Od kilku lat, zwłaszcza od początku wojny w Ukrainie eksperci alarmują o rosnącej liczbie cyberataków, a Polska znajduje się wśród głównych celów. Jako państwo wschodniej flanki NATO i bliski partner Ukrainy musimy wyciągać z tego wnioski – minister cyfryzacji Krzysztof Gawkowski ogłosił, że cyberbezpieczeństwo będzie jednym z priorytetów polskiej prezydencji w UE. Ale czy podobnie myśli polski biznes? Zdaniem specjalistów, wciąż nie. Wiele firm zaniedbuje ochronę, a pracownicy lekceważą podstawowe zasady bezpieczeństwa . W czasach, kiedy cyberprzestępczość jest co najmniej tak powszechna, jak drobne kradzieże w latach 90. musimy zacząć traktować cyberzagrożenia poważnie.
Tylko 54% ekspertów ds. cyberbezpieczeństwa zgadza się ze stwierdzeniem „Mój pracodawca dobrze organizuje ten obszar w firmie” . Trudno nie uznać tych danych za alarmujące. W końcu to właśnie eksperci ds. cyberbezpieczeństwa zatrudniani przez firmy najlepiej wiedzą, czy zabezpieczenia i przeznaczane na nie środki, są wystarczające.
Te dane robią jeszcze większe wrażenie, kiedy zestawimy je z wiedzą na temat aktywności cyberprzestępców. Jak pokazują dane z najnowszego raportu ESET , druga połowa 2024 roku była okresem intensywnego działania cyberprzestępców, którzy znajdowali luki w zabezpieczeniach i opracowywali innowacyjne metody rozszerzania grona swoich ofiar. Analitycy zaobserwowali nowe wektory ataków i techniki inżynierii społecznej oraz gwałtowny wzrost nowych zagrożeń.
Polak mądry po szkodzie
Tym, co motywuje firmy do inwestycji w cyberbezpieczeństwo, jest oczywiście obniżenie poziomu ryzyka oraz wypełnienie regulacji prawnych. Obydwa czynniki w badaniach wskazuje po 43% ekspertów cybersec.
Bardzo istotnym argumentem jest również zwiększona liczba cyberataków na firmę w ostatnim czasie, wskazana przez 28% badanych. Duże konsekwencje dotychczasowych cyberataków na firmę są z kolei czynnikiem wskazanym przez 26% ekspertów ds. cyberbezpieczeństwa.
– Wzrost wydatków na cyberbezpieczeństwo potwierdzają firmy, w których dochodzi do incydentów. Zarządzającym z jednej strony brakuje nadal przekonania o wpływie cyberodporności na rozwój organizacji, a decyzje o podniesieniu wydatków w tym obszarze podejmują często na podstawie poniesionych strat w wyniku cyberataków. Jest to działanie responsywne, pokazujące niską świadomość o istotności cyberbezpieczeństwa dla danego przedsiębiorstwa czy organizacji – mówi Dawid Zięcina z DAGMA Bezpieczeństwo IT.
Lista inwestycji na 2025 r.
Według ekspertów ds. cyberbezpieczeństwa priorytetowym obszarem, który wymaga doinwestowania, są szkolenia nt. cyberbezpieczeństwa dla pracowników, wskazane przez niemal połowę respondentów. Na drugim miejscu znalazło się monitorowanie i reagowanie na incydenty zgłaszane z wielu źródeł (SIEM, SOAR), które wymaga inwestycji według 37% ekspertów. Ochrona sieci, w tym firewalle i urządzenia klasy Unified Threat Management, została wskazana przez 36% badanych. Tworzenie kopii bezpieczeństwa (backup) jest kolejnym istotnym obszarem, wymagającym inwestycji według 34% badanych. Listę top 5 obszarów zamykają narzędzia do wykrywania, analizy i reagowania na incydenty (klasy EDR/XDR).
Mniej pilne, ale nadal istotne, są subskrypcje usług chmurowych zwiększające bezpieczeństwo (22%), zarządzanie i usuwanie podatności (21%) oraz usługi zewnętrznych firm audytujących lub monitorujących cyberbezpieczeństwo (18%).
Szkolenia dla opornych?
Powyższe dane jasno pokazują, że jednym z najważniejszych czynników, który wpływa na cyberbezpieczeństwo firm, jest edukacja pracowników. Niestety obecnie tylko 55% ekspertów cybersec zgadza się ze stwierdzeniem „W mojej pracy pracownicy zwracają uwagę, by nie generować zagrożeń cyberatakami” .
– Większość cyberataków zaczyna się od wykorzystania ludzkiego błędu np. kliknięcia w link nieznanego pochodzenia czy otwarcia podejrzanego załącznika. Po takim uchyleniu drzwi do firmy, przestępcy sprawnie wkładają w nie stopę i przystępują do działania. Kolejnym etapem może być kradzież i sprzedaż wrażliwych danych na czarnym rynku albo zaszyfrowanie ich i żądanie okupu. Nawet najlepsze systemy zabezpieczające nie ochronią firmy w pełni, jeśli jej pracownicy nie będą wiedzieli, w jaki sposób postępować, aby nie zagrażać bezpieczeństwu – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Niestety tutaj pojawia się kolejne wyzwanie. Zaledwie 56% ekspertów zgadza się ze stwierdzeniem „W mojej pracy pracownicy traktują poważnie wytyczne cyberbezpieczeństwa”. Niechęć pracowników do ścisłych procedur cyberbezpieczeństwa stanowi przeszkodę inwestycji w cyberbezpieczeństwo w oczach 1/4 badanych ekspertów. Do tego dochodzi niska świadomość pracowników i liderów organizacji oraz brak odpowiednich kompetencji w zespole, wskazywane przez 23% respondentów każda .
– W natłoku codziennych obowiązków szkolenia z zakresu cyberbezpieczeństwa bywają traktowane jak zło konieczne, kolejne zadanie, które zmuszeni jesteśmy odhaczyć z listy. Dodatkowe procedury bezpieczeństwa postrzegane są jako nadmierna ostrożność i zbędne utrudnienie. Takie myślenie musi jednak odejść do lamusa. Obecnie żyjemy w czasach, kiedy cyberprzestępczość jest co najmniej tak powszechna, jak drobne kradzieże w latach 90. Różnica polega na tym, że do ustrzeżenia portfela w tramwaju potrzebna jest tylko ostrożność, natomiast aby uniknąć cyberataku, potrzebujemy również rzetelnej wiedzy – przekonuje Kamil Sadkowski.
Już teraz wiemy, że co piąty polski pracownik padł ofiarą cyberataku w miejscu pracy, a co trzeci ma taką osobę w kręgu swoich znajomych lub w rodzinie. Nowy rok najprawdopodobniej przyniesie nam kolejną falę cyberataków. Firmy powinny wziąć sobie tę wiedzę do serca i powziąć jedno, kluczowe postanowienie noworoczne: zacząć traktować cyberbezpieczeństwo poważnie.
– Obecnie szkolenia z cyberbezpieczeństwa nie są dawnymi nurzącymi opowieściami o konieczności częstej zmiany hasła. Eksperci wiedzą już dobrze, że obarczanie pracowników nadmiarem obowiązków związanych z bezpieczeństwem, często skutkuje tym, że przestają traktować je poważnie. To, co naprawdę działa to np. symulacje cyberataków, które dobitnie pokazują wszystkim pracownikom, jakie błędy popełniają i jakie pułapki mogą na nich zastawić cyberprzestępcy – podsumowuje Dawid Zięcina.