Bezpieczeństwo technologii mobilnych

Podobne dokumenty
Barometr cyberbezpieczeństwa

Barometr cyberbezpieczeństwa

Apetyt na wzrost. Sukcesy i wyzwania eksporterów produktów rolno-spożywczych w Polsce. Kluczowe wnioski. Październik KPMG.pl

2016 Global CEO Outlook

Zachowania proekologiczne i poziom zdigitalizowania wśród pracowników biurowych

Metody ochrony przed zaawansowanymi cyberatakami

KPMG LINK 360. Przejrzystość i kontrola nad procesami podatkowymi. KPMG.pl

Ochrona biznesu w cyfrowej transformacji

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

PRAWNE I PODATKOWE ASPEKTY PROWADZENIA DZIAŁALNOŚCI W SSE

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

Seminarium Polskiej Izby Ubezpieczeń poświęcone problematyce audytu wewnętrznego

Brexit co to oznacza dla funduszy europejskich?

Wykorzystanie papieru przez pracujących Polaków

Polski system podatkowy

Pracownicze Plany Kapitałowe

Seminarium Polskiej Izby Ubezpieczeń poświęcone problematyce audytu wewnętrznego

RAPORT. Cyberzagrożenia według polskich firm. Networking Unified Communication Data Center IaaS Security End to end

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

epolska XX lat później Daniel Grabski Paweł Walczak

Agenda. Quo vadis, security? Artur Maj, Prevenity

Prezentacja wyników badania wykorzystania przetwarzania w chmurze w największych polskich przedsiębiorstwach

Sprzedaż, sukcesja, akwizycja

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

ZAMKNIĘCIE ROKU WPŁYW ZMIAN REGULACYJNYCH NA RACHUNKOWOŚĆ I SPRAWOZDAWCZOŚĆ ZAKŁADÓW UBEZPIECZEŃ

Czym jest Samsung KNOX? Bezpieczny telefon. -Zabezpieczenie służbowych danych i aplikacji - Środowisko pracy dla biznesu

Istotne aspekty rozliczeń podatkowych w SSE za rok 2017 i wpływ zmian w 2018 roku na działalność spółek strefowych

Wprowadzenie do Kaspersky Value Added Services for xsps

Jak uchronić Twój biznes przed cyberprzestępczością

Roczne zeznania podatkowe Polaków PIT 2018 VIII Edycja

Polski system podatkowy

DZIAŁALNOŚĆ W SSE ASPEKTY RACHUNKOWE, PODATKOWE I POMOC PUBLICZNA

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

OBOWIĄZKI AUDYTU WEWNĘTRZNEGO WYNIKAJĄCE Z WYTYCZNYCH KNF ORAZ ROLA AUDYTU WEWNĘTRZNEGO W OCENIE MODELI WEWNĘTRZNYCH I ZARZĄDZANIA RYZYKIEM NADUŻYĆ

Corporate governance wpływ na efektywność i minimalizację ryzyka procesów biznesowych

Zamknięcie roku wpływ zmian regulacyjnych na rachunkowość i sprawozdawczość zakładów ubezpieczeń. Warszawa, 22 listopada 2016 r.

S Y S T E M D O Z A R Z Ą D Z A N I A U R Z Ą D Z E N I A M I M O B I L N Y M I

Aspekty prowadzenia działalności gospodarczej w specjalnej strefie ekonomicznej oraz pomocy publicznej dla przedsiębiorców na lata kpmg.

2016 Proget MDM jest częścią PROGET Sp. z o.o.

Inwestycje przedsiębiorstw produkcyjnych działających

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

WARMIŃSKO-MAZURSKA SPECJALNA STREFA EKONOMICZNA S.A. ORAZ FIRMA DORADCZA KPMG MAJĄ PRZYJEMNOŚĆ ZAPROSIĆ PAŃSTWA NA SEMINARIUM:

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

CYBER GUARD PRZEWODNIK PO PRODUKCIE

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Wsparcie dla działalności innowacyjnej narzędzia podatkowe

Historia naszego klienta. Lekarstwo na wyzwania związane z zastosowaniem technologii mobilnej w Polfie Tarchomin S.A.

