Cyberbezpieczeństwo według polskich firm. Badanie Computerworld

Redakcja magazynu „Computerworld” przeprowadziła badanie stanu cyberbezpieczeństwa i świadomości zagrożeń cybernetycznych w polskich przedsiębiorstwach. Jak wynika z badania, rodzimy biznes w kontekście odporności na sieciowe zagrożenia cieszy się raczej dobrym samopoczuciem, co nie znaczy, że nie dostrzega najbardziej palących problemów i czynników najbardziej zagrażających cyberbezpieczeństwu. Otwarte pozostaje pytanie, czy firmy robią wszystko, by te ryzyka zminimalizować.

Najnowsze badanie „Computerworlda” dowodzi, że większość polskich przedsiębiorstw dobrze ocenia swoją odporność na cyberataki – odpowiedziało tak 42% pytanych przez nas firm. 14% ankietowanych ocenia ją nawet jako bardzo dobrą. Ogólna ocena odporności przedsiębiorstw na incydenty bezpieczeństwa była wyższa wśród przedstawicieli dużych przedsiębiorstw – łącznie 64% z nich uznało ją za bardzo dobrą lub dobrą. W średnich firmach odsetek takich odpowiedzi wyniósł 47%.

Co więcej, 52% wszystkich ankietowanych uznało, że odporność ich organizacji na incydenty w ostatnich 12 miesiącach poprawiła się (i ponownie, duży biznes ma tu większe powody do zadowolenia – odpowiedziało tak 58% przedstawicieli korporacji oraz 47% osób ze średnich firm). Warto odnotować, że średnio w 37% firm sytuacja pod tym względem nie zmieniła się w ostatnim roku. Ale gdy rozbić odpowiedź na korporacje i średnie firmy, odpowiedziało tak tylko 28% pierwszych i aż 45% drugich.

Zobacz również:

Cyberbezpieczeństwo według polskich firm. Badanie Computerworld

Można sądzić, że taki rozkład odpowiedzi w obu przytoczonych pytaniach wynika ogólnie z większych nakładów finansowych dużego biznesu na rozwiązania zabezpieczające, jak też z istnienia bardziej rozbudowanych działów IT lub bezpieczeństwa.

Dodajmy, że jedynie 7% wszystkich odpowiedzi wskazywało na to, że odporność organizacji na cyberincydenty uległa pogorszeniu.

Cyberatak – był czy go nie było?

W ankiecie badania zadaliśmy też szereg pytań o to, czy organizacje w ostatnim czasie wykryły ataki na swoją infrastrukturę i – jeżeli tak – jak na nie reagowały.

Ankietowani, proszeni o ocenę prawdopodobieństwa wystąpienia skutecznego, niewykrytego ataku na organizację w ciągu ostatnich 12 miesięcy, najczęściej odpowiadali, że było ono średnie (32%) lub niskie (31%). 18% odpowiedzi sugerowało wysokie prawdopodobieństwo takiego incydentu, a 15% bardzo niskie.

W ujęciu sektorowym przedstawicieli dużych firm cechowała ogólnie większa pewność i zaufanie do firmowych systemów cyberochrony. Po 34% z nich na powyższe pytanie odpowiadało „średnie” i „niskie”, a 18% – „wysokie”. Dla porównania, skuteczny cyberatak na własną organizację za wysoce prawdopodobny uznało 19% przedstawicieli średnich firm, a za średnio prawdopodobny – 30%.

Cyberbezpieczeństwo według polskich firm. Badanie Computerworld

Co innego jednak prawdopodobny incydent cyberbezpieczeństwa, a co innego faktyczny, wykryty. Na pytanie „Czy w organizacji w ostatnich 12 miesiącach wykryto incydent / incydenty bezpieczeństwa?” 40% ankietowanych odpowiedziało twierdząco. Odsetek odpowiedzi „nie” był nieznacznie większy – 43%. Znacznie częściej cyberincydenty wykrywano w dużych przedsiębiorstwach (48% odpowiedzi „tak”, w porównaniu do 32% w organizacjach średniej wielkości).

Typy incydentów

Firmy, w których w ostatnim okresie wykryto incydenty cyberbezpieczeństwa, poprosiliśmy o ich dodatkową charakterystykę.

