Cyberprzestępcy nie kierują już swojej uwagi wyłącznie na duże firmy. Celem ich ataków stały się wszystkie przedsiębiorstwa, niezależnie od wielkości. Analizy specjalistów z Veeam wskazują, że aż 83% firm z Europy Środkowo-Wschodniej doświadczyło ataków szyfrujących dane i wymuszających okup. Konsekwencje cyberataków są bolesne - zarówno dla całego zaatakowanego podmiotu, jak i klientów.

Dobre relacje z Klientami cechuje przede wszystkim zaufanie. To ono powoduje chęć do korzystania z produktów i usług. Cyberataki powodują utratę zaufania, które może prowadzić do gwałtownego spadku przychodów, a w najgorszym wypadku do zakończenia biznesu. 

W pierwszej połowie 2023 roku laboratoria firmy Fortinet wykryły aż 13 razy więcej cyberataków niż pod koniec 2022. Prowadząc biznes funkcjonujemy w łańcuchu dostarczania wartości dla Klienta końcowego. Nawet najmniejsze zaburzenie tego procesu może doprowadzić do poważnych konsekwencji dla całego otoczenia, w tym przede wszystkim odbiorców naszych produktów i usług. To poważne ryzyka, które musimy uwzględnić - zarówno z perspektywy konkurencyjności biznesu, jak i zachowania zgodności z regulacjami - mówi Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa w DEKRA. 

Wprowadzone w ostatnim czasie akty prawne Unii Europejskiej, jak akt o odporności cyfrowej sektora finansowego, czy Dyrektywa dotycząca cyberbezpieczeństwa i zapewnienia ciągłości świadczonych usług, zobowiązują do zbudowania adekwatnego do zagrożeń systemu bezpieczeństwa informacji. Obydwa akty prawne zwracają poświęcają uwagę nie tylko budowie systemu bezpieczeństwa w samej organizacji, ale też działaniom mającym zapewnić ochronę całego łańcucha dostaw. W jaki sposób spełnić wymagania prawne, które stawia regulator, a jednocześnie skutecznie zredukować ryzyko ataku cyberprzestępców? Na przykład za pomocą międzynarodowych standardów. 

ISO 27001

Uznanymi międzynarodowymi standardami, które wspierają organizację w zakresie budowy bezpiecznej, odpornej na zakłócenia organizacji jest PN-EN ISO/IEC 27001:2022 Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Systemy zarządzania bezpieczeństwem informacji - wymagania i PN-EN ISO 22301:2020 Bezpieczeństwo i odporność - Systemy zarządzania ciągłością działania - Wymagania. Jak skutecznie w kilku krokach wdrożyć standardy w organizacji? 

• Zidentyfikuj i oceń ryzyko w łańcuchu dostaw. ISO 27001 można wykorzystać do przeprowadzenia szczegółowej oceny ryzyka związanego z cyberbezpieczeństwem, w tym mapowania potencjalnych zagrożeń czy identyfikacji kluczowych zasobów i procesów, narażonych na ryzyko. 
• Określ wymagania bezpieczeństwa. Na podstawie oceny ryzyka można opracować konkretne standardy bezpieczeństwa, procedury zarządzania incydentami czy audyty bezpieczeństwa. 
• Zweryfikuj dostawców. Pozwoli to przeprowadzić audyt i zweryfikować czy dostawcy w całym łańcuchu przestrzegają norm ISO 27001. 
• Zarządzaj incydentami. Norma pozwala na opracowanie planu ciągłości działania w wypadku ataków, w tym procedury reagowania i zarządzanie komunikacją w przypadku awarii. 
• Pracuj nad świadomością i edukacją. Szkolenia dla pracowników z zakresu cyberbezpieczeństwa i procedur pomogą zmniejszyć ryzyko wystąpienia incydentów i przyspieszają reakcje na ataki. 
• Monitoring i audyt. Przeprowadzanie regularnego monitoringu i audytu środków bezpieczeństwa pozwoli na bieżąco korygować i poprawiać systemy ochrony. Proces zarządzania bezpieczeństwem wymaga ciągłego doskonalenia. 

W ciągu pierwszych sześciu miesięcy 2023 r. analitycy zdiagnozowali ponad 10 tys. unikalnych exploitów, a więc programów mających na celu wykorzystanie istniejących błędów w oprogramowaniu. To aż o 68 proc. więcej w porównaniu z okresem sprzed pięciu lat - zaznacza Tomasz Szczygieł. Integracja standardów ISO 27001 i ISO 22301 w zarządzaniu bezpieczeństwem i ciągłością działania w łańcuchu dostaw pomaga w zminimalizowaniu ryzyka cyberzagrożeń, zwiększeniu odporności na awarie oraz zachowaniu ciągłości operacyjnej w przypadku incydentów. Ważne jest, aby te standardy były dostosowane do konkretnych potrzeb i charakterystyki Twojego łańcucha dostaw – podsumowuje.

***

DEKRA jest globalnym liderem na rynku certyfikacji systemów zarządzania, w TOP 3 firm TIC działających w Polsce. Z jasną, ambitną wizją bycia partnerem dla bezpiecznego i zrównoważonego świata DEKRA łączy najlepszych ludzi, innowacyjne technologie i pasję do ustanawiania standardów, które zmieniają biznes na lepsze.

Działająca od niemal 100 lat na świecie – i od ponad 20 lat w Polsce – DEKRA stawia obecnie na dynamiczny rozwój usług z zakresu cyberbezpieczeństwa, bezpieczeństwa informacji i zarządzania ciągłością działania, oraz na usługi wspierające zrównoważony rozwój organizacji i elektromobilność.

Świadomi zagrożeń i wyzwań współczesnego świata klienci DEKRA korzystają z rozwiązań, które dają im rzetelną wiedzę i praktyczne narzędzia, takie jak m.in. certyfikacja ISO 27001 i ISO 22301, czy specjalistyczne audyty (np. audyt bezpieczeństwa systemu informacyjnego dla operatorów usług kluczowych). Dzięki połączeniu wiedzy i doświadczenia ekspertów lokalnych i międzynarodowych mają oni dostęp do wszystkich potrzebnych informacji i usług z jednego, obszernego i elastycznego źródła.