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

z kapitałem polskim Zatrudnienie 1 10 osób osób 2,27% osób 11,36% osób osób powyżej osób 20,45% 50,00% 13,64%

bezpieczeństwo na wszystkich poziomach

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

BEZPIECZNY BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI. Protection Service for Business

Roczne zeznania podatkowe Polaków PIT 2017 VII Edycja

Duże firmy obawiają się odpływu pracowników [RAPORT]

9:45 Powitanie. 12:30 13:00 Lunch

SIŁA PROSTOTY. Business Suite

cat /agenda.txt /wybrane_fakty_i_mity grep zweryfikowane

Wartość audytu wewnętrznego dla organizacji. Warszawa,

Newsletter podatkowy dla branży meblarskiej

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

ASPEKTY PROWADZENIA DZIAŁALNOŚCI GOSPODARCZEJ W SPECJALNEJ STREFIE EKONOMICZNEJ ORAZ POMOCY PUBLICZNEJ DLA PRZEDSIĘBIORCÓW NA LATA

Największe zagrożenia dla biznesu w roku 2015

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Historia naszego klienta. Rozwiązanie FAMOC MDM zwiększa bezpieczeństwo mobilne w Credit Agricole Bank Polska

OCHRONA URZĄDZEŃ MOBILNYCH PRZED CYBERZAGROŻENIAMI DLA INSTYTUCJI PAŃSTWOWYCH I KORPORACJI. Listopad 2017

POLITYKA BEZPIECZEŃSTWA

2016 CONSULTING DLA MŚP. Badanie zapotrzebowania na usługi doradcze

Storware KODO. One KODO to protect them all STORWARE.EU

Zagadnienia główne: Typy zagrożeń w sieci Ataki typu APT advanced persistent threat Wirusy, konie trojańskie, robaki Sposoby obrony

Korzystanie z bankowości mobilnej a bezpieczeństwo w sieci raport z badania

Wykorzystanie papieru w przedsiębiorstwach działających w Polsce

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Axence nvision dla biznesu

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

OTWARTE DRZWI BADANIA POKAZUJĄ, ŻE DRUKARKI POZOSTAJĄ NARAŻONE NA CYBERATAKI

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Wykorzystanie papieru w przedsiębiorstwach działających w Polsce

Apple dla biznesu. JCommerce Apple Device Management Services

Szkolenie otwarte 2016 r.

Jak uniknąć utraty firmowych danych z tabletu?

Historia naszego klienta. Rozwiązanie MDM w FM Bank PBP SA.

CYBER-BEZPIECZEŃSTWO ZAGROŻENIA - DETEKCJA - PROFILATKTYKA - ZABEZPIECZENIA - PREWENCJA

Agenda. Rys historyczny Mobilne systemy operacyjne

Rynek NewConnect Skuteczne źródło finansowania

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi

Aviation Cyber Security. Cyberbezpieczeństwo w lotnictwie Szkolenie Międzynarodowego Stowarzyszenia Przewoźników Lotniczych IATA

Innowacja Technologii ICT vs Człowiek

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Promotor: dr inż. Krzysztof Różanowski

"Rozporządzenie GDPR w praktyce e-administracji oraz biznesu w Polsce i UE" dr Magdalena Marucha-Jaworska Expert of Innovations and New Technology

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

MATERIAŁ MARKETINGOWY. Ubezpieczenie od ryzyk cybernetycznych POMOC I OCHRONA W RAZIE ZDARZEŃ CYBERNETYCZNYCH I PRZYPADKÓW NARUSZENIA DANYCH

Symantec Enterprise Security. Andrzej Kontkiewicz

Polskie firmy na drodze ku cyfrowej transformacji

Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu

Transkrypt:

Bezpieczeństwo technologii mobilnych Listopad 2018 KPMG.pl

SPIS TREŚCI Wstęp...3 Najważniejsze wnioski...5 Ponad połowa firm korzysta z technologii mobilnych...6 Większość firm nie pozwala przetwarzać danych firmowych na prywatnych urządzeniach mobilnych...7 Oprogramowanie antywirusowe najpopularniejszym zabezpieczeniem...8 Problematyczna odpowiedzialność za bezpieczeństwo danych...9 Pojedynczy hakerzy największym zagrożeniem dla firm...11 Organizacje bagatelizują ryzyko włamań do urządzeń mobilnych... 12 Potrzeba formalnego przypisania odpowiedzialności za bezpieczeństwo informacji... 13 Popularny outsourcing w zakresie cyberbezpieczeństwa... 15 Zalecenia bezpiecznego korzystania z urządzeń mobilnych... 16 Informacje o badaniu...17 Wybrane publikacje KPMG w Polsce i na świecie...18 Usługi KPMG w zakresie cyberbezpieczeństwa...19 2

