Ponad 80 proc. polskich przedsiębiorstw ofiarą cyberataku w 2017 r.
Blisko co czwarta firma, która wzięła udział w badaniu KPMG, przyznała, że w 2017 r. zarejestrowała 10 lub więcej incydentów bezpieczeństwa. Badane organizacje zauważają rosnącą skalę cyberzagrożeń - ponad 1/3 przedsiębiorstw, które wzięły udział w badaniu, odnotowało w zeszłym roku wzrost liczby cyberataków. Połowa ankietowanych uznała, że liczba cyberzagrożeń pozostała na podobnym poziomie w porównaniu z 2016 r. Spadek cyberincydentów zauważyło zaledwie 5% firm – czytamy w komunikacie.
– Z badania, które przeprowadziliśmy wynika, że przedsiębiorstwa działające w Polsce najbardziej obawiają się zorganizowanej cyberprzestępczości. W szczególności trudnych do zidentyfikowania i odparcia ataków ukierunkowanych, cyberprzestępstw realizowanych za pośrednictwem złośliwego oprogramowania oraz wspieranych przez socjotechnikę. Własny pracownik, który historycznie stanowił dla firm najczęstsze źródło naruszeń bezpieczeństwa, zszedł na drugi plan” – powiedział partner w dziale usług doradczych, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce Michał Kurek.
Firmy dobrze oceniają zabezpieczenia
Większość firm bardzo optymistycznie oceniło poziom swoich zabezpieczeń. Najbardziej rozwiniętymi obszarami w opinii przedsiębiorców są ochrona przed złośliwym oprogramowaniem (98% wskazań) oraz bezpieczeństwo styku z siecią internetową (95% wskazań). Klasyfikacja i kontrola aktywów, zarządzanie bezpieczeństwem partnerów biznesowych oraz bezpieczeństwo w procesach wytwarzania oprogramowania – to przykłady najmniej dojrzałych obszarów, które dodatkowo są zagrożone ryzykiem braku wymaganych inwestycji przez ankietowane firmy. Optymistycznym trendem, który przejawia się w odpowiedziach udzielonych przez ponad połowę firm, jest chęć do inwestycji w programy podnoszenia świadomości pracowników w zakresie bezpieczeństwa, reagowanie na incydenty bezpieczeństwa oraz samo monitorowanie bezpieczeństwa informacji w organizacji.
– Ciekawym wynikiem badania jest wysoki optymizm polskich przedsiębiorstw w kwestii oceny dojrzałości wdrożonych zabezpieczeń. Z perspektywy realizowanych audytów bezpieczeństwa, wydaje się, że tak wysoka samoocena może, niestety, po części wynikać z wciąż niedostatecznej świadomości polskich firm w zakresie skali i złożoności dzisiejszych cyberzagrożeń. Pozytywnym sygnałem jest natomiast fakt, że firmy inwestują dziś w mechanizmy bezpieczeństwa pozwalające na wczesną identyfikację i reakcję na cyberatak, co jest zgodne z globalnym podejściem w zakresie cyberbezpieczeństwa, zakładającym, że cyberatak jest dziś zjawiskiem nieuchronnym i należy się na niego przygotować – dodał Kurek.
Brak wykwalifikowanych pracowników
Odpowiedzialność za obszar bezpieczeństwa informacji przypisana jest w blisko połowie badanych firm do dyrektora IT lub dedykowanego pracownika działu IT. Zaledwie co dziesiąta organizacja biorąca udział w badaniu przyznała, że funkcja ta spoczywa na dedykowanej osobie odpowiedzialnej za bezpieczeństwo informacji (CSO/CISO). W 7% przedsiębiorstw odpowiedzialność za kwestie bezpieczeństwa przypisana jest strukturom globalnym poza Polską. Niepokój budzą odpowiedzi udzielone przez 13% firm, które przyznały, że w ramach ich struktur organizacyjnych brak jest formalnego przypisania odpowiedzialności kwestii bezpieczeństwa informacji.
