Informacja prasowa

31 sty 2022 Warszawa, PL

Analiza EY: Wyzwania cyberbezpieczeństwa dla firm w 2022 roku

W wyniku pandemii zmiany technologiczne, planowane w perspektywie lat, urzeczywistniły się w przeciągu miesięcy. Poza niewątpliwymi korzyściami, przeniesienie interakcji i znaczącej części pracy do domeny cyfrowej zwiększyło również ryzyko ataków hakerskich. W efekcie cyberbezpieczeństwo stało się jednym z największych współczesnych wyzwań. W opinii ekspertów EY w 2022 roku największe sprawdziany dla firm będą związane z nowymi strategiami cyberprzestępców, europejskimi dyrektywami Digital Operational Resiliance Act (DORA) oraz NIS2, zarządzaniem rozwojem sztucznej inteligencji oraz działaniami w chmurze w branżach szczególnie wrażliwych. Przykładowo DORA na poziomie unijnym ujednolica przepisy w zakresie cyfrowej odporności przedsiębiorstw działających w sektorze finansowym.

Kontakt dla mediów
Rafał Olak

EY Polska, Media Officer

Łączy ludzi którzy wiedzą, z tymi którzy chcą się dowiedzieć

Related topics Cybersecurity
W wyniku pandemii zmiany technologiczne, planowane w perspektywie lat, urzeczywistniły się w przeciągu miesięcy. Poza niewątpliwymi korzyściami, przeniesienie interakcji i znaczącej części pracy do domeny cyfrowej zwiększyło również ryzyko ataków hakerskich. W efekcie cyberbezpieczeństwo stało się jednym z największych współczesnych wyzwań. W opinii ekspertów EY w 2022 roku największe sprawdziany dla firm będą związane z nowymi strategiami cyberprzestępców, projektem rozporządzenia Digital Operational Resiliance Act (DORA) oraz dyrektywą NIS2, zarządzaniem rozwojem sztucznej inteligencji oraz działaniami w chmurze w branżach szczególnie wrażliwych. Przykładowo DORA na poziomie unijnym ujednolica przepisy w zakresie cyfrowej odporności przedsiębiorstw działających w sektorze finansowym.

Dynamiczne przejście do modelu cyfrowego dotyczy wielu sektorów gospodarki. Widoczne jest nie tylko w handlu i usługach, ale także w transporcie lub przemyśle. Kolejnym etapem, już mocno widocznym, jest automatyzacja oraz masowe przetwarzanie dużej ilości danych. Ten proces sprzyja zwiększaniu ryzyka nadużyć ze strony cyberprzestępców. Jeszcze dwadzieścia lat temu przestój całego przedsiębiorstwa mogła wywołać praktycznie wyłącznie klęska żywiołowa. Dziś „wystarczy” atak hakerski. 

Najpopularniejsze obecnie działania cyberprzestępców polegają na wymuszeniu okupu za  odszyfrowanie danych. Na tzw. atak ransomware mogą być narażone firmy z niemal każdego sektora. Zarówno metody działania, jak i narzędzia są uniwersalne. Nie wymagają żadnych specyficznych uprawnień ani działań po stronie atakowanego – wystarczy zwykła, dobrze znana socjotechnika. Przyczyn podatności można szukać w samej naturze ludzkiej, ale bardzo mocno przyczyniają się do niej niedostatki założeń oraz realizacji polityki bezpieczeństwa w firmach, a także problemy budżetowe i brak nacisku na szkolenie pracowników. Czynnikiem ryzyka w tym przypadku jest także nadmiernie przyspieszona cyfryzacja wymuszona przez pandemię, często realizowana bez wymaganego przygotowania. Z kolei ograniczenia budżetowe sprawiają, że wiele firm nie dysponuje narzędziami, które mogłyby zmniejszyć prawdopodobieństwo i znacząco zredukować skutki ataku.

Bezpośrednio na maila

Bądź na bieżąco i subskrybuj newsletter EY

Subskrybuj

Sytuacja jest tym poważniejsza, że wiele firm pozostaje niezwykle podatne na działania ze strony cyberprzestępców. Stanowi to „efekt uboczny” pandemii, w trakcie której przedsiębiorstwa z niemal każdej gałęzi gospodarki musiały znacząco przyspieszyć proces przechodzenia do świata wirtualnego. Dotyczy to nie tylko działań skierowanych bezpośrednio do klientów, ale również procesów wewnętrznych. Działo się to często kosztem zabezpieczenia swojej cyfrowej infrastruktury. Równocześnie rozwój tzw. kryptowalut znaczącą ułatwił hakerom ukrywanie dochodów z podejmowanych przez nich nielegalnych działań. 

