Polskie firmy nie są liderami cyberbezpieczeństwa

Przeczytaj także: Więcej cyberataków na polskie firmy w grudniu 2023

Jak wygląda zagrożenie w skali świata?

Hakerzy coraz częściej atakują kraje afrykańskie, które doświadczają średnio 2164 ataków tygodniowo (+23%). Region Azji i Pacyfiku atakowany jest równie chętnie – 2046 ataków w tygodniu oznacza 22 proc. wzrost względem tego samego okresu 2022 roku. Najmniej ataków obserwowanych jest w Ameryce Północnej, średnio 1011 (co i tak stanowi przyrost o 18%). Taki stan rzeczy uzależniony może być od wielu czynników: min. dostępności rozwiązań technologicznych, świadomości zagrożenia i kroków podejmowanych w danym kraju przez osoby zarządzające instytucjami państwowymi oraz prywatnych przedsiębiorców. Na tym tle ciekawa jest sytuacja naszego kraju. Polska jest narażona na ataki cybernetyczne podobnie jak wiele innych krajów z różnych powodów. Polska jest narażona na ataki cybernetyczne podobnie jak wiele innych krajów z różnych powodów.

Paweł Markiewicz, założyciel firmy M3M, która zajmuje się bezpieczeństwem danych największych firm w Polsce wskazuje kilka czynników, które mogą sprawić, że dane państwo staje się bardziej podatny na tego rodzaju zagrożenia:

• Pierwszy z nich to zależność od technologii: Polska (i nie jesteśmy tu wyjątkowi) coraz bardziej polega na technologii cyfrowej w różnych dziedzinach, takich jak administracja publiczna, przemysł, bankowość, zdrowie i inne sektory. W miarę jak rośnie zależność od systemów informatycznych, wzrasta również ryzyko ataków cybernetycznych. Cyfryzacja życia oczywiście została przyspieszona w wyniku pandemii, kiedy to większość sfer naszego życia przenosiliśmy do online’u. Postęp technologiczny i cyfryzacja to oczywiście zjawiska pozytywne, niemniej jednak są one obarczone pewnym ryzykiem i należy mieć tego świadomość. Firma, która kładzie nacisk na cyfryzację musi liczyć się z koniecznością jednoczesnego wdrażania odpowiednich zabezpieczeń i procedur cybersecurity, jeżeli internet ma w jej działalności pomóc, a nie zaszkodzić.
• Coraz bardziej rozbudowana Infrastruktura informatyczna: Stopień rozwinięcia infrastruktury informatycznej w kraju może wpływać na poziom ryzyka ataków cybernetycznych. Im bardziej rozbudowana infrastruktura, tym większe możliwości dla cyberprzestępców. Polska musi stawiać na cyfryzację, niemniej jednak cyberzagrożenia są jej inherentną częścią.
• Sytuacja gospodarcza i geopolityczna: Polska, będąc członkiem Unii Europejskiej i NATO może stać się celem ataków ze strony różnych podmiotów, które mogą być zainteresowane destabilizacją kraju lub uzyskaniem poufnych informacji. W aktualnej sytuacji geopolitycznej ataki często związane są z wojną toczącą się za naszą wschodnią granicą. Za atakami i to nie tylko na infrastrukturę krytyczną dla funkcjonowania państwa nie zawsze stoją pospolici złodzieje. Nawet pojedynczy obywatele i ich dane mogą stać się celem ataku.
• Aktywność grup przestępczych i szpiegowskich: Istnieją różne grupy przestępcze i szpiegowskie, które mogą być zainteresowane atakami na Polskę ze względu na różne cele, takie jak kradzież danych, szpiegostwo przemysłowe czy destabilizacja infrastruktury.

Czy Polska interesuje hakerów i cyberprzestępców?

Oczywiście! Według Krajowej Izby Gospodarczej w Polsce w 2022 roku, aż 58% firm doświadczyło przynajmniej jednego incydentu naruszenia bezpieczeństwa, a 33% zauważyło wzrost intensywności prób ataków. Statystyki za rok 2023 mogą być nawet bardziej alarmujące.

Pod koniec października średnia tygodniowa liczba ataków hakerskich na pojedynczą polską organizację po raz pierwszy w 2023 r. na chwilę spadła poniżej 600, jak wynika z badania "Ryzyko w sieci", przeprowadzonego na zlecenie firmy Symantec. Oznacza to, że przeciętna polska firma każdego tygodnia jest atakowana minimum około 500-600 razy, a bywa, że liczba ta sięga dwóch tysięcy. Oczywiście są to w większości ataki udaremnione, niemniej jednak wystarczy, że jeden z pięciuset ataków zakończy się sukcesem, a firma narażona jest na ogromne straty: wizerunkowe, biznesowe i finansowe. W skrajnych przypadkach skuteczny atak może doprowadzić przedsiębiorstwo nawet do upadłości. Według amerykańskiej organizacji National Cyber Security Alliance około 60 procent małych firm zamyka działalność w ciągu sześciu miesięcy od poważnego wycieku danych, a średni koszt pojedynczego incydentu utraty informacji sięga aż 150 tys. dolarów.