Najważniejszym problemem, który uniemożliwia budowę systemów cyberbezpieczeństwa w blisko połowie badanych firm, jest brak wykwalifikowanych pracowników. Czynnik ten był bardziej istotny niż brak wystarczających budżetów, na które wskazało 47% organizacji. Z kolei ponad połowa małych firm (55% wskazań), które zatrudniają mniej niż 50 osób, uważa, że główne ograniczenie w zakresie uzyskania oczekiwanego poziomu zabezpieczeń stanowi brak właściwego przypisania odpowiedzialności w zakresie bezpieczeństwa – czytamy dalej.
Odpowiedzią na tego typu wyzwania może być outsourcing usług utrzymania bezpieczeństwa IT. Z takiego rozwiązania korzysta 71% firm, które wzięły udział w badaniu. Częściej z usług zewnętrznego dostawcy korzystają organizacje posiadające zagraniczny kapitał (86%) niż polski (66%). Blisko połowa firm wykorzystuje outsourcing usług bezpieczeństwa w zakresie wsparcia w reakcji na wystąpienie cyberataku.
Firmy a RODO
Dla większości polskich firm (76%) istnieje potencjalne ryzyko wystąpienia braku pełnej zgodności z wymogami nałożonymi przez nowe unijne rozporządzenie dotyczące ochrony danych osobowych (RODO). Przepisy RODO zaczną obowiązywać 25 maja 2018 r. Jedynie 9% firm, które wzięły udział w badaniu odpowiedziało, że osiągnęło pełną zgodność z wymogami RODO, która została potwierdzona niezależnym audytem. Całkowitą zgodność z wchodzącymi w życie przepisami rozporządzenia o ochronie danych osobowych na podstawie własnej oceny wewnętrznej potwierdziło 15% ankietowanych przedsiębiorców. Aż 12% organizacji biorących udział w badaniu potwierdziło, że nie prowadzi żadnych działań w celu stwierdzenia zgodności własnych procesów z przepisami nałożonymi wymogami RODO.
– Przygotowanie się do zmian wynikających z rozporządzenia o ochronie danych osobowych (RODO) jest jednym z większych wyzwań regulacyjnych przed jakim stanęły firmy w 2017 r. Jak wynika z badania, znaczna większość firm ciągle zmaga się z wdrożeniem rozwiązań wynikających z tej regulacji. Dominującą grupę przedsiębiorstw deklarujących pełną zgodność stanowią organizacje zatrudniające do 250 pracowników. Co nie powinno dziwić – wdrożenie wymagań wynikających z RODO jest wyzwaniem przede wszystkim dla przedsiębiorstw relatywnie bardziej złożonych, gdzie dane osobowe mogą być wykorzystywane w wielu obszarach ich działalności. Dziwić może, że aż 70% respondentów zadeklarowało wdrożenie rozwiązań ograniczających przetwarzanie danych osobowych wyłącznie do minimum wynikającego z celów, do jakich zostały zgromadzone. Jest to ciekawe ze względu na fakt, że często wdrożenie akurat tego wymogu może powodować zamiany w procesach wewnętrznych firm lub oznaczać konieczność uzyskania zgody na przetwarzanie już zebranych danych w innych celach – podsumował partner w dziale usług doradczych w KPMG w Polsce Krzysztof Radziwon.
Raport KPMG w Polsce pt. „Barometr cyberbezpieczeństwa. Cyberatak zjawiskiem powszechnym” powstał na podstawie badania zrealizowanego na próbie 101 firm. Badanie zostało zrealizowane metodą CATI (ang. Computer-Assisted Web Interview) wśród osób odpowiedzialnych za bezpieczeństwo IT (członków zarządu, dyrektorów ds. bezpieczeństwa, prezesów, dyrektorów IT lub innych osób odpowiedzialnych za ten obszar). Badanie zostało zrealizowane na przełomie listopada i grudnia 2017 roku przez firmę Norstat Polska.
Źródło: ISBnews