- Sukces cyfryzacji został natychmiast wykorzystany przez cyberprzestępców, którzy szybko dostosowali się do zmieniającej się rzeczywistości. Im więcej pośpiechu I aktywności w sieci, tym większe ryzyko ataku. Jeżeli dodamy do tego możliwości kryptowalut, takie jak np. zaawansowana anonimowość lub stosunkowa łatwość prania brudnych pieniędzy w transakcjach transgranicznych, to otrzymujemy w ten sposób idealny koktajl dla cyberprzestępców. Mają co atakować i z nielegalnego procederu potrafią czerpać korzyści – mówi Marcin Marciniak, Manager, Cyber Security Implementation, EY. 

DORA, czyli operacyjna cyfrowa odporność 

Digital Operational Resiliance Act (DORA) to projekt rozporządzenia Unii Europejskiej, która ma na celu ujednolicenie przepisów w zakresie cyfrowej odporności w krajach Wspólnoty. Regulacje, których finalna wersja powinna zostać opublikowana w pierwszym kwartale 2022 r., dotyczą sektora finansowego, ale jest on rozumiany bardzo szeroko. Obejmuje m.in. banki, ubezpieczycieli, przedsiębiorstwa inwestycyjne, ale także podmioty, z którymi ta gałąź gospodarki silnie współpracuje, takie jak firmy audytowe lub dostawcy rozwiązań informatycznych. 

- Cyfrowa odporność operacyjna ma na celu zagwarantowanie ciągłości i utrzymanie jakości świadczonych usług w obliczu zakłóceń wpływających na technologie informacyjne i telekomunikacyjne firm. W uzasadnieniu rozporządzenia dotyczącego DORA stwierdzono, że dotychczasowe ramy regulacyjne na poziomie europejskim w obszarze zarządzania ryzykiem były fragmentaryczne lub wewnętrznie sprzeczne. Dobrym przykładem jest obowiązek notyfikacji incydentów cybernetycznych. Zgłaszanie ich przez podmioty finansowe często jest regulowane przez różne przepisy - np. NIS, PSD2, RODO - przez co sam proces bywa niejasny, wydłużony lub nieefektywny. Obecne rozproszenie przepisów nakłada więcej obowiązków na podmioty finansowe, wymaga od nich angażowania szerszych zasobów i skupiania się na regulacyjnej zgodności zamiast na bezpiecznym odzyskaniu kontroli oraz ochronie swojej działalności. DORA ma na celu harmonizację przepisów, zapewnienie łatwiejszej adaptacji do oczekiwanych wymagań i kontrolę nad ich wykonywaniem – mówi Jakub Walarus, Lider Zespołu Ryzyka Technologicznego w EY Polska.

Część organizacji może być przekonana, że założenia nowego rozporządzenia już sprawnie u nich funkcjonują. Jednak może to być złudne. DORA rzeczywiście dubluje niektóre obowiązki, ale nawet wtedy są one doprecyzowane np. w obszarze informowania o incydentach wynikających z KSC czy RODO. DORA ma to ujednolicić, usystematyzować i sprawić, by rozproszone obowiązki zaczęły obejmować cały sektor finansowy w spójnej formie. Zatem ich realizacja wymagać będzie zupełnie nowego spojrzenia.

Najważniejsza różnica dotyczy poszerzenia listy podmiotów. Do tej pory obowiązki związane z zapewnieniem cyberbezpieczeństwa w sektorze finansowym dotyczyły niemal wyłącznie banków. Zgodnie z projektem rozporządzenia, lista podmiotów ulegnie poszerzeniu np. o ubezpieczycieli. Wprowadzona zostanie również kontrola zewnętrznych dostawców, na których bardzo mocno polega cały sektor finansowy. W rezultacie szczególnego znaczenia nabiera kontrola z jakich rozwiązań instytucja finansowa korzysta i komu dane firmy oraz jej klientów są powierzane.

NIS2 – czyli dwa lata przed rewolucją

W grudniu 2020 roku Komisja Europejska przedstawiła nowy pakiet rozwiązań, którego częścią jest projekt rozporządzenia w sprawie środków na rzecz poprawy wspólnego poziomu cyberbezpieczeństwa, nazywana NIS2. 

