Firma doradczo-audytorska Grant Thornton (GT) zbadała, jak firmy są przygotowane do chronienia danych przed atakami, jakie są dla nich największe cyberzagrożenia i jak reagują, gdy się pojawią. W badaniu uczestniczyło 107 przedsiębiorstw działających w Polsce oraz 200 firm z 35 innych krajów. Wnioski dla biznesu znad Wisły nie są zbyt optymistyczne — firmy myślą, że są wystarczająco zabezpieczone przed cyberatakami, jest to jednak bezpieczeństwo iluzoryczne.
— Mamy na świecie do czynienia z bezprecedensowym nasileniem cyberzagrożeń, które awansowały do pierwszej trójki zagrożeń globalnych — obok kataklizmów naturalnych i zmian klimatycznych. Polskie firmy są ich nieświadome, funkcjonują w iluzji bezpieczeństwa, nie realizując podstawowych działań ochronnych — mówi Radosław Kaczorek, szef zespołu cyberbezpieczeństwa w GT.
Spośród ankietowanych polskich firm aż 28 proc. przyznało, że w ostatnim roku padło ofiarą cyberataku, czyli np. wycieku lub kradzieży danych wewnętrznych. Przeważa jednak dobre samopoczucie, bo aż 70 proc. badanych jest zadowolonych ze swojego przygotowania na tego rodzaju zagrożenia. W światowym rankingu poczucia cyberbezpieczeństwa
Polska plasuje się na bardzo wysokim trzecim miejscu. Co ciekawe, jego liderem jest Grecja (75 proc. firm czuje się bezpiecznie). Na drugim miejscu jest Wielka Brytania (73 proc.). Za Polską znalazły się m.in. Francja (69 proc.), Niemcy i Włochy (po 66 proc.).
Cyberataków najbardziej boją się firmy ze Skandynawii (40 proc.) oraz… Japonii (38 proc.), czyli krajów najbardziej rozwiniętych technologicznie.
— Okazuje się, że polskie firmy, podobnie jak przedsiębiorstwa w większości krajów, mają bardzo wysoką samoocenę. Czy to możliwe, żeby polskie czy greckie przedsiębiorstwa były lepiej przygotowane na cyberataki niż np. szwedzkie i japońskie? Nasze badania wskazują, że wysoki poziom zadowolenia wynika raczej z niskiej świadomości procedur zarządzania cyberbezpieczeństwem — podkreśla Radosław Kaczorek.
Tylko 35 proc. ankietowanych firm podało, że wykrywa zagrożenia cyfrowe, a jedynie 30 proc. respondentów potrafi ocenić sytuację.
— To wskazuje na bardzo niską skuteczność wykrywania incydentów oraz długi czas od ich zaistnienia do wykrycia — mierzony nie w godzinach czy dniach, ale w… miesiącach. Tworzy to złudne poczucie bezpieczeństwa — tłumaczy ekspert z GT.
Największymi zagrożeniami są: złośliwe oprogramowanie (68 proc. wskazań), kiepskie bezpieczeństwo infrastruktury (63 proc.), zgodność z przepisami RODO (62 proc.). Coraz częściej motywacją do inwestowania w cyberbezpieczeństwo jest presja ze strony klientów. Twierdzi tak 43 proc. ankietowanych firm.
Rząd dostrzega niebezpieczeństwo
Ministerstwo Cyfryzacji przygotowuje projekt regulacji zwiększających ochronę państwa oraz przedsiębiorców przed cyberatakami. Zmiany mają nastąpić w ustawie o krajowym systemie cyberbezpieczeństwa oraz prawie telekomunikacyjnym. Rząd chce poszerzyć mechanizmy tzw. prewencji ogólnej. Chodzi m.in. o ostrzeżenia przed atakami i wpisywanie na listę podmiotów zagrażających cyberbezpieczeństwu. Pojawić się ma też nowy mechanizm prewencji indywidualnej. Firmy telekomunikacyjne będą musiały informować o zamiarze zbycia infrastruktury prezesa UKE, który będzie mógł transakcję zablokować, jeżeli w ocenie służb specjalnych mogłaby stanowić zagrożenie dla bezpieczeństwa państwa.