Firmy mierzą się z coraz bardziej zaawansowanymi zagrożeniami cyfrowymi, ale najsłabszym elementem ich zabezpieczeń niezmiennie pozostaje człowiek. Jak wynika z najnowszego raportu „Cyberportret polskiego biznesu”, przygotowanego przez firmy ESET i DAGMA, mniej niż połowa pracowników w Polsce (48%) deklaruje, że potrafiłaby odpowiednio zareagować na cyberatak. Jedynie 42,5% uważa natomiast, że ma wystarczające kompetencje w dziedzinie cyberbezpieczeństwa. Badanie to pokazuje, że w kwestii wiedzy Polaków o cybersecurity jest jeszcze wiele do zrobienia – szczególnie w sektorze MŚP.
Ze wspomnianej analizy wynika, że nawet 40% badanych uważa, iż cyberbezpieczeństwo to wyłączna odpowiedzialność specjalistów IT. Co odsuwa respondentów od współodpowiedzialności za ochronę organizacji. Z kolei co trzeci pracownik nie wie, komu w firmie zgłosić cyberatak. Natomiast 10% respondentów zachowało dla siebie informację o incydencie naruszenia bezpieczeństwa firmy. W efekcie wielu zagrożeniom nie zapobiega się w porę. Szczególnie niepokojąca jest skala wyzwań w małych firmach, gdzie zasoby na edukację są ograniczone, a wiedza pracowników – fragmentaryczna.
Cyberataki zdarzają się natomiast częściej, niż mogłoby się wydawać. Z badania wynika, że już co piąty polski pracownik padł ofiarą cyberataku w miejscu pracy, a co trzeci ma taką osobę w kręgu swoich znajomych lub w rodzinie. Z kolei nawet 72% przyznaje, że doświadczyło incydentu cyberbezpieczeństwa na służbowym sprzęcie. Jako ofiary cyberataku bezpośrednio określa samych siebie natomiast 20% respondentów, co może wynikać z niedostatecznej wiedzy.
Do tego 39% specjalistów ds. cyberbezpieczeństwa twierdzi, że w ciągu ostatnich 12 miesięcy wzrosła liczba
cyberataków na ich firmy. A 48% wskazuje, iż wzrosła różnorodność typów cyberataków, z którymi ma do czynienia. Z kolei 33% obawia się strat finansowych w wyniku cyberataku.
Pomimo tego realnego zagrożenia, zaledwie co trzecia (32%) firma przeprowadza regularne testy bezpieczeństwa teleinformatycznego.
Luki w wiedzy o cyberzagrożeniach
Dane z raportu „Cyberportret polskiego biznesu”, ujawniają również znaczące braki w wiedzy pracowników na temat konkretnych cyberzagrożeń. Otóż 78% zna pojęcie „kradzież tożsamości”, a tylko 60% deklaruje, że wie, czym jest „phishing” (manipulowanie użytkownikami w celu uzyskania poufnych informacji). Znajomość pozostałych terminów z zakresu cyberbezpieczeństwa deklaruje nie więcej niż 2 na 10 osób.
Bardziej specjalistyczne zagrożenia, takie jak „ransomware” (rodzaj złośliwego oprogramowania, które blokuje dostęp do urządzenia lub szyfruje jego zawartość) czy „DDoS” (atak na system lub usługę w celu uniemożliwienia działania, przeprowadzany równocześnie z wielu komputerów), pozostają jeszcze mniej znane – ich znajomość deklaruje odpowiednio 19% i 17% badanych. I to mimo faktu, iż wiążą się z jednymi z najczęstszych zagrożeń dla firm. Ich niedostateczna znajomość oznacza, że pracownicy mogą być łatwym celem dla przestępców, zwłaszcza w kontekście bardziej zaawansowanych socjotechnik.
“Cyberprzestępcy kierują swoje działania coraz celniej, chcąc dotrzeć do kluczowych z ich punktu widzenia zasobów firm: finansów, informacji czy wizerunku. W tym celu próbują wykorzystać najsłabszy element każdego systemu – człowieka. Dlatego często w atakach na pracowników upatrują potencjalnego źródła zysków. Szantaże, kradzież danych, szpiegostwo przemysłowe przynoszą im wymierne korzyści. Odpowiednio przygotowana ochrona systemowa, ale też stosowanie się do zasad bezpieczeństwa informatycznego są kluczowe z punktu widzenia prewencji. Absolutną podstawą cyberbezpieczeństwa jest świadomość najbardziej typowych zagrożeń oraz sposobów ich uniknięcia” – komentuje Beniamin Szczepankiewicz, analityk laboratorium antywirusowego w ESET.
I tak, niemal połowa ekspertów ds. cyberbezpieczeństwa wśród TOP 5 obszarów wymagających pilnych inwestycji i rozwoju wymienia szkolenia. 31% z nich uważa, że ich firma wydaje zbyt mało środków na szkolenie zespołu w tym zakresie. Potrzebę szkoleń widzą też sami pracownicy – większość z nich (70%) oceniła, że szkolenie w zakresie cyberbezpieczeństwa pozytywnie wpłynęło na ich poczucie bezpieczeństwa. Mimo to aż 52% pracowników nie wzięło udziału w takim szkoleniu w ciągu ostatnich pięciu lat.
Poziom wiedzy o bezpieczeństwa maleje wraz z rozmiarem firmy
W organizacjach zatrudniających do 50 osób jedynie 43% pracowników twierdzi, że potrafi odpowiednio zareagować na zagrożenie. W największych firmach (ponad 1000 pracowników) ten wskaźnik wynosi już jednak 56%. Z czego wynikają te różnice? Większe przedsiębiorstwa dysponują większymi budżetami, lepszymi zasobami edukacyjnymi i bardziej rozwiniętymi procedurami. Mniejsze firmy pozostają w tyle, co naraża je na zwiększone ryzyko incydentów. Z badania wynika również, że pracownicy większych organizacji częściej śledzą informacje o nowych formach zagrożeń. 52% w firmach powyżej 500 osób, wobec 39% w małych przedsiębiorstwach. To pokazuje, że firmy inwestujące w edukację zyskują przewagę w budowaniu świadomości i odpowiedzialności zespołów.
“Dla zachowania bezpieczeństwa kluczowe jest rozumienie różnic pomiędzy zagrożeniami w świecie rzeczywistym i wirtualnym. Niezbędna jest edukacja pracowników w zakresie tych właśnie różnic, mechanizmów ataków oraz zasad bezpieczeństwa. Jak pokazuje raport „Cyberportret polskiego biznesu” wydaje się, że szczególnie nie najlepiej jest w zakresie rozumienia przez pracowników mechanizmów ataków oraz tego, w jaki sposób działają cyberprzestępcy. Niestety, ale bez należytej wiedzy i cyberhigieny będziemy wobec nich bezradni” – podsumowuje Anna Piechocka, dyrektor zarządzająca w DAGMA Bezpieczeństwo IT.
Tezy i informacje zawarte w raporcie oparto na badaniu opinii, przeprowadzonym w terminie 23.05 – 10.06 2024 roku. Pomiar zrealizowano metodą CAWI za pomocą ankiety online, przy wsparciu instytutu ARC Rynek i Opinia. Pomiar przeprowadzono na próbie 1032 Polaków wykonujących obowiązki służbowe przy komputerze minimum przez 3 dni w tygodniu.
