Świadomość polskich pracowników na temat cyberzagrożeń jest wysoka. Aż 89% z nich potrafi wskazać możliwe formy ataków na swoją firmę – wynika z badania przeprowadzonego na zlecenie firmy Sophos. Wciąż jednak aż 1 na 10 zatrudnionych nie wie, jak zareagować w przypadku natknięcia się na podejrzany e-mail czy program. Jakie zagrożenia najczęściej wymienia kadra?
Co grozi firmom według pracowników?
Świadomość cyberzagrożeń wśród kadr jest w Polsce wyższa niż w Czechach czy na Węgrzech, gdzie kolejno 80% i 73% wie, jakie mogą być rodzaje ryzyka dla firmy. Najczęściej wskazywanym przez pracowników zagrożeniem jest wyciek firmowych informacji lub danych uwierzytelniających (38%). Niewiele mniej badanych (37%) wyróżniło fałszywe e-maile i złośliwe linki w wiadomościach wysyłanych do pracowników. Co trzeci uważa, że zagrożeniem może być nieostrożność współpracowników w sieci oraz nieumyślne pobranie złośliwego oprogramowania z podejrzanych stron.
Dopiero czwarte miejsce (27%) zajmują działania przestępców wykorzystujących luki w systemie. Jedna piąta kadry uważa, że zagrożenia mogą wynikać z działań niezadowolonych pracowników lub nieodpowiednio zabezpieczonego i nieaktualnego sprzętu. Najmniej wskazań dotyczyło nieostrożności partnerów biznesowych i podwykonawców (18%).
– Polscy pracownicy zdecydowanie częściej wskazują zagrożenia wynikające z nieuwagi kadry czy wycieku informacji niż z aktywnych działań cyberprzestępców. To dla firm dobra wiadomość – najsłabszym ogniwem zabezpieczeń często są błędy ludzkie. Przestępcy powszechnie korzystają z manipulacji socjotechnicznych, które umożliwiają „złapanie” nieostrożnych pracowników. Polacy znają te metody, co znacznie zwiększa bezpieczeństwo zarówno ich samych, jak i przedsiębiorstw, w których pracują – wskazuje Grzegorz Nocoń, inżynier systemowy w firmie Sophos.
Co robimy z podejrzanym e-mailem?
Jeden na dziesięciu polskich pracowników nie wie, co powinien zrobić w przypadku natknięcia się na podejrzanego e-maila, zdarzenie czy aplikację podczas pracy. Częściej są to zatrudnieni w małych i średnich firmach (odpowiednio 10% i 13%) niż w dużych (5%). To więcej niż na Węgrzech czy w Czechach, gdzie na brak znajomości procedur zwróciło uwagę 8% badanych.
Ponad połowa (58%) pracowników zgłosiłaby niebezpieczne zdarzenie. Co trzeci (32%) po prostu usunąłby podejrzanego e-maila. Wyraźnie częściej do odpowiedniej osoby zgłosiliby się zatrudnieni w większych firmach (72%) niż w małych i średnich (50% i 57%). Na samodzielne usunięcie e-maila wyraźnie częściej zdecydowaliby się natomiast pracujący w małych firmach (40%) niż w średnich (30%) i dużych (23%).
– W dużych firmach kadra ma dostęp do specjalistów IT, z którymi może konsultować wątpliwości, dlatego rzadziej decyduje się na działanie na własną rękę i raczej zgłasza incydenty. W mniejszych przedsiębiorstwach zatrudnieni sami reagują na takie zagrożenia jak złośliwe e-maile. Wyraźnie widać więc potrzebę edukowania i uświadamiania pracowników z sektora MŚP, aby potrafili dostrzec zagrożenie i właściwie się zachować. Nie mniej istotne jest jednak korzystanie ze wsparcia zewnętrznych ekspertów, którzy pomogą zabezpieczyć infrastrukturę i zareagować na podejrzane incydenty – podkreśla Grzegorz Nocoń.
Brak wiedzy o potencjalnych cyberzagrożeniach, na które może być narażona firma, częściej deklarowali pracownicy średnich i mniejszych firm, zatrudniających do 250 pracowników (12% i 13%) niż dużych (8%). Problem z reagowaniem z kolei dotyka najczęściej osoby z firmy z branży przemysłowej – aż 16% z nich nie wie, jak zachować się w przypadku zagrożenia. Najlepiej natomiast radzą sobie podmioty usługowe, gdzie jest to zaledwie 5%.
O badaniu
Badanie zostało zrealizowane we wrześniu 2021 roku za pomocą ankiet internetowych CAWI w Polsce, Czechach i na Węgrzech, na próbie 800 pracowników w każdym z krajów.