Według M3M najczęstsze incydenty obejmują phishing, zaawansowane ataki typu Advanced Persistent Threat (APT), wycieki danych z użyciem złośliwego oprogramowania - malware oraz ataki ransomware. W ostatnim czasie to właśnie ataki z użyciem ransomware stał się narzędziem szeroko stosowanym do wymuszeń na dużą skalę, co generuje znaczne kwoty w kryptowalutach. Ataki APT, przeprowadzane przez wysoko wykwalifikowanych cyberprzestępców, mają na celu długotrwałą infiltrację systemów, co stanowi znaczne ryzyko dla przedsiębiorstw.

Można wyodrębnić różne kategorie zagrożeń cybernetycznych, na jakie narażone są przedsiębiorstwa. Wspólnym mianownikiem są zawsze dane. I tak, zagrożenia dla cyberbezpieczeństwa mogą owe dane wykorzystywać na różne sposoby, w szczególności poprzez:

• ujawnienie danych, np. ich publikację w Internecie, udostępnienie osobom niepowołanym;
• modyfikację, czyli wprowadzenie niepożądanych zmian;
• zniszczenie danych lub uniemożliwienie do nich dostępu.

Zagrożenie atakami hakerskimi rośnie nieustannie, wzrost zagrożeń zauważa się mniej więcej od 2014 roku. Po inwazji Rosji na Ukrainę w 2022 roku Polska stała się jednym z krajów najbardziej narażonych na ataki cybernetyczne, zwłaszcza na kluczową infrastrukturę, zatem największą czujność powinny wykazywać firmy z sektora gazowego, energetycznego, transportu publicznego i opieki zdrowotnej, można bowiem ze stuprocentową pewnością stwierdzić, że tutaj liczba ataków będzie nadal wzrastać, podobnie jak w branży finansowej - z przyczyn oczywistych.

Niemniej jednak nie można mówić o tym, że którakolwiek branża jest w tym zakresie bezpieczna, bo dane stały się towarem samym w sobie i łakomym kąskiem dla przestępców, a ci mogą zaatakować infrastrukturę każdego przedsiębiorstwa. Dane udostępniamy właściwie wszędzie i w każdej branży: zawierając umowę z dostawcami mediów, wykupując ubezpieczenia, robiąc zakupy online, a nawet w sklepie stacjonarnym, jeśli płacimy kartą lub wyrabiamy kartę stałego klienta. - zwraca uwagę Paweł Markiewicz z M3M.

Jak zatem wygląda cyberbezpieczeństwo biznesu made in Poland?

Deficyt funduszy i trudności w pozyskiwaniu oraz utrzymaniu wykwalifikowanej kadry to główne przeszkody w zapewnieniu polskim firmom cyberbezpieczeństwa. W badaniach przytaczanych przez Krajową Izbę Gospodarczą 57% przedsiębiorców wskazuje jako główną przyczynę brak wystarczających funduszy, niemal połowa twierdzi natomiast, że problemem jest znalezienie odpowiedniego specjalisty. Rozwiązaniem tego ostatniego problemu może być outsourcing, czyli powierzenie działań w tej dziedzinie specjalistom zewnętrznym, ponieważ cyberprzestępcy zawsze będą o krok przed przedsiębiorcą i wszystko wskazuje na to, że nie zamierzają swej działalności ograniczać.

Polskie firmy niestety nie są najczęściej liderami cyberbezpieczeństwa. Nawet firmy posiadające certyfikaty bezpieczeństwa, skupiając się na porządku w dokumentacji, nie wdrażają w praktyce deklarowanych procedur i zabezpieczeń.

W swojej praktyce nierzadko spotykam przedsiębiorców, którzy nawet nie mają pojęcia, jakie dane klientów pozostają w ich systemach, ile tych danych jest, gdzie są przechowywane. Trudno wówczas mówić o prawidłowym zabezpieczeniu tych danych. Coraz rzadziej jest to jednak wynik świadomego lekceważenia, bowiem świadomość zagrożenia na szczęście rośnie, nawet duże przedsiębiorstwa zaczynają zauważać swoje niedostatki w tym zakresie i dostrzegają konieczność wdrożenia procedur i systemów bezpieczeństwa. W takich przypadkach zalecam na początek porządny audyt, rozpoznanie słabych punktów w systemie zabezpieczeń a dopiero w następnym kroku uszczelnienie tego systemu w newralgicznych punktach - mówi Paweł Markiewicz.