Wstęp Michał Kurek Partner w KPMG w Polsce Szef zespołu ds. cyberbezpieczeństwa Szanowni Państwo, zachęcam do zapoznania się z wynikami niniejszego badania KPMG poświęconego bezpieczeństwu technologii mobilnych wykorzystywanych w przedsiębiorstwach w Polsce. Badanie przeprowadzone zostało na próbie 100 małych, średnich i dużych firm, reprezentowanych przez osoby odpowiedzialne za zapewnienie bezpieczeństwa informacji. Technologie mobilne na naszych oczach rewolucjonizują rzeczywistość. Są najbliższym i przez to często najwygodniejszym dla użytkowników interfejsem do cyfrowego świata. Obserwowane dziś trendy cyfryzacji, czy Internetu rzeczy (IoT) nie byłyby bez nich możliwe. Technologie te są wykorzystywane obecnie przez większość przedsiębiorstw głównie jako dostęp do firmowej poczty elektronicznej i kalendarza, ale również w bardziej zaawansowany sposób jako usprawnienie procesów biznesowych z wykorzystaniem aplikacji mobilnych. W znacznej większości przedsiębiorstwa w Polsce deklarują, że dbają o bezpieczeństwo urządzeń mobilnych. Jedynie 4% firm całkowicie ignoruje dzisiejsze cyberzagrożenia w tym obszarze, a 30% ogranicza się wyłącznie do wymagań w formie zapisów w wewnętrznych politykach i procedurach bezpieczeństwa. Z przeprowadzonego badania wynika jednak, że stosunkowo mało firm podchodzi do zarządzania bezpieczeństwem urządzeń mobilnych kompleksowo, z wykorzystaniem platformy MDM (ang. Mobile Device Managament). Wśród preferowanych zabezpieczeń dominują rozwiązania antywirusowe, wymuszenie uwierzytelnienia, szyfrowanie danych, automatyczna aktualizacja, ograniczenia w możliwości instalacji aplikacji, czy możliwość zdalnego wyczyszczenia danych na utraconym telefonie. W badaniu zapytaliśmy również m.in. jakiego rodzaju cyberzagrożeń firmy boją się najbardziej, jak zorganizowane są wewnętrznie w obrębie cyberbezpieczeństwa oraz gdzie upatrują największe bariery w budowaniu skutecznych zabezpieczeń. Liczę, że badanie dostarczy Państwu wielu cennych informacji, jak również będzie stanowiło inspirację do działań, by wzmocnić bezpieczeństwo w Państwa firmach. Życzę miłej lektury. Bezpieczeństwo technologii mobilnych 3

Najważniejsze wnioski Ponad połowa firm korzysta z urządzeń mobilnych: 45% firm wykorzystuje urządzenia mobilne do dostępu do firmowej poczty, zaś 22% organizacji realizuje część procesów biznesowych z wykorzystaniem aplikacji mobilnych. 76% organizacji nie pozwala przetwarzać danych firmowych na prywatnych urządzeniach mobilnych pracowników. 1/3 firm nie nadąża za zmieniającą się rzeczywistością biznesową i nie korzysta z technologii mobilnych w swojej działalności. Ponad połowa firm wymusza uwierzytelnienie w celu dostępu do urządzenia mobilnego oraz pozwala instalować jedynie aplikacje mobilne zatwierdzone przez organizacje. Firmy bardziej obawiają się hakerów i zorganizowanych grup cyberprzestępczych niż podkupionych pracowników. Firmy postrzegają technologie mobilne jako bezpieczne pod względem potencjalnego ryzyka wystąpienia cyberataku. Największym ryzykiem dla firm jest złośliwe oprogramowanie szpiegujące oraz szyfrujące (ransomware). 4% organizacji korzystających z urządzeń mobilnych nie stosuje żadnych zabezpieczeń w celu zapewnienia bezpieczeństwa. Firmy, które nie mają przypisanej odpowiedzialności za obszar bezpieczeństwa informacji lekceważą ryzyko. Połowa organizacji, które pozwalają korzystać pracownikom z prywatnych urządzeń mobilnych w celu przetwarzania danych firmowych działa wg polityki BYOD (ang. Bring Your Own Device), a połowa nie reguluje tego w żaden sposób. Bezpieczeństwo technologii mobilnych 5

