Studii Deloitte: companiile au un fals sentiment de siguranță cibernetică cauzat de supraevaluarea propriilor capacități și de lipsa măsurilor de apărare de bază

Aproximativ trei sferturi dintre companiile din domeniul financiar și al produselor de larg consum au un fals sentiment de siguranță cibernetică cauzat de supraevaluarea propriilor capacități și de lipsa măsurilor de apărare de bază, potrivit celor mai recente studii efectuate de Deloitte în domeniul securității cibernetice pentru sectorul financiar și cel al produselor de larg consum.

Pe o scară de maturitate de la zero la zece, peste 70% dintre respondenți și-au evaluat nivelul de securitate cibernetică pe poziția șapte sau chiar mai sus și numai 9% dintre companiile din sectorul financiar au afirmat că au implementat toate cele patru măsuri de bază în materie de securitate cibernetică, și anume pregătirea planurilor de răspuns, de autoapărare, cursuri de securitate cibernetică și de igienă cibernetică (cyber hygiene). De asemenea, doar patru din zece companii din industria produselor de larg consum au o strategie de apărare cibernetică, măsurile de apărare de bază fiind implementate integral sau parțial.

Desfășurarea activității în contextul acestui fals sentiment de siguranță cibernetică reprezintă un risc pentru companii, având în vedere că peste 70% dintre respondenții din domeniul financiar (72%), al produselor de larg consum (72%) și al (79%) percep o creștere a amenințărilor cibernetice în ultimii doi ani, subliniază studiile. În plus, sectorul financiar are o pondere mai mare de respondenți care afirmă faptul că nivelul de amenințare a rămas neschimbat în ultimii doi ani (28%) în comparație cu sectorul produselor de larg consum (24%) și al energiei, resurselor și producției industriale (21%), companiile din domeniul financiar fiind expuse amenințărilor cibernetice de mai mult timp decât celelalte domenii, ceea ce explică abordarea mai matură a pericolelor cibernetice.

Studiul arată că tentativele de tip phishing/malware sunt considerate cel mai mare risc cibernetic din sectorul financiar, după cum indică jumătate dintre respondenți. Al doilea cel mai mare risc este reprezentat de vulnerabilitățile tehnice ale aplicațiilor și infrastructurii, iar al treilea este scurgerea de date/integritatea datelor. În ceea ce privește companiile din domeniul energiei, resurselor și producției industriale, lipsa de securitate din interiorul lanțului de aprovizionare este menționată ca fiind cea mai mare amenințare de către 63% dintre respondenți. Această tendință se menține și în rândul companiilor din sectorul produselor de larg consum.

„În ultimii doi ani, activitățile de tip malware și phishing au ajuns în primele trei cele mai frecvente amenințări din Uniunea Europeană, ținând cont de faptul că 71% dintre organizații și companii s-au confruntat cu activități de tip malware, iar rata fraudelor cauzate de tentativele de phishing a crescut cu 667% în doar o lună în timpul pandemiei de COVID-19, potrivit datelor publice. În contextul creșterii amenințărilor cibernetice, companiile ar trebui să ia în considerare derularea de simulări complexe și să nu se bazeze doar pe efectuarea unor teste de penetrare sau scanări ale vulnerabilităților. Printre eforturile suplimentare pe care ar trebui să le aibă în vedere industria bancară se numără cadrul de testare a rezistenței cibernetice TIBER-UE (Threat Intelligence-Based Ethical Red-teaming-European Union) publicat de Banca Centrală Europeană, care își propune să organizeze teste similare unui atac real – implicând acțiuni ale echipelor roșii (Red Teaming), bazate pe evaluări anterioare ale informațiilor de amenințare, și ale echipelor albastre (Blue Teaming) sau violet (Purple) -, exerciții comune de apărare cibernetică care implică noi sisteme cibernetice și elemente tehnice și strategice integrate. Aceste aspecte permit companiilor să implice întregul lanț de comandă în simulările de atac cibernetic la scară largă”, a declarat Andrei Ionescu, Partener coordonator, Consultanță și Managementul Riscului, Deloitte România.

Studiile arată, de asemenea, modul în care conducerea companiilor din sectorul financiar, al produselor de larg consum și al energiei, resurselor și producției industriale abordează subiectele legate de securitatea cibernetică. Echipele de top management din sectorul financiar sunt mai concentrate pe astfel de aspecte decât cele din alte sectoare, subliniază studiile, 42% dintre respondenți indicând faptul că securitatea cibernetică se află pe agenda liderilor cu o frecvență lunară sau mai des, comparativ cu 37% dintre respondenții din sectorul produselor de larg consum și doar 30% dintre companiile din domeniul energiei, resurselor și producției industriale.

***

Echipa Deloitte România de consultanță în risc cibernetic este specializată în strategie cibernetică, verificări de securitate, detectarea și gestionarea amenințărilor cibernetice, evaluarea vulnerabilităților, teste de penetrare, revizuire de coduri sursă, red-team testing (TIBER-EU), procese și tehnologii de gestionare a incidentelor de securitate. În plus, echipa oferă cursuri și certificări recunoscute internațional prin intermediul Deloitte Academy. Deloitte este și centru oficial autorizat de training (Authorized Training Center – ATC) pentru EC-Council în România și una dintre puținele organizații din sectorul privat invitate să participe la exercițiile cibernetice anuale, cum ar fi cel în cadrul Cyber Coalition organizat de NATO și cele naționale ca parte a echipelor ofensive.