati rast s fokusom na implementaciju personaliziranih sigurnosnih sistema kao ključni faktor uspjeha digitalne transformacije
Priroda svake digitalne transformacije kroz koju prolaze kompanije varira ovisno o organizaciji. Ono što je izvjesno je da će svaka organizacija morati integrirati jednu od slijedećih komponenti: online prodaja, podrška klijentima, integracija lanca opskrbe, primjena robotike u procesima automatizacije (RPA), umjetna inteligencija, blockchain, analitika podataka i inovacija na radnom mjestu.
Organizacije su svjesne rizika koji cyber napadi nose sa sobom i činjenice da je uspostavljanje cyber sigurnosti imperativ uspjeha u digitalnoj eri. Fokus sada treba biti i na tome na koji će način cyber sigurnost podržati i omogućiti rast kompanija. Cilj je integrirati i ugraditi sigurnost unutar poslovnih procesa od samog osnivanja kompanija ili uspostavljanja poslovnog procesa i tako izgraditi sigurnije radno okruženje za sve zaposlene.
Oko 70 posto organizacija naglašava da njihovo rukovodstvo ima sveobuhvatno razumijevanje sigurnosti ili poduzima pozitivne korake kako bi poboljšao svoje znanje o cyber sigurnosti. Krajnju odgovornost za cyber sigurnost snose zaposleni na rukovodećim pozicijama kompanije, dok je u 40 posto to CIO. Četiri od 10 organizacija ističe da je osoba s krajnjom odgovornošću član uprave kompanije. Kako sigurnost postaje ključni faktor rasta, vjerojatno je da će se ovaj postotak povećati.
Na osnovi ovogodišnjeg istraživanja, ipak, vrlo mali broj organizacija je zabrinut zbog ranjivosti kojima ih sada nove tehnologije izlažu. Ova činjenica je jako zabrinjavajuća i to ne samo zato što su ove tehnologije dostupne i napadačima. Kompanija IBM je nedavno ukazala na potencijal umjetne inteligencije koja je korištena u razvoju malicioznog softvera pod nazivom “Deep Locker”. Ovaj softver je vrlo opasan za organizacije i može skrivati svoju namjeru sve dok se meta ne zarazi.
Pišu:
Armin Dinar, direktor sektora IT Revizije u odjelu poslovnog savjetovanja, EY Srbija
Branko Subotić, viši menadžer u sektoru IT Revizije u odjelu poslovnog savjetovanja, EY Srbija