Takie wnioski płyną z badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm”.

W minionych 12 miesiącach osiem na dziesięć firm zanotowało od zera do pięciu znaczących incydentów naruszenia bezpieczeństwa. Jedna na dziewięć firm padła ofiarą cyberataków od pięciu do dziesięciu razy. 6% badanych doświadczyło więcej niż 10 incydentów.

Podatność na cyberataki

Najczęściej wskazywano ataki malwarowe (68% badanych), działania pracowników (44%) oraz utratę danych z powodu awarii sprzętu (39%). Te incydenty są zdaniem respondentów także największymi zagrożeniami dla ich firm.

– Wyniki wskazują, że firmy nie radzą sobie z wykrywaniem ataków. Organizacje identyfikują bardzo mało incydentów, a wśród tych wykrytych dominują łatwe do zaobserwowania takie jak infekcja ransomware czy utrata danych w wyniku awarii. Pojawia się obawa czy brak poczucia zagrożenia nie wynika właśnie z braku możliwości zaobserwowania incydentów bezpieczeństwa – mówi Aleksander Ludynia, Doświadczony Menedżer w Zespole Zarządzania Ryzykiem Informatycznym EY.

Wciąż zdarza się, że słyszymy, że danej firmy „cyberataki nie dotyczą”. Warto się wtedy zastanowić czy tak faktycznie jest, czy też może dana firma jest już ofiarą cyberprzestępców, ale jeszcze o tym nie wie – dodaje Tomasz Dyrda, Dyrektor w Dziale Zarządzania Ryzykiem Nadużyć EY.

Człowiek najsłabszym ogniwem

Dla większości badanych przedsiębiorstw, najsłabszym ogniwem w kontekście bezpieczeństwa organizacji jest nie sprzęt, oprogramowanie czy procedury, lecz człowiek – pracownik firmy. Takiego zdania jest aż 64% respondentów.

– Badanie pokazuje, że przeszkolenie z zakresu bezpieczeństwa IT, przyjęcia na siebie odpowiedzialności za przestrzeganie zasad (przecież podpisaliśmy procedurę bezpieczeństwa) i odświeżanie wiedzy nie wystarcza. Listy trywialnych haseł, pokazujące ignorowanie podstawowych zasad ich tworzenia, lekceważenie zaleceń i procedur szyfrowania danych, otwieranie maili phishingowych – to tylko ułamek błędów, które popełniają ludzie, a jednocześnie użytkownicy urządzeń i systemów IT – ostrzega Tomasz Dyrda.

– Pracownicy firm ciągle darzeni są sporym zaufaniem swoich pracodawców. Dodatkowo wiele ataków prowadzonych jest za pomocą przejętych kont administratorów, dlatego także ich działania powinny podlegać szczególnej kontroli i monitorowaniu – uważa Aleksander Ludynia.

Na dalszych miejscach wśród przyczyn cyberzagrożeń, znaleźli się przestępcy komputerowi – wymieniani przez ponad połowę respondentów (57%), oraz przestarzałe oprogramowanie (40%).

Zabezpieczenia z XX wieku

Mimo nasilającego się zagrożenia ze strony cyberprzestępców i coraz większej liczby udanych ataków, firmy opierają swoją obronę na technologiach stworzonych w latach 80-tych ubiegłego wieku. Jak wynika z badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm” są to przede wszystkim programy antywirusowe (93%) i zapory ogniowe (89%). Popularność́ innych sposobów zabezpieczenia w badanych firmach nie przekroczyła jednej trzeciej.

– Wiele firm wskazuje, że boryka się z incydentami polegającymi na utracie danych, co może prowadzić do wniosku, że firmy nie radzą sobie również z tworzeniem kopii zapasowych kluczowych zasobów informatycznych. Patrząc na wyniki badania wydaje się, że konieczne są intensywne zmiany w podejściu polskich firm do kwestii bezpieczeństwa systemów informatycznych – mówi Aleksander Ludynia, Doświadczony Menedżer w Zespole Zarządzania Ryzykiem Informatycznym EY.