Główny grzech: przetrzymywanie danych osobowych.

Grzegorz Leśniewski, prawnik i ekspert M3M do spraw bezpieczeństwa danych i compliance ostrzega:

Z naszego wieloletniego doświadczenia w przeprowadzaniu audytów wynika, że nawet wielkie firmy dopuszczają się, często nieświadomie, podstawowych błędów, np. nie usuwają danych osobowych klientów, ba, nawet potencjalnych klientów czy kontrahentów, z którymi nigdy nie połączył ich ostatecznie żaden stosunek prawny! I to pomimo zagrożenia karami, donosami, a nawet szantażem, bo i w takich sytuacjach przedsiębiorcy zwracali się do nas po pomoc, choć incydentom można było zapobiec dużo wcześniej. Dlaczego tak się dzieje? Przez długie lata Polacy wyjątkowo łatwo akceptowali fakt, że są łamane ich prawa do ochrony danych. Oczywiście to się zmienia, świadomość rośnie, ale jest potrzebny czas na dostosowanie procesów biznesowych firm do aktualnych wymogów prawa. Przestrzeganie przepisów dotyczących ochrony danych, jest obowiązkiem każdej firmy, która gromadzi, przetwarza i przechowuje dane osobowe. Brak usunięcia danych osobowych może stanowić poważne naruszenie przepisów prawa.

Z doświadczenia M3M na polskim rynku wynika, że jest kilka powodów, dlaczego firmy nie usuwają danych osobowych, mimo istniejących zagrożeń:

• Nieznajomość prawa: Bywa, że nawet w dużym przedsiębiorstwie osoby odpowiedzialne nie są w pełni świadome obowiązujących przepisów dotyczących ochrony danych osobowych lub ich konsekwencji.
• Brak odpowiednich procedur: Firmy mogą nie mieć odpowiednich procedur lub systemów, które umożliwiałyby im skuteczne usuwanie danych osobowych zgodnie z wymogami prawnymi.
• Niewłaściwe zarządzanie ryzykiem: Niektóre firmy mogą nie doceniać ryzyka związanego z nieprzestrzeganiem przepisów dotyczących ochrony danych osobowych i mogą bagatelizować konsekwencje naruszeń.
• Brak odpowiedniej kontroli wewnętrznej: Brak skutecznych mechanizmów kontroli wewnętrznej może prowadzić do zaniedbań w zakresie ochrony danych osobowych.
• Obawa przed utratą potencjalnych klientów: Przedsiębiorcy błędnie utożsamiają usuwanie danych osobowych potencjalnych klientów lub kontrahentów a utratą możliwości biznesowych lub konkurencyjnej przewagi.

Brak usunięcia danych osobowych w terminie jest nie tylko naruszeniem przepisów prawa, ale może również prowadzić do poważnych konsekwencji w tym kar finansowych, utraty zaufania klientów i partnerów biznesowych oraz negatywnego wpływu na reputację firmy. Dlatego też firmy powinny przestrzegać obowiązujących przepisów dotyczących ochrony danych osobowych i zapewniać skuteczne procedury usuwania danych osobowych, gdy nie są już one potrzebne zgodnie z prawem lub zgodnie z zezwoleniem osób, których dane dotyczą - dodaje Grzegorz Leśniewski.

Najpilniejsze środki zaradcze, o których nie zawsze wiedzą przedsiębiorcy.

Paweł Markiewicz zaleca:

Przede wszystkim wdrożenie strategii zarządzania danymi. Zarządzanie cyklem życia danych (Data Lifecycle Management - DLM) to strategia dotycząca zarządzania danymi od ich utworzenia do zniszczenia. Obejmuje ona wszystkie etapy przetwarzania danych, począwszy od zbierania i przechowywania, poprzez analizę, aż do archiwizacji lub usunięcia. Po drugie konieczne jest skoncentrowanie się na regularnych testach penetracyjnych, monitorowaniu bezpieczeństwa i ciągłym doskonaleniu strategii cyberbezpieczeństwa. - dodaje.

Skuteczne zarządzanie bezpieczeństwem informacji w sektorze publicznym i prywatnym może znacząco zmniejszyć ryzyko ataków cybernetycznych. Polska, podobnie jak wiele innych krajów, musi stale doskonalić swoje praktyki w tym zakresie.