Polskie przedsiębiorstwa znalazły się na drugim miejscu w niechlubnym rankingu unijnym pod względem liczby firm, które doświadczyły naruszeń bezpieczeństwa cyfrowego, jak wynika z najnowszego raportu Eurostatu „Cyfryzacja w Europie”. Trzy na dziesięć przebadanych polskich firm zgłosiło przynajmniej jeden incydent tego rodzaju, co jest wynikiem znacznie powyżej średniej unijnej, gdzie co piąta firma (22%) w ciągu roku doświadcza przynajmniej jednego incydentu związanego z bezpieczeństwem.

W 2022 roku najwięcej incydentów zgłoszono w Finlandii (44%), Polsce i Holandii (po 30%), natomiast najmniej w Bułgarii (11%.), Portugalii i na Słowacji (po 12%). Dane dotyczą wszystkich rodzajów firm, niezależnie od ich wielkości.

– Te statystyki w rzeczywistości są znacznie bardziej ponure. Nie każda firma raportuje naruszenia, co więcej, jest wiele organizacji, które w ogóle nie zdają sobie sprawy, że padły ofiarą cyberprzestępców i że cyfrowe dane są w ich posiadaniu. Po prostu nie są w stanie zidentyfikować naruszenia albo są to w stanie zrobić długo po incydencie – przekonuje Natalia Zajic, konsultantka cyberbezpieczeństwa z firmy Safesqr, specjalizującej się w podnoszeniu poziomu cyberbezpieczeństwa instytucjom publicznym i firmom z sektora prywatnego.

 

Niezbędna zmiana

Mimo że 92% firm w UE stosuje przynajmniej jedno rozwiązanie z zakresu cyberbezpieczeństwa, polskie przedsiębiorstwa nadal często padają ofiarą cyberprzestępców. Najczęściej używane narzędzia to silne hasła (82% firm), przechowywanie kopii zapasowych w oddzielnej lokalizacji lub chmurze (78%), oraz kontrolowany dostęp do sieci (65%). Niestety, polskie organizacje we wszystkich tych kategoriach plasują się poniżej unijnej średniej. Szczególnie niepokojące jest, że tylko 68% polskich firm tworzy kopie zapasowe, a zaledwie 62 % stosuje kontrolę dostępu do sieci.

Podstawowe środki ochrony nie są bardzo kosztowne, a nawet mała firma może sobie pozwolić na przechowywanie kopii zapasowych w chmurze obliczeniowej, co stanowi proste i skuteczne narzędzie zwiększające bezpieczeństwo.

– Dostawcy chmur obliczeniowych inwestują znacznie więcej środków finansowych na opracowanie i wdrożenie odpowiednich zabezpieczeń niż przeciętny przedsiębiorca na zabezpieczenia systemów utrzymywanych lokalnie w firmowej serwerowni. De facto, w bezpieczeństwo infrastruktury wirtualnej inwestuje nie tylko dostawca chmury, ale także firmy i organizacje dostarczające sprzęt, oprogramowanie, certyfikaty i dobre praktyki utrzymywania i zarządzania danymi w chmurze – tłumaczy Wojciech Darłowski z zarządu Beyond.pl, dostawcy usług data center, chmury i Managed Services.

 

Problem braku świadomości

– Kolejnym problemem jest brak zrozumienia zagrożeń przez firmy. Niestety często środki bezpieczeństwa są stosowane tylko dla zapewnienia zgodności z regulacjami lub wymaganiami prawnymi. Najwyższe kierownictwo często nie rozumie kontekstu cyberbezpieczeństwa, a strona biznesowa nie widzi potencjalnych zagrożeń. Incydenty i naruszenia coraz częściej przedzierają się do świadomości konsumentów, a z czasem straty firm będą nie tylko finansowe, ale także powiązane z reputacją i zaufaniem użytkowników, a nawet stron trzecich – mówi Paweł Ładna, konsultant cyberbezpieczeństwa z firmy Safesqr.

 

Nowe regulacje UE

Unia Europejska wprowadziła dwie istotne regulacje dotyczące cyberbezpieczeństwa: NIS2 (dyrektywa na rzecz wysokiego poziomu cyberbezpieczeństwa) oraz DORA (rozporządzenie dotyczące operacyjnej odporności cyfrowej dla firm z sektora finansowego). Obie regulacje mają na celu zwiększenie odporności unijnych organizacji na cyfrowe zagrożenia oraz poprawę bezpieczeństwa obywateli. Obecnie trwają prace nad dostosowaniem krajowego prawa do obu dyrektyw, które wejdą w życie w najbliższych latach.

 

Dane Eurostatu pokazują, że najlepiej zabezpieczone są firmy w Danii i Finlandii, gdzie zabezpiecza się 98% przedsiębiorstw, a najgorzej w Grecji, gdzie robi to 75% firm. Choć polskie firmy nie wypadają najgorzej pod względem deklarowanych zabezpieczeń (93,3% stosuje przynajmniej jeden środek bezpieczeństwa), to wysoki odsetek naruszeń jest alarmujący.

– Kwestia cyfrowego bezpieczeństwa powinna być dla lokalnych firm priorytetem. Dane są najcenniejszym zasobem organizacji i tak powinny być traktowane. Podobnie postrzega to Unia Europejska, stąd szereg zaleceń mających chronić europejską gospodarkę, przedsiębiorstwa i obywateli – tłumaczy Sebastian Toczewski, menadżer bezpieczeństwa IT w Beyond.pl.

 

Wzrost liczby incydentów

Jak pokazują dane CSIRT NASK, liczba zgłaszanych incydentów naruszenia bezpieczeństwa wzrosła w ostatnich latach o ponad 100%. W 2021 roku było ich około 30 tys., rok później prawie 40 tys., a w 2023 roku już ponad 80 tys.

– Najbardziej pilne zmiany są potrzebne w sektorach krytycznych dla funkcjonowania gospodarek, ale istotny jest sam kierunek polityki dotyczącej cyfrowego bezpieczeństwa, czyli podniesienie świadomości przedsiębiorstw w tym zakresie oraz dbałość o wysokie standardy procedur – wyjaśnia Paweł KulpaSafesqr.

 

Szkolenia i procedury

Badanie Eurostatu ujawnia, że tylko niewiele ponad połowa (58%) unijnych przedsiębiorstw informuje swoich pracowników o ich obowiązkach w zakresie cyberbezpieczeństwa. Najczęściej odbywa się to poprzez dobrowolne (42%) lub obowiązkowe (21%) szkolenia. Tylko co trzecia organizacja uwzględnia obowiązki w zakresie bezpieczeństwa cyfrowego w umowach z pracownikami.

 

– Firma może posiadać najlepsze technologie, ale finalnie jednym z głównych czynników, które przyczyniają się do naruszeń cyfrowego bezpieczeństwa przedsiębiorstwa, jest czynnik ludzki, który odpowiada za dwie trzecie incydentów. Wiele z największych, najgłośniejszych awarii nie miałoby miejsca, gdyby nie błąd czy niefrasobliwość pracownika. Dlatego firmy powinny nie tylko stosować wszelkie możliwe środki bezpieczeństwa, ale przede wszystkim zadbać o szkolenia pracowników – ostrzega Łukasz JachowiczMediarecovery, firmy wyspecjalizowanej w informatyce śledczej.

 

Konieczność aktualizacji

Procedury dotyczące bezpieczeństwa powinny być regularnie aktualizowane, aby mogły skutecznie działać. Problemem jest to, że zaledwie jedna trzecia przedsiębiorstw (37%) w UE posiada dokumenty określające praktyki dotyczące cyberbezpieczeństwa, a tylko co czwarta firma dokonała przeglądu tych dokumentów w ciągu ostatnich 12 miesięcy.

Raport Eurostatu pokazuje również, że tylko co czwarta firma w UE posiada ubezpieczenie od incydentów związanych z cyberbezpieczeństwem, co wskazuje na niską świadomość tego zagrożenia.

Z danych wynika, że polskie przedsiębiorstwa muszą pilnie podjąć działania mające na celu poprawę cyberbezpieczeństwa. Nowe regulacje unijne, takie jak NIS2 i DORA, mogą w tym pomóc, jednak kluczowe będzie zwiększenie świadomości zagrożeń oraz inwestowanie w odpowiednie technologie i szkolenia pracowników. Bez tego, liczba incydentów będzie nadal rosła, a straty, zarówno finansowe, jak i reputacyjne, będą coraz bardziej dotkliwe.

źródło: informacja prasowa
grafiki przygotowane przez DALL-E od ChatGPT