Co czwarta firma w Polsce nadal nie wie, jakie zmiany będzie musiała wdrożyć w związku z wejściem Rozporządzenia o Ochronie Danych Osobowych (GDPR) w maju 2018 roku. Blisko połowa przedsiębiorstw nie zarejestrowało żadnego cyberataku na swoje zasoby. W przypadku odnotowanych zdarzeń firmy najczęściej wskazywały na cyberataki z wykorzystaniem złośliwego oprogramowania.
Wynika z raportu podsumowującego Badanie Rynku Cyberbezpieczeństwa w Polsce w Dużych i Średnich firmach przygotowanego na zlecenie T‑Mobile.
Stan przygotowań do GDPR
Raport „Badanie rynku cyberbezpieczeństwa w Polsce 2017” powstał w newralgicznym dla przedsiębiorców momencie. W maju 2018 roku zacznie obowiązywać Rozporządzenie o Ochronie Danych Osobowych (GDPR), które będzie dotyczyło wszystkich firm działających na obszarze Unii Europejskiej. Nowe przepisy znacznie rozszerzają odpowiedzialność i obowiązki związane z ochroną danych osobowych oraz raportowaniem związanych z nimi incydentów. To ogromna zmiana w stosunku do dotychczasowych przepisów. Do tej pory takie restrykcyjne podejście obejmowało jedynie wybrane branże, m.in. banki oraz operatorów telekomunikacyjnych. Teraz uchybienia w systemach IT będą musiały zlikwidować wszystkie przedsiębiorstwa, niezależnie od prowadzonej działalności.
Czasu pozostało bardzo mało. Mimo to, ponad połowa firm biorących udział w badaniu nie podjęła jeszcze albo kroków, które oceniłyby wpływ RODO na ich działalność albo działań w celu dostosowania się do regulacji. Przedstawiciel co piątej dużej i średniej firmy działającej w Polsce uważa, że rozporządzenie RODO nie ma wpływu na jego firmę i nie będzie trzeba się do niego dostosowywać. Warto również zaznaczyć, że co czwarta badana firma nie spotkała się nigdy wcześniej z określeniem RODO/GDPR.
– Postanowiliśmy, jeszcze przed wejściem RODO w życie, sprawdzić podejście do zagadnień związanych z cyberbezpieczeństwem w polskich firmach. Badanie obejmowało przeprowadzenie niemal 700 wywiadów zarówno w dużych spółkach, jak i średnich firmach. Położyliśmy w nich nacisk na zagrożenia cyberatakami, rozwiązania zapewniające bezpieczeństwo IT, wydatki ponoszone na budowę i utrzymanie infrastruktury ICT oraz znaczenie firm zewnętrznych i własnych specjalistów w zakresie ochrony zasobów przedsiębiorstwa. Wyniki przeprowadzonego badania stanowią swoistą diagnozę potrzeb firm w obszarze outsourcingu usług cyberbezpieczeństwa. Jako firma od lat specjalizująca się w monitorowaniu ataków i ochronie danych partnerów biznesowych, zwracamy na to szczególną uwagę, przygotowując produkty i usługi dla przedsiębiorców. Obraz, który udało nam się uchwycić, mówi wiele o postrzeganiu cyberbezpieczeństwa przez polskie firmy
– mówi we wstępie do raportu Artur Ostrowski, Członek Zarządu, Dyrektor ds. Rynku Biznesowego w T- Mobile Polska S.A.
Poziom cyberbezpieczeństwa musi wejść na wyższy poziom
Obserwacje prowadzone na całym świecie wskazują, że praktycznie każda infrastruktura dostępna w Internecie poddawana jest atakom. Szerokim echem odbiły się ostatnio dwie duże kampanie malware – WannaCry i NotPetya. Ta druga dotknęła polskie firmy współpracujące z Ukrainą i została dobrze zapamiętana przez przedsiębiorców. W wynikach badań potwierdza to wysoki procent ataków na firmy związane z transportem i logistyką. W sumie 48% firm (w tym 51% respondentów z sektora średnich przedsiębiorstw i 45% dużych spółek) zadeklarowało, że nie padło ofiarą cyberataku. Taki wynik może świadczyć o niskiej kondycji cyberbezpieczeństwa w Polsce. Czas wykrycia poważnego incydentu często zajmuje miesiące, a nawet lata. Dane te odzwierciedlają zatem niską jakość stosowanych metod monitorowania i rejestracji incydentów w polskich firmach, które ignorują nadzorowanie stanu bezpieczeństwa swoich zasobów i opóźniają wykrycie udanych ataków cybernetycznych.
