W ubiegłym roku nawet 64% przedsiębiorstw w Polsce odnotowało przynajmniej jeden incydent polegający na naruszeniu bezpieczeństwa – wynika z raportu KPMG pt. „Barometr cyberbezpieczeństwa. COVID-19 przyspiesza cyfryzację firm”. To wzrost o 10% w porównaniu do roku 2019. Jednocześnie 51% organizacji przyznało, że konieczność pracy w trybie zdalnym była wyzwaniem w kontekście zapewnienia bezpieczeństwa, ponieważ zwiększyła podatność na wystąpienie cyberataków. Pomimo dość trudnej sytuacji, w jakiej znalazło się wiele firm, w 1/4 zwiększono wydatki na zapewnienie bezpieczeństwa. Kolejnym pozytywnym efektem pandemii jest wzrost cyfrowych inicjatyw podejmowanych przez blisko 60% badanych przedsiębiorstw – wskazują autorzy raportu.
- W opinii ponad połowy (55%) badanych przedsiębiorstw, pandemia przyczyniła się do wzrostu ryzyka cyberataków.
- Pomimo ogólnego kryzysu, w niemal co czwartej firmie zwiększono budżet na cyberbezpieczeństwo, a tylko w zaledwie 14% wypadków środki finansowe w tym obszarze zostały zmniejszone.
- 20% firm znacząco zwiększyło liczbę cyfrowych inicjatyw w przedsiębiorstwie, a w blisko 4 na 10 organizacjach wzrost liczby projektów związanych z cyfryzacją był umiarkowany.
- Wzrost cyberataków zaobserwowało 19% przedsiębiorców, natomiast spadek odnotowało jedynie 4% respondentów badania.
- Zdaniem badanych przedsiębiorstw, największe ryzyko stanowią dla nich wycieki danych za pośrednictwem złośliwego oprogramowania (malware).
- Połowa firm przyznała, że największą barierą utrudniającą budowanie odpowiedniego poziomu zabezpieczeń w organizacjach są trudności w znalezieniu oraz utrzymaniu odpowiednio wykwalifikowanych pracowników.
W opinii ponad połowy (55%) badanych przedsiębiorstw, pandemia przyczyniła się do wzrostu ryzyka cyberataków. Koronawirus uświadomił także organizacjom potrzebę wdrożenia usprawnień w obszarach zarządzania kryzysowego oraz zapewnienia ciągłości działania. Jak zaznaczają specjaliści KPMG, mniejsze firmy częściej wskazywały na poszczególne wyzwania związane z pandemią, co sugeruje, że organizacyjnie były one gorzej przygotowane na niecodzienną sytuację związaną z COVID-19.
COVID-19 przyspiesza cyfryzację firm
Pomimo ogólnego kryzysu, jak już wspomniano, w niemal co czwartej firmie zwiększono budżet na cyberbezpieczeństwo, a tylko w zaledwie 14% wypadków środki finansowe w tym obszarze zostały zmniejszone. Z analizy wynika także, że zdecydowana większość ankietowanych firm (63% wskazań) nie zauważyła jednak znaczącego wpływu pandemii na budżet w zakresie cyberbezpieczeństwa. Badane przedsiębiorstwa przyznają, że pandemia COVID-19 w większości wypadków pozytywnie wpłynęła na procesy związane z cyfryzacją organizacji. I tak, 20% firm znacząco zwiększyło liczbę cyfrowych inicjatyw w przedsiębiorstwie, a w blisko 4 na 10 organizacjach wzrost liczby projektów związanych z cyfryzacją był umiarkowany.
„Pandemia przyspieszyła cyfryzację i wymusiła powszechnie organizację pracy zdalnej. W ślad za tym zwiększyła się niestety intensywność oraz pomysłowość cyberprzestępców, bezwzględnie wykorzystujących napięcia społeczne oraz podatności związane z przyspieszoną reorganizacją trybu pracy do konstrukcji skutecznych scenariuszy cyberataków. Dodatkowo pandemia zweryfikowała skuteczność procedur reakcji na sytuacje kryzysowe oraz plany zapewnienia ciągłości działania, które w wielu organizacjach nie zawierały scenariuszy ryzyka niedostępności personelu” – mówi Michał Kurek, partner w Dziale Doradztwa Biznesowego, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.
