Cyberataki stają się coraz bardziej dokuczliwe, a ich znaczenie dla firm i gospodarki rośnie w tempie wręcz geometrycznym. Kilka dni temu amerykańska komisja papierów wartościowych i giełd SEC (Securities and Exchange Commission) przyznała, że stała się ofiarą cyberkradzieży (ukradzione informacje zostały prawdopodobnie wykorzystane do efektywnego handlu na rynku giełdowym). Do najbardziej spektakularnego cyberataku doszło jednak w czerwcu, gdy wirusem Petya zostały zainfekowane firmy i urzędy w wielu krajach. Największe szkody wirus wyrządził podmiotom ukraińskim, ale poważne problemy spowodował także w firmach Rosnieft, DLA Piper, Moller-Maersk oraz polskich, takich jak Mondelez, Raben czy MediaCom (wszystkie te przedsiębiorstwa łączyło to, że mają biura na Ukrainie). W lutym ofiarą dużego ataku hakerskiego padła grupa UniCredit, a w maju koncerny Renault i FedEx.
Nie ma dokładnych danych dotyczących wartości strat poniesionych przez biznes w wyniku cyberataków. Według raportu firmy McAfee z 2013 roku cyberataki mogły już wtedy stanowić dla globalnej gospodarki koszt między 300 mld dol. a 1 bln dol. w skali roku. Według szacunków IBM i Ponemon Institute sam koszt utraty danych na skutek cyberataków w skali globu sięgnie w tym roku 3,6 mld dol. (o 10 proc. mniej niż w 2016 roku), a wartość utraconego rekordu to 158 dol. (o 17 dol. więcej niż w 2016 roku). Według ekspertów firmy Cybersecurity Ventures w 2021 roku cyberprzestępstwa będą kosztowały globalny biznes około 6 bln dol. Mało tego, niedawno firma ubezpieczeniowa Lloyd’s of London ostrzegła, że zbliżamy się do momentu, w którym szkoda powstała w wyniku pojedynczego cyberataku może sięgnąć nawet 121 mld dol.
– Można szacować, że obecnie tego rodzaju zdarzenia powodują straty w wysokości wielu setek miliardów dolarów w skali roku. Na celowników hakerów znajdują się głównie branże zdrowotna i finansowa – stwierdził Anurag Rana, analityk Bloomberg Intelligence, w raporcie z lipca.
Są tacy, którzy na tym zjawisku zarabiają legalnie. W 2004 roku globalny rynek cybersecurity (cyberbezpieczeństwa) był wart około 3,5 mld dol., a teraz jest wart około 120 mld dol., czyli urósł 35-krotnie w ciągu 13 lat – wynika z szacunków firmy Cybersecurity Ventures.
– Przewidujemy, że do 2021 roku rynek ten będzie rósł w tempie 12-15 proc. rocznie, podczas gdy prognozy innych firm mówią o tempie sięgającym 8-10 proc. – napisał Steve Morgan, redaktor raportu Cybersecurity Ventures z maja 2017 roku.
Według szacunków Bloomberg Intelligence w 2016 roku rynek cybersecurity był wart około 50 mld dol., a prognozowane tempo jego wzrostu do 2020 roku to od około 5 proc. do 28 proc., w zależności od segmentu. Rozbieżności w szacunkach poszczególnych firm są więc spore.
Niefrasobliwość szkodzi
Co ciekawe, rośnie lawinowo liczba cyberataków przeprowadzanych niejako na życzenie samych firm. Chodzi o to, że przedsiębiorstwa coraz częściej korzystają z outsourcingu w zakresie systemów i oprogramowania. To powoduje, że poszczególne działy korporacji łączą się ze środowiskiem zewnętrznym, otwierając bramy własnych systemów i „zapraszając” intruzów. To zjawisko jest szczególnie widoczne w branży finansowej i zdrowotnej. Kopalnią wiedzy o sposobach przeprowadzania cyberataków są cykliczne raporty firmy McAfee.
