Liderzy firm przeznaczają mniej niż jeden dzień w roku na zagrożenia cybernetyczne: badanie Marsh, we współpracy z Microsoft

Środa, 18 Września 2019

Większość członków zarządu lub kadry kierowniczej odpowiedzialnej za zarządzanie ryzykiem cybernetycznym w swojej organizacji poświęca nie więcej niż jeden dzień w roku na zagadnienia związane z ryzykiem cybernetycznym - wynika z raportu 2019 Global Cyber  Risk Perception Survey przygotowanego przez Marsh we współpracy z Microsoft.

Badanie wykazało również, że wspomniany brak czasu na kwestie zagrożeń cybernetycznych pojawia się  w momencie, gdy niepokój spowodowany cyber atakami osiągnął najwyższy dotychczas poziom, oraz gdy zaufanie do firm w zakresie zarządzania ryzykami cybernetycznymi znacząco spadło. Globalne badanie przeprowadzone wśród 1500 organizacji opisuje aktualne postrzeganie ryzyka cybernetycznego, a także sposoby zarządzania nim, porównując tym samym rezultaty uzyskane w poprzedniej edycji badania z 2017 roku.

Blisko 80% respondentów wymieniło ryzyka cybernetyczne wśród największych zagrożeń, (dla porównania – w 2017 r.: 62%.) Jednakże zaledwie 11% ankietowanych jest pewnych swoich umiejętności, co do prawidłowej oceny zagrożeń, przeciwdziałania atakom czy skutecznego reagowania (spadek z 19% w 2017 r.).

Dla wielu organizacji, strategiczne zarządzanie ryzykiem cybernetycznym nadal pozostaje wyzwaniem. Podczas gdy blisko 2/3 ankietowanych (65%) przypisało odpowiedzialność za zarządzanie ryzykami cybernetycznymi kadrze kierowniczej i zarządowi, zaledwie 17% z kierowników wyższego szczebla przyznało, że przeznaczyło więcej niż kilka dni w roku na te kwestie. Ponad połowa, bo 51% przeznaczyła zaledwie kilka godzin lub mniej.

Jednocześnie, 88% respondentów wskazało dział IT jako głównego decydenta ds. zarządzania ryzykiem cybernetycznym, podczas gdy 30% pracowników IT przyznało, że spędziło jedynie kilka dni lub mniej na analizie ryzyk cybernetycznych.

Warto dodać, że organizacje pomimo korzystania z nowych technologii, nie są w pełni świadome ryzyk jakie one niosą. Większość ankietowanych (77%) potwierdziło, że jest w trakcie adaptacji lub zaadaptowało nowe technologie, takie jak przechowywanie danych w chmurze, robotykę czy sztuczną inteligencję. Tylko 36% twierdzi, że dokonało oceny ryzyk zarówno przed, jak i po adaptacji nowych technologii, 11% przyznaje, że w ogóle nie dokonało oceny.

Anna Pluta - Lider Praktyki Cybernetycznej Marsh Polska podkreśla: „Badanie pokazało, że świadomość zagrożeń cybernetycznych w organizacji rośnie a cyber bezpieczeństwo jest jednym z najważniejszych priorytetów biznesowych. Firmy przykładają więcej uwagi do występujących zagrożeń  jednak zdolności do zarządzania  nimi, poczucie pewności w tym obszarze  zmalało w stosunku do badań z roku 2017 .   

Konsekwentnie wobec lat ubiegłych badanie wskazało zagrożenia atakiem hakerskim jako najpoważniejsze z wszystkich współczesnych zagrożeń dla biznesu. Pomimo tak poważnego postrzegania ryzyka w organizacji zdecydowana większość respondentów deleguje kwestie zarządzania bezpieczeństwem cybernetycznym wyłącznie do zespołów IT (aż 88%  respondentów wobec 70% z badania w 2017), tylko 17% liderów i kadry zarządczej przyznało się, że w ostatnim roku  poświecili  na kwestie związane z cyber ryzykiem raptem  klika dni. Wiele organizacji skupia się głównie na technologicznych rozwiązaniach i inwestycjach w narzędzia chroniące i zabezpieczające przed cyber ryzykiem, zapominając o ocenie ryzyka, możliwości jego transferu, reakcji na incydent czy naruszenie bezpieczeństwa danych - czyli o tych obszarach, które kształtują kulturę cyber bezpieczeństwa i budują odporność organizacji na potencjalne zagrożenia.

