Cyberbezpieczeństwo w polskich firmach. Raport

Cyberbezpieczeństwo w polskich firmach. Raport

Temat cyberbezpieczeństwa dotyczy każdego przedsiębiorcy, ze względu na przetwarzanie danych i zachodzące interakcje w sieciach teleinformatycznych. Cyberprzestrzeń jest uniwersalna, tania i dostępna globalnie, co czyni ją obszarem szczególnie podatnym na zagrożenia cyberprzestępcze. 2018 i 2019 rok przynoszą wzrost liczby ataków w sieci, z czym mierzyło się blisko 70% polskich przedsiębiorstw.

Cyberbezpieczeństwo to według ustawy z 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa: „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”.

Według 25% polskich firm, w 2018 roku nastąpił wzrost prób cyberataków, a ich spadek potwierdziło jedynie 8% przedsiębiorców. Firmy są narażone nie tylko na ataki hakerów, złośliwe oprogramowania, ale też utratę danych spowodowaną przez czynnik ludzki. Według badań, przedsiębiorcy wyrażają gotowość do wykrycia prób cyberataku oraz gotowość reakcji na nie. W wielu przypadkach łączy się to ze zwiększeniem nakładów finansowych.

Na jakie cyberataki są narażeni przedsiębiorcy? Jakie powody stoją za cyberprzestępczością? Jakie trudności wiążą się z budowaniem cyberbezpieczeństwa w organizacjach? Jakie rozwiązania wypracowują firmy? Co oferuje polskie prawo w związku z cyberprzestępczością oraz jakie są rekomendacje dla biznesu w tej kwestii?

Cyberataki w polskich firmach

Raport został przygotowany na podstawie badania KPMG: „Barometr cyberbezpieczeństwa. W obronie przed cyberatakami” z 2019 roku, badania firmy Xopero pt. „Cyberbezpieczeństwo. Trendy 2019” z 2019 oraz raportu interaktywnie.com pt. „RODO i cyberbezpieczeństwo” z 2019. W treści skoncentrujemy się na sytuacji polskich firm pod kątem cyberataków i wypracowaniu różnych rozwiązań, a nie na RODO. W badaniach uwzględniono MŚP i duże polskie przedsiębiorstwa.

Rodzaje cyberzagrożeń

Największe cyberzagrożenia dla firm:

  • Wycieki danych poprzez użycie złośliwego oprogramowania (malware)
  • Kradzież danych przez pracowników
  • Ransomware
  • Zaawansowanie ukierunkowane ataki ATP (Advance Persistance Threat)
  • Phishing: wyłudzanie danych uwierzytelniających
  • Ataki na sieci bezprzewodowe
  • Ataki wykorzystujące błędy w aplikacjach
  • Podsłuchiwanie ruchu i ataki Man-in-the-Middle
  • Kradzież danych na skutek naruszenia bezpieczeństwa fizycznego
  • Utrata danych na skutek kradzieży lub zgubienia nośników
  • Ataki DDoS
  • Włamania do urządzeń mobilnych.

Cyberataki: co je wywołuje?

Cyberzagrożenia są podzielone według grup, które je wywołują. Zdecydowanie największym źródłem problemu jest cyberprzestępczość, której wskaźnik wzrósł od 2018 z 84 punktów procentowych do 96% w 2019:

  1. Cyberprzestępczość: 96%
  2. Niezadowoleni pracownicy: 57%
  3. Grupy pochodzące z obcych państw: 28%
  4. Nie wiem/trudno powiedzieć: 4%.

Wyzwania w zakresie cyberbezpieczeństwa w organizacjach

Wyzwaniem dla większości firm jest kompleksowe myślenie i wdrażanie w życie zabezpieczeń na wielu poziomach. Najlepiej oceniane są:

  • Ochrona przed złośliwym oprogramowaniem: 41% firm ocenia, że ten sposób reakcji na cyberatak funkcjonuje najlepiej
  • Bezpieczeństwo styku z siecią Internet: 32% firm uznaje, że ich reakcje na problem są dojrzałe
  • Reakcja na incydenty związane z naruszeniem bezpieczeństwa: 29% ocenia je jako bardzo dobre.

Najgorzej oceniane są i największe obawy budzą:

  • Zarządzanie bezpieczeństwem partnerów biznesowych (12% firm deklaruje, że nie ma nad tym żadnej kontroli)
  • Bezpieczeństwo w procesach wytwarzania oprogramowania (13% firm ocenia to jako niebezpieczne)
  • Zarządzanie bezpieczeństwem urządzeń mobilnych (8% przedsiębiorstw twierdzi, że nie ma to wpływu).

Przyczyny hamowania rozwoju cyberbezpieczeństwa

Istnieje kilka poważnych przeszkód na drodze do lepszego poziomu cyberzabezpieczeń w firmie:

  1. Trudności w zatrudnieniu i utrzymaniu specjalistów ds. cyberbezpieczeństwa. Aż 63% firm zgadza się, że to największa przeszkoda.
  2. Brak wystarczających budżetów (61%).
  3. Mało zaangażowany biznes (38%).
  4. Brak dobrze zdefiniowanych mierników (36%).

Inwestycje w cyberbezpieczeństwo

Znaczące jest, że wobec wielu wyzwań w tej kwestii, wiele przedsiębiorstw decyduje się przeznaczyć swoje zasoby finansowe na zabezpieczenia. Czołową pozycję zajmują tutaj działania:

  • Zapewnienie ciągłości działania
  • Ochrona przed złośliwym oprogramowaniem
  • Monitorowanie bezpieczeństwa.

Obszary do zagospodarowania:

  • Edukacja pracowników w zakresie bezpieczeństwa
  • Ochrona przed wyciekami danych (Data Leakage Prevention)
  • Zarządzanie podatnościami
  • backup
  • Ochrona w chmurze
  • Bezpieczeństwo na urządzeniach mobilnych
  • Klasyfikacja i kontrola aktywów.

Kilka głośnych przypadków utraty danych w Polsce

Niewystarczający poziom zabezpieczeń zebrał żniwo i wielu przedsiębiorców kosztował nie tylko straty finansowe, ale również uszczerbek wiarygodności i reputacji.

  1. W firmie Morele.net w 2019 wyciekło 2 mln 200 tysięcy danych wrażliwych Klientów (imiona, nazwiska, daty urodzenia, pesele, adresu mailowe, adresy zamieszkania etc). Cyberprzestępca złamał ponad 350 000 tysięcy haseł. Niezachowanie zasad bezpieczeństwa kosztowało właścicieli firmy 2 830 410 zł kary.
  1. Firma hostingowa 2be.pl, która była niegdyś częścią grupy Adweb to głośny przypadek utraty danych klientów i awarii serwerów. Firma w 2016 roku utraciła dane (1,5 tysiąca kont hostingowych i 10 000 domen), po czym posypała się na nią lawina pozwów od klientów i ogrom kosztów sądowych. Kontrowersyjne okoliczności tej biznesowej katastrofy do dziś budzą wątpliwości. Nieżyjący już właściciel twierdził, że to wina administratora IT, który zwolnił się z pracy i rzekomo zabrał ze sobą hasła. Były pracownik zaprzecza oskarżeniom. Firma już nie istnieje.
  2. InPost – w firmie wyciekły poufne dane 57 tys. pracowników i współpracowników firmy, 30. Tys. kontrahentów i 70. Tys. spis umów. Sprawą wzięła pod lupę policja i Biuro Generalnego Inspektora Ochrony Danych Osobowych.
  3. Wyciek adresów mailowych Klientów w mFinanse i PKO Leasing w 2019. Prawdopodobnie był to atak phishingowy hakerów.

Rozwiązania prawne w zakresie cyberbezpieczeństwa

Ustawa o krajowym systemie cyberbezpieczeństwa (z 2018 roku) to wprowadzanie w życie unijnego prawa oraz próba przeniesienia dyskusji o tym kluczowym zagadnieniu na grunt naszego kraju.

Ustawa wprowadza pojęcie operatora usług kluczowych, którzy są zobowiązani do wdrożenia konkretnych zabezpieczeń, szacowania ryzyka czy przekazywania informacji o incydentach naruszających cyberbezpieczeństwo specjalnym podmiotom (tzw. CSIRT). Należą do nich wszystkie instytucje, które współtworzą cyfrową infrastrukturę kraju (banki, szpitale, przewoźnicy itp.). Innym, ważnym podmiotem są dostawcy usług cyfrowych (internetowe platformy handlowe czy wyszukiwarki internetowe), którzy razem z operatorami usług kluczowych stanowią główne instrumenty krajowego systemu cyberbezpieczeństwa. W ustawie zawarto szczegółowy podział zadań i odpowiedzialności tychże.

W przedsiębiorstwie musi być zatrudniona osoba odpowiedzialna za cyberbezpieczeństwo wykonywanych usług, szczególnie jeśli zleca usługi na zewnątrz, a pracownicy pracują zdalnie. Zgodnie ze wspomnianymi badaniami, najczęściej jest nią dyrektor IT lub wyznaczony pracownik w strukturach IT (44% przypadków). To, w jaki sposób ustawa będzie zapobiegała zagrożeniom i wypracowywała rozwiązania, okaże się w przyszłości. Ustawa jest odbierana bardzo różnie: zdaniem wielu przedsiębiorców przynosi chaos i nie do końca wyjaśnia kwestie związane z cyberbezpieczeństwem. Trwają jeszcze prace nad kształtem rozporządzenia i sankcjonowaniem.

Przestępstwa przeciwko ochronie informacji zostały ujęte w XXXIII rozdziale kodeksu karnego. Przepisami sankcjonującymi naruszenia w cyberprzestrzeni są m. in.:

  • Art. 267, w którym określona została penalizacja „hackingu” polegającego na włamywaniu się do systemów komputerowych po uprzednim pokonaniu zabezpieczeń,
  • Art. 268 i art. 268 a sankcjonują naruszenia porządku w cyberprzestrzeni, które polegają na usuwaniu, modyfikacji i uszkadzaniu plików.

Rekomendacje dla biznesu w zakresie cyberbezpieczeństwa

Oprócz działań ustawodawczych, przedsiębiorcy powinni samodzielnie podjąć działania edukacyjne (szkolenia, kursy), które wskażą pracownikom zagrożenia związane z funkcjonowaniem w sieci i reagowaniem na cyberataki. Dobrym rozwiązaniem są szkolenia zewnętrzne oraz powierzenie kontroli nad sprzętem i zachowaniem pracownika specjalistycznej firmie.

Inne rozwiązania stosowane przez firmy w celu wykrycia i reakcji na cyberataki:

  • Zewnętrzne źródła informacji o cyberzagrożeniach (Threat Intelligence) – stosuje je 61% przedsiębiorstw
  • Wewnętrznie rozwijane bazy wiedzy o cyberzagrożeniach – tzw. IOC i/lub TTP: 42%
  • Rozwiązania IDS/IPS (Intrusion Prevention/Detection Systems: 40%
  • Systemy DLP (Data Leakage Prevention): 37%.

Podsumowanie

Skala cyberataków oraz naruszeń bezpieczeństwa powoduje, że temat cyberbezpieczeństwa staje się coraz częściej obecny w dyskusji publicznej, w przestrzeni prawa oraz w działaniach przedsiębiorców. Największym zagrożeniem są wycieki danych, kradzież danych przez pracowników oraz phishing. W firmach brakuje niestety kompleksowego podejścia do tematu cyberbezpieczeństwa, co objawia się brakiem specjalistów oraz zbyt małymi budżetami na ten cel. Konieczna jest edukacja pracowników co do sfery cyberataków i wdrożenie środków zaradczych. Warto jest m. in. uporządkować kwestię backupów danych, ochrony w chmurze oraz zabezpieczeń na urządzeniach mobilnych (kanał mobile ma obecnie największy potencjał sprzedażowy i wizerunkowy). Dobrą wiadomością jest, że firmy coraz częściej stosują zewnętrzne i wewnętrzne źródła wiedzy o cyberbzagrożeniach. Ustawa RODO, rozwój IoT ukierunkowują biznes na palący temat cyberbezpieczeństwa i wyzwań z nim związanych.

Cyberbezpieczeństwo w polskich firmach. Raport

Dołącz do dyskusji

Ostatnie wpisy z tej kategorii

  • Cyberbezpieczeństwo

    Zagrożenia w sieci. Jak się przed nimi chronić? Cz. 1

    Zgodnie z raportem „Ochrona danych osobowych w czasie pandemii” przygotowanego przez Krajowy Rejestr Długów i serwis ChronPESEL.pl, aż 62,3% Polaków uważa, że w trakcie pandemii są bardziej narażeni na utratę danych. Statystyki pochodzą z II kwartału trwania pandemii. Jakie są rodzaje zagrożeń w sieci i jak się przed nimi chronić? W 2020 roku wzrosła liczba […]

  • cyberbezpieczenstwo
    Cyberbezpieczeństwo

    Dzień Cyberbezpieczeństwa: 7 kroków do zwiększenia poziomu bezpieczeństwa w sieci

    Czy kiedykolwiek zdarzyła Ci się próba przejęcia firmowego komputera, telefonu komórkowego, zablokowania dostępu do usług sieciowych czy też próba usunięcia danych? Jeśli odpowiedziałeś twierdząco na którekolwiek pytanie, miałeś do czynienia z rodzajem ataku cybernetycznego. Jakie jeszcze są rodzaje ataków i jak się przed nim chronić? W „Barometrze Ryzyk Allianz 2019” incydenty cybernetyczne znalazły się na […]

  • Cyberbezpieczeństwo w czasach COVID-19_ trendy
    Cyberbezpieczeństwo

    Cyberbezpieczeństwo w czasach COVID-19: trendy

    Pandemia przyniosła szereg zmian na wielu polach: dbania o własne zdrowie, ochronę innych, a także przyspieszyła zmiany na rynku pracy. Praca zdalna stała się codziennością. Jakie zmiany się z tym wiążą i jak uchronić się przed cyberzagrożeniami?