Rośnie również skala zjawiska kradzieży danych korporacyjnych dla okupu – donoszą badania Cambridge University. I to nie tylko jeśli chodzi o liczbę takich incydentów, ale także o wymuszane kwoty. Coraz częściej brane są na celownik największe korporacje; żądania mogą sięgać nawet 1 mld dol., a płacone okupy dochodzą do 0,5 mld dol. Najsłynniejsze znane przypadki opłacenia okupu to Nokia (w 2014 roku) i Domino’s Pizza (również w 2014 roku).
– Rynek cyberbezpieczeństwa jest dziś wart kilkadziesiąt miliardów dolarów. Powinien rosnąć stabilnie o kilka procent rocznie przez długie lata. Jednak zapewne będą występować drastyczne różnice w dynamice poszczególnych segmentów rynku. Wydatki na rozwiązania typu endpoint, chroniące stacje robocze czy urządzenia mobilne, będą rosły wolniej niż wydatki na rozwiązania chroniące dane w chmurze. W tym drugim przypadku dynamika wzrostu rynku może sięgać nawet 50 proc. rocznie – uważa Rafał Dobrowolski, zarządzający funduszem Tar Heel Capital Globalnej Innowacji.
Sektor finansowy na celowniku cyberprzestępców
Jedną z najbardziej zagrożonych cyberatakami branż jest sektor finansowy. Phishing, ransomware i ataki DDoS – oto trzy najczęstsze cyberzagrożenia dotykające firmy finansowe, jak wynika z badań firmy doradczej PricewaterhouseCoopers. Phishing polega na podszywaniu się, ransomware na ograniczeniu dostępu do systemu komputerowego, a DDoS to zmasowany atak na sieć w celu zakłócenia jej funkcjonowania. Dokładne dane na temat udziału poszczególnych technik ataków na banki dostarcza co roku Verizon Data Breach Investigations Report.
Według firmy IBM sektor finansowy jest atakowany w cyberprzestrzeni o 65 proc. częściej niż inne branże. IBM ocenia, że w 2016 roku bankom zostało wykradzione ponad 200 mln rekordów (czyli informacji np. dotyczących klientów), o 937 proc. więcej niż w 2015 roku – wskazuje Institute of International Finance w swoim wrześniowym raporcie „Cyber Security & Financial Stability”. Jednym z najgłośniejszych cyberataków na branżę finansową był ten z pierwszej połowy 2016 roku, gdy przestępcy próbowali wyprowadzić blisko 1 mld dol. z konta banku centralnego Bangladeszu.
Przedstawiciele sektora finansowego dynamicznie zwiększają wydatki na bezpieczeństwo systemów IT i urządzeń. Nie ma zbiorczych danych na ten temat, ale obserwacja działań poszczególnych instytucji robi wrażenie. Niedawno JPMorgan Chase podwoił swój roczny budżet na cyberzabezpieczenia (do 0,5 mld dol.). SoftBank zainwestował 100 mln dol. w start-up Cybereason, który tworzy technologię opartą na sztucznej inteligencji, która ma wyszukiwać słabe punkty systemu cyberbezpieczeństwa. Wszystkich przebił jednak Bank of America, którego zarząd postanowił usunąć górną granicę wydatków na cyberzabezpieczenia…
Kopalnią ciekawych danych dotyczących postaw firm finansowych wobec cyberniebezpieczeństw jest m.in. raport „2017 IT Risks Report” firmy Netwrix. Wynika z niego, że aż 55 proc. przedsiębiorstw finansowych postrzega pracowników jako największe zagrożenie dla bezpieczeństwa sfery IT. A jedną z największych przeszkód na drodze do dobrego zabezpieczenia systemów i urządzeń jest nie tylko niedostatek pieniędzy czy czasu, ale także stopień skomplikowania całej struktury.
Warto wspomnieć, że wzrost ryzyka związanego ze stratami spowodowanymi cyberprzestępczością napędza rozwój rynku ubezpieczeń. Rynek cyberinsurance w USA w 2016 roku mierzony składką przypisaną brutto był wart 3,25 mld dol. W skali całego świata do 2022 roku ma osiągnąć wartość 14 mld dol., według prognoz firmy Allied Market Research.
