Już co piąty polski pracownik padł ofiarą cyberataku w miejscu pracy, a aż 72% przyznaje, że doświadczyło incydentu cyberbezpieczeństwa na służbowym sprzęcie. Cyberataki stają się stałym elementem naszej rzeczywistości, nie tylko w życiu prywatnym, ale i zawodowym – wynika z raportu ”Cyberportret polskiego biznesu” przygotowanego przez ESET i DAGMA Bezpieczeństwo IT. Badanie przeprowadzono zarówno wśród pracowników , jak i osób zajmujących się cyberbezpieczeństwem w firmach, co pozwala na zidentyfikowanie kluczowych różnic między deklarowanym i rzeczywiście istniejącym poziomem świadomości i zabezpieczeń.
Polskie firmy i pracownicy na celowniku
Dane ESET i DAGMA Bezpieczeństwo IT pokazują, że już co piąty polski pracownik padł ofiarą cyberataku w miejscu pracy, a co trzeci ma taką osobę w kręgu swoich znajomych lub w rodzinie. To liczby akcentujące, że tego typu zagrożenia dawno przestały być marginalną kwestią. Jednocześnie, aż 72% respondentów jest pewnych że doświadczyli tzw. „incydentów cyberbezpieczeństwa” na służbowym sprzęcie. Wachlarz zagrożeń, z jakimi zetknęli się pracownicy jest szeroki. Blisko połowa badanych pracowników (47%) otrzymała wiadomość z niebezpiecznego źródła, która nie została przechwycona przez filtry antyspamowe. Drugie w kolejności są telefony z nieznanych numerów i nietypowych lokalizacji zagranicznych (41%). Podium zamykają alerty z programu antywirusowego o potencjalnym zagrożeniu – takie powiadomienie otrzymał co trzeci pracownik (32%).
Opinię pracowników doskonale uzupełnia perspektywa ekspertów ds. cyberbezpieczeństwa, których także przebadano na potrzeby raportu. Ich zdaniem, najczęstszym cyberzagrożeniem dla firm są ataki phishingowe (34% badanych specjalistów miało z nimi do czynienia w ciągu ostatniego roku), ataki na sieć Wi-Fi (22%) oraz ataki z wykorzystaniem trojanów i ataki na aplikacje internetowe (po 19%). Natomiast na czele konsekwencji ataków, które ta grupa uważa za najpoważniejsze znalazły się straty finansowe (33%), dodatkowe koszty techniczne (26%), a także pogorszenie reputacji firmy (22%). Według ekspertów ds. cyberbezpieczeństwa, najbardziej narażeni na działania cyberprzestępców są w polskich firmach prezesi zarządów oraz dyrektorzy generalni, niewiele niżej członkowie zarządu. W te grupy wymierzone bywają bardziej celowane i złożone metody ataków. Teoretycznie najmniej cyberataków mogą obawiać się stażyści i praktykanci. Z uwagi na ograniczone dostępy do danych i zasobów, nie są dla przestępców atrakcyjnymi celami, mimo potencjalnie mniejszego doświadczenia i wiedzy w temacie cyfrowego bezpieczeństwa.
– Specjaliści ds. cyberbezpieczeństwa nieustannie opracowują nowe rozwiązania, aby odeprzeć ataki cyberprzestępców oraz wyprzedzać ich działania. Ich proaktywne podejście do bezpieczeństwa oparte na działaniach zapobiegawczych, łączy ludzką pomysłowość i dojrzałość oprogramowania z odrobiną mocy sztucznej inteligencji. Kluczowym wyzwaniem jest teraz dotrzymywanie tempa stale ewoluującym zagrożeniom czyli swojego rodzaju batalia z cyberprzestępcami, w której ESET bierze udział od ponad trzech dekad. Sukces jednak nie zależy tylko od ESET, ale od całej branży cyberbezpieczeństwa i wymaga wspólnych wysiłków oraz proaktywnego podejścia – dodaje Michal Jankech, Vice-President of SMB and MSP Segment, ESET.
Jak pracownicy łamią zasady i ile wiedzą o cyberbezpieczeństwie?
