Raport: 46 proc. firm zostało zaatakowanych; 46 proc. nie zatrudnia specjalistów IT. Przypadek?

Firma Vecto przeprowadziła po raz trzeci badanie wśród polskich firm na temat praktyk z dziedziny cyber bezpieczeństwa. To o tyle ciekawe, że większość podobnych raportów dotyczy przede wszystkim Stanów Zjednoczonych i krajów Europy Zachodniej.

Raport potwierdza to, co podejrzewa większość ekspertów ds. bezpieczeństwa internetowego: rodzime firmy są słabo przygotowane do odparcia lub radzenia sobie z atakiem. Dyrektorzy są przekonani, że usługi ochrony sieciowej są zbytecznym i wysokim wydatkiem, a pracownicy chętnie korzystają z firmowego sprzętu do prywatnych spraw.

78 proc. ankietowanych przyznało się do używania służbowych telefonów i komputerów do celów prywatnych. W przypadku wielu branż służbowy laptop, tablet i telefon są już swego rodzaju normą. Kodeks pracy nie normuje natomiast w żaden sposób korzystania ze sprzętu służbowego.

Pozostają więc ustalenia między pracownikiem a pracodawcą, czy też odpowiednie regulaminy i zapisy w umowach. W praktyce wygląda to jednak tak, że w przeważającej liczbie przedsiębiorstw brak jest ustaleń dotyczących możliwości korzystania prywatnie ze sprzętu służbowego. Wielu pracowników traktuje taki sprzęt jako dodatkowy bonus do wynagrodzenia, nie zachowując przy tym odpowiedniej ostrożności.

Jednocześnie przedsiębiorstwa niedostatecznie dbają o powierzony pracownikom sprzęt. Jak wynika z przeprowadzonego przez Vecto badania, jedynie 7 proc. ankietowanych przyznało, że ich służbowy telefon lub laptop zabezpieczone są programem antywirusowym. Automatyczny backup stosowany jest natomiast w zaledwie 20 proc. przypadków. Zaledwie 64 proc. ankietowanych przyznało, że ich sprzęt chroniony jest hasłem.

Niewiele lepiej jest w przypadku firmowych komputerów. Zaledwie 27 proc. ankietowanych potwierdziło, że ich komputery chronione są programem antywirusowym. Automatyczny backup stosuje natomiast 14 proc. ankietowanych. Ponad 54 proc. ankietowanych przyznało, że stosuje hasła dostępu. Pozostali natomiast nie potrafili zdefiniować zabezpieczeń. Ponadto, jak wynika z badania, aż 46 proc. ankietowanych wskazało, że w ich przedsiębiorstwach nie zatrudnia się specjalistów od bezpieczeństwa danych. Wynik ten jest zbliżony do ubiegłorocznego - 44 proc.

W tegorocznym badaniu niemal 45 proc. ankietowanych przyznało, że zetknęło się z cyberatakiem, podczas gdy w ubiegłym roku potwierdziło to 38 proc. badanych firm. Aż 30 proc. badanych przedsiębiorstw nie wie natomiast, czy do takiego ataku doszło. Jednocześnie ponad 36 proc. ankietowanych przyznaje, że ich firmy nie monitorują zagrożeń związanych z cyberatakami, a niemal 32 proc. nie ma na ten temat wiedzy. Niespełna 26 proc. ankietowanych przedsiębiorstw monitoruje zagrożenia.

Za główne źródła cyberzagrożeń dla przedsiębiorstw nadal uważamy nieznane grupy hakerów. Odpowiedziało w ten sposób 59 proc. ankietowanych. Ponad 16 proc. uważa, że jest nimi nieuczciwa konkurencja, a niemal 18 proc. wini obecnych pracowników. Jedynie niewiele ponad 6 proc. twierdzi, że zagrożenia pochodzą z innych źródeł. Podobnie odpowiedzi kształtowały się w roku ubiegłym. Wówczas również większość odpowiedzi (55,7 proc.) wskazywała, że za niebezpieczeństwem stoi nieznana grupa hackerów. Niemal 20 proc. respondentów za winnych naruszeń uważało obecnych pracowników.

Za najbardziej narażoną na cyberataki branżę ankietowani uznali branżę IT. Na kolejnym miejscu wskazany został sektor bankowy (35 proc.) i e-commerce (niemal 33 proc.).Co ciekawe, gdy spojrzymy na przedstawicieli branż reprezentowanych przez respondentów, najliczniejszą grupę stanowi właśnie przemysł komputerowy - łącznie 23 proc. Na drugim miejscu zaś plasuje się bankowość i finanse reprezentowaną przez 17 proc respondentów, a na trzecim instytucje rządowe i samorządowe (administrację publiczną wśród najbardziej zagrożonych sektorów wskazało niemal 28 proc. respondentów), które reprezentowało niemal 11 proc. ankietowanych. Wygląda więc na to, że za najbardziej zagrożone branże uznajemy najczęściej te, które sami reprezentujemy.

Jak jednak dowodzą badania prowadzone przez Kaspersky, to właśnie Polska energetyka narażona jest najbardziej na cyberataki. Zgodnie z nim w pierwszym półroczu 2019 roku aż 41,6 proc. komputerów używanych w systemach zarządzania przedsiębiorstw energetycznych mogło być celem cyberataku.

Ponad 23 proc. respondentów uważa, że najbardziej narażone na cyberataki są mikroprzedsiębiorstwa, a niemal 30 proc., że są to duże firmy. Ponownie największa grupa respondentów wskazała, że ich zdaniem do najbardziej narażonych należą duże firmy.

W tym roku Vecto ponownie sprawdziło również, które obszary prowadzenia działalności biznesowej są dla przedsiębiorstw najcenniejsze. Wśród obszarów, których utrata byłaby najbardziej dotkliwa dla firm, ankietowani najczęściej wymieniali bazę klientów i kontaktów – 3,6 pkt. W równym stopniu wskazywane były również unikalne know-how i własność intelektualna (3,3 pkt.), korespondencja firmowa (3,3 pkt.) oraz dokumentacja firmowa (3,3 pkt.). Najrzadziej wspominana była natomiast strona internetowa przedsiębiorstwa – 2,9 pkt.

• To, że Polska znalazła się w gronie 20 państw najbardziej zagrożonych cyberatakami, stało się faktem - komentuje Jakub Wychowański, członek zarządu Vecto. - Nie istnieją dane, na podstawie których moglibyśmy jednoznacznie oszacować rzeczywiste koszty cyberincydentów w Polsce. Warto nadto podkreślić, że firmy niechętnie dzielą się tego typu informacjami, traktując cyberatak jako szkodę wizerunkową i zagrożenie w utrzymaniu pozytywnych relacji z otoczeniem biznesowym. Tymczasem niemal połowa badanych przez nas firm potwierdziła odnotowanie cyberataku, a wynik ten z pewnością nie tworzy optymistycznej perspektywy na przyszłość.

Badanie zostało przeprowadzone w formie ankiety internetowej i papierowej od kwietnia do grudnia 2019 r. na próbie 201 przedsiębiorstw.