Kiedy już zaatakują…

Zaledwie 7% firm posiada system informowania o incydentach, działający w trybie 24/7/365, do którego podłączone są wszystkie istotne systemy teleinformatyczne. Aż 43% firm nie posiada żadnego systemu ostrzegania. Bodźcem do bardziej intensywnych działań w obszarze bezpieczeństwa IT jest atak hakerski. W sytuacji kryzysowej, zarząd firmy widzi na bieżąco jak skuteczne są plany reakcji i struktury odpowiedzialne za bezpieczeństwo IT. Badania w tym obszarze nie nastrajają optymistycznie.

– Niestety, w wielu przypadkach ataki są skuteczne – czy to działania socjotechniczne (ostatnio popularna fala ataków „na prezesa”), wymuszenia okupu (ransomware), czy też ukierunkowane działania hakerów. Firmy ponoszą realne straty i dopiero po takim „zimnym prysznicu” następuje refleksja i próba zrozumienia, w jaki sposób i z kim działać, żeby w przyszłości uniknąć podobnych sytuacji – mówi Grzegorz Idzikowski, Menedżer w Dziale Zarządzania Ryzykiem Nadużyć EY.

– Jedynie co ósma firma ma zarówno odpowiedni plan oraz zespół i może sprawnie koordynować działania w obliczu zagrożenia – dodaje.

Lepiej zapobiegać niż leczyć

Chociaż firmy zdają sobie sprawę ze znaczenia ludzi dla bezpieczeństwa całego systemu, niewiele z tą wiedzą robią. Okazuje się, że aż 41% pracowników nie uczestniczyło w żadnym szkoleniu na temat bezpieczeństwa w sieci, a w prawie jednej trzeciej badanych firm nie ma procedury postępowania w sytuacji zagrożenia cybernetycznego.

Aż trzy czwarte respondentów badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm” stwierdziło, że przeprowadziło w firmie testy bezpieczeństwa, wprawdzie jedynie co piąta firma (21%) zrobiła to w ciągu ostatniego roku, ale wynik ten można uznać za wysoki. Jednak samo wykonanie to tylko pierwszy etap, na którym większość badanych się zatrzymuje. Tylko 15% firm twierdzi, że wnioski z audytu zostały wdrożone w życie.

Innym sposobem zapobiegania konsekwencjom finansowym incydentów bezpieczeństwa jest transfer części ryzyka na ubezpieczyciela.

– W procesie transferu ryzyka sprawdzane są zasady bezpieczeństwa informatycznego, zarzadzania ryzykiem i tzw. higiena informatyczna firmy – twierdzi Marta Paruch z CHUBB.

– Mimo że polisa ubezpieczeniowa nie jest remedium na wszelkie problemy, ma możliwość zmniejszenia ponoszonych przez firmę konsekwencji. Ubezpieczyciel może bowiem wziąć „na siebie” część ryzyka poprzez pokrywanie kosztów prawników w przypadku roszczeń pokrzywdzonych w związku z ujawnieniem ich danych niezgodnie z przepisami prawa wraz z zapłatą kar administracyjnych nałożonych przez organy regulacyjne, kosztów doradców PR i informatyków śledczych – dodaje.

O badaniu

Autorami badania „Cyberbezpieczeństwo firm” są konsultanci CubeResearch, EY oraz Chubb. Badanie składało się z dwóch części – badania zasadniczego, gdzie na zadane pytania odpowiadały osoby na co dzień zajmujące się problematyką cyberbezpieczeństwa firm oraz badania dodatkowego zrealizowanego na pracownikach firm. Badanie zasadnicze zrealizowano w listopadzie 2016 na próbie 350 firm. Badanie dodatkowe zrealizowano na próbie 500 pracowników zatrudnionych w polskich firmach.