– Ataki na systemy informatyczne nie są już przedmiotem zainteresowania wyłącznie specjalistów ds. bezpieczeństwa informacji i IT. Ich konsekwencje są odczuwalne zarówno dla zarządów firm i innych interesariuszy, jak również klientów. Przyglądając się opracowanym przez nas materiałom, należy pamiętać, że na funkcjonowanie cyberbezpieczeństwa wpływa także intensywny rozwój cyberzagrożeń, które charakteryzują się coraz wyższym stopniem zaawansowania. Wszyscy możemy więc na co dzień obserwować wpływ tych niebezpiecznych przemian na działalność biznesową wielu firm – 51% firm stało się ofiarami cyberataków, a 93% dużych przedsiębiorstw zostało zaatakowanych tylko w 2016 roku. Straty z tym związane szacowane są łącznie na 200 mld euro w Europie, a w skali świata na 450 mld euro. Cyberbezpieczeństwo stało się zatem koniecznością dla biznesu, a nie jedynie opcją. – mówi w komentarzu do raportu Włodzimierz Nowak, Członek Zarządu, Dyrektor ds. Prawnych, Bezpieczeństwa i Zarządzania Zgodnością w T‑Mobile Polska S.A.
Mimo rozwoju technologii cyberzabezpieczeń, firmy wciąż ufają rozwiązaniom takim jak firewall i antywirus, które od pewnego czasu uznawane są za niewystarczające. Największą popularnością wśród badanych cieszą się produkty firm Cisco Systems, Fortinet i Eset. Niepokojący jest fakt, że choć poziom zaawansowania cyberataków znacznie wzrósł, to sposoby zabezpieczeń mają się nie zmienić – te same rozwiązania znalazły się na liście priorytetów na najbliższe 1-2 lata. Wynika to z niewielkiej wciąż świadomości cyberzagrożeń w przedsiębiorstwach. Większość przedsiębiorstw nie tworzy oddzielnych stanowisk dla osób, których podstawowym obowiązkiem jest dbanie o bezpieczeństwo. Obowiązki te przydzielane są zazwyczaj pracownikom działu IT – administratorom systemów i/lub sieci. Większość firm inwestuje we własny sprzęt i ludzi (80%), natomiast z outsourcingu ekspertów lub zasobów korzysta co szóste przedsiębiorstwo. Jednak poziom zaufania do zewnętrznych dostawców, w szczególności operatorów usług z zakresu bezpieczeństwa, powinien z każdym rokiem rosnąć. Wynika to przede wszystkim z ograniczonej liczby kompetencji w kwestii cyberbezpieczeństwa na rynku oraz wysokich kosztów zatrudnienia specjalistów pokrywających wszystkie obszary zabezpieczeń środowiska IT.
Choć obraz wyłaniający się z przedstawionych danych może wydawać się niepokojący, warto zaznaczyć, że przeszło 71,5% dużych i średnich firm przeprowadza testy penetracyjne sprawdzające poziom ich zabezpieczenia przed atakami. Wystawianie systemu na próbę jest jednak niewystarczające, by zagwarantować ochronę zasobom przedsiębiorstwa. Pentesty powinny być przeprowadzane regularnie, przez wysoko wykwalifikowanych specjalistów, a zalecenia płynące z diagnozy muszą być wdrożone, by testy odniosły pożądany skutek. Wciąż 87% podmiotów deklaruje także, że nie będzie korzystać z usług operatorów zapewniających profesjonalne wsparcie w zakresie cyberbezpieczeństwa. Dopóki więc firmy nie zaczną stawiać na ekspertów, stan bezpieczeństwa IT w Polsce długo może pozostawiać wiele do życzenia.