Jeżeli chodzi o liczby bezwzględne, najczęściej identyfikowano od 1 do 5 incydentów (średnio 49% wskazań, przy czym znacznie częściej do tylu incydentów przyznawali się przedstawiciele średnich firm). Odpowiedzi udzielane przez przedstawicieli korporacji były rozłożone bardziej równomiernie: 33% wskazań na 1–5 incydentów, ale po 17% na 6–10, 11–15 i więcej niż 20. Duże firmy są po prostu bardziej łakomym kąskiem dla cyberprzestępców, stosujących bardziej zróżnicowane metody ataków. Dochodzi też do nich częściej.

Najczęściej występującym incydentem był atak phishingowy (średnio 29% wskazań), na drugim miejscu znalazł się atak DDoS (22%). W czołówce pojawiło się także ransomware (15%). W korporacjach phishing był jeszcze częstszym zjawiskiem: spośród ankietowanych firm, gdzie wykryto incydenty, z internetowymi oszustami zmagała się co trzecia organizacja.

Na szczęście skutki incydentów usuwane były szybko, najczęściej w czasie kilku czy kilkunastu minut (29% odpowiedzi) lub maksymalnie kilkunastu godzin (27%). Pod względem tempa usuwania zagrożenia średnie firmy górują nad korporacjami: mniejsza złożoność infrastruktury IT i mniejsza liczba pracowników usprawniają cały proces.

Najczęstszym, typowym następstwem incydentu bezpieczeństwa jest przerwa w działaniu firmy. Sporo ankietowanych nie zauważyło jednak żadnych następstw. Niektórym firmom skradziono własność intelektualną, a niewielki odsetek ucierpiał również finansowo.

Życie po cyberataku

Byliśmy ciekawi, jakie działania podjęły zaatakowane przedsiębiorstwa po incydencie. Okazuje się, że najczęściej przeprowadzano szkolenia wśród pracowników (odpowiedział tak co czwarty ankietowany spośród firm, gdzie wykryto incydenty). Ponadto weryfikowano i aktualizowano dotychczasową politykę bezpieczeństwa (24% odpowiedzi) oraz wymieniono bądź aktualizowano stosowane w firmie sprzęt i oprogramowanie (22%).

Biorąc pod uwagę te dane, wydaje się oczywiste, że edukacja i szkolenia pracowników są zdecydowanie najważniejszym aspektem budowania cyberodporności – wskazało tak aż 75% ankietowanych. Organizacje zdają sobie również sprawę ze znaczenia wczesnego wykrywania incydentów (58% wskazań) oraz aktywnego wyszukiwania i identyfikacji cyberzagrożeń (47%).

Przeciętnie aż 45% uczestników ankiety ocenia prawdopodobieństwo skutecznego ataku na swoją organizację w ciągu kolejnych 12 miesięcy jako średnie, a 20% jako niskie. Jednak w segmencie korporacji wystąpienia cyberincydentów spodziewa się już co drugi ankietowany.

A w których aspektach działalności organizacje są najbardziej narażone na cyberataki? Respondenci, którzy mogli zaznaczać tu kilka odpowiedzi, najczęściej wskazywali na działania personelu (błędy ludzkie, nieświadomość zagrożeń). W dalszej kolejności wskazywano podatności podstawowego sprzętu informatycznego wykorzystywanego przez pracowników, czyli komputerów stacjonarnych i przenośnych. W czołówce wskazań znalazł się też sprzęt mobilny – smartfony i tablety. Na dalszych pozycjach wymieniano serwery i infrastrukturę centrów danych, chmurę i aplikacje cloud, warstwę sieciową oraz oprogramowanie i systemy firmowe.

Zarządzanie cyberbezpieczeństwem

Najbardziej problematycznym aspektem zarządzania cyberbezpieczeństwem w przedsiębiorstwach jest, zdaniem uczestników badania „Computerworlda”, niewystarczający budżet (na inwestycje w rozwiązania ochronne lub modernizację istniejących systemów, a także na zatrudnienie fachowców). Tę odpowiedź zaznaczyło średnio 40% ankietowanych. Niewystarczający budżet jest, co zrozumiałe, większą przeszkodą dla mniejszych organizacji.

Bolączką okazuje się też szybkie tempo zmian technologicznych, za którymi trzeba nadążyć (średnio 35% wskazań) – zarówno w kwestii aktualizowania infrastruktury i dostosowywania jej do wymogów nowoczesności, jak i pod względem zdobywania i przekazywania wiedzy o innowacjach. Brak wiedzy przekłada się bowiem na niską świadomość cyberzagrożeń wśród pracowników oraz niedobór specjalistów ds. cyberbezpieczeństwa – te wskazania również znalazły się wysoko na liście czynników cyberryzyka. Przedstawiciele korporacji wskazywali też często dużą złożoność firmowej infrastruktury IT.

