Polskie przedsiębiorstwa znalazły się na niechlubnym unijnym podium. Z nowego raportu Eurostatu „Cyfryzacja w Europie” wynika, że Polska znajduje się na drugim miejscu pod względem liczby firm, w których cyfrowe bezpieczeństwo zostało naruszone. 3 na 10 przebadanych organizacji z Polski zgłosiło przynajmniej jeden tego typu incydent.
To więcej niż w innych państwach UE, gdzie średnio co piąta firma (22 proc.) w ciągu roku doświadcza przynajmniej jednego incydentu związanego z bezpieczeństwem. W 2022 roku największy odsetek przedsiębiorstw zgłaszających tego typu incydenty odnotowano w Finlandii (44 proc.), Polsce i Holandii (po 30 proc.), a najmniejszy w Bułgarii (11 proc.), Portugalii i na Słowacji (po 12 proc.). Informacje dotyczą wszystkich rodzajów firm: małych, średnich oraz dużych.
Te statystyki w rzeczywistości są znacznie bardziej ponure. Nie każda firma raportuje naruszenia, co więcej, jest wiele organizacji, które w ogóle nie zdają sobie sprawy, że padły ofiarą cyberprzestępców i że cyfrowe dane są w ich posiadaniu. Po prostu nie są w stanie zidentyfikować naruszenia albo są to w stanie zrobić długo po incydencie. – przekonuje Natalia Zajic, Cybersecurity Consultant z firmy Safesqr, specjalizującej się w podnoszeniu poziomu cyberbezpieczeństwa instytucjom publicznym i firmom z sektora prywatnego.
Konieczna zmiana
Firmy padają ofiarą cyberprzestępców pomimo tego, że średnio 92 proc. firm w UE stosuje przynajmniej 1 środek bezpieczeństwa. Jaki? Najczęściej stosowane narzędzia to uwierzytelnianie dostępu silnym hasłem, które stosuje 82 proc. unijnych firm, przechowywanie kopii zapasowej danych w oddzielnej lokalizacji bądź chmurze (78 proc.) oraz kontrolowany dostęp do sieci (65 proc.). Polskie organizacje we wszystkich trzech kategoriach analizowanych przez Eurostat plasują się w okolicy średniej lub poniżej. Znacznie poniżej średniej unijnej, bo tylko 68 proc. tworzy kopie zapasowe. Jeszcze mniej, 62 proc. przedsiębiorstw stosuje kontrolę dostępu do sieci.
Podstawowa ochrona nie jest bardzo kosztowna. Nawet niewielką firmę stać na uruchomienie kopii zapasowych w chmurze obliczeniowej. Niski próg wejścia plasuje to rozwiązanie jako łatwe do uruchomienia narzędzie zwiększające bezpieczeństwo biznesu w przypadku aktywności cyberprzestępców.
Dostawcy chmur obliczeniowych inwestują znacząco więcej środków finansowych na opracowanie i wdrożenie odpowiednich zabezpieczeń niż przeciętny przedsiębiorca na zabezpieczenia systemów utrzymywanych lokalnie w firmowej serwerowni. De facto, w bezpieczeństwo infrastruktury wirtualnej inwestuje nie tylko dostawca chmury, ale także firmy i organizacje dostarczające sprzęt, oprogramowanie, certyfikaty i dobre praktyki utrzymywania i zarządzania danymi w chmurze. Obserwujemy, że wiele firm zaczyna przygodę z chmurą, uruchamiając i utrzymując w niej kopie zapasowe. Koszt wejścia jest niewielki, zwiększone zostaje bezpieczeństwo organizacji, a firma ma możliwość w praktyce zweryfikować korzyści z wykorzystania chmury.
Mamy wielu klientów, którzy zaczynali swoją przygodę z cloudem w taki właśnie sposób. Dziś wielu z nich przeszło na hybrydowy model utrzymania infrastruktury, czyli część zasobów jest nadal fizycznie zlokalizowana w ich firmach, a nowe aplikacje i systemy są uruchamiane w dedykowanych środowiskach chmurowych, które są przez nas utrzymywane i zarządzane. – tłumaczy Wojciech Darłowski, Członek Zarządu Beyond.pl, dostawcy usług data center, chmury i Managed Services.
Kolejny problem to niezrozumienie problemu w firmach.
Niestety często środki bezpieczeństwa są stosowane tylko dla zapewnienia zgodności z regulacjami lub wymaganiami prawnymi. Najwyższe kierownictwo często nie rozumie kontekstu cyberbezpieczeństwa, a strona biznesowa nie widzi potencjalnych zagrożeń. Incydenty i naruszenia coraz częściej przedzierają się do świadomości konsumentów i z czasem straty firm będą nie tylko finansowe, ale także powiązane z reputacją i zaufaniem użytkowników a nawet stron trzecich. – mówi Paweł Ładna, Cybersecurity Consultant z firmy Safesqr.
