Jak donosi Polska Agencja Prasowa 65% przedsiębiorstw w Polsce doświadczyło w ubiegłym roku groźnych incydentów związanych z bezpieczeństwem informatycznym. Ich najczęstszym źródłem są aktualni i byli pracownicy oraz hakerzy. Aż 44% z nich poniosło straty finansowe z powodu cyberataków. Mimo tak niepokojących danych wiele przedsiębiorstw wciąż nie przeznacza wystarczających środków na zabezpieczenia informatyczne, licząc na łut szczęścia, że atak je ominie.
Takie wnioski płyną z raportu Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście, który przedstawiła w Warszawie spółka doradcza PwC. Raport powstał na podstawie badań zrealizowanych w ponad 120 polskich przedsiębiorstwach różnej wielkości i działających w różnych branżach.
Na podstawie zebranych danych eksperci PwC stworzyli Indeks Cyberbezpieczeństwa, z którego wynika, że tylko 8% polskich przedsiębiorstw jest dojrzałych pod względem bezpieczeństwa cybernetycznego. To oznacza, że dysponują one odpowiednimi narzędziami i systemami zabezpieczeń (wdrożone SIEM, Anty APT, IPS/IDS, SOC) oraz mają specjalny zespół ds. cyberbezpieczeństwa, a ich budżet na bezpieczeństwo stanowi co najmniej 10%. wartości całego budżetu IT.
Raport powstał na podstawie badania, w którym wzięło udział 127 polskich ekspertów zajmujących się IT i bezpieczeństwem informacji. Badanie zostało przeprowadzone jesienią 2017 roku metodą ankiety online. Wśród przebadanych spółek 24% stanowią małe, 35% średnie, a 41% duże przedsiębiorstwa.
Średnio przedsiębiorstwa przeznaczają jedynie 3% z puli budżetu IT na działania związane z ochroną przed cyberatakami. Z badania PwC wynika także, że 20% dużych i średnich przedsiębiorstw w Polsce nie posiada żadnego specjalisty od cyberbezpieczeństwa, a 46% nie stworzyło procedur reakcji na incydenty.
Piotr Urban, partner w PwC, podkreślił, że cyberzagrożenia nie powinny być wiązane jedynie z obszarem IT, zdaniem eksperta należy je traktować jako poważne ryzyko biznesowe. W ostatnim roku mieliśmy do czynienia z rosnącą liczbą ataków, których celem był paraliż przedsiębiorstw, powodujący przestoje w ich pracy. Te przestoje, wstrzymanie funkcjonowania technologii w przedsiębiorstwach po to, by później uzyskać korzyści finansowe w zamian za odblokowanie – nazywamy kryptolockerami – mówi Piotr Urban.
W ubiegłym roku były dwa bardzo głośne takie ataki na świecie: wirusy WannaCry i kilka miesięcy później Petya. Wirus WannaCry rozłożył na łopatki większość Europy i Stany Zjednoczone. Powodował infekcję komputerów i niemożliwość ich użycia. Przedsiębiorstwa nagle stanęły. Jeden z ubezpieczycieli oszacował straty na ogromne kwoty. Ciekawe jest to, że parę miesięcy później pojawił się wirus Petya, który działał na tej samej zasadzie co WannaCry, a przedsiębiorstwa wciąż były na niego podatne. W wielu przedsiębiorstwach szefowie ds. bezpieczeństwa stracili przez to pracę – zauważył Piotr Urban.
W jego ocenie, ryzyko cybernetyczne z roku na rok wzrasta, tym bardziej dziwi fakt, że wiele przedsiębiorstw nadal nie ma świadomości, jak ważne są działania zmierzające do podnoszenia odporności na to zagrożenie. Wśród połowy badanych przez nas przedsiębiorstw nie ma procedur reakcji na incydenty. Jeśli przedsiębiorstwo nie ma procedury na wypadek incydentu – bez względu na to, czy jest to atak hakerski czy przypadkowa awaria – czyli nie ma procedury na kryzys, gdzie czas jest niezwykle istotny, to wita się z porażką – podkreślił Piotr Urban.
Jak dodał Tomasz Sawiak, wicedyrektor w zespole ds. cyberbezpieczeństwa w PwC przestoje będące wynikiem cyberincydentu szczególnie dotkliwe mogą być dla przedsiębiorstw produkcyjnych, gdzie straty z tym związane łatwo przełożyć na wymiar finansowy: 1 godz. przestoju może oznaczać straty nawet 45 mln euro. Obszar produkcji jest szczególnie podatny na ataki ze względu na zamknięty charakter systemów sterowania, wykorzystujących przestarzałe technologie informatyczne – powiedział Sawiak.
Podkreślił on, że coraz trudniej jest nadążyć za rozwojem technologii, która wspiera efektywność biznesu, ułatwia pracę i przyczynia się do większej integracji przedsiębiorstw, konsumentów i międzynarodowych rynków, a jednocześnie otwiera drzwi do świata biznesu dla osób o nieuczciwych zamiarach, stając się źródłem istotnych strat, zarówno finansowych, jak też związanych z reputacją.
W kolejnych latach, jak wynika z danych PwC, priorytetem inwestycyjnym dla przedsiębiorstw będzie wdrożenie nowych technologii, takich jak Internet Rzeczy (62%), sztuczna inteligencja (53%) i robotyka (44%). Tymczasem, respondenci zapytani o priorytety bezpieczeństwa wskazują głównie na zagadnienia związane z bieżącą ochroną i wykonywaniem swoich obowiązków. Według Patryka Gęborysa, wicedyrektora w zespole ds. cyberbezpieczeństwa w PwC, zdecydowanie mniejszym zainteresowaniem cieszy się natomiast działanie ukierunkowane na zapewnienie spójności między procesami technologicznymi a bezpieczeństwem funkcjonowania organizacji. Tym samym można stwierdzić, iż cyberbezpieczeństwo w polskiej spółce nie jest elementem integralnym w procesie wdrażania technologii – ocenił Gęborys.
Dodatkowe wymogi dotyczące cyberbezpieczeństwa nakłada na przedsiębiorstwa także rozporządzenie o ochronie danych osobowych (RODO), które wejdzie w życiu już w maju tego roku. Tymczasem z badania PwC wynika, że nadal 97% nie jest przygotowana na nowe regulacje, w tym 20% nie rozpoczęła żadnych prac w tym zakresie (Powstaną wojska cybernetyczne, 2017-10-10, Dojrzałe cyfrowo lotnictwo, 2017-06-12).