Ponad połowa firm korzysta z technologii mobilnych Niemal połowa firm wykorzystuje urządzenia mobilne do dostępu do firmowej poczty elektronicznej i kalendarza, a co piąta korzysta z aplikacji mobilnych w realizacji części procesów biznesowych. Jednocześnie co dziesiąta organizacja planuje wykorzystanie technologii mobilnych w najbliższym czasie do codziennej pracy. W jakim zakresie firmy wykorzystują technologie mobilne? Wykorzystujemy urządzenia mobilne do dostępu do firmowej poczty elektronicznej i kalendarza 45% Realizujemy część procesów biznesowych z wykorzystaniem aplikacji mobilnych instalowanych na urządzeniach pracowników 22% Nie wykorzystujemy aktualnie technologii mobilnych, ale planujemy to niebawem zmienić 9% Nie wykorzystujemy technologii mobilnych i nie planujemy w najbliższym czasie 35% Firmami, które w największym stopniu wykorzystują technologie mobilne są te, które pozwalają swoim pracownikom (w sposób uregulowany bądź nie) używać prywatnych smartfonów i tabletów w pracy. Przedsiębiorstwa, które zabraniają tego pracownikom częściej nie planują w ogóle wdrażać technologii mobilnych. 6 Bezpieczeństwo technologii mobilnych

Większość firm nie pozwala przetwarzać danych firmowych na prywatnych urządzeniach mobilnych W większości organizacji pracownicy nie mogą korzystać z prywatnych urządzeń mobilnych w celu przetwarzania danych firmowych. 13% firm, pozwala przetwarzać dane przedsiębiorstwa na prywatnych urządzeniach mobilnych pracowników bez stosowania wewnętrznych uregulowań w tym zakresie. Pozostałe przedsiębiorstwa wdrożyły politykę BYOD (ang. Bring Your Own Device) umożliwiającą pracę na prywatnych smartfonach i tabletach. Niska popularność tego rozwiązania może wynikać z ograniczonej możliwości wymuszenia odpowiedniego poziomu bezpieczeństwa. Czy firmy pozwalają przetwarzać dane przedsiębiorstwa na prywatnych urządzeniach mobilnych pracowników? 13% Tak, ale nie jest to wewnętrznie uregulowane 76% Nie jest to zabronione przez wewnętrzne regulacje 10% Tak, została wdrożona polityka BYOD (Bring Your Own Device), a bezpieczeństwo urządzeń mobilnych jest wymagane proceduralnie 1% Tak, została wdrożona polityka BYOD a bezpieczna konfiguracja urządzeń jest wymuszana za pośrednictwem platformy MDM (Mobile Device Management) Im mniejsze przychody przedsiębiorstw, tym częściej szukają one oszczędności w postaci zezwolenia na przetwarzanie danych firmowych na prywatnych urządzeniach mobilnych pracowników. Bezpieczeństwo technologii mobilnych 7

Oprogramowanie antywirusowe najpopularniejszym zabezpieczeniem Najczęściej stosowanym zabezpieczeniem w urządzeniach mobilnych jest instalacja oprogramowania antywirusowego. 7 na 10 ankietowanych przedsiębiorstw wymusza uwierzytelnianie w celu dostępu do urządzenia, a ponad 60% organizacji daje możliwość instalowania jedynie zatwierdzonych aplikacji. Urządzenia mobilne są również często kontrolowane zdalnie (przez wymuszenie aktualizacji, szyfrowanie danych oraz możliwość zdalnego czyszczenia danych). Które z poniższych zabezpieczeń zostały wdrożone w organizacjach w celu zapewnienia bezpieczeństwa urządzeń mobilnych? Oprogramowanie antywirusowe na urządzeniach mobilnych 93% Wymuszanie uwierzytelnienia w celu dostępu do urządzenia 70% Możliwość zainstalowania jedynie zatwierdzonych przez organizację aplikacji mobilnych 63% Szyfrowanie wrażliwych danych na urządzeniu mobilnym 57% Wymuszanie aktualizacji opragromowania na urządzeniach mobilnych 52% Funkcjonalność zdalnego wyczyszczenia danych na urządzeniu mobilnym 46% Jedynie zabezpieczenia w formie wewnętrznych procedur i regulacji 30% Kompleksowa platforma MDM zapewniająca większość z przedstawionych zabezpieczeń 16% Detekcja pozbawienia urządzenia mobilnego zabezpieczeń mobilnych 14% Żadne z powyższych 4% 8 Bezpieczeństwo technologii mobilnych