Innowacje IT wydają się być absolutnie konieczne dla większości biznesu, pozostawiają one jednak nierozłącznie technologiczny ślad w środowisku IT, organizacji włączając w to ryzyko cybernetyczne. Postęp naraża organizacje na zwiększenie powierzchni ataku, która rozszerza się w wyniku implementacji nowych rozwiązań technologicznych.  Ponad ¾ respondentów potwierdziło zaadoptowanie lub rozważa wprowadzenie co najmniej jednego operacyjnego udogodnienia technologicznego,  50% przyznało, że zagrożenia cybernetyczne prawie nigdy nie stanowiły przeszkody we wdrożeniu nowych rozwiązań, jednakże dla 23% respondentów, włączając w to wiele mniejszych firm, koszty i ryzyko związane z wdrożeniem nowych technologii niestety przewyższa korzyści i możliwości z nich wynikające. Zagrożenia i ekspozycje związane z nowymi technologiami muszą być zatem wywarzone wobec potencjalnych benefitów będących efektem dokonanej transformacji technologicznej a tolerancją ryzyka, która jest różna dla każdej organizacji  czy branży.

Powszechna cyfryzacja w łańcuchu dostaw, rosnąca współzależność gospodarcza ma wpływ na powstawanie cyber ryzyka w  wśród wszystkich zaangażowanych podmiotów, nie jest to ryzyko dotykające tylko jednej strony czy jednego partnera biznesowego. Ciekawostką wśród wielu respondentów są rozbieżności w postrzeganiu ryzyka, na które są narażone firmy w ramach łańcucha dostaw: 39% respondentów stwierdziło, że zagrożenie ze strony ich parterów czy dostawców było wysokie lub dość wysokie, ale tylko 16% respondentów wskazało, że w łańcuchu dostaw to oni sami są wysokim lub dość wysokim „ nośnikiem” zagrożeń cybernetycznych.

Wśród respondentów bardziej prawdopodobne było ustalenie wyższych standardów dla własnych działań w zakresie zarzadzania ryzkiem cybernetycznym niż podwyższanie standardów wobec innych kontrahentów w ramach łańcucha dostaw.

Generalnie organizacje wskazują na ograniczającą rolę nowowprowadzonych regulacji i prawa. Zdaniem respondentów mają one wpływ na efektywność i nie pomagają w zarządzaniu cyber ryzykiem. Wyjątkiem są ataki sponsorowane przez obce państwa - w zakresie tych zagrożeń  ponad połowa  respondentów oczekuje większego zainteresowania i pomocy z strony instytucji rządowych.  

Wraz z rozwojem zagrożeń także ubezpieczenia od ryzyk cybernetycznych są na krzywej wznoszącej a organizacje prezentują otwartą postawę na ubezpieczeniowy transfer ryzyka.  47%  badanych organizacji potwierdziło posiadanie ochrony ubezpieczeniowej  (wzrost wobec 34% w roku 2017), niepewność co do możliwości uzyskania ochrony ubezpieczeniowej adekwatnej wobec potrzeb spadła do 31% z 41% w 2017 i aż 89%  respondentów posiadających ochronę ubezpieczeniową zadeklarowało wysoką i dość wysoką  pewność, że posiadane policy pokryłyby koszty związane z  cyber incydentem”.

About Marsh

Marsh is the world’s leading insurance broker and risk adviser. With over 35,000 colleagues operating in more than 130 countries, Marsh serves commercial and individual clients with data driven risk solutions and advisory services. Marsh is a business of Marsh & McLennan Companies (NYSE: MMC), the leading global professional services firm in the areas of risk, strategy and people. With annual revenue approaching US$17 billion and 76,000 colleagues worldwide, MMC helps clients navigate an increasingly dynamic and complex environment through four market-leading businesses: Marsh, Guy Carpenter, Mercer, and Oliver Wyman. Follow Marsh on Twitter @MarshGlobal; LinkedIn; Facebook; and YouTube, or subscribe to BRINK.