Liderzy i maruderzy
Unia Europejska przygotowała dwie istotne regulacje dotyczące cyfrowego bezpieczeństwa, do których muszą się dostosować firmy działające na terenie wspólnoty. To NIS2, czyli dyrektywa na rzecz wysokiego poziomu cyberbezpieczeństwa, która wskazuje konkretne środki, jakie powinny stosować firmy z istotnych dla gospodarki sektorów. Druga regulacja to DORA, czyli rozporządzenie dotyczące operacyjnej odporności cyfrowej dla firm z sektora finansowego. Obie zmiany mają zwiększyć odporność na cyfrowe zagrożenia unijnych organizacji oraz docelowo, bezpieczeństwo obywateli.
Aktualne trwają prace nad dostosowaniem krajowego prawa do obu dyrektyw. W przypadku NIS2 termin na dostosowanie mija w październiku br., a do rozporządzenia DORA przepisy mają zostać dostosowane do 17 stycznia 2025 roku. Obie wytyczne mogą poprawić sytuację europejskich firm, bo obecnie nie wszystkie są świadome zagrożeń.
Według danych Eurostatu najlepiej sytuacja wygląda w Danii i Finlandii, gdzie zabezpiecza się 98 proc. firm, a najgorsza w Grecji, gdzie robi to ¾ przedsiębiorstw. Mimo że polskie firmy nie wypadają źle pod kątem deklarowanych zabezpieczeń, bo przynajmniej jeden środek stosuje 93,3 proc. z nich, to odsetek naruszeń jest niepokojąco wysoki.
Kwestia cyfrowego bezpieczeństwa powinna być dla lokalnych firm priorytetem. Dane są najcenniejszym zasobem organizacji i tak powinny być traktowane. Podobnie postrzega to Unia Europejska, stąd szereg zaleceń mających chronić europejską gospodarkę, przedsiębiorstwa i obywateli. Nowe wymogi spowodują zwiększenie zainteresowania usługami bezpiecznego przechowywania i przetwarzania danych, które wielu organizacjom trudno zbudować w ramach wewnętrznych struktur. Unijne regulacje NIS2 i DORA będą zatem kolejnym argumentem przemawiającym na korzyść profesjonalnych dostawców IT. – tłumaczy Sebastian Toczewski, IT Security Manager Beyond.pl.
To, że zmiany w praktykach firm są potrzebne, pokazują dane CSIRT NASK, który monitoruje incydenty naruszenia bezpieczeństwa. Wynika z nich, że liczba zgłaszanych incydentów w ostatnich latach wzrosła o ponad 100 proc. W 2021 roku było ich ok. 30 tys., rok później prawie 40 tys., zaś w 2023 roku już ponad 80 tys.
Najbardziej pilne zmiany są potrzebne w sektorach krytycznych dla funkcjonowania gospodarek, ale istotny jest sam kierunek polityki dotyczącej cyfrowego bezpieczeństwa, czyli podniesienie świadomości przedsiębiorstw w tym zakresie oraz dbałość o wysokie standardy procedur. – wyjaśnia Paweł Kulpa z Safesqr.
Procedury i szkolenia
Z badania Eurostatu wynika, że zaledwie niewiele ponad połowa (58 proc.) unijnych przedsiębiorstw informuje swoich pracowników o ich obowiązkach w zakresie cyfrowego bezpieczeństwa. Najczęściej robią to w formie dobrowolnych lub obowiązkowych szkoleń (odpowiednio: 42 i 21 proc.). Zaledwie co trzecia organizacja uwzględnia obowiązki w zakresie bezpieczeństwa cyfrowego w umowach z pracownikami.
Firma może posiadać najlepsze technologie, ale finalnie jednym z głównych czynników, które przyczyniają się do naruszeń cyfrowego bezpieczeństwa przedsiębiorstwa, jest czynnik ludzki, który odpowiada za dwie trzecie incydentów. Wiele z największych, najgłośniejszych awarii nie miałoby miejsca, gdyby nie błąd czy niefrasobliwość pracownika. Dlatego firmy powinny nie tylko stosować wszelkie możliwe środki bezpieczeństwa, ale przede wszystkim zadbać o szkolenia pracowników. – mówi Łukasz Jachowicz z Mediarecovery, firmy wyspecjalizowanej w informatyce śledczej.
Aktualizacje
Również środki i procedury dotyczące bezpieczeństwa powinny być na bieżąco aktualizowane, aby mogły być skuteczne. Problem w tym, że tak naprawdę niewiele, bo trochę ponad jedna trzecia przedsiębiorstw (37 proc.) na terenie UE posiada dokumenty, które określają praktyki dotyczące cyfrowego bezpieczeństwa. Jeszcze gorzej jest w kwestii aktualizacji, bo tylko co czwarta firma dokonała przeglądu tych dokumentów lub dostosowania procedur do bieżącej sytuacji w ciągu ostatnich 12 miesięcy.
Wg raportu Eurostatu, tylko co czwarta firma działająca na terenie Unii Europejskiej w momencie badania posiadała ubezpieczenie od incydentów związanych z cyfrowym bezpieczeństwem. To pokazuje, w jakim miejscu obecnie się znajdujemy, jeśli chodzi o świadomość cyfrowego bezpieczeństwa.