Cyberbezpieczeństwo w małych i średnich polskich firmach – wyniki badania

Aż 40 proc. małych i średnich firm w Polsce padło w ubiegłym roku ofiarą incydentu cyberbezpieczeństwa – to jeden z wniosków wyciągniętych z badań przeprowadzonych w maju br. na zlecenie Krajowego Instytutu Cyberbezpieczeństwa na grupie 500 respondentów z całego kraju.

Badanie metodą CATI zostało przeprowadzone 8 maja br. na grupie małych i średnich przedsiębiorstw z terenu całej Polski. Warto w tym miejscu dodać, iż wiele podmiotów nie zdecydowało się na rozmowę pomimo jasnej deklaracji, iż posłuży ona jedynie do celów statystycznych oraz opracowania anonimowego raportu. Dlaczego polscy przedsiębiorcy tak niechętnie rozmawiają o swoich zabezpieczeniach w walce z cyberprzestępczością? Odpowiedź nasuwa się sama, a częściowo prezentują ją wyniki naszej ankiety, które zapewne nie odbiegają od ogólnych tendencji.

Wyniki nie napawają optymizmem i pozwalają wyciągnąć pewne wnioski. Rodzime firmy często padają ofiarą cyberataków, posiadają formalne procedury i niezbędną dokumentację, gorzej jednak przedstawia się to jednak w praktyce. Właściciele i kadra pracownicza nie wiedzą często, gdzie i w jaki sposób zgłaszać incydenty cyberbezpieczeństwa, nie weryfikują także skuteczności wprowadzonych rozwiązań oraz nie przechodzą regularnych szkoleń z zakresu cyberbezpieczeństwa.

Małe i średni firmy łakomym kąskiem dla cyberprzestępców

40 proc. respondentów przyznało, że w ciągu ostatnich 12 miesięcy miał u nich miejsce incydent cyberbezpieczeństwa. Niemal tyle samo osób nie wiedziało jednak z kim należy skontaktować się w przypadku cyberataku! Przypominamy, że każdy incydent cyberbezpieczeństwa należy zgłosić do CERT Polska, który jest jednym z trzech organów odpowiedzialnych za reagowanie na tego typu incydenty i do niego należy przesłać zgłoszenie on-line – za pośrednictwem formularza dostępnego na stronie www lub na adres mailowy: [email protected]. Incydent należy zgłosić najszybciej jak to możliwe, nie później niż w ciągu 24 godzin od wykrycia.

Osobną kwestią pozostaje obowiązek zgłaszania naruszeń związany z przepisami, jakie na firmy narzuca RODO. Przypominamy, że w związku z wystąpieniem tzw. incydentu bezpieczeństwa administrator zobowiązany jest do zgłaszania naruszeń do organu nadzorczego. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin od stwierdzenia naruszenia – zgłasza je organowi nadzorczemu, właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Nie szkolimy się

Tylko ⅓ ankietowanych potwierdziła, że pracownicy firmy przechodzą regularne szkolenia z zakresu cyberbezpieczeństwa. To może tłumaczyć, dlaczego przedstawiciele polskich firm tak mało wiedzą m.in. o procedurach zgłaszania naruszeń w związku z incydentami cyberbezpieczeństwa.

Kuleje praktyka i testy

Na pytanie czy firma posiada politykę bezpieczeństwa IT “tak” odpowiedziała ponad połowa ankietowanych. Podobnie sytuacja wygląda z polityką haseł – zdecydowana większość biorących udział w badaniu potwierdziła fakt posiadania takiej procedury. Aż 90 proc. respondentów przyznało również, że tworzy regularnie kopie zapasowe w przypadku kluczowych systemów. Tak dobry wynik cieszy, choć wpływa na niego z pewnością fakt, że tworzenie kopii zapasowych jest koniecznością w świetle przepisów RODO, które nakładają obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych gwarantujących bezpieczeństwo danych osobowych.