Propozycja KE wprowadza szereg zmian. Projektem rozporządzenia objęte zostaną zupełnie nowe branże takie jak, podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych, apteki, administracja publiczna, usługi pocztowe i kurierskie, gospodarowanie odpadami, a także produkcja i przetwarzanie żywności. Wiele z tych sektorów wcześniej nie miało obowiązków w zakresie cyberbezpieczeństwa i dlatego nie podejmowało działań w tym zakresie lub  realizowało je w ograniczony sposób. 

NIS2 wprowadzi także dodatkowe obowiązki dla podmiotów, m.in. konieczność zapewnienia ciągłości działania i zarządzania kryzysowego, zapewnienie bezpieczeństwa łańcucha dostaw, obowiązek testowania procedur i audytów, a także konieczność wykorzystywania kryptografii i szyfrowania danych. Niewypełnienie obowiązków będzie skutkować bardzo wysokimi karami finansowymi — co najmniej 10 mln euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa.

Razem z wprowadzonymi wymaganiami, wzrasta również zakres uprawnień organów kontrolnych i nadzorczych (organów właściwych ds. cyberbezpieczeństwa). Będą one miały możliwość podejmowania działań w zakresie m.in. kontroli na miejscu i nadzór zewnętrzny (również wyrywkowy), występowanie z wnioskiem o udzielenie informacji uważanych za niezbędne do oceny środków bezpieczeństwa lub wyznaczenie inspektora, który przez jakiś czas będzie monitorował ich realizację. 

- Obowiązki wprowadzane przez NIS 2 będą dużym wyzwaniem dla większości sektorów i dlatego warto rozpocząć przygotowania już teraz. Obowiązki związane z raportowaniem nie tylko incydentów, ale także zagrożeń oraz o wiele wyższe kary finansowe i osobowa odpowiedzialność członków zarządów za niewypełnienie zapisów to duże zmiany. NIS 2 wprowadzi nie tylko wyższy poziom bezpieczeństwa teleinformatycznego, ale także o wiele silniejszy nadzór państwa. Szacujemy, że przepisy wejdą w życie na przestrzeni kolejnych dwóch lat, jednak skala planowanych zmian jest tak znacząca że przygotowania należy rozpocząć jak najszybciej – komentuje dr Magdalena Wrzosek, Senior Consultant, Cyber Security & Technology, EY Polska.

Sztuczna inteligencja – zagrożenia związane ze zmianami regulacyjnymi

Popularność rozwiązań opartych na sztucznej inteligencji zwiększa się błyskawicznie. Z jednej strony technologia ta stwarza ogromne korzyści i możliwości, z drugiej – wiążą się z nią ryzyka, którym należy zapobiegać poprzez wdrożenie odpowiednich mechanizmów kontrolnych. W zakresie zgodności z prawem należy mieć na uwadze podejście regulacyjne, w szczególności przygotowywane obecnie przepisy w Unii Europejskiej.

W kwietniu 2021 roku opublikowano projekt rozporządzenia  - tzw. Akt o Sztucznej Inteligencji. W projekcie pojawia się pierwsza prawna definicja sztucznej inteligencji, wyznaczająca ramy do jakich systemów będą miały zastosowanie przepisy. Przedstawiony jest także katalog zakazanych praktyk. Definicję i zakres stosowania będą mogły być aktualizowane przez Komisję Europejską o nowe technologie i praktyki w miarę rozwoju technologicznego. Rozporządzenie to będzie pierwszym tego typu unijnym, kompleksowym aktem prawnym regulującym sztuczną inteligencję.

Podejście regulacyjne UE sprowadza się do określenia minimalnych wymogów niezbędnych do zapobiegania ryzykom i problemom związanym ze sztuczną inteligencją bez nadmiernego ograniczenia i utrudniania rozwoju technologii, a także bez kreowania nieuzasadnionych kosztów po stronie dostawców i użytkowników systemu. Ogólna zasada zakłada stopniowanie restrykcji zależnie od ryzyka – im większe ryzyko tym bardziej rygorystyczne wymagania. Systemy wysokiego ryzyka objęte będą dodatkowymi obostrzeniami takimi jak: obowiązek sporządzenia szczegółowej dokumentacji, konieczność stosowania odpowiednich praktyk związanych z zarządzaniem danymi, obowiązek dokonywania oceny ryzyka, wymóg rejestrowania zdarzeń czy zapewnienia nadzoru człowieka. 

