Grant Thornton opublikował wyniki badania dotyczące poziomu cyberbezpieczeństwa w polskich firmach. Okazuje się, że w większości przypadków system bezpieczeństwa był nawet dobrze rozpisany, tyle że na papierze.
Między kwietniem a grudniem 2019 r. najpierw przepytali 200 przedstawicieli zarządów średnich i dużych firm działających w Polsce. Takie same pytanie zadali też reprezentującym takie przedsiębiorstwa w 35 krajach świata. Na koniec wszystko uzupełnili ankietą rozlosowaną wśród ponad 100 polskich przedsiębiorców. Tak powstał raport Grant Thornton „Zamek z papieru, czyli zarządzanie ryzykiem cyfrowym w polskich firmach”. Wyniki nie napawają optymizmem.
Nadal zarządzanie bezpieczeństwem oparte jest raczej na modelu reaktywnym, a nie proaktywnym. Wszystko to sprawia, że polskie firmy budują bezpieczeństwo papierowe. Zarządzanie bezpieczeństwem informacji sprowadzone jest zwykle do zarządzania zgodnością. Taka sytuacja przy rosnącej dynamice zagrożeń naraża polskie firmy na istotne ryzyko realnych strat finansowych
przekonuje współautor raportu Radosław Kaczorek, Partner Digital Drive Cyberbezpieczeństwo.
Cyberbezpieczeństwo to nie jest żadna wydmuszka
Mamy do czynienia z bezprecedensowym wzrostem zagrożeń dla cyberbezpieczeństwa, które awansowały do pierwszej trójki zagrożeń globalnych, obok kataklizmów naturalnych i zmian klimatycznych
– uważa Radosław Kaczorek.
O tym, że cyberbezpieczeństwo to już nie wyłącznie domena banków czy innych instytucji finansowych, najlepiej świadczy fakt, że 28 proc. ankietowanych na potrzeby raportu Grant Thornton średnich i dużych firm stwierdziło, że w ostatnim roku padło celem ataku cybernetycznego: wycieku lub kradzieży danych.
Zdecydowana większość firm za to charakteryzuje się bardzo wysoką samooceną pod względem przygotowania na ryzyko cyfrowe. Na pytanie czy mają wdrożone odpowiednie procesy wykrywania zagrożenia i reagowania na ataki - aż 70 proc. przedsiębiorców w Polsce odpowiedziało twierdząco. W Wielkiej Brytanii - 73, a w Grecji - 75 proc. Z kolei najmniej zadowoleni ze swoich przygotowań na potencjalne cyberataki są firmy w Rosji (31 proc.), Japonii (38 proc.) oraz Finlandii i Szwecji (po 40 proc.).
Pytania o szczegóły pokazały, że tak dobrze to nie jest
Ci sami przedsiębiorcy, którzy bili się w piersi i zapewniali, że na cyberataki są przygotowani (średnia dla całego badania to 67 proc.), nie byli już tak pewni swego, gdy przyszło wskazać konkretne działania. Okazało się, że tylko 29 proc. firm w Polsce jest zadowolonych z wykrywania przypadków naruszenia prywatności, a jedynie 41 proc. dobrze ocenia zdolności do reagowania na ataki. Zaledwie 30 proc. respondentów twierdzi, że po wykryciu incydentu są w stanie odpowiednio ocenić sytuację i zaistniałe szkody.
Pokazuje to bardzo niską skuteczność wykrywania incydentów wśród polskich firm oraz długi czas, który upływa od wystąpienia incydentu do jego wykrycia. Mierzony jest on nie w godzinach, czy dniach, ale... w miesiącach. Tworzy to złudne poczucie bezpieczeństwa, które samo w sobie jest zagrożeniem
– przekonuje Jacek Kowalczyk, Dyrektor Marketingu i PR Grant Thornton Polska.
Za dużo wiary tylko w oprogramowanie komputerowe
Raport „Zamek z papieru, czyli zarządzanie ryzykiem cyfrowym w polskich firmach” wskazuje, że większość przedsiębiorców (co trzeci) zapytanych o słabe strony firmy w zarządzaniu cyberbezpieczeństwem najczęściej odpowiadają „nie wiem”. Co czwarty (27 proc. ankietowanych) przyznaje się do zbytniego poleganiu na tym, że używane w firmie oprogramowanie komputerowe jest bezpieczne. Co piąty (20 proc.) uważa, że wina potencjalnych luk w systemie leży na zewnątrz - po stronie dostawców towarów i usług.
W 16 proc. analizowanych przypadków pracownicy firmy nie wiedzieli, za jakie zadania w zakresie cyberbezpieczeństwa odpowiadają. W co dziesiątym procedury zarządzania ryzykiem cybernetycznym były nieaktualne lub wadliwe.
Cyberbezpieczeństwo, czyli frontem do klienta
Co w takim razie musi się stać, żeby polskie firmy większą uwagę skupiały na bezpieczeństwie IT? Niewykluczone, że zbawienna okaże się presja ze strony samych klientów. 43 proc. ankietowanych przedsiębiorstw zadeklarowało, że ich klienci oczekują od firmy spełnienia wymagań bezpieczeństwa informacji i/lub certyfikacji. W 35 proc. przedsiębiorstw objętych badaniem sami klienci mają prawo do przeprowadzania audytu bezpieczeństwa.
Niniejszym cyberbezpieczeństwo staje się trwałym elementem budowania przewagi konkurencyjnej i wartości firmy
– czytamy w raporcie Grant Thornton.
A co najbardziej utrudnia firmom regularne monitorowanie własny systemy bezpieczeństwa? Na pierwszym miejscu (76 proc.) są ograniczone zasoby ludzkie, na drugim względy finansowe (65 proc)..