PwC-ovo istraživanje o povjerenju u digitalno okruženje, Global Digital Trust Insights za 2024. godinu pokazalo je da se udio tvrtki koje su bile izložene povredama sigurnosti podataka vrijednosti veće od milijun dolara znatno povećava iz godine u godinu, i to za trećinu, popeo se s 27 posto na 36 posto.
Istraživanje u kojem je ispitano 3800 poslovnih i tehnoloških lidera u 71 zemlji također otkriva da tvrtke na uspon generativne umjetne inteligencije (engl. GenAI) gledaju s dozom sumnjičavosti i uzbuđenja, a mnoge povećavaju ulaganja u kibernetičku sigurnost kako bi se obranile od kibernetičkih napada.
Gotovo dvije trećine (64 posto) ispitanika povećalo je svoje prihode od prodaje u prošloj godini, dok osam od deset (82 posto) očekuje povećanje prihoda tijekom sljedeće godine. Osam od deset (79 posto) očekuje povećanje proračuna za kibernetičku sigurnost, dok ih je 2023. godine to očekivalo 65 posto. Organizacije koje pokazuju veću zrelost u svojim inicijativama jačanja kibernetičke sigurnosti prijavljuju više koristi od takvih inicijativa i manju učestalost skupih kibernetičkih povreda vrijednosti jedan milijun dolara ili općenito manji broj takvih povreda.
Dok se broj tvrtki koje su doživjele povredu podataka povećao od PwC-ova istraživanja za 2023. godinu, zdravstveni sektor bio je najviše na udaru. Prijavljeni globalni prosječni trošak štetnog kibernetičkog napada iznosio je 4,4 milijuna dolara, dok je u zdravstvenom sektoru taj trošak bio 25 posto veći, odnosno 5,3 milijuna dolara. Gotovo polovica (47 posto) ispitanika svih zdravstvenih organizacija zabilježila je povredu podataka koja ih je stajala milijun dolara ili više.
Što je tvrtka veća, veći je i prosječan iznos najštetnije povrede kojoj je bila izložena. Tvrtke s više od 10 milijardi dolara prihoda zabilježile su povrede od 7,2 milijuna dolara, dok su one s manje od milijarde dolara navele da im je nanesena šteta iznosila 1,9 milijuna dolara.
Poslovni i tehnološki lideri sve su zabrinutiji zbog sve veće primjene GenAI s aspekta kibernetičke sigurnosti. Možda nam slijedi još jedan veliki porast broja kibernetičkih prijetnji jer GenAI može doprinijeti složenim oblicima ugrožavanja elektroničke pošte širokih razmjera. Članovi uprava odgovorni za informacijsku sigurnost i za informacijske sustave trebali bi obratiti pažnju na sve prisutniji osjećaj: 52 posto očekuje da će GenAI dovesti do katastrofalnih kibernetičkih napada u sljedećih 12 mjeseci. Gotovo osam od deset (77 posto) složilo se kako namjerava koristiti GenAi na etičan i odgovoran način.
Tri četvrtine poslovnih i tehnoloških lidera uzbuđeno je zbog potencijala GenAI:
- 77 posto se složilo da će „GenAI pomoći njihovoj organizaciji razviti nove linije poslovanja u sljedeće tri godine”;
- 74 posto se složilo da će „osobna upotreba GenAI od zaposlenika dovesti do vidljivog povećanja njihove produktivnosti u sljedećih 12 mjeseci”;
- 75 posto se složilo da će „procesi koji se temelje na GenAI unutar organizacije u sljedećih 12 mjeseci povećati produktivnost zaposlenika”.
Prednost GenAI je mogućnosti sintetiziranja velike količine podataka o kibernetičkom incidentu iz više sustava i izvora čime liderima može pomoći bolje shvatiti što se dogodilo. GenAI može predstaviti složene prijetnje na jeziku koji je lako razumljiv, ponuditi savjete o strategijama ublažavanja i pomoći u pretragama i istragama.
Naše globalno istraživanje pokazuje da je kibernetička sigurnost poslovnim liderima i dalje na samom vrhu ljestvice prioriteta, i to sada više nego ikad prije. Najviša razina rukovodstva mora biti agilna i prilagoditi se promjenjivom tržištu, a s obzirom na nove tehnološke trendove koji transformiraju tržište, rukovoditelji se moraju oduprijeti „statusu quo” ugradnjom mehanizama za jačanje sigurnosti u strukturu organizacije umjesto da reagiraju tek kada dođe do krize, istaknuo je Sean Joyce, globalni voditelj usluga za kibernetičku sigurnosti i privatnost, PwC-a SAD
Uloga CISO-a unutar organizacije mora postati više „business-centric”, odnosno u središtu poslovne strategije i upravljanja organizacijom, s obzirom da su granice između postavljanja kontrola, mehanizama zaštite te adekvatnog upravljanja kibernetičkom i informacijskom sigurnošću i upotrebe i sve veće integracije novih digitalnih tehnologija, sve fluidnije. Osoba odgovorna za upravljanje sigurnošću treba i mora postati jednakovrijedan član upravljačkog odbora svake kompanije koja želi sigurnije upravljati i voditi svoje poslovanje, dodao je Bruno Čurčija, direktor odjela za reviziju informacijskih sustava.
Potrebna su poboljšanja kibernetičke sigurnosti i dosljednost, pri čemu manje od jedne trećine organizacija izjavljuje da dosljedno provode ključne vodeće prakse vezane uz kibernetičku tehnologiju. Kako bi ovo dodatno istražio, PwC je razvio indeks za utvrđivanje organizacija koje su uspostavile timove za kibernetičku sigurnost kod kojih se vidi dosljedna primjena vodećih kibernetičkih praksa. Međutim, od svih ispitanika, samo pet posto organizacija navelo je kako dosljedno provode 10 obrambenih i kibernetičkih praksi usmjerenih na rast.
Više od polovice (53 posto) ostvaruje prihod od 5 milijardi dolara ili više i zasigurno ih možemo smatrati organizacijama „visokog rasta” koje su zabilježile i očekuju rast prihoda od +10 posto u proteklih i sljedećih 12 mjeseci (17 posto u odnosu na 9 posto ukupno).
Također je vjerojatnije da će te organizacije navesti da ih je najštetnija kibernetička povreda u posljednje tri godine stajala manje od 100 tisuća dolara (28 posto naspram 19 posto ukupno). Dok je ukupno 36 posto organizacija doživjelo kibernetičku povredu koja ih je stajala više od milijun dolara, ovaj udio iznosi tek 29 posto u slučaju Čuvara digitalnog povjerenja koji su doživjeli povredu ove veličine. Osim toga, pozitivniji su i oko potencijalnog utjecaja GenAI - velik broj njih apsolutno se slaže da će ona doprinijeti razvoju novih linija poslovanja (49 posto u odnosu na 33 posto sveukupno), a koristit će i alate GenAI za obranu od kibernetičkih napada (44 posto u odnosu na 27 posto). Također su se manje skloni složiti da će „GenAi izazvati katastrofalni kibernetički napad“ (33 posto naspram 22 posto ukupno). Manje su spremni dopustiti implementaciju alata GenAI prije uspostavljanja internih pravila (31 posto ih se ne slaže naspram 19 posto ukupno i 53 posto se slaže naspram 63 posto ukupno).
Poslovni lideri povećavaju ulaganja u kibernetičku sigurnost
Unatoč stalnom porastu prirodnih katastrofa povezanih s klimatskim promjenama, trajnim učincima pandemije bolesti Covid-19 i rastućoj nejednakosti, poslovni i tehnološki lideri svrstali su digitalne tehnologiju i tehnologiju općenito na sam vrh ljestvice rizika koje će najprije rješavati tijekom sljedećih 12 mjeseci.
Tri najčešće navedene kibernetičke prijetnje odnose se na prijetnje povezane s računarstvom u oblaku, napade na povezane uređaje i aktivnosti koje obuhvaćaju provale u računalne sustave i curenje podataka. Unatoč tome, više od jedne trećine tvrtki nije pokrenulo inicijative za upravljanje rizicima, a samo je svaka četvrta poboljšala kibernetičku otpornost.
Samo dva posto organizacija optimizira i kontinuirano poboljšava sve aspekte kibernetičke otpornosti. Isto tako, više od 40 posto lidera kazalo je kako ne razumije kibernetičke rizike koje predstavljaju nove tehnologije, kao što su alati za rad u virtualnom okruženju, GenAI, blockchain u poduzećima (engl. Enterprise Blockchain), kvantno računarstvo i virtualna/proširena stvarnost.
Organizacije bi trebale usvojiti skup alata za odgovornu uporabu umjetne inteligencije, tzv. Responsible AI toolkit, kako bi upravljale njenom uporabom na pouzdan i etičan način. Iako se umjetna inteligencija često smatra tehnološkom funkcijom, ljudski nadzor i intervencija za nju su ključni. Osim toga, uz rizike koji se odnose na sigurnost i privatnost, kada te organizacije tek počnu koristiti GenAI, sada moraju uzeti u obzir dodatna područja koja uključuju rizike vezane uz podatke, rizike vezane uz modele i pristranost, rizike vezane uz upite ili unos podataka i rizike vezane uz zlouporabu korisničkih računa, dodao je Joyce.
Usavršavanje postojećih i usvajanje novih vještina
Organizacije će morati razmisliti o svojim strategijama zapošljavanja i zadržavanja stručnog kadra kada je riječ o održavanju razine predanosti i informiranosti svojih zaposlenika. Lideri su kao tri najveća prioriteta u pogledu strategije vezane uz stručnjake za kibernetičku sigurnost naveli „usavršavanje postojećih zaposlenika dovoljno brzim tempom kako bi mogli pratiti zahtjeve naše organizacije”, „ponovno uspostavljanje ravnoteže između internih i vanjskih ili upravljanih usluga” i „prepoznavanje pravih kandidata za radna mjesta”. Organizacije koje su zabilježile kibernetičku povredu koja ih je stajala više od milijun dolara sklonije su (52 posto) među svoja tri najveća prioriteta češće uključuju pronalaženje vrhunskih stručnjaka na tržištu.