Rośnie zagrożenie cyberatakami na małe i średnie firmy w Wielkiej Brytanii
Najnowsze statystyki wskazujące na rosnące zagrożenie atakami za pomocą inżynierii społecznej oraz ransomware wśród małych i średnich firm sprawiły, że dużo się mówi na ten temat w sektorze ubezpieczeń.
Przedsiębiorcy MŚP często błędnie zakładają, że cyberprzestępcy atakują głównie większe firmy, bo tam mogą liczyć na większą zdobycz.
W rzeczywistości wielkość firmy nie ma znaczenia.
Nie liczy się także lokalizacja przedsiębiorstwa, gdyż hakerzy działają tak napawdę we własnych domach. Nie zwracają też uwagi na to, czy biznes, który planują zaatakować ma siedzibę w małym miasteczku czy nawet w wiosce. Jedyne, co ich interesuje, to dane, które mogą zdobyć.
Czasami to właśnie mniejsze przedsiębiorstwa są bardziej narażone na niebezpieczeństwo.
Duże firmy mają bardziej zaawansowane systemy chroniące ich przed cyberatakami i szkolą pracowników, aby umieli rozpoznać tego typu zagrożenia.
W związku z tym, nawet jeśli muszą mierzyć się z większą liczbą ataków, to szanse, że w jakikolwiek sposób im zaszkodzą są mniejsze.
Najczęstszym i coraz bardziej wyszukanym cyberatakiem jest wysyłanie e-maili z żądaniem przelania pieniędzy. Tutaj hakerzy polegają na ludzkich błędach, co oznacza, że każdy rodzaj firmy może paść ich ofiarą.
Jak duży jest to problem?
Jedną z metod stosowanych przez cyberprzestępców jest inżynieria społeczna, czyli manipulowanie ludźmi, aby przesłali pieniądze na fikcyjne konta lub ujawnili poufne informacje. Z kolei ataki typu ransomware polegają na kradzieży lub usunięciu danych, a następnie żądaniu okupu w zamian za ich zwrot. Obie metody są obecnie powszechnie stosowane.
Badanie dotyczące naruszeń bezpieczeństwa cybernetycznego przeprowadzone w 2022 r. przez brytyjskie Ministerstwo Cyfryzacji, Kultury, Mediów i Sportu wykazało alarmujące rezultaty, m.in.:
- W ciągu ostatniego roku 48% małych i 59% średnich firm doświadczyło cyberataku.
- 31% firm i organizacji charytatywnych twierdzi, że było atakowanych przynajmniej raz w tygodniu.
- Rok 2021 był najbardziej kosztownym i niebezpiecznym rokiem w historii pod względem ataków ransomware – odnotowano wówczas 714 milionów prób tego typu ataków. To o 134 procent więcej niż w 2020 roku.
Jeśli weźmiemy pod uwagę, że w Wielkiej Brytanii jest około 5,5mln MŚP, zapewniających trzy piąte zatrudnienia i generujące połowę obrotów prywatnego sektora, to problem staje się naprawdę poważny. [1]
Wyniki innych statystyk z bieżącego roku potwierdzają te dane.
Raport Ochrony przed Zagrożeniami Cybernetycznymi z 2022r., zawierający dane dotyczące ochrony cybernetycznej w krajach na całym świecie [2] wykazał, iż w Wielkiej Brytanii 81,4 procenta organizacji doświadczyło przynajmniej jednego cyberataku w ubiegłym roku, w porównaniu z 71,1 procentami w poprzednich 12 miesiącach.
Inne państwa wypadły jeszcze gorzej: w Kolumbii, odsetek ten wyniósł 93,3%, w Turcji 93,7%, a w Hiszpanii 91,8%.
Według raportu, w Wielkiej Brytanii w ubiegłym roku 73 procent organizacji było poddane atakom typu ransomware.
Tymczasem DLA Piper Data Breach Report 2022 – raport dotyczący naruszeń danych osobowych [3] wykazał, że na przestrzeni jednego roku, Wielka Brytania narzuciła kary z tytułu naruszeń RODO o łącznej wysokości 45.350.000 euro, w Irlandii, kary te wyniosły jeszcze więcej, bo aż 226.046.500 euro.
Które sektory najbardziej odczują skutki cyberataków?
