Jak wynika z opracowania przygotowanego przez firmę audytową PWC o nazwie Cyber-ruletka po polsku 2018 wiele polskich firm w walce z cyberprzestępcami liczy na szczęście. W roku poprzedzającym raport aż 44% polskich przedsiębiorców poniosło straty finansowe spowodowane cyberatakami, a 62% odczuło zakłócenia w ciągłości prowadzenia biznesu.
Eksperci w raporcie oceniają, że jedynie 8% polskich przedsiębiorstw jest dobrze przygotowanych na odparcie lub niwelowanie skutków cyberataków. Czy w tej sytuacji inwestycja w cyberbezpieczeństwo jest opłacalna? Ile może kosztować Twoją firmę udany atak hakerski? Czy polski biznes rozumie znaczenie cyberbezpieczeństwa?
Czy polski biznes jest odporny na cyberataki?
Stworzenie dobrej i efektywnej strategii bezpieczeństwa cybernetycznego nie jest łatwym zadaniem. Wymaga zaangażowania wielu zasobów: technologicznych, kadrowych, a przede wszystkim finansowych. Zdaje się, że polski biznes nie dostrzega w pełni, jak istotna jest właściwa polityka zarządzania cyberbezpieczeństwem w organizacji. Wielu polskich przedsiębiorców podchodzi do tej kwestii jedynie w podstawowym zakresie.
Przyczyny incydentów bezpieczeństwa – fragment raportu “Cyber-ruletka po polsku 2018.”
Ograniczone działania na rzecz cyberbezpieczeństwa polskich firm oraz brak długofalowej strategii ochrony stwarza wiele luk bezpieczeństwa, które z chęcią wykorzystują przestępcy w Internecie.
Według oficjalnych statystyk GUS obecnie w Polsce zarejestrowanych jest ponad 2,3 miliona przedsiębiorstw. Z badań przeprowadzonych przez firmę PWC na próbce 100 polskich przedsiębiorstw wynika, że jedynie 8% z nich jest w pełni dojrzała pod kątem przygotowania przed ewentualnym zagrożeniem cyberatakami. Następnie tylko 7% firm zostało zaklasyfikowanych jako średnio odpornych na cyberzagrożenia. Przekładając wyniki raportu PWC na ogólną liczbę przedsiębiorstw w Polsce, pokazuje się nam zatrważająco niski poziom przygotowania polskiego biznesu do współczesnych zagrożeń cyberbezpieczeństwa.
Co powinna posiadać organizacja dojrzała pod kątem cyberbezpieczeństwa?
Stworzenie właściwej strategii ochrony przedsiębiorstwa przed cyberzagrożeniami to priorytet każdego biznesu. Zapewnienie bezpieczeństwa, to nie tylko inwestycja w oprogramowanie antywirusowe oraz infrastrukturę, ale przede wszystkim długofalowe działania na rzecz edukowania członków organizacji, zdobywania i przechowywania wiedzy dotyczącej cyberbezpieczeństwa oraz utworzenie zasobów kadrowych, które będą wyspecjalizowane w zapewnianiu e-bezpieczeństwa Twojej organizacji. Czym powinna charakteryzować się organizacja dojrzała pod kątem wysokiego poziomu cyberbezpieczeństwa? Według ekspertów PWC:
- Posiadać wdrożone systemy ochrony: SIEM, Anty APT, IPS/IDS, SOC;
- Przeznaczać minimum 10% zaplanowanych wydatków na cele IT inwestując w e-bezpieczeństwo;
- Posiadać przeszkolony zespół ds. cyberbezpieczeństwa, składający się minimum z 2 osób;
- Raportować o stanie cyberbezpieczeństwa organizacji bezpośrednio do członków zarządu;
- Posiadać w strukturze organizacyjnej przedsiębiorstwa wykwalifikowaną osobę na stanowisku dyrektora/ kierownika ds. cyberbezpieczeństwa.
Skutki incydentów bezpieczeństwa, fragment raportu “Cyber-ruletka po polsku 2018”.
Czy usługi chmurowe są bezpieczne?
Kwestia niedoinwestowania sfery e-bezpieczeństwa to nie jedyna bolączka polskich przedsiębiorstw. Oprócz odpowiedzi na pytanie „czy zabezpieczać” istotne zdaje się rozważenie problemu „jak zabezpieczać” polski biznes. Choć zdaje się, że polskie firmy są świadome istotności zabezpieczenia dostępu do danych, wciąż wiele organizacji robi to w sposób niewłaściwy.
Niestety, jak wynika z najnowszych badań uwzględnionych w raporcie One System, aż 18% polskich przedsiębiorstw z sektora MŚP przechowuje dane jedynie lokalnie, na dyskach twardych komputerów pracowników organizacji. Wynika z tego, że prawie jedna piąta zbadanych firm naraża się na poważne niebezpieczeństwo. Zagrożona jest nie tylko organizacja – poprzez kradzież komputerów i bezpowrotną utratę danych. Tego typu działania uderzają przede wszystkim w klientów, poprzez niezachowanie podstawowego bezpieczeństwa przechowywanych danych. Backup wydaje się kwestią priorytetową w celu zachowania ciągłości biznesu oraz zabezpieczenia podstawowych standardów obsługi klienta.
W jaki sposób polski biznes przechowuje swoje dane?
- Własne serwery – 35%
- Urządzenia pamięci masowej – 24%
- Wirtualne serwery oparte o chmurę – 23%
- Lokalnie, na komputerach pracowników – 18%*
* Źródło: Dane w oparciu o raport One System 2019
Eksperci ds. cyberbezpieczeństwa nie pozostawiają złudzeń, polskie firmy wciąż patrzą nieprzychylnym okiem na rozwiązania oparte o chmurę. Przedsiębiorcy chcą wiedzieć gdzie fizycznie znajdują się ich dane, przez co podchodzą do chmury z podejrzliwością. Jest to duży błąd, ponieważ kopia zapasowa w chmurze jest obecnie jednym z najbezpieczniejszych sposób zabezpieczania organizacji przed utratą dostępu do danych.
Jak zapewnić bezpieczeństwo przed cyberzagrożeniami w firmie?
Wdrożenie strategii ochrony przed cyberzagrożeniami oraz zapewnienie odpowiedniego poziomu bezpieczeństwa to absolutny must have każdej polskiej firmy. Oczywiście podjęcie działań należy dopasować do skali prowadzonego biznesu. Mała firma nie zainwestuje setek tysięcy złotych w serwerowe centrum danych. Analogicznie, wielka korporacja nie powinna poprzestać jedynie na zainstalowaniu antywirusów na komputerach jej pracowników.
Każdy polski przedsiębiorca powinien ocenić i wdrożyć strategię bezpieczeństwa, adekwatną do rozmiarów prowadzonej przez niego działalności. Niezależnie od skali biznesu, efekt podejmowanych działań powinien być zawsze taki sam – zapewnienie dostępu do danych organizacji niezależnie od okoliczności, dzięki kopii zapasowej danych.
Pełną treść raportu zobaczysz w serwisie pwc.pl.