Tymczasem niecała połowa z pracowników polskich firm twierdzi, iż potrafią w odpowiednim momencie zareagować na zagrożenie cyberatakiem. Tylko co drugi korzysta z niepowtarzających się haseł na służbowych kontach i urządzeniach, a ⅔ przyznaje się także do użytkowania firmowego sprzętu do celów prywatnych.
Zebrane dane pokazują, że blisko 2 na 3 pracowników (65%) podejmuje na służbowym sprzęcie ryzykowne działania. Do najczęstszych należy ignorowanie powiadomień o potrzebie aktualizacji oprogramowania – zadeklarowało to 24% badanych. Z kolei co piąty pracownik zapisuje hasła do swoich kont w miejscach, z których łatwo je wykraść – np. w przeglądarkach, notatkach, mailach czy komunikatorach. Aż 29% badanych przyznało się do posiadania jednego, podobnego hasła do większości swoich służbowych kont. Najczęstszą dobrą praktyką, którą stosuje blisko 8 na 10 pracowników (78%) jest natomiast nieklikanie w linki z nieznanych źródeł na służbowym sprzęcie. Niewiele mniej, bo 72% deklaruje, że nie dzieli się swoimi hasłami ze współpracownikami. Publicznych sieci Wi-Fi unika 60% pracowników.
Jednocześnie, nieco ponad czterech na dziesięciu badanych uważa, że posiadają wystarczające kompetencje w obszarze cyberbezpieczeństwa. Także wyniki badania dotyczącego zrozumienia pojęć dotyczących cyberzagrożeń w grupie ogólnej badanych mogą zastanawiać. Największa część respondentów, bo aż 78%, rozumie termin "kradzież tożsamości". Drugim najczęściej rozpoznawanym terminem jest "phishing", który zna już tylko 60% badanych. Bardzo mało, bo 19% respondentów zna termin "ransomware", a 18% "backdoor". Wprost wskazuje to na dużą potrzebę większej edukacji i podnoszenia świadomości na temat różnorodnych cyberzagrożeń.
Jak firmy uczą i jak powinny uczyć o cyberbezpieczeństwie?
Tymczasem aż 52 proc. polskich pracowników nie przeszło w ciągu ostatnich 5 lat ani jednego szkolenia z cyberbezpieczeństwa w miejscu pracy. Jednocześnie tylko 26% respondentów zaangażowanych było w naukę na ten temat w swoim miejscu zatrudnienia więcej, niż raz. Biorąc pod uwagę tempo zmian w cyfrowych środowiskach pracy oraz powstawania nowych zagrożeń, na które narażony jest biznes - to zdecydowanie zbyt niski odsetek.
Wobec takich danych nie dziwi, że niemal połowa ekspertów ds. cyberbezpieczeństwa wśród TOP 5 obszarów wymagających pilnych inwestycji i rozwoju wymienia szkolenia. 31% z nich uważa, że ich firma wydaje zbyt mało środków na szkolenie zespołu w tym zakresie. Potrzebę szkoleń widzą też sami pracownicy - większość z nich oceniła, że szkolenie pozytywnie wpłynęło na ich poczucie bezpieczeństwa.
Badanie ESET i DAGMA Bezpieczeństwo IT pokazuje również, że duże przedsiębiorstwa zazwyczaj dysponują większymi budżetami na cyberbezpieczeństwo. Wśród pracowników firm w Polsce liczących powyżej 500 osób, aż ¾ uczestniczyło w ciągu ostatnich 5 lat przynajmniej w jednym szkoleniu z cyberbezpieczeństwa. Dla porównania, w przedsiębiorstwach małych jest to aż o ponad 30 punktów procentowych mniej, a w przedsiębiorstwach średnich - o około 20 p.p. Takie różnice budują kompetencyjne przepaści w dziedzinie cyberbezpieczeństwa między mniejszymi a większymi organizacjami.
Narzędzia w rękach firm i pracowników?