Problematyczna odpowiedzialność za bezpieczeństwo danych Najczęściej za bezpieczeństwo informacji w przedsiębiorstwach odpowiedzialny jest prezes zarządu lub pracownik działu IT (dyrektor lub dedykowany pracownik). W niewielkim odsetku firm bezpieczeństwem zajmują się niezależne, dedykowane do tego osoby lub zajmujące inne stanowisko w organizacji. W co dziesiątym przedsiębiorstwie nie ma osoby zajmującej się formalnie cyberbezpieczeństwem. Do kogo w organizacji przypisana jest odpowiedzialność za obszar bezpieczeństwa informacji? 2% Odpowiedzialność przypisana w strukturach globalnych poza Polską 11% Brak formalnego przypisania odpowiedzialności 7% Inne stanowisko w organizacji 38% Prezes zarządu (CEO) 6% Niezależna dedykowana funkcja (CSO/CISO) 36% Dyrektor IT (CIO) lub dedykowany pracownik w strukturach IT Im mniejsza firma tym częściej to prezes zarządu jest odpowiedzialny za bezpieczeństwo informacji. Wraz z wielkością organizacji oraz rozróżnieniem funkcji pracowników rośnie liczba osób dedykowanych do tego zadania. Bezpieczeństwo technologii mobilnych 9

Pojedynczy hakerzy największym zagrożeniem dla firm Najistotniejszym źródłem cyberzagrożeń dla większości firm są pojedynczy hakerzy. Co druga organizacja jako realnie zagrażające bezpieczeństwu firmy wskazuje także zorganizowane grupy cyberprzestępcze. Niezadowoleni lub podkupieni pracownicy, a także cyberterroryści i haktywiści są zdecydowanie rzadziej postrzegani jako szkodliwi w kontekście bezpieczeństwa przedsiębiorstwa. Co dziesiąta firma nie jest w stanie określić grupy zagrażającej jej bezpieczeństwu. Które z poniższych grup lub osób stanowią realne zagrożenie dla firm? 62% Pojedynczy Zorganizowane hakerzy 47% grupy 28% cyberprzestępcze Niezadowoleni lub podkupieni pracownicy 22% Cyberterroryści 20% Haktywiści 18% Grupy wspierane przez obce państwa 16% Script kiddies (tzw. skryptowe dzieciaki) 3% Inne 10% Nie wiem / trudno powiedzieć Firmom, w których nie ma osoby formalnie odpowiedzialnej za zapewnienie bezpieczeństwa częściej trudno jest wskazać potencjalne źródło zagrożenia. W przedsiębiorstwach, w których taka funkcja istnieje, częściej pojawiają się obawy o ataki ze strony cyberterrorystów, haktywistów i tzw. skryptowych dzieciaków. Bezpieczeństwo technologii mobilnych 11

Organizacje bagatelizują ryzyko włamań do urządzeń mobilnych W opinii przedsiębiorstw największe ryzyko stanowi dla nich złośliwe oprogramowanie szpiegujące oraz szyfrujące dane (ransomware). Równie istotnym jest phishing oraz ataki na sieci bezprzewodowe. Włamania do urządzeń mobilnych nie są rozpatrywane jako realne ryzyko przez ponad połowę badanych firm. Które z poniższych cyberzagrożeń stanowią największe ryzyko dla firm? brak ryzyka 0 wysokie ryzyko 3+4 niskie ryzyko 1+2 najwyższe ryzyko 5 średnia ocena ryzyka w pięciostopniowej skali Wycieki danych za pośrednictwem złośliwego oprogramowania (malware) Wyłudzanie danych uwierzytelniających (phishing) Ogólne kampanie ransomware 3% 24% 66% 7% 7% 30% 55% 8% 7% 29% 57% 7% 3,0 2,8 2,8 Ataki na sieci bezprzewodowe Wyciek danych w wyniku kradzieży lub zgubienia nośników lub urządzeń mobilnych Zaawansowane ukierunkowane ataki (tzw. Advanced Persistent Threat APT) Kradzież danych na skutek naruszenia bezpieczeństwa fizycznego Ataki wykorzystujące błędy w aplikacjach Kradzież danych przez pracowników 13% 23% 61% 3% 10% 35% 50% 5% 10% 35% 52% 3% 9% 40% 48% 3% 11% 38% 49% 2% 17% 34% 40% 9% 2,6 2,5 2,5 2,4 2,4 2,3 Ataki typu odmowa usługi (DoS/ DDoS) Podsłuchiwanie ruchu i ataki Man-in-the-Middle (MitM) Włamania do urządzeń mobilnych 14% 36% 49% 1% 13% 44% 43% 19% 38% 40% 3% 2,2 2,2 2,1 12 Bezpieczeństwo technologii mobilnych