Rośnie liczba cyberataków
Ubiegły rok okazał się być bardziej niebezpieczny pod względem prób cyberataków w porównaniu z rokiem 2019. Ich wzrost zaobserwowało 19% przedsiębiorców, natomiast spadek odnotowało jedynie 4% respondentów badania. Warto zaznaczyć, że średnie firmy, częściej obserwowały w 2020 roku próby cyberataków, niż duże przedsiębiorstwa, zatrudniające powyżej 250 pracowników.
Bez zmian w stosunku do poprzednich edycji badania, firmy najbardziej obawiają się zagrożeń ze strony szeroko rozumianej cyberprzestępczości, która niezmiennie od kilku lat pozostaje najczęściej wskazywaną grupą stanowiącą realne zagrożenie dla organizacji w Polsce. W aktualnej edycji raportu wskazało na nią 85% firm. Największym zagrożeniem dla większości wciąż pozostają pojedynczy hakerzy oraz zorganizowane grupy cyberprzestępcze, na które wskazuje ponad połowa badanych firm. Warto podkreślić, że obecnie zdecydowanie mniej przedsiębiorstw niż w poprzednich edycjach badania wskazało na potencjalne niebezpieczeństwo utraty danych w wyniku działania podkupionych lub niezadowolonych pracowników.
„Niestety, ale cyberataki były w 2020 roku zjawiskiem powszechnym. Przestaje być dziś właściwym pytaniem – czy, ale kiedy firma stanie się ofiarą cyberataku” – uważa Michał Kurek. „W związku z tym konieczne jest właściwe przygotowanie przedsiębiorstw na jak najszybsze wykrycie incydentu bezpieczeństwa oraz właściwą reakcję. Zabezpieczenia prewencyjne są oczywiście nadal najważniejsze, ale wobec dzisiejszych cyberzagrożeń nie są już wystarczające” – dodaje.
Największym zagrożeniem malware
Zdaniem badanych przedsiębiorstw, największe ryzyko stanowią dla nich wycieki danych za pośrednictwem złośliwego oprogramowania (malware). Organizacje deklarują, że na podobnym poziomie obawiają się phishingu – czyli wyłudzania danych uwierzytelniających oraz wycieków danych w wyniku kradzieży, zgubienia nośników lub urządzeń mobilnych. Jako najmniej ryzykowne cyberzagrożenia organizacje wymieniają przede wszystkim włamania do urządzeń mobilnych, ataki wykorzystujące błędy w aplikacjach oraz ataki na sieci bezprzewodowe.
Warto jednak zauważyć, że różnice w ocenie najbardziej i najmniej zagrażających cyberzagrożeń są stosunkowo niewielkie – wskazują eksperci KPMG. Badane firmy deklarują, że największą dojrzałość zabezpieczeń osiągnęły w przypadku bezpieczeństwa styku z siecią internetową, ochrony przed złośliwym oprogramowaniem oraz planów zapewnienia ciągłości działania. Podobnie jak w poprzedniej edycji badania zaledwie 1 na 10 firm uważa, że osiągnęła pełną dojrzałość zabezpieczeń we wszystkich analizowanych obszarach.
Brak wykwalifikowanych pracowników ds. bezpieczeństwa IT
Połowa firm przyznała, że największą barierą utrudniającą budowanie odpowiedniego poziomu zabezpieczeń w organizacjach są trudności w znalezieniu oraz utrzymaniu odpowiednio wykwalifikowanych pracowników. Oznacza to wzrost o 8% w stosunku do poprzedniej edycji badania. Ponadto 42% przedsiębiorstw deklaruje, że problemem jest brak wystarczających budżetów – jak wskazują twórcy raportu, kwestie zbyt niskich budżetów były w zeszłym roku wskazywane jak największa bariera w zapewnieniu odpowiedniego poziomu zabezpieczeń. W stosunku do ubiegłego roku oznacza to spadek o 22%. Widoczna jest tendencja, że zbyt mały budżet jest większym problemem w przypadku mniejszych firm. Z kolei problemy związane z zasobami ludzkimi są większym wyzwaniem dla dużych organizacji.