Trudno znaleźć inwestycyjną perełkę w branży cybersecurity
Co ciekawe, spółki z branży cybersecurity zasadniczo nie są jak do tej pory dobrą inwestycją. Pokazuje to indeks Nasdaq CTA Cybersecurity, który powstał w połowie 2015 roku. Od początku lipca 2015 roku do 20 września 2017 roku urósł on o 6,6 proc., podczas gdy indeks S&P500 poszedł w górę o 19,3 proc.
– Indeks branży cybersecurity składa się z około 30 spółek. Historia jego notowań pokazuje, że wybór właściwej firmy był istotniejszy niż inwestycja w sektor. Warto zauważyć, że cały sektor zachowywał się słabiej nie tylko od S&P500, ale także gorzej niż indeksy innych rynków rozwiniętych – wskazuje Rafał Dobrowolski, zarządzający funduszu Tar Heel Capital Globalnej Innowacji.
Jedną z najlepszych inwestycji ostatnich lat z sektora jest spółka Palo Alto Networks (+170 proc. w pięć lat). Całkiem nieźle daje akcjonariuszom zarobić także znany niemal każdemu użytkownikowi pecetów koncern Symantec (+79 proc. w pięć lat), który jest już wart ponad 20 mld dol.
Dobrowolski wskazuje, że poza notowanymi dużymi firmami sektor cybersecurity jest bardzo rozdrobniony.
– Największe rynki, na których znajdziemy najwięcej hitów inwestycyjnych, to USA i Izrael. Najbardziej obiecujące firmy, w mojej ocenie, dotykają takich tematów, jak kwestia ochrony danych w chmurze. Zawsze jednak zwracałbym uwagę na analizę potencjału pojedynczego rozwiązania i spółki, a nie całego rynku – podkreśla Dobrowolski.
Regulatorzy wymagają coraz więcej w zakresie cyberbezpieczeństwa
Na rosnące zagrożenie ze strony cyberprzestępców zaczynają zdecydowanie reagować władze państwowe. W maju 2017 roku prezydent USA Donald Trump podpisał rozporządzenie wykonawcze zmuszające wszystkie federalne instytucje do przeglądu i wzmocnienia swoich systemów informatycznych pod kątem ryzyka ataków hakerskich. Wcześniej Kongres zwiększył wydatki na cyberbezpieczeństwo w sektorze publicznym o 35 proc., do 19 mld dol. w roku budżetowym 2017. Należy pamiętać, że w USA działa już od lat National Cyber-Forensics & Training Alliance (NCFTA), czyli instytucja łącząca siły służb bezpieczeństwa i specjalistów z sektora finansowego.
Nawet lokalny nadzorca z USA, czyli New York Department of Financial Services, wprowadził dla instytucji finansowych działających w Nowym Jorku bardziej surowe wymogi dotyczące cyberzabezpieczeń. Okres przejściowy do ich wdrożenia minął z końcem sierpnia. Jest to o tyle ważne, że przecież Nowy Jork jest jednym z kilku najważniejszych centrów finansowych świata – ma tam siedzibę wiele instytucji, które musiały się dostosować do wyśrubowanych wymogów.
Także w dalekich Zjednoczonych Emiratach Arabskich powstało niedawno centrum wymiany informacji o cyberzagrożeniach dla instytucji finansowych. Chodzi o Information Sharing and Analysis Centre w ramach UAE Banking Federation, do którego przystąpiło wiele globalnych banków, takich jak HSBC, Barclays i Citibank.
Według Rafała Dobrowolskiego w Europie poza dużymi korporacjami świadomość cyberryzyka jest relatywnie niska, nawet wśród instytucji finansowych. Potwierdzają to m.in. doniesienia brytyjskiego rządu pokazujące, że nawet dwie trzecie prezesów zarządów najwiekszych wyspiarskich korporacji nie ma dostatecznej wiedzy dotyczącej cyberzagrożeń. W dodatku niedawno w wywiadzie dla dziennika Handelsblatt szef niemieckiego nadzoru finansowego BaFin przyznał, że na skutek cyberataku jeden z niemieckich banków mógł doznać straty finansowej w wysokości około 1 bln euro (ale udało się zminimalizować szkody).
