Rosnąca liczba cyberzagrożeń sprawia, że troska o cyfrowe bezpieczeństwo nie jest już wyłącznie zadaniem osób odpowiedzialnych w firmach za ten obszar. Niestety, z raportu ESET i Dagma Bezpieczeństwo IT pt. „Cyberportret polskiego biznesu” wynika, że mniej niż połowa (48 proc.) pracowników korzystających z komputerów deklaruje, że ma wiedzę, jak odpowiednio zareagować na cyberatak. Jeszcze mniej (42,5 proc.) respondentów uważa, że posiada wystarczające kompetencje w obszarze cyberbezpieczeństwa.
Co ciekawe, 40 proc. ankietowanych sądzi, że za zapewnienie cyberochrony w przedsiębiorstwie odpowiedzialni są wyłącznie specjaliści ds. IT, a co trzeci nie wie nawet, komu należy zgłosić cyberatak. Eksperci przyznają, że nawet najlepsze systemy nie wystarczą, jeśli zatrudnieni w firmach nie mają odpowiedniej wiedzy i nie czują się odpowiedzialni za cyberbezpieczeństwo. Szczególnie niepokojąca sytuacja pod tym względem jest w małych przedsiębiorstwach.
Brak wystarczającej wiedzy
Jak wynika z raportu „Cyberportret polskiego biznesu”, pracownicy nie orientują się w konkretnych cyberzagrożeniach. 78 proc. respondentów zna znaczenie „kradzieży tożsamości”, ale tylko 60 proc. z nich potrafi wyjaśnić, na czym polega phishing, czyli podszywanie się pod firmy i instytucje w celu uzyskania poufnych informacji.
Jeszcze gorzej wypada wiedza pracowników na temat bardziej specjalistycznych zagrożeń. Do znajomości ransomware, czyli złośliwego oprogramowania blokującego dostęp do urządzenia lub szyfrującego jego zawartość, przyznaje się jedynie 19 proc. respondentów. Z kolei do wiedzy na temat DDoS, czyli ataku na system lub usługę w celu uniemożliwienia działania, który przeprowadzany jest równocześnie z wielu komputerów, przyznaje się jedynie 17 proc.
– Cyberprzestępcy kierują swoje działania coraz celniej, chcąc dotrzeć do kluczowych z ich punktu widzenia zasobów firm: finansów, informacji lub wizerunku. W tym celu próbują wykorzystać najsłabszy element każdego systemu, czyli człowieka. Dlatego często w atakach na pracowników upatrują potencjalnego źródła zysków. Szantaże, kradzież danych, szpiegostwo przemysłowe przynoszą im wymierne korzyści. Odpowiednio przygotowana ochrona systemowa, ale też stosowanie się do zasad bezpieczeństwa informatycznego, są kluczowe z punktu widzenia prewencji. Absolutną podstawą cyberbezpieczeństwa jest świadomość najbardziej typowych zagrożeń oraz sposobów ich uniknięcia – uważa Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.
Im większa firma, tym lepiej
Według ekspertów poziom wiedzy na temat cyberochrony wśród pracowników maleje wraz z rozmiarem przedsiębiorstwa. Im mniejsze, tym słabsza znajomość cyberzagrożeń. W firmach zatrudniających do 50 osób jedynie 43 proc. pracowników uważa, że potrafi we właściwy sposób zareagować na incydent. W największych przedsiębiorstwach wskaźnik ten jest dużo wyższy. Z raportu wynika, że w firmach zatrudniających ponad tysiąc osób 56 proc. pracowników uważa, że potrafi odpowiednio zareagować na cyberzagrożenie. Skąd te różnice? Według ekspertów z ESET większe przedsiębiorstwa dysponują obszerniejszymi budżetami, lepszymi zasobami edukacyjnymi i bardziej rozwiniętymi procedurami, a zatrudnieni w nich pracownicy częściej śledzą informacje o nowych cyberzagrożeniach. Wynika z tego, że inwestowanie w wiedzę wpływa na świadomość i odpowiedzialność zespołów.
– Dla zachowania bezpieczeństwa kluczowe jest rozumienie różnic pomiędzy zagrożeniami w świecie rzeczywistym i wirtualnym. Niezbędna jest edukacja pracowników w zakresie tych właśnie różnic, mechanizmów ataków oraz zasad bezpieczeństwa. Jak pokazuje raport „Cyberportret polskiego biznesu” wydaje się, że nie najlepiej jest w zakresie rozumienia przez pracowników mechanizmów ataków oraz tego, w jaki sposób działają cyberprzestępcy. Niestety, ale bez należytej wiedzy i cyberhigieny będziemy wobec nich bezradni – podsumowuje Anna Piechocka, dyrektor zarządzająca w Dagma Bezpieczeństwo IT.