The Warsaw
Wraz z rozwojem innowacji technologicznej rozwija się cyberprzestępczość, której łupem coraz częściej padają przedsiębiorstwa. Według wyliczeń Chucka Robbinsa – CEO firmy Cisco, gdyby porównać wielkość strat generowanych globalnie przez internetowych przestępców, ze światowymi gospodarkami, cyberprzestępcy mogliby z powodzeniem stworzyć trzecią największą gospodarkę na świecie. Szacuje się, że w 2021 roku skumulowane straty wynikające z działalności przestępczej w Internecie wyniosły około 6 bilionów USD. Dane Banku Światowego przedstawiające największe gospodarki świata obecnie klasyfikują na podium USA (20,9 biliona USD), Chiny (14,7 biliona USD) oraz Japonię (5 bilionów USD). Fikcyjny cyberprzestępczy kraj zepchnąłby Japonię na 4. miejsce, jednocześnie deklasując Polskę, która w takim zestawieniu zajęłaby 22. miejsce (0.6 biliona).
Przytoczone statystyki w dużej mierze są szacunkowe. Nie sposób wyliczyć dokładnych wartości strat. Wynika to z faktu, że w znacznej części są to straty niematerialne i bardzo ciężko jest je bezpośrednio przeliczyć na pieniądze. Innym poważnym wyzwaniem związanym z dokładnym obliczeniem skutków cyberataków jest nadal powszechne zjawisko niezgłaszania naruszeń wynikających z cyberprzestępczości przez przedsiębiorstwa. Jest to zjawisko, z którym borykają się zarówno służby w USA jak i Polsce. Liczba postępowań sądowych w sprawie cyberprzestępstw jest nieporównywalnie niższa niż liczba incydentów cyberbezpieczeństwa raportowanych przez zajmujące się bezpieczeństwem organizacje. Źródła statystyczne pokazują, że te dwie miary są oddalone od siebie o kilka rzędów wielkości. W USA wymóg raportowania incydentów bezpieczeństwa teleinformatycznego znany jest od dawna, w Polsce również nie jest nowością. Operatorzy usług kluczowych, firmy i samorządy mają obowiązek zgłaszania tego typu incydentów do CERT Polska, działającego w NASK. Niestety dość często incydenty nie są zgłaszane wcale, lub też ich skala jest zaniżana. Przeprowadzone przez firmę Karpersky badania pokazały, że kilka lat temu w 40% firm na całym świecie pracownicy świadomie ukrywali incydenty bezpieczeństwa. Ten sam raport podkreśla, że ukrywanie sytuacji często prowadzi do dramatycznych konsekwencji, zwiększając szkody. Nawet jedno niezgłoszone zdarzenie może w konsekwencji być przyczyną ogromnego wycieku danych lub spowodować zniszczenia w całej infrastrukturze organizacji. Jak pokazują statystyki, lekceważenie oraz celowe ukrywanie incydentów ma znaczący wpływ na bezpieczeństwo firmowych danych. Według wcześniej wspomnianego raportu 46% firm potwierdziło, że incydenty wynikające z nieodpowiednich działań pracowników skutkowały wyciekiem danych lub naraziły ich na bezpieczeństwo. Ponad jedna czwarta firm (28%) utraciła, sklasyfikowane jako poufne lub bardzo wrażliwe, informacje dotyczące klientów w wyniku wspomnianych niestaranności pracowników. 25% firm ujętych w zestawieniu utraciło informacje finansowe, w tym informacje dotyczące płatności. Tego typu wycieki mogą przenieść natychmiastowe straty finansowe oraz mieć też długoterminowy wpływ na reputację przedsiębiorstwa. Dlatego tak ważne jest, aby reagować szybko, gdy w firmie wydarzy się incydent bezpieczeństwa. Istotne jest przeszkolenie pracowników, aby byli w stanie nie tylko dostrzegać zagrożenia, ale też swoim postępowaniem mogli łagodzić ryzyko.
Osobnym problemem związanym ze zjawiskiem ukrywania cyberincydentów oraz strat z nimi związanych jest fakt, że przedsiębiorstwa monitorują incydenty selektywnie. Firmy a zwłaszcza duże korporacje mogą być niechętne do raportowania wszystkich incydentów w obawie przed potencjalnie negatywnymi skutkami ujawnienia tego typu informacji. Przyznanie się do incydentu może mieć wpływ na cenę akcji, reputację marki czy nałożenie kar finansowych. Dlatego też włamania czy wycieki nie raz nie zostają ujawnione, po podjęciu przez przedsiębiorstwo świadomej decyzji wynikającej z analizy progów istotności naruszenia, skutków prawnych i regulacyjnych wymogów.
W następstwie zeszłorocznego ataku Solarwinds Stany Zjednoczone zintensyfikowały swoje wysiłki na rzecz wspierania większego partnerstwa publiczno-prywatnego, kładąc duży nacisk na rozwój przepisów, które otwierają drogę do bardziej powszechnych wymogów w zakresie obowiązkowego raportowania incydentów. Nowe regulacje implementuje też Polska w oparciu o unijne przepisy takie jak NIS2 i DORA [5]. Same przepisy mogę jednak nie być wystarczające aby poprawić statystyki zgłoszeń dotyczących cyberprzestępczości. Rozwiązanie tego problemu wymaga od firm lepszego szkolenia swoich pracowników, wspierania i zachęcania do zgłaszania incydentów wewnętrznie, a przede wszystkim dzielenia się tymi informacjami z władzami, organizacjami operującymi w branży cyberbezpieczeństwa oraz społeczeństwem. Ujawnienie tego typu informacji oraz wdrożenie mechanizmów ich wymiany, przyczyni się do zwiększenia skuteczności odstraszania i obrony przed narastającym problemem cyberprzestępczości.