Badane firmy sięgają po szereg różnorodnych rozwiązań związanych z cyberbezpieczeństwem. Jednocześnie jednak odpowiedzi wskazują, że często działania te skupiają się na firmowej polityce bezpieczeństwa czy ogólnie przyjętych zasadach, a rzadziej - na proaktywnym wykrywaniu i silnej kontroli. Czołową trójkę narzędzi kontroli cyberbezpieczeństwa stosowanych przez firmy tworzą uwierzytelnianie silnym hasłem (54%), kontrola dostępu do sieci (48%) oraz tworzenie kopii zapasowych w osobnej lokalizacji i wykorzystanie sieci VPN (po 47%). Warto zauważyć jednak, że już tylko co trzecia spośród badanych firm sięga po co najmniej dwa mechanizmy uwierzytelniania czy po techniki szyfrowania danych. Co szczególnie interesujące, regularne testy bezpieczeństwa teleinformatycznego przeprowadza mniej, niż co trzecia (32%). To alarmująca statystyka zważywszy na fakt, że są one kluczowe dla proaktywnej identyfikacji luk w zabezpieczeniach. Niestety, tylko 59% polskich firm twierdzi, że korzysta z oprogramowania antywirusowego. Oznacza to duże zagrożenie dla ponad 1/3 przedsiębiorstw.
Inwestycje są, ale powinno być ich jeszcze więcej
Raport ”Cyberportret polskiego biznesu” ujawnia także, że w większości kluczowych obszarów około połowa firm odnotowywała w ostatnich dwóch latach wzrosty wydatków na cyberbezpieczeństwo. Choć na rynku widoczne są dążenia do optymalizacji wydatków na IT, w obszarze cyfrowych zabezpieczeń spadki zaliczyła marginalna część firm. Pod kątem priorytetów inwestycyjnych wyróżniają się wydatki na zwiększanie kompetencji pracowników - a wciąż są one uznawane jako za niskie przez blisko ⅓ ekspertów. Ogółem wydatki na cyberbezpieczeństwo w 7 na 10 firm nie przekraczają 30% całego budżetu na IT, w blisko połowie - 20%.
Obszary wymagające pilnych inwestycji i rozwoju według ekspertów ds. cyberbezpieczeństwa, to przede wszystkim szkolenia dla pracowników, wskazane przez niemal połowę respondentów. Na drugim miejscu znalazło się monitorowanie i reagowanie na incydenty zgłaszane z wielu źródeł (SIEM, SOAR), które wymaga inwestycji według 37% ekspertów. Ochrona sieci, w tym firewalle i urządzenia klasy Unified Threat Management, została wskazana przez 36% badanych.
Jakie są natomiast, zdaniem ekspertów ds. cyberbezpieczeństwa bariery dla dalszych inwestycji w cyberbezpieczeństwo? Koncentracja firmy na innych wyzwaniach, co utrudnia skupienie się na cyberbezpieczeństwie jest najczęściej wskazywaną przeszkodą – wskazało na to 33% respondentów. Zaraz za nią znajdują się zbyt wysokie koszty wdrożenia rozwiązań, które zostały wskazane przez 32% ekspertów. Trzecią w kolejności istotną barierą jest zbyt niski budżet, co zgłosiło 31% respondentów. Tymczasem, jak zauważają sami eksperci w tej dziedzinie - zbyt niskie nakłady na cyfrowe zabezpieczenia mogą znacząco odbijać się na wizerunku i kondycji finansowej biznesu oraz nakręcać spiralę cyberzagrożeń wymierzonych w firmy.
– Dla zachowania bezpieczeństwa kluczowe jest rozumienie różnic pomiędzy zagrożeniami w świecie rzeczywistym i wirtualnym. Niezbędna jest edukacja pracowników w zakresie tych właśnie różnic, mechanizmów ataków oraz zasad bezpieczeństwa. Jak pokazuje raport „Cyberportret polskiego biznesu” wydaje się, że szczególnie nie najlepiej jest w zakresie rozumienia przez pracowników mechanizmów ataków oraz tego w jaki sposób działają cyberprzestępcy. Niestety, ale bez należytej wiedzy i cyberhigieny będziemy wobec nich bezradni – podsumowuje Anna Piechocka, Dyrektor zarządzająca DAGMA Bezpieczeństwo IT.