Backup tak, ale bez testów odtworzeniowych

Niestety, nie wszyscy testują okresowo kopie zapasowe, a to bardzo ważny aspekt cyberbezpieczeństwa. Niemal ⅓ badanych przyznała, że nie wykonuje okresowo takich testów. Tymczasem testy odtworzeniowe to konieczność, ponieważ umożliwiają potwierdzenie pełnej możliwości odzyskania danych z kopii zapasowej lub uruchomienia infrastruktury serwerowej z backupu. Same kopie zapasowe nie wystarczą – przetestowanie posiadanych kopii oraz przećwiczenie odzyskiwania danych umożliwiają sprawne i szybkie przywrócenie działania kluczowych zasobów w sytuacji cyberataku.

Nie zabezpieczamy firmowych sieci

Czy firma posiada technologię zabezpieczającą firmową sieć przed nieautoryzowanym dostępem? Niestety, aż 33 proc badanych przyznało, że nie posiada takiej technologii. Tymczasem w sieci, w której nie funkcjonuje system chroniący przed nieautoryzowanym dostępem, wejście do sieci może uzyskać każde urządzenie podłączone za pomocą portu sieciowego lub bezprzewodowego punktu dostępowego. Nawet jeśli funkcjonuje uwierzytelnianie za pomocą hasła użytkownik nadal może zalogować się z niezatwierdzonego urządzenia. Konsekwencją takiego stanu rzeczy jest ryzyko wprowadzenia złośliwego oprogramowania.

Skutecznym narzędziem służącym ochronie sieci jest wdrożenie systemu NAC (Network Access Control). Spełnia on wiele funkcji jednocześnie – nie tylko kontroluje dostęp do sieci oraz działające w niej urządzenia, ale także chroni przed złośliwym oprogramowaniem, a także wykrywa i reaguje na incydenty bezpieczeństwa. System NAC to ABC w przypadku firmowych sieci, który wpływa na zwiększenie bezpieczeństwa i chroni przed nieuprawnionym dostępem do sieci.
Więcej na ten temat pisaliśmy na naszym blogu:
Większe bezpieczeństwo, czyli system NAC – czytaj więcej

Nieco więcej optymistycznych informacji przynosi odpowiedź na pytanie dotyczące aktualizacji firmowego oprogramowania – w tym przypadku ponad 90 proc. badanych deklaruje regularne aktualizowanie oprogramowania.

Pamiętajmy o bezpieczeństwie pracy zdalnej

20 proc. ankietowanych przyznało, że dopuszcza do swojej codziennej pracy także urządzenia niesłużbowe. Zapewne wiąże się to z faktem wciąż popularnego modelu pracy hybrydowej oraz zdalnej. W tej kwestii, dla własnego bezpieczeństwa, firmy powinny jednak wprowadzić pewne reguły, zadbać o cyberbezpieczeństwo pracy zdalnej. Tym bardziej, że zgodnie z rozporządzeniem RODO, to Administrator, czyli najczęściej przedsiębiorca ma obowiązek przyjąć odpowiednie środki organizacyjne i techniczne, aby zabezpieczyć dane i to na nim spoczywa odpowiedzialność za bezpieczeństwo danych, również podczas pracy zdalnej.
Więcej na ten temat pisaliśmy w materiale:
Cyberbezpieczeństwo pracy zdalnej – czytaj więcej

Podsumowując, cyberbezpieczeństwo w małych i średnich firmach w Polsce wciąż pozostawia wiele do życzenia. Braki kadrowe, finansowe skutecznie uniemożliwiają podnoszenie poziomu cyberbezpieczeństwa w polskich przedsiębiorstwach. Zapewne nie jest to regułą dla wszystkich, a na pewno nie powinno być usprawiedliwieniem dla podmiotów szczególnie tych, w których wspomniane braki wynikają po prostu z ignorancji.
Badanie przeprowadzone w dniu 8 maja br. metodą CATI na grupie firm – małych i średnich przedsiębiorstw z terenu całej Polski.