Z danych Cisco wynika, że 48 proc. firm finansowych nie ma polityki bezpieczeństwa w zakresie IT. 46 proc. z nich codziennie otrzymuje ponad tysiąc zgłoszeń o cyberatakach, ale tylko 43 proc. z tych alarmów zostaje w jakiś sposób sprawdzone.
Dużo w podejściu biznesu do ochrony systemów komputerowych mogą zmienić nowe regulacje Parlamentu Europejskiego. Mowa tu o dyrektywie GDPR (ogólne rozporządzenie o ochronie danych), która będzie implementowana w maju 2018 roku.
– Przewiduje ona kary do 20 mln euro lub 4 proc. przychodów za poprzedni rok obrotowy dla tych instytucji, które nie będą mogły się pochwalić odpowiednimi zabezpieczeniami. Te przepisy mocno dają do myślenia w kontekście polityki zakupowej związanej z zabezpieczeniami. Pojawi się naturalne zainteresowanie rozwiązaniami nowej generacji, dzięki konieczności dostosowania się do wspomnianej dyrektywy – wskazuje Dobrowolski.
Na początku września przedstawiciel Deutsche Banku poinformował, że w nadchodzących miesiącach specjalne ekipy hakerskie, zwane czerwonymi zespołami (red teams), przetestują jakość zabezpieczeń europejskich instytucji finansowych.
Na razie najbardziej zaawansowane i rozbudowane regulacje dotyczące cyberbezpieczeństwa sektora finansowego obowiązują w USA, Wielkiej Brytanii, Singapurze i Hong Kongu. Zostały one dokładnie przedstawione w raporcie „Regulatory approaches to enhance banks’ cybersecurity frameworks” opublikowanym niedawno przez Bank Rozrachunków Międzynarodowych.
W Polsce także rośnie świadomość dotycząca cyberzagrożeń
W Polsce nieco ponad rok temu powstało Bankowe Centrum Cyberbepieczeństwa przy Związku Banków Polskich. Niestety, do chwili publikacji artykułu nie udało nam się uzyskać od BCC ZBP danych dotyczących ataków na polskie banki.
Według raportu „FinTech in CEE” firmy doradczej Deloitte polski rynek finansowy jest coraz bardziej świadomy tego, jak duże znaczenie ma cyberbezpieczeństwo. Autorzy dokumentu zwrócili uwagę, że popyt ze strony polskich instytucji finansowych na lokalnych specjalistów od cyberbezpieczeństwa znacznie przekracza podaż, a do tego w Polsce działają już liczne firmy z branży cybersecurity (takie jak McAfee, FireEye, F-Secure, Symantec, Qualys, Blue Coat i wiele innych).
CCO stanie się równie ważny jak CEO i CFO
Wydaje się jednak, że złudne są nadzieje tych, którzy uważają, że liczba ataków hakerskich na przedsiębiorstwa, w tym na firmy finansowe, zmaleje w wyniku regulacji czy nawet prężnej działalności branży cybersecurity.
– Wraz z rozwojem internetu rzeczy pojawi się coraz więcej zagrożeń. Oczywiście będzie to oznaczało również, że urośnie dynamicznie rynek, na którym będą mogły zarabiać firmy z branży cybersecurity – zwraca uwagę analityk Bloomberg Intelligence Anurag Rana.
Z raportu Business Insider’s Intelligence wynika, że w latach 2015-2020 globalnie na cyberzabezpieczenia może zostać wydane aż 655 mld dol., w tym 386 mld dol. na ochronę PC, 172 mld dol. na ochronę urządzeń podłączonych do internetu rzeczy oraz 113 mld dol. na ochronę urządzeń mobilnych.
Można więc oczekiwać, iż już w najbliższej przyszłości na stałe do języka korporacyjnego wejdzie skrót CCO (Chief Cybercrime Officer), oznaczający dyrektora ds. cyberbezpieczeństwa. I będzie wymieniany jednym tchem z takimi skrótami, jak CEO i CFO.