Ponad 80 proc. polskich przedsiębiorstw ofiarą cyberataku w 2017 r.

Firma

Cyberataki są zjawiskiem powszechnym wśród firm działających w Polsce - 82% przedsiębiorstw, które wzięły udział w badaniu KPMG, odnotowało przynajmniej jeden cyberincydent w 2017 r. - wynika z raportu pt. "Barometr cyberbezpieczeństwa. Cyberatak zjawiskiem powszechnym". Firmy zaobserwowały wzrost liczby cyberataków w ostatnim roku.

Ponad 80 proc. polskich przedsiębiorstw ofiarą #cyberatak w 2017 r. #KPMG

Blisko co czwarta firma, która wzięła udział w badaniu KPMG, przyznała, że w 2017 r. zarejestrowała 10 lub więcej incydentów bezpieczeństwa. Badane organizacje zauważają rosnącą skalę cyberzagrożeń ­– ponad 1/3 przedsiębiorstw, które wzięły udział w badaniu, odnotowało w zeszłym roku wzrost liczby cyberataków. Połowa ankietowanych uznała, że liczba cyberzagrożeń pozostała na podobnym poziomie w porównaniu z 2016 r. Spadek cyberincydentów zauważyło zaledwie 5% firm – czytamy w komunikacie.

– Z badania, które przeprowadziliśmy wynika, że przedsiębiorstwa działające w Polsce najbardziej obawiają się zorganizowanej cyberprzestępczości. W szczególności trudnych do zidentyfikowania i odparcia ataków ukierunkowanych, cyberprzestępstw realizowanych za pośrednictwem złośliwego oprogramowania oraz wspieranych przez socjotechnikę. Własny pracownik, który historycznie stanowił dla firm najczęstsze źródło naruszeń bezpieczeństwa, zszedł na drugi plan” – powiedział partner w dziale usług doradczych, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce Michał Kurek.

Firmy dobrze oceniają zabezpieczenia

Większość firm bardzo optymistycznie oceniło poziom swoich zabezpieczeń. Najbardziej rozwiniętymi obszarami w opinii przedsiębiorców są ochrona przed złośliwym oprogramowaniem (98% wskazań) oraz bezpieczeństwo styku z siecią internetową (95% wskazań). Klasyfikacja i kontrola aktywów, zarządzanie bezpieczeństwem partnerów biznesowych oraz bezpieczeństwo w procesach wytwarzania oprogramowania – to przykłady najmniej dojrzałych obszarów, które dodatkowo są zagrożone ryzykiem braku wymaganych inwestycji przez ankietowane firmy. Optymistycznym trendem, który przejawia się w odpowiedziach udzielonych przez ponad połowę firm, jest chęć do inwestycji w programy podnoszenia świadomości pracowników w zakresie bezpieczeństwa, reagowanie na incydenty bezpieczeństwa oraz samo monitorowanie bezpieczeństwa informacji w organizacji.

– Ciekawym wynikiem badania jest wysoki optymizm polskich przedsiębiorstw w kwestii oceny dojrzałości wdrożonych zabezpieczeń. Z perspektywy realizowanych audytów bezpieczeństwa, wydaje się, że tak wysoka samoocena może, niestety, po części wynikać z wciąż niedostatecznej świadomości polskich firm w zakresie skali i złożoności dzisiejszych cyberzagrożeń. Pozytywnym sygnałem jest natomiast fakt, że firmy inwestują dziś w mechanizmy bezpieczeństwa pozwalające na wczesną identyfikację i reakcję na cyberatak, co jest zgodne z globalnym podejściem w zakresie cyberbezpieczeństwa, zakładającym, że cyberatak jest dziś zjawiskiem nieuchronnym i należy się na niego przygotować – dodał Kurek.

Brak wykwalifikowanych pracowników

Odpowiedzialność za obszar bezpieczeństwa informacji przypisana jest w blisko połowie badanych firm do dyrektora IT lub dedykowanego pracownika działu IT. Zaledwie co dziesiąta organizacja biorąca udział w badaniu przyznała, że funkcja ta spoczywa na dedykowanej osobie odpowiedzialnej za bezpieczeństwo informacji (CSO/CISO). W 7% przedsiębiorstw odpowiedzialność za kwestie bezpieczeństwa przypisana jest strukturom globalnym poza Polską. Niepokój budzą odpowiedzi udzielone przez 13% firm, które przyznały, że w ramach ich struktur organizacyjnych brak jest formalnego przypisania odpowiedzialności kwestii bezpieczeństwa informacji.