Potrzeba formalnego przypisania odpowiedzialności za bezpieczeństwo informacji Firmy, w których nie ma formalnie przypisanej odpowiedzialności za bezpieczeństwo informacji, oceniają wszystkie typy cyberataków jako mniej zagrażające niż pozostałe organizacje. Przedsiębiorstwa o najwyższych dochodach największe zagrożenie widzą w kampaniach ransomware oraz ukierunkowanych atakach (APT), te zaś o średnich - wycieku danych, phishingu oraz w ataku na sieci bezprzewodowe. Które z poniższych cyberzagrożeń stanowią największe ryzyko dla firm w zależności od przypisanej odpowiedzialności za bezpieczeństwo informacji? Prezes zarządu (CEO) Dyrektor IT (CIO) lub dedykowany pracownik w strukturach IT Brak formalnego przypisania odpowiedzialności Poniższe dane są średnimi ocenami ryzyka w pięciostopniowej skali Wycieki danych za pośrednictwem złośliwego oprogramowania (malware) 2,4 3,0 3,0 Wyłudzanie danych uwierzytelniających (phishing) 2,5 2,8 2,7 2,8 Ogólne kampanie ransomware 2,9 2,7 Ataki na sieci bezprzewodowe 2,6 2,1 2,8 Wyciek danych w wyniku kradzieży lub zgubienia nośników lub urządzeń mobilnych 1,9 2,7 2,6 Zaawansowane ukierunkowane ataki (tzw. Advanced Persistent Threat APT) 2,4 2,4 2,6 Kradzież danych na skutek naruszenia bezpieczeństwa fizycznego 1,9 2,4 2,4 2,3 Ataki wykorzystujące błędy w aplikacjach 2,3 2,3 2,3 Kradzież danych przez pracowników 2,1 2,3 2,0 Ataki typu odmowa usługi (DoS/DDoS) 2,6 1,8 Podsłuchiwanie ruchu i ataki Man-in-the-Middle (MitM) 1,8 2,2 2,4 Włamania do urządzeń mobilnych 2,2 1,5 2,5 Bezpieczeństwo technologii mobilnych 13

Brak wykwalifikowanych pracowników wpływa na poziom zabezpieczeń Czynnik ludzki jest największym ograniczeniem firm w osiągnięciu oczekiwanego poziomu zabezpieczeń niemal połowa przedsiębiorstw wskazuje, że ma trudności w zatrudnieniu i utrzymaniu wykwalifikowanych pracowników. To znacznie większy problem niż brak budżetów, który dotyczy jedynie co trzeciej organizacji. Jakie są główne ograniczenia w możliwości uzyskania oczekiwanego poziomu zabezpieczeń w firmach? 48% Trudności w zatrudnieniu i utrzymaniu wykwalifikowanych pracowników 38% Brak wystarczających budżetów 34% Brak dobrze zdefiniowanych mierników 22% Brak wsparcia najwyższego kierownictwa 20% Brak właściwego przypisania odpowiedzialności w zakresie bezpieczeństwa 14% Brak zaangażowania biznesu 6% Inne 48% Nie wiem / trudno powiedzieć Organizacje, w których brak jest formalnego przypisania odpowiedzialności za bezpieczeństwo informacji są świadome, że wpływa to negatywnie na poziom zabezpieczeń. Podobnie jest w firmach, w których prezes zajmuje się ochroną danych. Firmy o mniejszych przychodach częściej nie są w stanie wskazać barier wpływających na uzyskiwanie oczekiwanego poziomu zabezpieczeń. Te o najwyższych przychodach jednoznacznie za to wskazują na trudności w utrzymaniu wykwalifikowanych pracowników. 14 Bezpieczeństwo technologii mobilnych

Popularny outsourcing w zakresie cyberbezpieczeństwa Kwestie cyberbezpieczeństwa danych w organizacji często są realizowane przez zewnętrznych dostawców. Najczęściej, bo niemal w połowie przedsiębiorstw, firmy zewnętrzne zajmują się monitorowaniem bezpieczeństwa oraz wsparciem w reakcji na występujące cyberataki. Co trzecia firma zleca realizację procesów analizy złośliwego oprogramowania oraz szkoleń pracowników w zakresie bezpieczeństwa. Co ważne co czwarta firma nie realizuje żadnych z wymienionych procesów poza organizacją. Które z poniższych funkcji lub procesów bezpieczeństwa są realizowane przez zewnętrznych dostawców? Monitorowanie bezpieczeństwa Wsparcie w reakcji na cyberataki 45% 43% Analiza złośliwego oprogramowania Programy podnoszenia świadomości pracowników w zakresie bezpieczeństwa 31% 31% Testy podatności infrastruktury Przeglądy kodu źródłowego 24% 22% Testy penetracyjne aplikacji 17% Żadne z powyższych 23% 77% badanych firm korzysta z outsourcingu w zakresie usług cyberbezpieczeństwa. Preferencje w zakresie outsourcingu funkcji cyberbezpieczeństwa wskazują jednoznacznie, że organizacje dostrzegają korzyści z zakupu zewnętrznych usług typu Managed Security Operations Center (MSOC), czy reakcji na cyberataki. Ma na to niewątpliwie wpływ sytuacja na rynku pracy, która sprawia, że stworzenie i utrzymanie wewnętrznego zespołu SOC/CSIRT stanowi prawdziwe wyzwanie. Bezpieczeństwo technologii mobilnych 15