Wiktor Sędkowski
ukończył teleinformatykę na Politechnice Wrocławskiej, specjalizując się w dziedzinie bezpieczeństwa cybernetycznego. Jest ekspertem od zagrożeń cyfrowych. Posiadacz certyfikatu CISSP, OSCP i MCTS, pracował jako inżynier i solution architect dla wiodących firm informatycznych.
Niniejszy artykuł powstał w ramach działalności społeczno-misyjnej polskiego think tanku Warsaw Institute. Jeśli cenicie Państwo przygotowane przez naszych ekspertów treści, apelujemy o wsparcie finansowe naszej działalności realizowanej na zasadzie non-profit. Do regularnych darczyńców przysyłamy bezpłatnie anglojęzyczny kwartalnik The Warsaw Institute Review.Więcej informacji: www.warsawinstitute.org/support/Darowizny można dokonać bezpośrednio na konta bankowe:USD: PL 82 1020 4900 0000 8502 3060 4017EUR: PL 85 1020 4900 0000 8902 3063 7814GBP: PL 18 1020 4900 0000 8302 3069 6641PLN : PL 41 1020 1097 0000 7202 0268 6152SWIFT: BPKOPLPWDziękujemy!
Warsaw Institute to polski think tank zajmujący się geopolityką. Główne obszary badawcze to stosunki międzynarodowe, bezpieczeństwo energetyczne oraz obronność. Warsaw Institute wspiera Inicjatywę Trójmorza oraz stosunki transatlantyckie.
Warsaw Institute is a Polish think tank focusing on geopolitics. The main research areas are international relations, energy security and defense. The Warsaw Institute supports the Three Seas Initiative and transatlantic relations.
The hidden scale of cybercrime
Along with the development of technological innovation, cybercrime is growing, and companies are increasingly falling prey to it. According to the calculations of Chuck Robbins – CEO of Cisco, if you compare the amount of losses generated globally by online criminals with global economies, cybercriminals could successfully create the third largest economy in the world. It is estimated that in 2021, the cumulative losses resulting from criminal activity on the Internet amounted to approximately USD 6 trillion. World Bank data presenting the world’s largest economies currently rank the US (USD 20.9 trillion), China (USD 14.7 trillion) and Japan (USD 5 trillion) on the podium. A fictional cybercriminal country would push Japan to 4th place, while outclassing Poland, which would be ranked 22nd (0.6 trillion) in such a ranking.
The statistics quoted are to a large extent estimates. It is impossible to calculate the exact values of the losses. This is due to the fact that, to a large extent, these are intangible losses and it is very difficult to convert them directly into money. Another major challenge to accurately calculating the impact of cyber attacks remains the widespread failure to report cybercrime violations by businesses. This is a phenomenon that both the services in the USA and Poland are struggling with. The number of court proceedings regarding cybercrimes is incomparably lower than the number of cybersecurity incidents reported by security organizations. Statistical sources show that these two measures are separated by several orders of magnitude. In the USA, the requirement to report ICT security incidents has been known for a long time, and in Poland it is also not new. Operators of key services, companies and local governments are required to report such incidents to CERT Polska, operating in NASK. Unfortunately, quite often incidents are not reported at all or their scale is underestimated. Research conducted by Karpersky showed that a few years ago, 40% of companies around the world consciously concealed security incidents. The same report emphasizes that concealing a situation often leads to dramatic consequences, increasing the damage. Even one unreported event can result in huge data leakage or damage to the entire infrastructure of the organization. Statistics show that disregarding and deliberately concealing incidents has a significant impact on the security of corporate data. According to the previously mentioned report , 46% of companies confirmed that incidents resulting from inappropriate actions of employees resulted in data leakage or compromised their security. More than a quarter of companies (28%) have lost customer information classified as confidential or very sensitive as a result of these employee negligence. 25% of the companies on the list have lost financial information, including payment information. These types of leaks can carry immediate financial losses and have a long-term impact on a company’s reputation. That is why it is so important to react quickly when a security incident occurs in the company. It is important to train employees so that they are able not only to see threats, but also to mitigate the risk with their behavior.
A separate problem related to the phenomenon of concealing cyber incidents and related losses is the fact that enterprises monitor incidents selectively. Companies, and especially large corporations, may be reluctant to report all incidents for fear of the potentially negative effects of disclosing this type of information. Admitting an incident could have an impact on the stock price, brand reputation or the imposition of financial penalties. Therefore, burglaries or leaks are not disclosed more than once, after the company has made an informed decision resulting from the analysis of the thresholds for the severity of the breach, as well as the legal and regulatory requirements.
In the aftermath of last year’s Solarwinds attack, the United States stepped up its efforts to foster a broader public-private partnership with a strong emphasis on developing legislation that paves the way for more common mandatory incident reporting requirements. The new regulations are also implemented by Poland on the basis of EU regulations such as NIS2 and DORA [5]. However, the regulations alone may not be enough to improve the statistics of cybercrime reports. Solving this problem requires companies to better train their employees, support and encourage internal reporting of incidents, and above all, sharing this information with authorities, organizations operating in the cybersecurity industry and the public. Disclosure of this type of information and implementation of mechanisms for their exchange will contribute to increasing the effectiveness of deterrence and defense against the growing problem of cybercrime.
Wiktor Sędkowski graduated in Teleinformatics at the Wrocław University of Science and Technology, specialized in cybersecurity field. He is an expert on cyber threats. CISSP, OSCP and MCTS certificates holder. Worked as an engineer and solution architect for leading IT companies.
