Co więcej, dynamika zmian zachodzących w cyberprzestrzeni, ich innowacyjność i powiązanie z najnowocześniejszymi technologiami spowodowały powstawanie luki prawnej – istotny zakres działalności, niosącej skutki prawne i ekonomiczne, nie został w pełni uwzględniony w systemach prawnych – tak krajowych, jak i międzynarodowych. A niestety, poza niezaprzeczalnymi korzyściami, rozwój cyberprzestrzeni pociągnął za sobą również wiele nowych rodzajów przestępstw. Oszuści, złodzieje czy terroryści bardzo szybko zaczęli wykorzystywać w swojej działalności nowoczesne technologie.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
W tym kontekście, zatrważający jest raport NIK Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP, z którego wynika, że administracja państwowa nie podjęła dotychczas niezbędnych działań, mających na celu zapewnienie Polsce bezpieczeństwa teleinformatycznego. Pomimo tego, że coraz większa część istotnych aspektów życia społecznego i gospodarczego jest obecnie realizowana w internecie lub z wykorzystaniem systemów teleinformatycznych, bezpieczeństwo Polski w dalszym ciągu postrzegane jest w sposób konwencjonalny. Wygląda na to, że osoby na kierujące najważniejszymi instytucjami publicznymi nie dostrzegają nowej kategorii zagrożeń oraz nie są świadome niebezpieczeństw i związanych z nimi nowych zadań administracji.
O tym, że temat nowych technologii i związanych z nimi zagrożeń nie może być dłużej traktowany w taki sposób świadczy chociażby raport Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL o stanie bezpieczeństwa cyberprzestrzeni RP z 2014 roku. Zwraca on uwagę na wyraźny wzrost dynamiki ataków na sieci informatyczne. Atakującymi były już nie tylko pojedyncze osoby, ale też wyspecjalizowane grupy, a 2014 rok okazał się rekordowy pod względem liczby otrzymanych zgłoszeń oraz obsłużonych incydentów – zarejestrowano aż 12 017 zgłoszeń, z których 7 498 zostało zakwalifikowanych jako incydenty. Co więcej, w porównaniu do roku 2013 aż o 350% wzrosła liczba incydentów z kategorii Inżynieria społeczna, a jak wskazują badania PwC, globalna liczba incydentów związanych z bezpieczeństwem informacji w firmach i instytucjach wzrosła w ciągu roku o ponad 25%.
Przeprowadzane kampanie często wykorzystywały wizerunek znanych firm, podmiotów prowadzących sprzedaż w internecie lub firm pośredniczących, np. firmy kurierskie, serwisy aukcyjne i rezerwacyjne, banki, operatorzy telekomunikacyjni, itp.
Polskie firmy również nie radzą sobie w tej materii najlepiej. Aż 22% przebadanych podmiotów nie dysponuje wiedzą o liczbie incydentów bezpieczeństwa w swojej organizacji – to o 4 punkty procentowe więcej niż globalny poziom odniesienia. Co ciekawe, bardzo często – nawet w 75 proc. przypadków – celem ataków hakerskich nie jest nawet pozyskanie konkretnych informacji, ale wykazanie luk w systemach bezpieczeństwa poszczególnych podmiotów. Może nie rodzi to bezpośrednich strat finansowych (np. nie następuje kradzież bazy danych klientów w celu jej odsprzedania konkurencji), ale nie mniej poważne straty wizerunkowe już tak. Niefinansowe skutki incydentu bezpieczeństwa informacji to przede wszystkim utrata reputacji oraz decyzje personalne, dotyczące najczęściej zarządów firm. Jak wykazują badania, polscy przedsiębiorcy i management najczęściej niemal nie zwracają na nie uwagi. Nie znają też faktycznych kosztów takiego incydentu (w rezultacie utrata dobrego wizerunku zawsze wiąże się z przyszłymi startami finansowymi) albo szacują go na… 50 tys. zł.