Informacje o badaniu Badanie zostało zrealizowane metodą wywiadów telefonicznych CATI wśród osób odpowiedzialnych za bezpieczeństwo IT w firmach (członków zarządu, dyrektorów ds. bezpieczeństwa, prezesów, dyrektorów IT lub innych osób odpowiedzialnych za ten obszar). Badanie zostało zrealizowane na terenie całej Polski na próbie 100 organizacji we wrześniu 2018 roku przez firmę Norstat Polska. Branże, w jakich działają ankietowane firmy Usługowa 17% Handlowa Spożywcza 12% 11% Typ kapitału Budownicza 10% Motoryzacyjna Transportowa, logistyczna 6% 6% 94% 6% Energetyczna 5% Kapitał polski Kapitał zagraniczny Surowcowa, paliwowa Farmaceutyczna i kosmetyczna 4% 5% Wielkość badanych firm (liczba pracowników) 54% Metalowa 4% 27% 18% 1% Telekomunikacyjna 4% Chemiczna 3% Drzewna, papiernicza 2% Od 250 Od 50 do 249 Od 10 do 49 Mniej niż 10 pracowników Maszynowa 2% Przychody badanych firm Rozrywkowa 2% 44% 38% Elektrotechniczna 1% 11% 7% Odzieżowa, obuwnicza 1% Inna 5% 51-100 mln PLN 101-200 mln PLN Powyżej 200 mln PLN Odmowa odpowiedzi 16 Bezpieczeństwo technologii mobilnych

Zalecenia bezpiecznego korzystania z urządzeń mobilnych Zapewnij silne uwierzytelnienie 1 2 Dbaj o bezpieczeństwo fizyczne Zabezpiecz dostęp silnym hasłem lub mechanizmem biometrycznym. To podstawowe zabezpieczenie urządzenia mobilnego. Łącz się do zaufanych sieci Nigdy nie ufaj otwartym punktom dostępowym. Łącząc się z takimi sieciami pamiętaj, że Twój ruch może być podsłuchiwany i modyfikowany przez cyberprzestępców. Jeśli nie używasz, najlepiej wyłącz WiFi i Bluetooth. 7 Utrata telefonu nawet na chwilę może spowodować, że cyberprzestępcy przejmą nad nim kontrolę lub uzyskają dostęp do wrażliwych danych. Instaluj zaufane aplikacje Korzystaj jedynie z autoryzowanych źródeł aplikacji. Przeglądaj oceny i komentarze przed instalacją (mając jednak świadomość, że można je kupić). Rozważnie przyznawaj dostęp aplikacjom do zasobów urządzenia. 6 Aktualizuj oprogramowanie Nie pozwól hakerom wykorzystać luki w bezpieczeństwie systemu operacyjnego i aplikacji zainstalowanych na urządzeniu mobilnym. 5 3 4 8 Szyfruj wrażliwe dane Szyfrowanie transmitowanych oraz zapisywanych na urządzeniu danych to podstawowe zabezpieczenie przed utratą ich poufności. Nie zdejmuj zabezpieczeń Operacja jailbreak (ios) czy rootowanie (Android) pozbawia urządzenie podstawowych zabezpieczeń systemu operacyjnego. Nigdy nie wykonuj tych operacji na urządzeniu przetwarzającym wrażliwe dane. Wykonuj kopie zapasowe Niszcz dane w przypadku kradzieży Zapewnij sobie możliwość zdalnego wyczyszczenia danych w przypadku kradzieży urządzenia mobilnego. Pamiętaj, zrób to jak najszybciej dopóki urządzenie jest jeszcze podłączone do sieci. Wykonuj regularnie kopie zapasowe danych na urządzeniu mobilnym. Szyfruj je w celu zapewnienia ich poufności. 9 W przypadku przedsiębiorstw zalecane jest zapewnienie w ramach organizacji kontroli nad bezpieczeństwem urządzeń mobilnych, co jest dużym wyzwaniem w przypadku programów BYOD (Bring Your Own Device). W celu skutecznego zarządzania bezpieczeństwem korporacyjnych urządzeń mobilnych zalecane jest wdrożenie systemów klasy MDM (Mobile Device Management). Bezpieczeństwo technologii mobilnych 17

