Firmy mierzą się z coraz bardziej zaawansowanymi zagrożeniami cyfrowymi, ale najsłabszym elementem ich zabezpieczeń wciąż pozostaje człowiek. Tymczasem mniej niż połowa pracowników w Polsce (48%) deklaruje, że potrafiłaby odpowiednio zareagować na cyberatak, a jedynie 42,5% uważa, że ma wystarczające kompetencje w dziedzinie cyberbezpieczeństwa. Dane z najnowszego raportu „Cyberportret polskiego biznesu” przygotowanego przez ESET i DAGMA Bezpieczeństwo IT pokazują, że w kwestii wiedzy Polaków o cyberbezpieczeństwie jest jeszcze wiele do zrobienia, szczególnie w sektorze MŚP.
Niepewność pracowników wobec cyberataków
Wzrastająca liczba cyberzagrożeń, a także rosnące zaawansowanie technologiczne środowisk pracy sprawiły, że dbałość o cyberbezpieczeństwo dawno przestała być wyłącznie kwestią osób bezpośrednio odpowiedzialnych za ten obszar w firmie. Tymczasem dane ESET i DAGMA Bezpieczeństwo IT pokazują, że zdolność do reakcji na cyberzagrożenia deklaruje mniej niż połowa polskich pracowników korzystających z komputerów. Jeszcze mniej, bo 42,5% badanych sądzi, że ich kompetencje w obszarze cyberbezpieczeństwa są wystarczające. Co więcej, aż 40% badanych uważa, że cyberbezpieczeństwo to wyłączna odpowiedzialność specjalistów IT, co odsuwa ich od współodpowiedzialności za ochronę organizacji. Co trzeci pracownik nie wie, komu w firmie zgłosić cyberatak. W efekcie wielu zagrożeniom nie zapobiega się w porę.
Eksperci podkreślają, że firmy powinny wzmocnić edukację pracowników w zakresie podstawowych procedur bezpieczeństwa. Nawet najlepsze systemy ochrony nie są wystarczające, jeśli brakuje odpowiedzialności i wiedzy na poziomie użytkownika. Szczególnie niepokojąca jest skala wyzwań w małych firmach, gdzie zasoby na edukację są ograniczone, a wiedza pracowników – fragmentaryczna.
Luki w wiedzy o cyberzagrożeniach
Dane z raportu „Cyberportret polskiego biznesu” ujawniają również znaczące braki w wiedzy pracowników na temat konkretnych cyberzagrożeń: 78% zna pojęcie „kradzież tożsamości”, a tylko 60% deklaruje, że wie, czym jest „phishing” (manipulowanie użytkownikami w celu uzyskania poufnych informacji). Znajomość pozostałych terminów z zakresu cyberbezpieczeństwa deklaruje nie więcej niż 2 na 10 osób. Bardziej specjalistyczne zagrożenia, takie jak „ransomware” (rodzaj złośliwego oprogramowania, które blokuje dostęp do urządzenia lub szyfruje jego zawartość) czy „DDoS” (atak na system lub usługę w celu uniemożliwienia działania, przeprowadzany równocześnie z wielu komputerów), pozostają mało znane (ich znajomość deklaruje odpowiednio 19% i 17% badanych), mimo iż wiążą się z jednymi z najczęstszych zagrożeń dla firm. Ich niedostateczna znajomość oznacza, że pracownicy mogą być łatwym celem dla przestępców, zwłaszcza w kontekście bardziej zaawansowanych socjotechnik.
– Cyberprzestępcy kierują swoje działania coraz celniej, chcąc dotrzeć do kluczowych z ich punktu widzenia zasobów
firm: finansów, informacji czy wizerunku. W tym celu próbują wykorzystać najsłabszy element każdego systemu, czyli człowieka. Dlatego często w atakach na pracowników upatrują potencjalnego źródła zysków. Szantaże, kradzież danych, szpiegostwo przemysłowe przynoszą im wymierne korzyści. Odpowiednio przygotowana ochrona systemowa, ale też stosowanie się do zasad bezpieczeństwa informatycznego są kluczowe z punktu widzenia prewencji. Absolutną podstawą cyberbezpieczeństwa jest świadomość najbardziej typowych zagrożeń oraz sposobów ich uniknięcia – komentuje Beniamin Szczepankiewicz, analityk laboratorium antywirusowego, ESET.
Wpływ wielkości firmy na wiedzę pracowników
Poziom wiedzy na temat bezpieczeństwa wśród pracowników maleje także wraz ze zmianą rozmiaru firmy. W organizacjach zatrudniających do 50 osób jedynie 43% pracowników twierdzi, że potrafi odpowiednio zareagować na zagrożenie. W największych firmach (ponad 1000 pracowników) ten wskaźnik wynosi już 56%. Z czego wynikają te różnice? Większe przedsiębiorstwa dysponują większymi budżetami, lepszymi zasobami edukacyjnymi i bardziej rozwiniętymi procedurami. Jednak mniejsze firmy pozostają w tyle, co naraża je na zwiększone ryzyko incydentów. Z badania wynika również, że pracownicy większych organizacji częściej śledzą informacje o nowych formach zagrożeń (52% w firmach powyżej 500 osób wobec 39% w małych przedsiębiorstwach). To pokazuje, że firmy inwestujące w edukację zyskują przewagę w budowaniu świadomości i odpowiedzialności zespołów.
– Dla zachowania bezpieczeństwa kluczowe jest rozumienie różnic pomiędzy zagrożeniami w świecie rzeczywistym i wirtualnym. Niezbędna jest edukacja pracowników w zakresie tych właśnie różnic, mechanizmów ataków oraz zasad bezpieczeństwa. Jak pokazuje raport „Cyberportret polskiego biznesu” wydaje się, że szczególnie nienajlepiej jest w zakresie rozumienia przez pracowników mechanizmów ataków oraz tego, w jaki sposób działają cyberprzestępcy. Niestety, ale bez należytej wiedzy i cyberhigieny będziemy wobec nich bezradni – podsumowuje Anna Piechocka, dyrektor zarządzająca w DAGMA Bezpieczeństwo IT.