Co trzeci pracownik nie wie, komu w firmie zgłosić cyberatak [raport]

Nowe dane o tym, ile Polacy wiedzą na temat cyberbezpieczeństwa, nie wyglądają dobrze.
Firmy mierzą się z coraz bardziej zaawansowanymi zagrożeniami cyfrowymi, ale najsłabszym elementem ich zabezpieczeń wciąż pozostaje człowiek. Tymczasem mniej niż połowa pracowników w Polsce (48%) deklaruje, że potrafiłaby odpowiednio zareagować na cyberatak, a jedynie 42,5% uważa, że ma wystarczające kompetencje w dziedzinie cyberbezpieczeństwa.
Dane z najnowszego raportu „Cyberportret polskiego biznesu” przygotowanego przez ESET i DAGMA Bezpieczeństwo IT pokazują, że w kwestii wiedzy Polaków o cyberbezpieczeństwie jest jeszcze wiele do zrobienia, szczególnie w sektorze MŚP.

 

Niepewność pracowników wobec cyberataków

Wzrastająca liczba cyberzagrożeń, a także rosnące zaawansowanie technologiczne środowisk pracy sprawiły, że dbałość o cyberbezpieczeństwo dawno przestała być wyłącznie kwestią osób bezpośrednio odpowiedzialnych za ten obszar w firmie. Tymczasem dane ESET i DAGMA Bezpieczeństwo IT pokazują, że zdolność do reakcji na cyberzagrożenia deklaruje mniej niż połowa polskich pracowników korzystających z komputerów. Jeszcze mniej, bo 42,5% badanych sądzi, że ich kompetencje w obszarze cyberbezpieczeństwa są wystarczające. Co więcej, aż 40% badanych uważa, że cyberbezpieczeństwo to wyłączna odpowiedzialność specjalistów IT, co odsuwa ich od współodpowiedzialności za ochronę organizacji. Co trzeci pracownik nie wie, komu w firmie zgłosić cyberatak. W efekcie wielu zagrożeniom nie zapobiega się w porę.

Eksperci podkreślają, że firmy powinny wzmocnić edukację pracowników w zakresie podstawowych procedur bezpieczeństwa. Nawet najlepsze systemy ochrony nie są wystarczające, jeśli brakuje odpowiedzialności i wiedzy na poziomie użytkownika. Szczególnie niepokojąca jest skala wyzwań w małych firmach, gdzie zasoby na edukację są ograniczone, a wiedza pracowników – fragmentaryczna.

 

Luki w wiedzy o cyberzagrożeniach

Dane z raportu „Cyberportret polskiego biznesu” ujawniają również znaczące braki w wiedzy pracowników na temat konkretnych cyberzagrożeń: 78% zna pojęcie „kradzież tożsamości”, a tylko 60% deklaruje, że wie, czym jest „phishing” (manipulowanie użytkownikami w celu uzyskania poufnych informacji). Znajomość pozostałych terminów z zakresu cyberbezpieczeństwa deklaruje nie więcej niż 2 na 10 osób. Bardziej specjalistyczne zagrożenia, takie jak „ransomware” (rodzaj złośliwego oprogramowania, które blokuje dostęp do urządzenia lub szyfruje jego zawartość) czy „DDoS” (atak na system lub usługę w celu uniemożliwienia działania, przeprowadzany równocześnie z wielu komputerów), pozostają mało znane (ich znajomość deklaruje odpowiednio 19% i 17% badanych), mimo iż wiążą się z jednymi z najczęstszych zagrożeń dla firm.
Ich niedostateczna znajomość oznacza, że pracownicy mogą być łatwym celem dla przestępców, zwłaszcza w kontekście bardziej zaawansowanych socjotechnik.

- Cyberprzestępcy kierują swoje działania coraz celniej, chcąc dotrzeć do kluczowych z ich punktu widzenia zasobów firm: finansów, informacji czy wizerunku. W tym celu próbują wykorzystać najsłabszy element każdego systemu, czyli człowieka. Dlatego często w atakach na pracowników upatrują potencjalnego źródła zysków. Szantaże, kradzież danych, szpiegostwo przemysłowe przynoszą im wymierne korzyści. Odpowiednio przygotowana ochrona systemowa, ale też stosowanie się do zasad bezpieczeństwa informatycznego są kluczowe z punktu widzenia prewencji. Absolutną podstawą cyberbezpieczeństwa jest świadomość najbardziej typowych zagrożeń oraz sposobów ich uniknięcia - komentuje Beniamin Szczepankiewicz, analityk laboratorium antywirusowego, ESET.

 

Wpływ wielkości firmy na wiedzę pracowników

Poziom wiedzy na temat bezpieczeństwa wśród pracowników maleje także wraz ze zmianą rozmiaru firmy.
W organizacjach zatrudniających do 50 osób jedynie 43% pracowników twierdzi, że potrafi odpowiednio zareagować na zagrożenie. W największych firmach (ponad 1000 pracowników) ten wskaźnik wynosi już 56%. Z czego wynikają te różnice? Większe przedsiębiorstwa dysponują większymi budżetami, lepszymi zasobami edukacyjnymi i bardziej rozwiniętymi procedurami. Jednak mniejsze firmy pozostają w tyle, co naraża je na zwiększone ryzyko incydentów. Z badania wynika również, że pracownicy większych organizacji częściej śledzą informacje o nowych formach zagrożeń (52% w firmach powyżej 500 osób wobec 39% w małych przedsiębiorstwach). To pokazuje, że firmy inwestujące w edukację zyskują przewagę w budowaniu świadomości i odpowiedzialności zespołów.

– Dla zachowania bezpieczeństwa kluczowe jest rozumienie różnic pomiędzy zagrożeniami w świecie rzeczywistym i wirtualnym. Niezbędna jest edukacja pracowników w zakresie tych właśnie różnic, mechanizmów ataków oraz zasad bezpieczeństwa. Jak pokazuje raport „Cyberportret polskiego biznesu” wydaje się, że szczególnie nienajlepiej jest w zakresie rozumienia przez pracowników mechanizmów ataków oraz tego, w jaki sposób działają cyberprzestępcy. Niestety, ale bez należytej wiedzy i cyberhigieny będziemy wobec nich bezradni – podsumowuje Anna Piechocka, dyrektor zarządzająca w DAGMA Bezpieczeństwo IT.