Wybrane publikacje KPMG w Polsce i na świecie Barometr cyberbezpieczeństwa. Cyberatak zjawiskiem powszechnym Cyberbezpieczeństwo wyzwanie współczesnego prezesa Transforming companies must put cyber security front and center Wireless World Cybercrime survey report Tech Giants Clarity on Cyber Security 18 Bezpieczeństwo technologii mobilnych

Usługi KPMG w zakresie cyberbezpieczeństwa Zespół Cyberbezpieczeństwa KPMG świadczy szeroki zakres usług, podchodzący w kompleksowy sposób do ochrony informacji. Wspiera firmy w zabezpieczeniu infrastruktury, aplikacji oraz zadbaniu o czynnik ludzki, czyli właściwą organizację, procesy oraz wiedzę pracowników w zakresie ochrony informacji. Pomaga firmom zarówno w przygotowaniu się na odparcie cyberataku, jak również w podjęciu właściwych działań, gdy cyberatak już nastąpił. Ochrona danych osobowych Podnoszenie świadomości w zakresie bezpieczeństwa Optymalizacja cyberbezpieczeństwa Zapewnienie ciągłości działania Ludzie Zarządzanie dostępem i tożsamością Wsparcie w reakcji na cyberatak Informatyka śledcza i analiza złośliwego oprogramowania Infrastruktura IT OT / IoT Aplikacje Bezpieczeństwo w procesach SDLC Modelowanie zagrożeń Testy penetracyjne infrastruktury (Red Teaming) Testy penetracyjne aplikacji Utwardzanie infrastruktury IT Architektura systemów bezpieczeństwa Przeglądy kodu źródłowego Bezpieczeństwo technologii mobilnych 19

Kontakt KPMG w Polsce ul. Inflancka 4A 00-189 Warszawa T: +48 22 528 11 00 F: +48 22 528 10 09 E: kpmg@kpmg.pl Michał Kurek Usługi doradcze, Cyberbezpieczeństwo Partner E: michalkurek@kpmg.pl Łukasz Staniak Usługi doradcze, Cyberbezpieczeństwo Menedżer E: lstaniak@kpmg.pl Marcin Strzałek Usługi doradcze, Cyberbezpieczeństwo Menedżer E: mstrzalek@kpmg.pl Magdalena Maruszczak Marketing i Komunikacja Dyrektor E: mmaruszczak@kpmg.pl KPMG.pl Biura KPMG w Polsce Warszawa ul. Inflancka 4A 00-189 Warszawa T: +48 22 528 11 00 F: +48 22 528 10 09 E: kpmg@kpmg.pl Kraków ul. Opolska 114 31-323 Kraków T: +48 12 424 94 00 F: +48 12 424 94 01 E: krakow@kpmg.pl Poznań ul. Roosevelta 22 60-829 Poznań T: +48 61 845 46 00 F: +48 61 845 46 01 E: poznan@kpmg.pl Wrocław ul. Szczytnicka 11 50-382 Wrocław T: +48 71 370 49 00 F: +48 71 370 49 01 E: wroclaw@kpmg.pl Gdańsk al. Zwycięstwa 13a 80-219 Gdańsk T: +48 58 772 95 00 F: +48 58 772 95 01 E: gdansk@kpmg.pl Katowice ul. Francuska 36 40-028 Katowice T: +48 32 778 88 00 F: +48 32 778 88 10 E: katowice@kpmg.pl Łódź ul. Składowa 35 90-127 Łódź T: +48 42 232 77 00 F: +48 42 232 77 01 E: lodz@kpmg.pl 2018 KPMG Advisory Spółka z ograniczoną odpowiedzialnością sp.k. jest polską spółką komandytową i członkiem sieci KPMG składającej się z niezależnych spółek członkowskich stowarzyszonych z KPMG International Cooperative ( KPMG International ), podmiotem prawa szwajcarskiego. Wszelkie prawa zastrzeżone. Wydrukowano w Polsce.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres