Svaka četvrta tvrtka (27 posto) u svijetu u posljednje je tri godine pretrpjela povredu podataka koja ih je stajala između 1 i 20 milijuna dolara ili više, navodi se u PwC-ovom godišnjem istraživanju o povjerenju u digitalne tehnologije, Global Digital Trust Insights Survey, u kojem je sudjelovalo više od 3500 viših rukovoditelja u 65 zemalja.
Postotak je veći za tvrtke koje su sudjelovale u istraživanju u Sjevernoj Americi, gdje je svaka treća tvrtka pretrpjela povredu podataka (34 posto), dok je samo 14 posto tvrtki na globalnoj razini izjavilo da nije zabilježilo povredu podataka tijekom tog razdoblja.
Unatoč tome što zbog kibernetičkih napada tvrtke bilježe gubitke u milijunima dolara, manje od 40 posto ispitanih rukovoditelja navelo je da su u potpunosti otklonili izloženost kibernetičkim sigurnosnim rizicima u nizu kritičnih područja. Ta područja uključuju sljedeće: omogućavanje rada na daljinu i hibridnog rada (38 posto kaže da je kibernetički rizik u potpunosti otklonjen); ubrzanu primjenu poslovanja u oblaku (35 posto); sve češće korištenje interneta stvari (34 posto); sve veću digitalizaciju opskrbnog lanca (32 posto) i aktivnosti poslovne podrške (31 posto).
Za ispitane rukovoditelje koji su usredotočeni na operativne aktivnosti, kibernetička sigurnost opskrbnog lanca od izuzetne je važnosti. Devet od njih deset izrazilo je zabrinutost za sposobnosti njihovih organizacija da se odupru kibernetičkom napadu koji bi prekinuo njihov opskrbni lanac, a 56 posto ispitanih je izrazito ili vrlo zabrinuto.
Postoji pozitivan stav prema obveznom prijavljivanju kibernetičkih incidenata
Četiri od pet ispitanih organizacija (79 posto) navelo je da je za stjecanje povjerenja dionika neophodan usporediv i dosljedan format obveznog prijavljivanja kibernetičkih incidenata. Tri četvrtine (76 posto) slaže se da će učestalije izvještavanje investitorima predstavljati neto korist za organizaciju i čitavi ekosustav. Štoviše, isti postotak smatra da bi se od vlada trebalo očekivati da bazu znanja koja će proizaći iz obaveznog prijavljivanja kibernetičkih napada iskoriste za razvoj tehnika kibernetičke obrane u privatnom sektoru.
Iako postoji jasna sklonost ka obveznom prijavljivanju kibernetičkih incidenata, manje od polovice ispitanih rukovoditelja (42 posto) u potpunosti je uvjereno da njihova organizacija može pružiti potrebne informacije o materijalnom/značajnom incidentu unutar navedenog izvještajnog razdoblja. Osim toga, prisutna je i nevoljkost vezana uz dijeljenje previše informacija – 70 posto izjavilo je da javna objava informacija u većem obujmu i veća transparentnost predstavljaju rizik i mogu dovesti do gubitka konkurentske prednosti.
Sean Joyce, globalni voditelj usluga vezanih za kibernetičku sigurnost i zaštitu privatnosti te voditelj usluga vezanih za kibernetičku sigurnost u PwC-u SAD komentirao je da su povrede podataka sveprisutna prijetnja u današnjem digitalnom svijetu.
– Kako su po svojoj učestalosti i sofisticiranosti kibernetičke prijetnje i dalje u porastu, holistički pristup kibernetičkoj sigurnosti postao je glavni prioritet najvišim razinama rukovoditelja i upravama. Tvrtke jačaju svoju kibernetičku obranu, a regulatori vrše pritisak s ciljem unaprjeđenja kibernetičke otpornosti i izgradnje povjerenja u javnosti. Iz našeg je istraživanja jasno da je potrebna viša razina javno-privatne suradnje za bavljenje sve složenijim okruženjem kibernetičkih prijetnji – tvrtke pozivaju na veću razmjenu informacija i transparentnost, kao i uvođenje dosljednog formata obveznog prijavljivanja kibernetičkih incidenata – rekao je Joyce.
– Ono što pokazuje studija, a i trendovi, jest da su kompanije sve više svjesne potrebe ulaganja sredstava, resursa i vremena u povećanje otpornosti po pitanju kibernetičke sigurnosti jer ubrzanom digitalizacijom poslovanja, okretanju ka i uvođenjem novih tehnologija (npr. računalstvo u oblaku), raste i rizik od raznih kibernetičkih prijetnji koje ranije nisu postojale ili nisu bile toliko izražene – rekao je Bruno Čurčija, direktor u Odjelu za usluge revizije informacijskih sustava u PwC-u Hrvatska.
– Svim bi tvrtkama bilo korisno postaviti okvir upravljanja informacijskom sigurnošću koji je razumljiv svim dionicima u organizaciji – od zaposlenika do ključnih dobavljača i pružatelja usluga, što samo po sebi predstavlja višu razinu zrelosti i povećanje otpornost na potencijalne ugroze.
K tome, tvrtke bi trebale kontinuirano ulagati i raditi na kampanjama osvještavanja zaposlenika i trećih strana o trendovima i prijetnjama iz domene informacijske i kibernetičke sigurnosti, što je nužno za postizanje veće razine sigurnosti uz, kako je navedeno u studiji, pravovremenu i transparentnu komunikaciju između IT-a, informacijske sigurnosti i tehnike.
Naglasak bi, možda više nego ikad, trebao biti na ulaganje u edukaciju ljudi i bolje upravljanje svojim opskrbnim lancem s ciljem smanjenja rizika u nabavi, isporuci i/ili implementaciji rješenja i usluga kojima se smanjuju ranjivosti i povećava otpornost poslovanja.
Hrvatska po pitanju kibernetičke sigurnosti ne zaostaje po pitanju razmjene ideja, iskustava, uvođenja novih tehnologija, ali je nužno i dalje raditi na kontinuiranom obrazovanju i osvješćivanju društva u cjelini pa tako i samih organizacija kako bi svi zajedno bili sigurniji i nastavili dalje graditi povjerenje u društvu – dodao je Čurčija.
Većina organizacija povećava svoje budžete za ulaganja u kibernetičku sigurnost
Većina ispitanih rukovoditelja izjavila je da njihove organizacije nastavljaju povećavati svoje budžete za ulaganja u kibernetičku sigurnost – 69 posto navelo je da su povećali budžet 2022. godine, a 65 posto planira povećati ulaganja u kibernetičku sigurnost tijekom 2023. godine. Sve veći budžeti jasno pokazuju da je kibernetička sigurnost prioritet kada je riječ o planiranju otpornosti. Prema istraživanju, prilikom planiranja otpornosti organizacija kibernetički napad s katastrofalnim posljedicama smatra se ozbiljnijom prijetnjom od globalne recesije ili još jedne zdravstvene krize.
Zabrinutost oko kibernetičke sigurnosti seže do samog vrha organizacija. Većina ispitanih predsjednika uprava planira pojačati aktivnosti glede kibernetičke sigurnosti u nadolazećoj godini – 52 posto izjavilo je da će pokrenuti značajne inicijative za poboljšanje kibernetičku poziciju svoje organizacije. Mnogi ispitani financijski direktori također planiraju staviti veći fokus na pitanja kibernetičke sigurnosti, uključujući kibernetička tehnološka rješenja (39 posto), fokus na strategiju i koordinaciju s inženjerskim/operativnim timom (37 posto) te na usavršavanje i zapošljavanje kibernetičkih stručnjaka (36 posto).
Nije teško zaključiti zašto korporacije daju kibernetičkim pitanjima sve veći prioritet. Trošak kibernetičkih proboja mnogo je veći od izravnih financijskih troškova, smatraju marketinški orijentirani rukovoditelji koji su sudjelovali u istraživanju. Raspon šteta koje su tvrtke pretrpjele zbog kibernetičkih proboja ili incidenata u vezi s povredom povjerljivosti podataka u posljednje 3 godine uključuje gubitak korisnika (kako navodi 27 posto ispitanika), gubitak korisničkih podataka (25 posto) i štetu nanesenu poslovnom ugledu ili brendu (23 posto).
– Unatoč cjelokupnom napretku koji su organizacije ostvarile u unaprjeđenju svojih programa kibernetičke sigurnosti, naše istraživanje pokazuje da se još puno toga mora učiniti. Tri su stvari koje treba uspostaviti kako bismo išli ukorak s digitalnom transformacijom i doprinijeli izgradnji povjerenja u javnosti: program strateškog upravljanja rizicima, planiranje neprekinutog poslovanja i krizno planiranje te jasno i dosljedno javno izvještavanje – zaključio je Joyce.