Najważniejszym problemem, który uniemożliwia budowę systemów cyberbezpieczeństwa w blisko połowie badanych firm, jest brak wykwalifikowanych pracowników. Czynnik ten był bardziej istotny niż brak wystarczających budżetów, na które wskazało 47% organizacji. Z kolei ponad połowa małych firm (55% wskazań), które zatrudniają mniej niż 50 osób, uważa, że główne ograniczenie w zakresie uzyskania oczekiwanego poziomu zabezpieczeń stanowi brak właściwego przypisania odpowiedzialności w zakresie bezpieczeństwa – czytamy dalej.

Odpowiedzią na tego typu wyzwania może być outsourcing usług utrzymania bezpieczeństwa IT. Z takiego rozwiązania korzysta 71% firm, które wzięły udział w badaniu. Częściej z usług zewnętrznego dostawcy korzystają organizacje posiadające zagraniczny kapitał (86%) niż polski (66%). Blisko połowa firm wykorzystuje outsourcing usług bezpieczeństwa w zakresie wsparcia w reakcji na wystąpienie cyberataku.

Firmy a RODO

Dla większości polskich firm (76%) istnieje potencjalne ryzyko wystąpienia braku pełnej zgodności z wymogami nałożonymi przez nowe unijne rozporządzenie dotyczące ochrony danych osobowych (RODO). Przepisy RODO zaczną obowiązywać 25 maja 2018 r. Jedynie 9% firm, które wzięły udział w badaniu odpowiedziało, że osiągnęło pełną zgodność z wymogami RODO, która została potwierdzona niezależnym audytem. Całkowitą zgodność z wchodzącymi w życie przepisami rozporządzenia o ochronie danych osobowych na podstawie własnej oceny wewnętrznej potwierdziło 15% ankietowanych przedsiębiorców. Aż 12% organizacji biorących udział w badaniu potwierdziło, że nie prowadzi żadnych działań w celu stwierdzenia zgodności własnych procesów z przepisami nałożonymi wymogami RODO.

– Przygotowanie się do zmian wynikających z rozporządzenia o ochronie danych osobowych (RODO) jest jednym z większych wyzwań regulacyjnych przed jakim stanęły firmy w 2017 r. Jak wynika z badania, znaczna większość firm ciągle zmaga się z wdrożeniem rozwiązań wynikających z tej regulacji. Dominującą grupę przedsiębiorstw deklarujących pełną zgodność stanowią organizacje zatrudniające do 250 pracowników. Co nie powinno dziwić – wdrożenie wymagań wynikających z RODO jest wyzwaniem przede wszystkim dla przedsiębiorstw relatywnie bardziej złożonych, gdzie dane osobowe mogą być wykorzystywane w wielu obszarach ich działalności. Dziwić może, że aż 70% respondentów zadeklarowało wdrożenie rozwiązań ograniczających przetwarzanie danych osobowych wyłącznie do minimum wynikającego z celów, do jakich zostały zgromadzone. Jest to ciekawe ze względu na fakt, że często wdrożenie akurat tego wymogu może powodować zamiany w procesach wewnętrznych firm lub oznaczać konieczność uzyskania zgody na przetwarzanie już zebranych danych w innych celach – podsumował partner w dziale usług doradczych w KPMG w Polsce Krzysztof Radziwon.

Raport KPMG w Polsce pt. “Barometr cyberbezpieczeństwa. Cyberatak zjawiskiem powszechnym” powstał na podstawie badania zrealizowanego na próbie 101 firm. Badanie zostało zrealizowane metodą CATI (ang. Computer-Assisted Web Interview) wśród osób odpowiedzialnych za bezpieczeństwo IT (członków zarządu, dyrektorów ds. bezpieczeństwa, prezesów, dyrektorów IT lub innych osób odpowiedzialnych za ten obszar). Badanie zostało zrealizowane na przełomie listopada i grudnia 2017 roku przez firmę Norstat Polska.

Źródło: ISBnews

Udostępnij artykuł: