Z badania KPMG w Polsce wynika, że aż 57% firm nie przegląda regularnie logów bezpieczeństwa. Najpopularniejszym podejściem w reakcji na cyberataki stosowanym przez firmy w Polsce, jest opracowanie ogólnofirmowych procedur reagowania na wypadek ich wystąpienia, które przygotowano w 73% badanych organizacji. 24% firm posiada wykupioną polisę ubezpieczeniową od skutków cyberataku.
58% badanych organizacji odnotowało w 2022 roku incydenty polegające na naruszeniu bezpieczeństwa. Oznacza to, że ubiegły rok mógł być bezpieczniejszy pod względem prób cyberataków w porównaniu do 2021 roku. Optymizm studzi jednak fakt, że w przypadku aż jednej na trzy badane firmy wzrosła intensywność prób naruszeń bezpieczeństwa. Jest to najwyższy wynik od pięciu lat. Jednocześnie w ubiegłym roku aż 12% firm przyznało, że zanotowało 30 i więcej incydentów bezpieczeństwa, co świadczy o wzroście aktywności cyberprzestępców. 1/5 ankietowanych organizacji odnotowała w 2022 roku wzmożoną aktywność cyberprzestępców w związku trwającą wojną w Ukrainie.
Pełny raport KPMG można pobrać tutaj.
Firmy obawiają się cyberprzestępczości wspieranej przez obce państwa
Bez zmian w stosunku do poprzednich edycji badania KPMG, firmy najbardziej obawiają się zagrożeń ze strony szeroko rozumianej cyberprzestępczości. Wskazało na nią 88% firm, co oznacza nieznaczny spadek, o 4 punkty procentowe w stosunku do ubiegłego roku. Firmy w Polsce najbardziej obawiają się zorganizowanych grup cyberprzestępczych, na które wskazało 70% ankietowanych firm. O połowę zmniejszył się odsetek osób obawiających się niezadowolonych lub podkupionych pracowników (21% wskazań), znacząco zwiększył się z kolei odsetek firm obawiających się zagrożeń płynących ze strony grup wspieranych przez obce państwa – na to zagrożenie wskazuje obecnie aż 38% firm w Polsce.
– Agresja rosyjska w Ukrainie i towarzysząca jej cyberwojna zmieniły oblicze cyberbezpieczeństwa. Polskie organizacje, a w szczególności operatorzy usług kluczowych, bardziej niż kiedykolwiek zrozumiały, że są ciągłym celem zaawansowanych cyberataków, prowadzonych przez grupy wspierane przez obce państwa. Obrona przed tak dobrze zorganizowanymi cyberprzestępcami wymaga proaktywnego podejścia wspartego wyspecjalizowanymi narzędziami. Polskie firmy powinny krytycznie przyjrzeć się swojej architekturze bezpieczeństwa i skuteczności wdrożonych zabezpieczeń – mówi Michał Kurek, Partner w Dziale Doradztwa Biznesowego, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Wyłudzenia danych uwierzytelniających największym zagrożeniem dla firm
Firmy biorące udział w badaniu KPMG zadeklarowały, że największym cyberzagrożeniem są dla nich wyłudzenia danych uwierzytelniających (phishing) oraz zaawansowane ataki ze strony profesjonalistów (Advanced Persistent Threat). W czołówce głównych cyberzagrożeń znajdują się również wycieki danych za pośrednictwem malware.
Za całkowicie nieistotne blisko jedna trzecia firm uznała włamania do urządzeń mobilnych oraz ataki na sieci bezprzewodowe (odpowiednio 28% i 27%). W ostatnich miesiącach nasileniu uległy ataki typu ransomware polegające na szyfrowaniu danych firmowych znajdujących się na dysku lub blokowaniu dostępu do systemu i żądaniem zapłacenia okupu w zamian za przywrócenie dostępu.
Blisko jedna trzecia respondentów wskazała, że padła w przeszłości ofiarą tego typu ataku. Żadna z badanych firm nie przyznała się jednak do zapłacenia okupu, twierdząc, że udało im się obronić przed atakiem i odtworzyć ciągłość działania.
Brak wystarczającego budżetu największą barierą w budowaniu bezpieczeństwa IT
57% firm przyznało, że największą barierą utrudniającą budowanie odpowiedniego poziomu zabezpieczeń jest brak wystarczających budżetów. 47% wskazało natomiast na trudności w znalezieniu oraz utrzymaniu odpowiednio wykwalifikowanych pracowników.
Aż o 10 punktów procentowych w porównaniu z ubiegłoroczną edycją badania wzrósł odsetek firm wskazujących na ograniczenia wynikające z braku dobrze zdefiniowanych mierników. Firmy starają się adresować te wyzwania, powierzając outsourcing funkcji i procesów bezpieczeństwa zewnętrznym dostawcom. 81% respondentów badania przyznało, że w ich organizacjach kwestie bezpieczeństwa danych są realizowane przez zewnętrznych dostawców, z czego 68% zleca na zewnątrz wiele funkcji.
Firmy najczęściej korzystają z zewnętrznej pomocy w przypadku wsparcia w reakcji na cyberataki (53%), analizy złośliwego oprogramowania (49%) oraz testów podatności infrastruktury (48%)
57% firm przyznaje, że nie przegląda regularnie logów bezpieczeństwa
Organizacje podchodzą do kwestii monitorowania bezpieczeństwa na wiele sposobów. Regularne monitorowanie bezpieczeństwa zostało już formalnie wpisane w obowiązki pracowników w 61% badanych organizacji, a w 36% powierzono je zewnętrznej firmie. Również 36% firm powołało w swoich strukturach komórkę SOC (Security Operations Center) do monitorowania zagrożeń, ale w większości przypadków nie działa ona całodobowo. W ponad jednej trzeciej firm monitoruje się bezpieczeństwo kontrahentów (37%), a 26% prowadzi tzw. Threat Hunting, poszukując cyberprzestępców, którzy mogą być już w chronionej infrastrukturze. Niestety aż 57% respondentów przyznało, że logi bezpieczeństwa nie są jednak w ich organizacjach przeglądane regularnie.
Firmy stosują szeroki wachlarz rozwiązań mających na celu wykrycie cyberataków. Najczęściej (68% wskazań) wykorzystują w tym celu zewnętrzne źródła informacji o cyberzagrożeniach. Dużą popularnością cieszą się również centralne repozytoria logów, stosowane przez 64% badanych organizacji oraz wewnętrznie rozwijane bazy wiedzy o cyberzagrożeniach typu Indicator of Compromise oraz Tactics, Techniques, and Procedures, z których korzysta ponad połowa firm. Najrzadziej spotykanym w Polsce rozwiązaniem są systemy typu Deception stanowiące swego rodzaju pułapki zastawiane na cyberprzestępców (14%) oraz rozwiązania klasy SOAR (Security Orchestration, Automation and Response) usprawniające monitorowanie bezpieczeństwa i reakcję (16%).
– Cyberataki są dziś zjawiskiem powszechnym. Łupem hakerów stają się najbardziej zaawansowane technologicznie firmy. Nie należy dziś pytać „czy?”, ale „kiedy?” nastąpi cyberatak w organizacji. Nie ma zabezpieczeń gwarantujących bezpieczeństwo, w związku z czym krytyczne stają się inwestycje w procesy monitorowania bezpieczeństwa i reakcji na cyberataki. Tylko dzięki nim możliwe jest skrócenie czasu, w jakim niewykryty haker bezkarnie działa w firmowej infrastrukturze. Czasu, który wynosi obecnie średnio ponad pół roku i mocno skorelowany jest z poziomem poniesionych strat – mówi Michał Kurek, Partner w Dziale Doradztwa Biznesowego, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Zaledwie 21% firm powołało wewnętrzny zespół do reagowania na incydenty
Najpopularniejszym podejściem w reakcji na cyberataki stosowanym przez firmy w Polsce, jest opracowanie ogólnofirmowych procedur reagowania na wypadek ich wystąpienia. Takie rozwiązanie jest zastosowane w 73% badanych organizacji. 42% respondentów posiada podpisane umowy ramowe z zewnętrznymi firmami na wypadek konieczności wsparcia przy obsłudze cyberataku. Co trzecia badana organizacja korzysta z testów penetracyjnych typu Red Teaming do weryfikowania własnej skuteczności w obronie przed cyberatakami. 24% firm posiada wykupioną polisę ubezpieczeniową od skutków cyberataku, a 21% powołało wewnętrzny zespół do reagowania na incydenty.
Firmy, które w przeszłości zetknęły się z cyberatakiem, w zdecydowanej większości deklarują, że w jego wyniku zwiększyła się świadomość zarządu na temat cyberbezpieczeństwa (83% wskazań). 60% organizacji zwiększyło budżet na zabezpieczenia, a połowa przyznała, że cyberatak wpłynął na gruntowną zmianę podejścia firmy do kwestii związanych z bezpieczeństwem cyfrowym. Natomiast 10% badanych firm, które w przeszłości doświadczyło cyberataku przyznało, że jego wystąpienie nie zmieniło niczego w podejściu organizacji do zapewnienia bezpieczeństwa.