Z raportu Eurostatu „Cyfryzacja w Europie” wynika, że Polska znajduje się na drugim miejscu pod względem odsetka firm, w których cyfrowe bezpieczeństwo zostało naruszone. 3 na 10 przebadanych organizacji z Polski zgłosiło przynajmniej jeden tego typu incydent.
W 2022 roku największy odsetek przedsiębiorstw zgłaszających tego typu incydenty odnotowano w Finlandii - 44 proc., Polsce i Holandii - po 30 proc., a najmniejszy w Bułgarii - 11 proc., Portugalii i na Słowacji - po 12 proc. Unijna średnia wyniosła 22 proc.
"Te statystyki w rzeczywistości są znacznie bardziej ponure. Nie każda firma raportuje naruszenia, co więcej, jest wiele organizacji, które w ogóle nie zdają sobie sprawy, że padły ofiarą cyberprzestępców, a cyfrowe dane są w ich posiadaniu. Po prostu nie umieją zidentyfikować naruszenia albo robią to długo po incydencie" – wskazała, cytowana w komentarzu do danych Eurostatu, Natalia Zajic z firmy Safesqr specjalizującej się w podnoszeniu poziomu cyberbezpieczeństwa instytucji publicznych i podmiotów z sektora prywatnego.
Średnio 92 proc. firm w UE stosuje przynajmniej jeden środek bezpieczeństwa. Najczęściej to uwierzytelnianie dostępu silnym hasłem, które stosuje 82 proc. przedsiębiorstw, przechowywanie kopii zapasowej danych w oddzielnej lokalizacji bądź chmurze - 78 proc. oraz kontrolowany dostęp do sieci (65 proc.) Polskie organizacje we wszystkich trzech kategoriach analizowanych przez Eurostat plasują się w okolicy średniej lub poniżej. Znacznie poniżej średniej unijnej, bo tylko 68 proc., tworzy kopie zapasowe. Jeszcze mniej, 62 proc. przedsiębiorstw, stosuje kontrolę dostępu do sieci.
"Dostawcy chmur obliczeniowych inwestują znacząco więcej środków finansowych na opracowanie i wdrożenie odpowiednich zabezpieczeń niż przeciętny przedsiębiorca na zabezpieczenia systemów utrzymywanych lokalnie w firmowej serwerowni. W bezpieczeństwo infrastruktury wirtualnej inwestuje nie tylko dostawca chmury, ale także firmy i organizacje dostarczające sprzęt, oprogramowanie, certyfikaty i zapewniające dobre praktyki zarządzania danymi w chmurze" - zauważył Wojciech Darłowski z Beyond.pl, dostawcy usług data center, chmury i managed services.
W ocenie Pawła Ładny z Safesqr środki bezpieczeństwa są w niektórych firmach stosowane tylko dla zapewnienia zgodności z regulacjami prawnymi, a osoby zarządzające organizacjami często bagatelizują zagrożenia cybernetyczne. "Incydenty coraz częściej jednak przedzierają się do świadomości konsumentów, co odbija się na reputacji firm" – zaznaczył Ładna.
Unia Europejska przygotowała dwie istotne regulacje dotyczące cyfrowego bezpieczeństwa, do których muszą się dostosować firmy działające na terenie wspólnoty. To NIS2, czyli dyrektywa na rzecz wysokiego poziomu cyberbezpieczeństwa, która wskazuje konkretne środki, jakie powinny stosować firmy z istotnych dla gospodarki sektorów. Druga regulacja to DORA, czyli rozporządzenie dotyczące operacyjnej odporności cyfrowej firm z sektora finansowego. Trwają prace nad dostosowaniem krajowego prawa do obu dyrektyw. W przypadku NIS2 termin na dostosowanie mija w październiku br., a do rozporządzenia DORA przepisy mają zostać dostosowane do 17 stycznia 2025 roku.
Według danych Eurostatu najlepiej przygotowane do radzenia sobie z zagrożeniami cybernetycznymi są firmy w Danii i Finlandii, gdzie zabezpiecza się 98 proc. przedsiębiorstw. Najgorsza sytuacja jest w Grecji, gdzie zabezpieczenia stosuje 75 proc. przedsiębiorstw. Spośród polskich firm przynajmniej jeden środek stosuje 93,3 proc., ale według ekspertów odsetek naruszeń jest niepokojąco wysoki.
"Kwestia cyfrowego bezpieczeństwa powinna być priorytetem. Dane są najcenniejszym zasobem organizacji i tak powinny być traktowane. Podobnie postrzega to Unia Europejska, stąd szereg zaleceń mających chronić europejską gospodarkę, przedsiębiorstwa i obywateli" - zauważył Sebastian Toczewski z Beyond.pl.
Zmiany w stosowanych przez firmy praktykach są potrzebne, co pokazują dane CSIRT NASK, który monitoruje incydenty naruszenia bezpieczeństwa. Wynika z nich, że liczba zgłaszanych incydentów w ostatnich latach radykalnie wzrosła. W 2021 roku było ich ok. 30 tys., rok później prawie 40 tys., zaś w 2023 roku już ponad 80 tys.
"Najpilniejsze zmiany potrzebne są w firmach z sektorów o krytycznym znaczeniu dla funkcjonowania gospodarek. Niezbędne jest podniesienie świadomości przedsiębiorstw dotyczącej cyberbezpieczeństwa oraz dbałości o wysokie standardy procedur" – podkreślił Paweł Kulpa z Safesqr.
Zgodnie z badaniem Eurostatu o obowiązkach dotyczących cyfrowego bezpieczeństwa informuje pracowników 58 proc. unijnych przedsiębiorstw. Najczęściej robią to w formie dobrowolnych lub obowiązkowych szkoleń - odpowiednio: 42 i 21 proc. Co trzecia organizacja uwzględnia obowiązki w zakresie bezpieczeństwa cyfrowego w umowach z pracownikami.
Według Łukasza Jachowicza z Mediarecovery, przedsiębiorstwa wyspecjalizowanego w informatyce śledczej, firma może mieć najlepsze technologie, ale finalnie jednym z głównych czynników, które przyczyniają się do naruszeń cyfrowego bezpieczeństwa przedsiębiorstwa, jest czynnik ludzki, który odpowiada za dwie trzecie incydentów. "Wiele spośród największych i najgłośniejszych awarii nie miałoby miejsca, gdyby nie błąd czy niefrasobliwość pracownika. Dlatego firmy powinny nie tylko stosować wszelkie możliwe środki bezpieczeństwa, ale przede wszystkim zadbać o szkolenia pracowników" – zaznaczył Jachowicz.
Z raportu Eurostatu wynika, że 37 proc. firm z krajów UE ma dokumenty określające obowiązujące w nich praktyki dotyczące cyfrowego bezpieczeństwa. Co czwarta firma dokonała w ciągu ostatnich 12 miesięcy przeglądu tych dokumentów lub dostosowania procedur do bieżącej sytuacji. Również co czwarta firma działająca na terenie Unii Europejskiej była ubezpieczona od incydentów związanych z cyfrowym bezpieczeństwem.
PAP/ho