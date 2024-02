Cyberbezpieczeństwo firm w Polsce ciągle na celowniku. Kolejnym tego potwierdzeniem są najnowsze, podsumowujące raport "Barometr cyberbezpieczeństwa. Na fali, czy w labiryncie regulacji?", doniesienia KPMG. Z opracowania wynika m.in., że w ubiegłym roku 2 na 3 badane firmy odnotowały co najmniej jeden incydent naruszający ich bezpieczeństwo, a co trzecia dostrzegła zwiększoną aktywność cyberprzestępców. Pewnym zaskoczeniem może być fakt, że aż 32% respondentów przyznaje, że po wykrytym naruszeniu zgodności IT, nie zrobiło właściwie nic, aby zmaksymalizować szanse na uniknięcie takich zdarzeń w przyszłości.

Cyberbezpieczeństwo firm w Polsce na celowniku Co trzecia firma w Polsce odnotowała w 2023 roku przynajmniej jeden cyberincydent.

Wysoce niepokoi zmniejszenie obaw polskich firm względem zaawansowanych grup cyberprzestępczych. Przy obecnej sytuacji geopolitycznej nasilenie cyberataków ze strony grup wspieranych przez obce państwa jest bardzo prawdopodobne. Cyberwojna trwa. Szczególnie narażeni na cyberataki są operatorzy usług kluczowych. Konieczne jest dziś zwiększenie czujności oraz zapewnienie pełnej gotowości zespołów cyberbezpieczeństwa. Wykrycie zaawansowanych hakerów, którzy mogą być już w sieci, wymaga proaktywnych działań oraz wsparcia nowoczesnymi narzędziami – mówi Michał Kurek, Partner w Dziale Consultingu, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.

Firmy najbardziej obawiają się wyłudzenia danych uwierzytelniających

Brak pracowników największą barierą w budowaniu bezpieczeństwa IT

RODO dla większości firm stanowi priorytetowy standard zgodności IT

W odpowiedzi na rosnące cyberzagrożenia, Unia Europejska wprowadza inicjatywy regulacyjne, takie jak dyrektywa NIS2 i rozporządzenie DORA, mające na celu zwiększenie cyberodporności regionu. DORA wprowadza nadzór nad dostawcami kluczowych usług ICT, ujednolicając poziom bezpieczeństwa w ramach całego łańcucha dostaw w sektorze finansowym, podczas gdy NIS2 rozszerza ochronę na nowe sektory gospodarki, podkreślając strategiczne znaczenie cyberbezpieczeństwa. Implementacja tych przepisów może być wyzwaniem dla przedsiębiorstw, wymagając adaptacji do nowych wymogów i przygotowania na dynamiczne zmiany w regulacjach cyberbezpieczeństwa w Europie – mówi Marcin Kieszkowski, Starszy Menedżer w Dziale Consultingu w Zespole Cyberbezpieczeństwa w KPMG w Polsce.

Bezpieczeństwo danych osobowych, ze względu na powszechność regulacji RODO, jest od kilku lat najistotniejszym wyzwaniem, z którym mierzą się przedsiębiorcy. Wsparciem w uzyskaniu zgodności mogą być branżowe kodeksy postępowania. Większość takich dokumentów jest jeszcze na etapie projektowania, ale przykłady już zatwierdzonych kodeksów oraz ogromne zainteresowanie zaangażowaniem w nowe inicjatywy świadczą o istotności tego narzędzia – mówi Piotr Burzyk, Starszy Menedżer w Dziale Consultingu w Zespole Cyberbezpieczeństwa w KPMG w Polsce.

Mądra (polska) firma po szkodzie?

