W 2023 roku 66% firm w Polsce badanych przez KPMG odnotowało incydenty polegające na naruszeniu bezpieczeństwa – co stanowi wzrost o 8 p.p. w porównaniu z 2022 rokiem. Jedna trzecia firm zaobserwowała w 2023 roku znaczący wzrost liczby prób cyberataków. 60% firm uważa, że liczba ataków w porównaniu z 2022 rokiem pozostała na podobnym poziomie.
Pomimo większej liczby zaobserwowanych naruszeń bezpieczeństwa w 2023 roku, w tegorocznej edycji badania zauważalny jest spadek obaw przedsiębiorstw związanych z zagrożeniami ze strony cyberprzestępców. O 17 p.p. zmniejszyły się obawy dot. działania zorganizowanych grup cyberprzestępczych, które wciąż pozostają w oczach respondentów największym zagrożeniem w sieci (53% wskazań). Z kolei o 14 p.p. zmniejszył się odsetek firm, które obawiają się cyberterrorystów. Połowa respondentów obawia się zagrożenia wynikającego z działalności pojedynczych hakerów. Blisko ¼ firm dostrzega zagrożenie płynące z działania niezadowolonych lub podkupionych pracowników. W kontekście trwającej wojny w Ukrainie, odsetek firm wskazujących na zagrożenie ze strony grup wspieranych przez obce państwa zmniejszył się natomiast z 38% do 24%.
– Rośnie liczba cyberataków, mimo to poczucie zagrożenia zmalało, co jest niepokojące. Wobec trwającej cyberwojny, ryzyko skutecznego ataku przez zorganizowaną grupę cyberprzestępczą jest wysokie, a tego typu ataki będą nakierowane przede wszystkim na infrastrukturę krytyczną, w tym branżę finansową – skomentował dla Fintek.pl Michał Kurek, Partner w Dziale Consultingu, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Firmy najbardziej obawiają się wyłudzenia danych uwierzytelniających
Firmy biorące udział w badaniu KPMG zadeklarowały, że największym cyberzagrożeniem są dla nich wyłudzenia danych uwierzytelniających (phishing) oraz wycieki danych za pośrednictwem złośliwego oprogramowania (malware). W czołówce zagrożeń organizacje wymieniają również: kradzież danych przez pracowników oraz zaawansowane ataki ze strony profesjonalistów (Advanced Persistent Threat).
Ponad jedna trzecia firm za całkowicie nieistotne niebezpieczeństwa cyfrowe uznała ataki na łańcuch dostaw za pośrednictwem partnerów biznesowych, choć w rzeczywistości takie ataki miały ostatnio miejsce i to w znaczącej skali.
Brak pracowników największą barierą w budowaniu bezpieczeństwa IT
Największym wyzwaniem dla firm w osiągnięciu odpowiedniego poziomu zabezpieczeń są obecnie trudności związane z rekrutacją i utrzymaniem wykwalifikowanych pracowników, na które wskazało 53% organizacji. Brak wystarczających budżetów, choć wciąż istotny, spadł na drugie miejsce (43% wskazań).
Jednym ze sposobów dbania o cyberbezpieczeństwo w firmach jest zlecanie realizacji funkcji lub procesów bezpieczeństwa na zewnątrz. Zdecydowana większość badanych przez KPMG firm zleca różnorodne aspekty bezpieczeństwa danych zewnętrznym dostawcom. W 2023 roku z outsourcingu korzystało 84% organizacji. Do najczęściej zlecanych na zewnątrz zadań należą programy podnoszenia świadomości pracowników (42% wskazań), wsparcie w reakcji na cyberataki (40% wskazań) oraz analiza złośliwego oprogramowania (39% wskazań).
RODO dla większości firm stanowi priorytetowy standard zgodności IT
Standardy zgodności IT i ochrony prywatności danych odgrywają kluczową rolę w cyfrowym świecie. 85% badanych firm zadeklarowało, że RODO stanowi najważniejszy aspekt w ich strukturze organizacyjnej (95% wskazań w przypadku największych firm). Na kolejnych miejscach znalazły się ustawa o krajowym systemie cyberbezpieczeństwa, na którą wskazało 59% firm. Z kolei mniej znaczące dla respondentów wydają się regulacje dotyczące klasyfikowania systemów sztucznej inteligencji według ryzyka i wprowadzania zróżnicowanych wymagań dotyczących ich rozwoju i użytkowania (AI Act), a także regulacja Parlamentu i Rady Europejskiej dotycząca operacyjnej odporności cyfrowej sektora finansowego (DORA).
Jak skomentował dla Fintek.pl Piotr Burzyk, Starszy Menedżer w Dziale Consultingu w Zespole Cyberbezpieczeństwa KPMG w Polsce – Wiele relacji z podwykonawcami jest związanych z powierzeniem przetwarzania danych osobowych, co jednak nie zdejmuje odpowiedzialności z administratora. Dlatego zastanawiające jest, że pomimo upływu kilku lat od wdrożenia RODO ten obszar ciągle wymaga uwagi. Z tej perspektywy dobrze, że pojawia się rozporządzenie DORA, która akcentuje aspekt zarządzania ryzykiem stron trzecich.
Mądra firma po szkodzie?
Firmy, które w przeszłości zetknęły się z naruszeniem zgodności IT, deklarują, że w ramach podjętych kroków naprawczych przede wszystkim zorganizowało szkolenia dla pracowników (44% wskazań). 39% organizacji wzmocniło swoje zabezpieczenia IT, a 1/3 firm wprowadziła całkowicie nowe procedury bezpieczeństwa lub dokonała aktualizacji istniejących polityk bezpieczeństwa. Zaskakujący jest fakt, że 32% respondentów nie zrobiło nic po wykrytym naruszeniu zgodności IT.
– Regulacje wymuszają inwestycje w narzędzia, ale nie jest to podejście wystarczające, wręcz może dawać złudne poczucie bezpieczeństwa ze względu na niewystarczające przygotowanie pracowników do działań w tym zakresie – tłumaczy Michał Kurek.