Większość firm nie przejmuje się włamaniami, dopóki nie odczują ich skutków na własnej skórze. W ok. 56 proc. przypadków żądanie reakcji na atak pojawia się dopiero wtedy, gdy jego negatywne efekty są już widoczne – według danych Kaspersky'ego za 2018 r. Przedsiębiorców obudzić mogą dopiero pieniądze znikające z konta, zaszyfrowanie danych przez ransomware czy utrata dostępu do usług.

Jak podaje rosyjski dostawca, 44 proc. takich żądań zostało załatwionych po wykryciu ataku na wczesnym etapie, co uchroniło użytkownika przed większymi konsekwencjami.  

Jak zauważa Kaspersky, firmy często uważają, że trzeba reagować na incydent dopiero wtedy, gdy szkody są już widoczne i należy przeprowadzić dochodzenie. To częsty i kosztowny błąd, bo wykrycie ataku na wczesnym etapie pozwala zapobiec szkodom.

Tymczasem zagrożenie jest powszechne, bo według danych Kaspersky'ego u 81 proc. organizacji wykryto oznaki szkodliwej aktywności w ich sieci wewnętrznej, w 34 proc. stwierdzono oznaki zaawansowanego ataku ukierunkowanego, a 54 proc. organizacji finansowych zostało zaatakowanych przez zaawansowanych hakerów.

Kosztowne pomyłki w ocenie

W 2018 r. 22 proc. reakcji na incydent zostało podjętych po wykryciu potencjalnie szkodliwej aktywności w sieci, a kolejne 22 proc. – po znalezieniu szkodliwego pliku w sieci.

Oba przypadki mogą sygnalizować atak. Jednak zdaniem Kaspersky'ego nie każdy zespół ds. bezpieczeństwa w firmie jest w stanie stwierdzić, czy już powstrzymano zagrożenie, czy też jest to początek większej operacji i niezbędni są zewnętrzni specjaliści. W wyniku błędnej oceny szkodliwa aktywność przeradza się w atak z poważnymi konsekwencjami.

W 2018 r. 26 proc. przypadków z późną reakcją było spowodowanych infekcją szkodliwym oprogramowaniem szyfrującym, podczas gdy 11 proc. ataków prowadziło do kradzieży pieniędzy. 19 proc. "późnych" przypadków było wynikiem wykrycia spamu w firmowym koncie e-mail, braku dostępu do usług lub wykrycia udanego włamania.

Ta sytuacja sugeruje, że w wielu firmach trzeba poprawić metody wykrywania i procedur reagowania na incydenty. Im wcześniej organizacja zidentyfikuje atak, tym mniejsze będą jego konsekwencje.

 

Potrzebni specjaliści i plany

Kaspersky radzi, by firma posiadała wyspecjalizowany zespół (lub przynajmniej pracownika) odpowiedzialnego za bezpieczeństwo IT i regularnie przeprowadzała audyt bezpieczeństwa infrastruktury IT.

Warto też opracować plan reagowania na incydenty dla różnych rodzajów cyberataków.

Konieczne są też szkolenia i procedury zarządzania łatami – twierdzi Kaspersky.