Projekt rozporządzenia określa także środki nadzorcze, które odpowiednie organy będą mogły wykorzystywać do oceny, czy systemy są zgodne z rozporządzeniem oraz kary, które organy te będą nakładać na podmioty za stosowanie praktyk niezgodnych z przepisami rozporządzenia. Środki te będą dotkliwe - organy nadzorcze będą mogły żądać pełnego dostępu do danych (w tym kodu źródłowego)  oraz pełnej dokumentacji. Dozwolona będzie również ocena systemu sztucznej inteligencji, a także nakładanie obowiązku podjęcia działań naprawczych.  Organy nadzorcze będą mogły nawet zakazać lub ograniczyć stosowanie systemu stwarzającego ryzyko, który nie spełnia wymogów określonych w rozporządzeniu. Kary finansowe będą sięgać nawet 30 milionów euro lub 6 % rocznego, światowego obrotu.

- Sztuczna inteligencja może przyczynić się do globalnego skoku cywilizacyjnego na miarę czwartej rewolucji przemysłowej. Z drugiej strony z tą technologią związane są nowe ryzyka np. skłonność do podejmowania decyzji dyskryminacyjnych. Dostrzegając te zagrożenia oraz mając na celu rozwój etycznej sztucznej inteligencji w Europie, Komisja Europejska przygotowała projekt rozporządzenia unijnego, które ma uregulować stosowanie systemów stwarzających najwyższe i wysokie ryzyko. Rozporządzenie to będzie pierwszym unijnym aktem prawnym regulującym sztuczną inteligencję, przy czym akt ten będzie miał wpływ nie tylko na dostawców i użytkowników z Unii Europejskiej, ale również na dostawców i użytkowników z państw trzecich  - mówi Maciej Bisch Adwokat, Kancelaria EY Law.

Czy compliance-by-design = compliance-by-default?

Usługi chmurowe umożliwiają dynamiczny rozwój organizacji w ważnych sektorach gospodarki. W polskich realiach najbardziej zaawansowany jest sektor usług finansowych. Opublikowany w styczniu 2020 roku komunikat Chmurowy Komisji Nadzoru Finansowego wskazuje w jaki sposób wdrożyć chmurę w tej branży od strony regulacyjnej, aby zapewnić bezpieczeństwo podczas korzystania z tej technologii. 

Komunikat Chmurowy jest neutralny technologicznie, czyli nie wskazuje wprost, jakie rozwiązania technologiczne mają być przyjęte, a także – poza wyjątkami - nie określa standardów bezpieczeństwa. Przenosi obowiązek podejmowania decyzji dotyczących bezpieczeństwa na podmiot regulowany, ale decyzje te muszą być oparte na wynikach analizy ryzyka. Pierwszym krokiem przy wdrażaniu rozwiązań opartych na usługach chmurowych jest przeprowadzenie analizy luki, czyli sprawdzenie w jakim stopniu organizacja działa w zgodzie z regulacjami. Następnym działaniem jest sporządzenie strategii chmurowej. Ten zaawansowany dokument stwarza ramy koncepcyjne dla całego procesu. Utworzona w ten sposób swoista „mapa drogowa dla projektu” ma brać pod uwagę strategię biznesową, IT oraz bezpieczeństwa. Dodatkowo Komunikat Chmurowy wprowadził obowiązek ciągłego monitorowania i testowania wykorzystywanej usługi.

Inne gałęzie gospodarki otwierają się na tego rodzaju rozwiązania, co widać zwłaszcza w obszarze energetycznym. Tę potrzebę dostrzegł także prawodawca. W efekcie, we wrześniu 2021 roku, Ministerstwo Klimatu i Środowiska opublikowało rekomendacje w zakresie cyberbezpieczeństwa w sektorze energetycznym. 

Strategię bezpieczeństwa rozwiązań chmurowych można opracować z użyciem podejścia top-down, które oznacza stworzenie ram wymagań bezpieczeństwa o generalnym charakterze, niezwiązanych z konkretną technologią. Opracowane ramy będą odzwierciedlać wymagania bezpieczeństwa przypisane do właściwych informacji. Na tej podstawie tworzy się następnie założenia bezpieczeństwa — zestaw minimalnych wymagań, które dana technologia musi spełnić. Są one opracowywane dla kolejnych usług lub całych rozwiązań chmurowych.

Założenia bezpieczeństwa zależą od modelu, w którym są świadczone usługi chmurowe. Wyróżniamy trzy podstawowe modele: IaaS (Infrastructure as a Service), PaaS (Platform as a Service) oraz SaaS (Software as a Service). Różnią się one sposobem wykorzystywania, a zatem także podziałem odpowiedzialności między dostawcę usług chmurowych a klienta, który na podstawie umowy będzie z tych usług korzystać. Bardzo ważnym obszarem związanym z bezpieczeństwem chmury, jest również ochrona kryptograficzna, obejmująca szyfrowanie informacji, procedury zarządzania kluczami szyfrującymi, ustalenie poziomów dostępów, zarządzanie cyklem życia algorytmów szyfrujących. 

Wdrożenie chmurowe jest interdyscyplinarnym procesem, w którym można wskazać dwa różne podejścia. Pierwszym jest Compliance-by-design, kiedy o zgodności z regulacjami myśli się od samego początku procesu wdrożenia, już na etapie planowania. Drugim jest Compliance-by-default, czyli założenie, że działania będą zgodne z regulacjami – bez wyłączeń - przez cały czas wdrożenia i eksploatacji.

- Tradycyjne podejście do bezpieczeństwa nie jest wystarczająco skuteczne w przypadku środowisk chmurowych, w tym szczególnie hybrydowych. Dzieje się tak dlatego, że nie ma tu jasno określonej granicy sieci, którą należy chronić. Obsługiwane ręcznie narzędzia do zarządzania bezpieczeństwem stały się zbyt mało efektywne w stosunku do rosnącego zakresu działania organizacji, a do tego brak centralizacji ogranicza poziom widoczności zasobów chmurowych potrzebny organizacjom do monitorowania, co dzieje się w ich sieciach – podsumowuje Michał Jasiorkowski, Manager, Cyber Security Compliance, EY Polska.

Więcej informacji: Wyzwania Cyberbezpieczeństwa 2022 Perspektywa EY

O firmie EY

Celem działalności EY jest budowanie lepiej funkcjonującego świata - poprzez wspieranie klientów, pracowników i społeczeństwa w tworzeniu trwałych wartości - oraz budowanie zaufania na rynkach kapitałowych.

Wspomagane przez dane i technologię, zróżnicowane zespoły EY działające w ponad 150 krajach, zapewniają zaufanie dzięki usługom audytorskim oraz wspierają klientów w rozwoju, transformacji biznesowej i działalności operacyjnej.

Zespoły audytorskie, consultingowe, prawne, strategiczne, podatkowe i transakcyjne zadają nieoczywiste pytania, by móc znaleźć nowe odpowiedzi na złożone wyzwania, przed którymi stoi dziś świat.

EY w Polsce to ponad 5000 specjalistów pracujących w 7 miastach: w Warszawie, Gdańsku, Katowicach, Krakowie, Łodzi, Poznaniu i Wrocławiu oraz w Centrum Usług Wspólnych EY.

Działając na polskim rynku co roku EY doradza tysiącom firm, zarówno małym i średnim przedsiębiorstwom, jak i największym firmom. Tworzy unikatowe analizy, dzieli się wiedzą, integruje środowisko przedsiębiorców oraz angażuje się społecznie. Działająca od ponad 20 lat Fundacja EY wspiera rozwój i edukację dzieci oraz młodzieży z rodzin zastępczych, zwiększając ich szanse na dobrą przyszłość, a także pomaga opiekunom zastępczym w ich codziennej pracy. Każdego roku Fundacja EY realizuje około 20 projektów pomocowych, wspierając w ten sposób ponad 1300 rodzin zastępczych.

EY Polska od 2003 roku prowadzi polską edycję międzynarodowego konkursu EY Przedsiębiorca Roku, której zwycięzcy reprezentują Polskę w międzynarodowym finale World Entrepreneur of the Year organizowanym co roku w Monte Carlo. To jedyna tej rangi, międzynarodowa inicjatywa promująca najlepszych przedsiębiorców.

EY Polska jest sygnatariuszem Karty Różnorodności i pracodawcą równych szans. Realizuje wewnętrzny program „Poziom wyżej bez barier”, aktywnie wspierający osoby z niepełnosprawnościami na rynku pracy. EY był w Polsce wielokrotnie wyróżniany tytułem „Pracodawca Roku®” w rankingu prowadzonym przez międzynarodową organizację studencką AIESEC. EY jest również laureatem w rankingach Great Place to Work oraz Idealny Pracodawca według Universum.

 

Odwiedź biuro prasowe