Czy firmy robią wszystko, co mogą?

Przeciętnie 39% badanych zamierza w kolejnych 12 miesiącach zwiększyć wydatki na cyberbezpieczeństwo. W rozbiciu na średnie i duże firmy więcej inicjatywy wykazują tu te drugie – niemal połowa z nich planuje takie inwestycje, w porównaniu z tylko co trzecią średnią organizacją. Z drugiej strony 36% wszystkich badanych organizacji nie planuje takich działań. Tu przodują średnie firmy – 42% z nich nie spodziewa się zwiększenia nakładów na cyberochronę.

Pytanie, w jaki sposób firmy rozumieją zwiększenie wydatków na cyberbezpieczeństwo. Bo 38% pytanych przez nas organizacji nie planuje modernizacji bądź rozbudowy systemu zabezpieczeń cybernetycznych ani zakupu nowego rozwiązania w najbliższych 12 miesiącach. Pozostaje silniejszy nacisk na szkolenia z zakresu cyberbezpieczeństwa lub zwiększenie zatrudnienia w dziale IT/bezpieczeństwa.

Firmy z rezerwą podchodzą natomiast do idei ubezpieczania się od ryzyk cybernetycznych – ma je jedynie co czwarta badana organizacja, a prawie połowa – nie.

Połowa badanych organizacji ma opracowany i wdrożony plan ciągłości działania (business continuity) na wypadek ataku cybernetycznego. Przedsiębiorstwa rozumieją też konieczność posiadania efektywnego systemu backupu i odzyskiwania danych – w 34% firm kopie zapasowe danych o znaczeniu krytycznym wykonywane są raz dziennie, a w 32% backup działa w trybie ciągłym. 66% firm ma też opracowane procedury odzyskiwania danych po awarii lub incydencie cybernetycznym, a 60% systematycznie sprawdza swoje procedury bezpieczeństwa.

Aktualizacja procedur najczęściej odbywa się w drodze audytów – firmy nieco rzadziej decydują się na przeprowadzanie testów penetracyjnych lub symulacji i testów socjotechnicznych wśród pracowników. Zadania audytorskie najczęściej przypadają w udziale firmowemu działowi IT, rzadziej działowi ds. cyberbezpieczeństwa, jeżeli takowy istnieje (zresztą to właśnie dział IT jest najczęściej odpowiedzialny za zarządzanie cyberbezpieczeństwem i egzekwowanie firmowych polityk bezpieczeństwa). Z usług zewnętrznych konsultantów korzysta tylko co dziesiąta firma ujęta w badaniu.

Najczęściej procedury aktualizowane są raz w roku. Co ciekawe, 17% wskazań sugeruje jednak, że do aktualizacji dochodzi częściej niż raz w miesiącu.

Co dalej?

Pozostaje zadać pytanie: jakie trendy lub technologie będą kształtować krajobraz cyberbezpieczeństwa w najbliższych latach? Nasi ankietowani byli tu raczej zgodni, w przeważającej większości stawiając na sztuczną inteligencję (61% odpowiedzi).

43% ankietowanych jako ważny trend wskazało cyfrową transformację organizacji oraz nowe procesy i narzędzia z tym związane. Nic dziwnego, postępująca cyfryzacja niesie nowe możliwości, ale i nowe wyzwania.

Dla 41% ankietowanych ważnym czynnikiem była luka kwalifikacyjna, czyli brak wystarczającej liczby specjalistów ds. cyberbezpieczeństwa, a dla 40% dalsza popularyzacja chmury obliczeniowej.

O badaniu

Badanie „Cyberbezpieczeństwo według polskich firm” adresowane było do dyrektorów, kierowników, prezesów, członków zarządu lub właścicieli oraz specjalistów odpowiedzialnych w swoich organizacjach za bezpieczeństwo i informatykę.

Ankieta została przeprowadzona na przełomie lutego i marca 2020 r. metodą CAWI (ankieta internetowa). Wzięło w niej udział 103 respondentów, w tym 53 ze średnich firm (do 249 pracowników) oraz 50 przedstawicieli korporacji zatrudniających ponad 250 osób. Reprezentowali takie branże, jak: IT, administracja publiczna i służby mundurowe, edukacja i szkolenia, przemysł i produkcja, konsulting, doradztwo i audyt oraz handel i dystrybucja.


TOP 200