Dane dotyczące dbałości o cyberbezpieczeństwo w firmach nie są optymistyczne. 34 proc. z nich w ogóle nie przeprowadza audytów bezpieczeństwa. Nic zatem dziwnego, że prawie 30 proc. pracowników doświadczyło wycieku firmowych danych, ponadto to właśnie pracownicy, którzy nie mają odpowiedniej wiedzy w zakresie bezpieczeństwa danych są największym zagrożeniem.
Cyberzagrożenia są obecne we wszelkich działaniach ludzkich, które wiążą się z siecią i danymi cyfrowymi. Rozwój technologii tylko powiększa obszary zagrożeń. Oczywiście nie są od tego wolne firmy, również w Polsce. Dlatego Komputronik S.A. przeprowadził badanie, które ma pokazać, jakie występują błędy w zapewnieniu cyberbezpieczeństwa firmom i co należy jeszcze zrobić.
Firmy bez audytów bezpieczeństwa
W wielu z nich podejmowane są działania, które mają gwarantować cyberbezpieczeństwo, ale wciąż nie są wystarczające. Ponadto w niektórych firmach nie przeprowadza się tak podstawowej rzeczy jak audyty bezpieczeństwa. Eksperci uznają, że są one podstawowym elementem zapewnienia organizacji skutecznej ochrony cybernetycznej. 37 proc. w ogóle po to nie sięga.
Audyty bezpieczeństwa są punktem wyjściowym do wychwytywania zagrożeń cybernetycznych. Ponadto są one zgodne z wymogami prawnymi, do których muszą stosować się przedsiębiorstwa.
– W świetle dyrektywy NIS2, która nakłada na przedsiębiorstwa obowiązek zapewnienia wysokich standardów bezpieczeństwa sieci i informacji, audyty pełnią rolę nie tylko narzędzia kontrolnego, ale również prewencyjnego. Regularne sprawdzanie systemów umożliwia wczesne wykrywanie nieprawidłowości i szybką reakcję na potencjalne incydenty, co zmniejsza ryzyko poważnych naruszeń bezpieczeństwa i związanych z nimi strat finansowych oraz reputacyjnych. Niestety, 34,51 proc. rodzimych organizacji nie ma ich w swojej strategii zarządzania ryzykiem – tłumaczy Krzysztof Juźwikowski, pełnomocnik zarządu ds. cyberbezpieczeństwa w Komputronik S.A.
Z tych firm, które jednak audyty bezpieczeństwa wykonują, prawie 25 proc. przeprowadza je co miesiąc. 15 proc jedynie co kwartał, a również niemal 15 proc, raz do roku.
Pracownik może być najsłabszym ogniwem w systemie
Około 28 proc. pracowników stwierdza, że doświadczyło wycieku firmowych danych. Jednak to oni – pracownicy i pracownice – są największym zagrożeniem wraz z nieautoryzowanym dostępem do informacji. Pojawia się to w ponad 57 proc. firm. Najczęściej danym zagraża phishing – 49 proc. oraz ataki ransomware – 22 proc.
– Niebagatelnym wyzwaniem dla firm jest zapewnienie bezpieczeństwa informacji. Fakt, że ponad 28 proc. pracowników osobiście doświadczyło incydentu związanego z wyciekiem danych wskazuje na pilną potrzebę wzmocnienia kontroli dostępu oraz procedur ochrony. Szczególnie alarmujące jest to, że aż 57 proc. ankietowanych postrzega zagrożenia wewnętrzne takie jak nieautoryzowany dostęp jako problem występujący w ich organizacji. Oznacza to, że firmy powinny nie tylko inwestować w technologie zabezpieczeń, ale także budować kulturę świadomości cyberzagrożeń wśród swoich pracowników – mówi Krzysztof Juźwikowski.
Brak szkoleń dla pracowników
Odpowiednich szkoleń z obszaru cyberbezpieczeństwa brakuje w co piątej badanej firmie. Pojawiają się bieżące rozwiązania, które mają ograniczyć zabezpieczenia. 57 proc. firm stosuje uwierzytelnianie dwuskładnikowe, 37 proc. ma system logowania wymagający jednorazowego hasła.
Jednak nadal w 26 proc. przedsiębiorstw nie stosuje się szyfrowania danych. Żadne zabezpieczenia nie będą także skuteczne, jeśli posługujący się nimi ludzie nie będą odpowiednio przeszkoleni. Jeśli pracownik, który stosuje uwierzytelnianie dwuskładnikowe potem ulegnie atakowi phishingowemu, to może zniweczyć wszelkie pozostałe działania firmy.
– Jednym z najczęstszych błędów popełnianych przez pracodawców w zakresie cyberbezpieczeństwa jest ograniczenie szkoleń do wybranych działów, takich jak IT czy administracja. W dzisiejszych czasach, zagrożenia te dotyczą wszystkich zatrudnionych, niezależnie od ich stanowiska. Dlatego pracownicy każdego szczebla muszą wiedzieć, jak reagować na incydenty, jak chronić wrażliwe dane i jak unikać pułapek cyberprzestępców – wyjaśnia specjalista cyberbezpieczeństwa Komputronik S.A.
Czasem Polak mądry jest po szkodzie. 43 proc. firm przeprowadza odpowiednie szkolenia jako odpowiedź na aktualnie pojawiające się zagrożenia. Niestety w niektórych przypadkach jest to już działanie spóźnione, bo do wycieku zdąży dojść zanim pracownicy zostaną przeszkoleni. Dlatego warto takie działania podejmować zawczasu, gdy nie ma jeszcze zagrożenia bezpośredniego, ale wiadomo, ze wcześniej czy później się pojawi. Wszyscy jesteśmy bowiem narażeni na cyberataki.
Taką świadomość ma jedynie 36 proc. firm, które odpowiednie szkolenia organizują raz na kwartał.
Hakerzy sięgają po Gen-AI
Rozwój sztucznej inteligencji też nie pomaga, bo to właśnie po to rozwiązanie coraz częściej sięgają hakerzy. Zgodnie z przewidywaniami FortiGuard Labs w 2025 r. nastąpi wzrost tego sposobu w przeprowadzaniu ataków. Sięganie po generatywną sztuczną inteligencją może zwiększyć tempo i skalę ataków nawet 100-krotnie.
Palo Alto Networks stwierdza, że o ile w 2021 roku średni czas kradzieży danych z organizacji wynosił dziewięć dni, to w 2023 roku było to już zaledwie dwa dni. W 2025 roku czas też może się skrócić nawet do 25 minut.
Dlatego tak ważne jest jak najlepsze zabezpieczenie zasobów cyberbnetycznych. To walka zbrojeń między firmami i hakerami. Tym bardziej, że Polska znajduje się w czołówce państw Europy Centralnej, które stanowią cel ataków cybernetycznych. Ostrzega przed tym chociażby Check Point Software.
W 2024 r. w naszym kraju firmy musiały odpierać średnio 1 430 ataków tygodniowo. Dla porównania na Węgrzech było to 1 390 ataków, a w Niemczech – 1 011 tygodniowo. Jeszcze łatwiej jest na Łotwie, gdzie pojawiało się jedynie 660 ataków w ciągu tygodnia. Pokazuje to, że w naszym kraju poziom cyberzagrożeń jest ogromny, a w roku 2025 nie będzie lepiej.
Źródło: materiały prasowe, propertynews.pl, fortinet.com, magazynit.pl
Czytaj także:
