World Economic Forum o cyberbezpieczeństwie

World Economic Forum, we współpracy z National Association of Corporate Directors (NACD), Internet Security Alliance (ISA) oraz PwC  teraz w marcu opublikowało raport zatytułowany “Principles for Board Governance of Cyber Risk”. Nie jest to obszerna publikacja – liczy zaledwie 19 stron. Ale inaczej być nie może, bowiem skierowana jest do członków zarządów i rad (nadzorczych) a te osoby nie mają czasu w nadmiarze.

Punktem wyjścia jest wskazanie, że w opinii ekspertów wypełniających ankiety do corocznego Global Risk Report, w Raporcie opublikowanym na przełomie stycznia i lutego tego roku, zagrożenia w  dziedzinie cyberbezpieczeństwa (cybersecurity failure) – w perspektywie najbliższych 2 lat -znalazły się na 4 miejscu rankingu – ryzyko to zostało wskazane przez 39% respondentów. Na marginesie, jako najważniejsze uznano zagrożenie związane z chorobami zakaźnymi (infectious diseases) – 58%. No ale to akurat chyba nikogo nie zaskakuje.

O corocznych raportach WEF ( z roku 2020 i z lat poprzedzających) dotyczących ryzyka globalnego można przeczytać również w artykule „nie jest łatwo prognozować ryzyko”.

Przypomnijmy jeszcze, jak w poprzednich latach – w raportach Global Risk Report – postrzegane były zagrożenia dotyczące cyberbezpieczeństwa.

W perspektywie lat 2020-2030 (raport z 2020 roku), z punktu widzenia możliwości wystąpienia zagrożenia, cyberataki zajęły 7 pozycję w rankingu. Najbardziej prawdopodobne wydały się respondentom zagrożenia wynikające z ekstremalnych zdarzeń pogodowych.

Z punktu widzenia wpływu na kraje i gospodarkę, cyberataki ulokowano wówczas na 8 miejscu. Na pierwszym miejscu znalazły się zagrożenia wynikające z „niepowodzeń działań na rzecz klimatu”. Zaś na miejscu 10 (w rankingu) „szybkie i masowe rozprzestrzenianie się chorób zakaźnych”.

Przypominamy, że raport z roku 2020 został sporządzony pod koniec roku 2019 i rozwijająca się wówczas pandemia nie znalazła się w gronie najistotniejszych zagrożeń. To pokazuje, jak trudno jest prognozować i przewidywać zagrożenia.

Jeśli popatrzymy na najważniejszych 5 zagrożeń, prognozowanych w Raportach WEF w latach 2012-2020, to „cyberataki” były wskazywane w pierwszej piątce rankingu zaledwie kilka razy. I tak, w rankingu możliwości wystąpienia zagrożenia – „cyberataków” w perspektywie najbliższych 10 lat od daty opublikowania Raportu:

• 2012 – 4 pozycja
• 2013 – brak w pierwszej piątce najbardziej prawdopodobnych zagrożeń
• 2014 – 5 pozycja
• 2015 – brak …
• 2016 – brak …
• 2017 – brak …
• 2018 – 3 pozycja
• 2019 – 4 pozycja
• 2020 – brak …

Natomiast w rankingu 5 zagrożeń o potencjalnie największym wpływie, w latach 2012-2020 ryzyko cyberataków nie znalazło swojego miejsca – zajmowało miejsce w 10 lub poza nią.

Widać znaczący „awans” zagrożeń odnoszących się do cyberbezpieczeństwa. Dotyczy to perspektywy najbliższych 2 lat i takie postrzeganie tego ryzyka zapewne wynika z przekonania, że w najbliższych latach nadal ogromne znaczenie będzie miała praca zdalna a zatem podatna na zagrożenia cyberatakami.

W tegorocznej publikacji Global RIsk Report, oprócz perspektywy 2-letniej ryzyko cyberbezpieczeństwa oceniono również w perspektywie 3 do 5 lat oraz 5 do 10 lat. W tym pierwszym przypadku cyberataki znalazły się na 8 miejscu rankingu a w kolejnej perspektywie poza pierwszą dziesiątką.

Ale to może być złudne albowiem pojawiają się już wyniki badań wskazujących na chęć utrzymania możliwości pracy w trybie zdalnym już po zakończeniu pandemii. Nie wiadomo zresztą, kiedy uda się pandemię skutecznie zatrzymać i być może będą kolejne fale o nieco mniejszym natężeniu a zatem i praca zdalna a w konsekwencji możliwe cyberataki.

Warto jeszcze może wspomnieć, że „choroby zakaźne” nie znalazły się w pierwszych „10” najważniejszych zagrożeń w perspektywie lat 3-5 oraz 5-10. Oby te prognozy się sprawdziły.

Wracając do publikacji: Principles for Board Governance of Cyber Risk

Autorzy wskazali na 6 podstawowych zasad, którymi powinni się kierować członkowie zarządów i rad w nadzorze nad odpornością cybernetyczną organizacji:

1. Zaakceptowanie, że cyberbezpieczeństwo jest strategicznym czynnikiem umożliwiającym prowadzenie działalności
2. Zrozumienie relacji między czynnikami ekonomicznymi i ryzykiem cybernetycznym
3. Dopasowanie zarządzania ryzykiem cybernetycznym do potrzeb biznesowych
4. Zapewnienie wsparcia dla cyberbezpieczeństwo poprzez rozwiązania organizacyjne
5. Włączenie wiedzy z zakresu cyberbezpieczeństwa w działania zarządu
6. Wspieranie działań związanych z zapewnieniem i utrzymaniem odporności systemowej

Każda z tych zasad jest pokrótce opisana – coś na kształt krótkiej listy kontrolnej dla zarządów i rad nadzorczych w zakresie cyberbezpieczeństwa.

Jedna ważna uwaga: ta publikacja powstała w oparciu nie tylko ostatnie badania ankietowe związane z przygotowaniem Global Risk Raport ale również na podstawie innych publikacji o charakterze wytycznych – wymienionych w przypisach końcowych. Można zatem spokojnie przyjąć, że  Principles for Board Governance of Cyber Risk stanowi swoisty ekstrakt tego, co zawarto w publikacjach źródłowych. Co nie oznacza, że nie warto zajrzeć do publikacji źródłowych.

W mniejszych firmach ta publikacja nie musi się spotkać z zainteresowaniem ale w średnich i dużych organizacjach już powinna. Pomijając samą tematykę opracowanie daje szansę – na przykład na spotkaniu biznesowym – na „błyśnięcie” znajomością rzeczy w skali globalnej. Zatem osoby bezpośrednio zaangażowane w zarządzanie ryzykiem a w szczególności w zarządzanie cyberbezpieczeństwem, mogą z czystym sumieniem polecić (i podrzucić) szefom tę publikację.

Oczywiście po przeczytaniu …