Cyber-ruletka po polsku

Cyberbezpieczeństwo w polskich firmach nadal nie jest priorytetem

65% firm w Polsce doświadczyło w ubiegłym roku groźnych incydentów związanych z bezpieczeństwem informatycznym. Ich najczęstszym źródłem są aktualni i byli pracownicy oraz hakerzy. Aż 44% z nich poniosło straty finansowe z powodu cyberataków. Mimo tak niepokojących danych wiele firm wciąż nie przeznacza wystarczających środków na zabezpieczenia informatyczne, licząc na łut szczęścia, że atak je ominie.

Takie wnioski płyną z raportu “Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście”, który we wtorek przedstawiła w Warszawie firma doradcza PwC. Raport powstał na podstawie badań zrealizowanych w ponad 120 polskich firmach różnej wielkości i działających w różnych branżach. Na podstawie zebranych danych eksperci PwC stworzyli Indeks Cyberbezpieczeństwa, z którego wynika, że tylko 8% polskich firm jest dojrzała pod względem bezpieczeństwa cybernetycznego. To oznacza, że dysponują one odpowiednimi narzędziami i systemami zabezpieczeń (wdrożone SIEM, Anty APT, IPS/IDS, SOC) oraz mają specjalny zespół ds. cyberbezpieczeństwa, a ich budżet na bezpieczeństwo stanowi co najmniej 10 proc. wartości całego budżetu IT. Średnio firmy przeznaczają jedynie 3% budżetu z puli budżetu IT na działania związane z ochroną przed cyberatakami. Z badania PwC wynika także, że 20% dużych i średnich firm w Polsce nie posiada żadnego specjalisty od cyberbezpieczeństwa, a 46% nie stworzyło procedur reakcji na incydenty.

Piotr Urban, partner w PwC, podkreślił, że cyberzagrożenia nie powinny być wiązane jedynie z obszarem IT, zdaniem eksperta należy je traktować jako poważne ryzyko biznesowe. W ostatnim roku mieliśmy do czynienia z rosnącą liczbą ataków, których celem był paraliż firm, powodujący przestoje w ich pracy. Te przestoje, wstrzymanie funkcjonowania technologii w firmach po to, by później uzyskać korzyści finansowe w zamian za odblokowanie – nazywamy kryptolockerami – mówił. Wyjaśnił, że w ubiegłym roku były dwa bardzo głośne takie ataki na świecie: wirusy WannaCry i – kilka miesięcy później Petya.

Wirus WannaCry rozłożył na łopatki większość Europy i Stany Zjednoczone. Powodował infekcję komputerów i niemożliwość ich użycia. Firmy nagle stanęły. Jeden z ubezpieczycieli oszacował straty na ogromne kwoty. Ciekawe jest to, że parę miesięcy później pojawił się wirus Petya, który działał na tej samej zasadzie co WannaCry, a przedsiębiorstwa wciąż były na niego podatne. W wielu firmach szefowie ds. bezpieczeństwa stracili przez to pracę – zauważył Piotr Urban.

W jego ocenie, ryzyko cybernetyczne z roku na rok wzrasta, tym bardziej dziwi fakt, że wiele firm nadal nie ma świadomości, jak ważne są działania zmierzające do podnoszenia odporności na to zagrożenie. Wśród połowy badanych przez nas firm nie ma procedur reakcji na incydenty. Jeśli firma nie ma procedury na wypadek incydentu – bez względu na to, czy jest to atak hakerski czy przypadkowa awaria – czyli nie ma procedury na kryzys, gdzie czas jest niezwykle istotny to wita się z porażką – mówił Piotr Urban.

Jak powiedział Tomasz Sawiak, wicedyrektor w zespole ds. cyberbezpieczeństwa w PwC przestoje będące wynikiem cyberincydentu szczególnie dotkliwe mogą być dla firm produkcyjnych, gdzie straty z tym związane łatwo przełożyć na wymiar finansowy: 1 godz. przestoju może oznaczać straty nawet 45 mln euro. Obszar produkcji jest szczególnie podatny na ataki ze względu na zamknięty charakter systemów sterowania, wykorzystujących przestarzałe technologie informatyczne – powiedział Sawiak.

Podkreślił on, że coraz trudniej jest nadążyć za rozwojem technologii, która “wspiera efektywność biznesu, ułatwia pracę i przyczynia się do większej integracji przedsiębiorstw, konsumentów i międzynarodowych rynków”, a jednocześnie otwiera drzwi “do świata biznesu dla osób o nieuczciwych zamiarach, stając się źródłem istotnych strat, zarówno finansowych, jak też związanych z reputacją”.

W kolejnych latach, jak wynika z danych PwC, priorytetem inwestycyjnym dla firm będzie wdrożenie nowych technologii, takich jak Internet Rzeczy (62 proc.), sztuczna inteligencja (53 proc.) i robotyka (44 proc.). Tymczasem, respondenci zapytani o priorytety bezpieczeństwa wskazują głównie na “zagadnienia związane z bieżącą ochroną i wykonywaniem swoich obowiązków”. Według Patryka Gęborysa, wicedyrektor w zespole ds. cyberbezpieczeństwa w PwC, zdecydowanie mniejszym zainteresowaniem cieszy się natomiast działanie ukierunkowane na zapewnienie spójności między procesami technologicznymi a bezpieczeństwem funkcjonowania organizacji. “Tym samym można stwierdzić, iż cyberbezpieczeństwo w polskiej firmie nie jest elementem integralnym w procesie wdrażania technologii” – ocenił Gęborys.

Dodatkowe wymogi dotyczące cyberbezpieczeństwa nakłada na firmy także rozporządzenie o ochronie danych osobowych (RODO), które wejdzie w życiu już w maju tego roku. Tymczasem z badania PwC wynika, że nadal 97% nie jest przygotowana na nowe regulacje, w tym 20% nie rozpoczęła żadnych prac w tym zakresie.

Raport powstał na podstawie badania, w którym wzięło udział 127 polskich ekspertów zajmujących się IT i bezpieczeństwem informacji. Badanie zostało przeprowadzone jesienią 2017 roku metodą ankiety online. Wśród przebadanych spółek 24 proc. stanowią małe, 35 proc. średnie, a 41 proc. duże przedsiębiorstwa.

Celem PwC jest budowanie społecznego zaufania i rozwiązywanie kluczowych problemów. Firma działa w 158 krajach, gdzie zatrudnia ponad 236 tys. osób dostarczających swoim klientom najwyższą jakość usług w zakresie audytu, doradztwa biznesowego oraz doradztwa podatkowego i prawnego. W Polsce PwC posiada 8 biur regionalnych – w Warszawie, Łodzi, Gdańsku, Poznaniu, Wrocławiu, Katowicach, Krakowie i Rzeszowie, a także Centrum Kompetencyjne w Gdańsku oraz dwa Service Delivery Center w Katowicach i Opolu. Spółki PwC w Polsce zatrudniają ponad 4 500 osób.

Raport jest dostępny na stronie www.pwc.pl/badaniebezpieczenstwa.

Więcej na temat firmy na www.pwc.pl.

Źródło: Centrum Prasowe PAP