Tak naprawdę zagrożenie dotyczy wszystkich rodzajów przedsiębiorstw, ale nie oznacza to, że nie tworzą się pewne trendy.
Na przykład, odnotowano liczne ataki na producentów, co do tej pory nie miało miejsca. W przeszłości uważano, że cyberprzestępcy interesowali się jedynie instytucjami finansowymi. Obecnie sytuacja się zmieniła.
W zasadzie każda firma przechowująca dane jest zagrożona, czy to detaliści, sklepy internetowe, sklepy na high street, salony fryzjerskie, czy też sklepy niezależne.
Podobnie sytuacja wygląda w przypadku organizacji charytatywnych. Odsetek tych organizacji wykupujących ubezpieczenie cybernetyczne jest niższy niż w przypadku firm, co jest dosyć niepokojące, gdyż cyberprzestępcy nie wybierają i atakują wszystkie organizacje, które przechowują dane.
Dlaczego warto wybrać ubezpieczenie cybernetyczne?
Statystyki dotyczące ubezpieczeń przedstawione w raporcie Cyber Security Breaches 2022 są interesujące, ponieważ pokazują, że firmy oczekują od ubezpieczeń czegoś innego.
Około 43% przedsiębiorstw w Wielkiej Brytanii jest ubezpieczonych od zagrożeń cybernetycznych – tyle co w 2021 r., a tylko 5% ma specjalistyczne ubezpieczenie cybernetyczne.
Jednak firmy najbardziej cenią sobie nie zabezpieczenie przed stratami finansowymi – tylko 3 procent naruszeń kończy się kradzieżą pieniędzy – ale wsparciem po ataku cybernetycznym.
Wsparcie pod całodobowym numerem telefonu i możliwość otrzymania porady dotyczącej odzyskania danych może okazać się bardzo pomocne.
W szczególności po ataku ransomware, kiedy hakerzy żądają okupu i straszą usunięciem wszystkich danych.
Często zdarza się, że przedsiębiorcy płacą okup, a mimo tego danych nie odzyskują.
Skutkiem takiego ataku jest też często tymczasowa utrata dostępu do plików, stron internetowych czy kontaktów. Jest też ryzyko nadszarpnięcia reputacji – co jest ogromnym problemem dla organizacji charytatywnych.
Strategie cyberbezpieczeństwa
Firmy ubezpieczeniowe mogą w tej sytuacji pomóc, ale coraz częściej wymagają od przedsiębiorców większego zaangażowania, zanim przedstawią im ofertę ubezpieczeniową.
Jednym z wymogów jest na przykład posiadanie zabezpieczenia w formie wieloskładnikowego uwierzytelniania. Od większych firm oczekuje się włączenia naruszeń cyberbezpieczeństwa do planu ciągłości działania.
Ubezpieczyciele wymagają, aby firmy zawczasu podjęły wszystkie wymagane kroki.
Ta sama zasada dotyczy też innych rodzajów ubezpieczeń, np. jeśli mamy ubezpieczenie samochodu, to nie możemy zostawiać kluczyków w stacyjce i oczekiwać, że nasz pojazd będzie automatycznie chroniony. Podobnie jest z ubezpieczeniem cybernetycznym. Dlatego firmy powinny poważnie traktować to zagrożenie, gdyż nie da się go już ignorować. Ubezpieczenie zaś nie ma pomóc tylko w odzyskaniu strat, ale również zachęcić do stosowania lepszych praktyk cyber higieny i wzmocnienia odporności na ataki hakerskie.
W 2023 roku liczba naruszeń bezpieczeństwa cybernetycznego najprawdopodobniej znów wzrośnie.
[1] https://www.fsb.org.uk/uk-small-business-statistics.html
[2] https://www.isc2.org/-/media/ISC2/Research/Cyberthreat-Defense-Report/2021/CyberEdge-2021-CDR-Report-v10–ISC2-Edition.ashx
[3] https://www.dlapiper.com/es/spain/insights/publications/2022/1/dla-piper-gdpr-fines-and-data-breach-survey-2022/#:~:text=A%20report%20produced%20by%20DLA%20Piper’s%20cybersecurity%20and%20data%20protection%20team&text=Data%20protection%20supervisory%20authorities%20across,2%20%2F%20GBP0.