W 2023 roku 66% firm w Polsce badanych przez KPMG odnotowało incydenty polegające na naruszeniu cyberbezpieczeństwa – co stanowi wzrost o 8 p.p. w porównaniu z 2022 rokiem. 1 na 10 badanych organizacji w ciągu poprzedniego roku zarejestrowała ponad 30 cyberincydentów. W tej grupie prawie jedną trzecią stanowiły duże firmy zatrudniające powyżej 250 pracowników. Jedna trzecia firm zaobserwowała w 2023 roku znaczący wzrost liczby prób cyberataków. 60% firm uważa, że ich liczba pozostała na podobnym poziomie – w porównaniu z 2022 rokiem.Pomimo większej liczby zaobserwowanych naruszeń bezpieczeństwa w 2023 roku, w tegorocznej edycji badania zauważalny jest spadek obaw przedsiębiorstw związanych z zagrożeniami ze strony różnych cyberprzestępców . O 17 p.p. zmniejszyły się obawy dot. działania zorganizowanych grup cyberprzestępczych, które wciąż pozostają w oczach respondentów największym zagrożeniem w sieci (53% wskazań). Z kolei o 14 p.p. zmniejszył się odsetek firm, które obawiają się cyberterrorystów.Połowa respondentów obawia się zagrożenia wynikającego z działalności pojedynczych hakerów. Blisko ¼ firm dostrzega zagrożenie płynące z działania niezadowolonych lub podkupionych pracowników. W kontekście trwającej wojny w Ukrainie, odsetek firm wskazujących na zagrożenie ze strony grup wspieranych przez obce państwa zmniejszył się z 38% do 24%.Firmy biorące udział w badaniu KPMG zadeklarowały, że największym cyberzagrożeniem są dla nich wyłudzenia danych uwierzytelniających (phishing) oraz wycieki danych za pośrednictwem złośliwego oprogramowania (malware). W czołówce zagrożeń organizacje wymieniają również: kradzież danych przez pracowników oraz zaawansowane ataki ze strony profesjonalistów (Advanced Persistent Threat). Ponad jedna trzecia firm za całkowicie nieistotne niebezpieczeństwa cyfrowe uznała ataki na łańcuch dostaw za pośrednictwem partnerów biznesowych.Jedna piąta respondentów zadeklarowała pełną dojrzałość swoich zabezpieczeń w większości analizowanych obszarów – co stanowi wynik lepszy o 6 p.p. w stosunku do poprzedniej edycji badania. Najwyższy poziom bezpieczeństwa organizacje zgłaszają w obszarze bezpieczeństwa styku z internetem, ochroną przed złośliwym oprogramowaniem oraz reagowaniem na incydenty bezpieczeństwa. Podobnie wysoko oceniane jest bezpieczeństwo sieci wewnętrznej, które również zostało uznane za obszar w pełni dojrzały przez ponad 40% ankietowanych.Największym wyzwaniem dla firm w osiągnięciu odpowiedniego poziomu zabezpieczeń są obecnie trudności związane z rekrutacją i utrzymaniem wykwalifikowanych pracowników, na które wskazało 53% organizacji. Brak wystarczających budżetów, choć wciąż istotny, spadł na drugie miejsce (43% wskazań).Dodatkowo na zbliżonym poziomie pozostają inne wyzwania: brak klarownie zdefiniowanych wskaźników oraz brak pełnego zaangażowania biznesu i najwyższego kierownictwa. Jedna czwarta badanych wskazała również brak odpowiedniego przypisania odpowiedzialności w zakresie bezpieczeństwa.Jednym ze sposobów dbania o cyberbezpieczeństwo w firmach jest zlecanie realizacji funkcji lub procesów bezpieczeństwa na zewnątrz. Zdecydowana większość badanych przez KPMG firm zleca różnorodne aspekty bezpieczeństwa danych zewnętrznym dostawcom. W 2023 roku z outsourcingu korzystało 84% organizacji. Do najczęściej zlecanych na zewnątrz zadań należą programy podnoszenia świadomości pracowników (42% wskazań), wsparcie w reakcji na cyberataki (40% wskazań) oraz analiza złośliwego oprogramowania (39% wskazań).Standardy zgodności IT i ochrony prywatności danych odgrywają kluczową rolę w cyfrowym świecie, dostarczając ram dla efektywnej ochrony informacji oraz przestrzegania przepisów dotyczących prywatności. 85% badanych firm zadeklarowało, że RODO stanowi najważniejszy aspekt w ich strukturze organizacyjnej (95% wskazań w przypadku największych firm). Na kolejnych miejscach znalazły się ustawa o krajowym systemie cyberbezpieczeństwa, na którą wskazało 59% firm.Z kolei mniej znaczące dla respondentów wydają się regulacje dotyczące klasyfikowania systemów sztucznej inteligencji według ryzyka i wprowadzania zróżnicowanych wymagań dotyczących ich rozwoju i użytkowania (AI Act), a także regulacja Parlamentu i Rady Europejskiej dotycząca operacyjnej odporności cyfrowej sektora finansowego (DORA).Zaangażowanie w nowy kodeks postępowania branżowego RODO w kontekście cyberbezpieczeństwa jest częścią procedury dostosowania się do regulacji ochrony danych osobowych oraz elementem procesu podnoszenia standardów bezpieczeństwa. W odpowiedzi na to wyzwanie 82% organizacji zadeklarowało swoje zaangażowanie w ten proces.Istotnym elementem wspierającym organizację w utrzymaniu wysokiego poziomu bezpieczeństwa informatycznego oraz spełnianiu obowiązujących norm i przepisów jest monitorowanie i raportowanie zgodności z wymogami IT. Ponad trzy czwarte respondentów wskazało wewnętrzne narzędzia, a ponad połowa zdecydowała się na zewnętrzne audyty jako najskuteczniejsze metody ochrony danych. Jednocześnie 45% organizacji jest przekonanych, że są bardzo dobrze lub dobrze przygotowane do zmieniających się regulacji.Firmy, które w przeszłości zetknęły się z naruszeniem zgodności IT, deklarują, że w ramach podjętych kroków naprawczych przede wszystkim zorganizowało szkolenia dla pracowników (44% wskazań). 39% organizacji wzmocniło swoje zabezpieczenia IT, a 1/3 firm wprowadziła całkowicie nowe procedury bezpieczeństwa lub dokonała aktualizacji istniejących polityk bezpieczeństwa. Zaskakujący jest fakt, że 32% respondentów nie zrobiło nic po wykrytym naruszeniu zgodności IT.W zapewnieniu cyberbezpieczeństwa kluczowe jest również zapewnienie bezpiecznych partnerstw z innymi firmami. Z badania KPMG w Polsce wynika, że firmy stosują różnorodne strategie i procedury mające na celu skuteczną weryfikację oraz nadzór nad swoimi podwykonawcami. Najczęściej jest to ankieta ochrony danych wypełniana na etapie wyboru dostawcy lub zawarcia umowy (51% wskazań). Inne popularne narzędzia weryfikacji to ankieta bezpieczeństwa (42% wskazań) oraz audyt bezpieczeństwa informacji u podwykonawcy (34% wskazań).