Przedsiębiorcy identyfikują bardzo mało cyberataków: 83% badanych przedsiębiorstw w ciągu roku wykryło od zera do pięciu incydentów. Dwie trzecie ankietowanych firm uważa, że pracownicy są najsłabszym ogniwem organizacji pod względem podatności na cyberataki, ale z drugiej strony zbyt mało uwagi przykładają do szkoleń – wynika z badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm”. Krótko mówiąc: Firmy nie radzą sobie z wykrywaniem incydentów bezpieczeństwa.
W minionych 12 miesiącach osiem na dziesięć firm zanotowało od zera do pięciu znaczących incydentów naruszenia bezpieczeństwa. Jedna na dziewięć firm padła ofiarą cyberataków od pięciu do dziesięciu razy. 6% badanych doświadczyło więcej niż 10 incydentów.
Najczęściej wskazywano ataki malwarowe (68% badanych), działania pracowników (44%) oraz utratę danych z powodu awarii sprzętu (39%). Te incydenty są zdaniem respondentów także największymi zagrożeniami dla ich firm.
Cyberprzestępcy nie śpią!
– Wyniki wskazują, że firmy nie radzą sobie z wykrywaniem ataków. Organizacje identyfikują bardzo mało incydentów, a wśród tych wykrytych dominują łatwe do zaobserwowania takie jak infekcja ransomware czy utrata danych w wyniku awarii. Pojawia się obawa czy brak poczucia zagrożenia nie wynika właśnie z braku możliwości zaobserwowania incydentów bezpieczeństwa – mówi Aleksander Ludynia, Doświadczony Menedżer w Zespole Zarządzania Ryzykiem Informatycznym EY. - Wciąż zdarza się, że słyszymy, że danej firmy „cyberataki nie dotyczą”. Warto się wtedy zastanowić czy tak faktycznie jest, czy też może dana firma jest już ofiarą cyberprzestępców, ale jeszcze o tym nie wie – dodaje Tomasz Dyrda, Dyrektor w Dziale Zarządzania Ryzykiem Nadużyć EY.
Człowiek najsłabszym ogniwem!
Dla większości badanych przedsiębiorstw, najsłabszym ogniwem w kontekście bezpieczeństwa organizacji jest nie sprzęt, oprogramowanie czy procedury, lecz człowiek - pracownik firmy. - Badanie pokazuje, że przeszkolenie z zakresu bezpieczeństwa IT, przyjęcia na siebie odpowiedzialności za przestrzeganie zasad (przecież podpisaliśmy procedurę bezpieczeństwa) i odświeżanie wiedzy nie wystarcza. Listy trywialnych haseł, pokazujące ignorowanie podstawowych zasad ich tworzenia, lekceważenie zaleceń i procedur szyfrowania danych, otwieranie maili phishingowych – to tylko ułamek błędów, które popełniają ludzie, a jednocześnie użytkownicy urządzeń i systemów IT – ostrzega Tomasz Dyrda. - Pracownicy firm ciągle darzeni są sporym zaufaniem swoich pracodawców. Dodatkowo wiele ataków prowadzonych jest za pomocą przejętych kont administratorów, dlatego także ich działania powinny podlegać szczególnej kontroli i monitorowaniu – uważa Aleksander Ludynia. Na dalszych miejscach wśród przyczyn cyberzagrożeń znaleźli się przestępcy komputerowi - wymieniani przez ponad połowę respondentów (57%), oraz przestarzałe oprogramowanie (40%).
Chociaż firmy zdają sobie sprawę ze znaczenia ludzi dla bezpieczeństwa całego systemu, niewiele z tą wiedzą robią. Okazuje się, że aż 41% pracowników nie uczestniczyło w żadnym szkoleniu na temat bezpieczeństwa w sieci, a w prawie jednej trzeciej badanych firm nie ma procedury postępowania w sytuacji zagrożenia cybernetycznego.
Zabezpieczenia z XX wieku
Mimo nasilającego się zagrożenia ze strony cyberprzestępców i coraz większej liczby udanych ataków, firmy opierają swoją obronę na technologiach stworzonych w latach 80-tych ubiegłego wieku. Jak wynika z badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm” są to przede wszystkim programy antywirusowe (93%) i zapory ogniowe (89%). Popularność́ innych sposobów zabezpieczenia w badanych firmach nie przekroczyła jednej trzeciej. - Wiele firm wskazuje, że boryka się z incydentami polegającymi na utracie danych, co może prowadzić do wniosku, że firmy nie radzą sobie również z tworzeniem kopii zapasowych kluczowych zasobów informatycznych. Patrząc na wyniki badania wydaje się, że konieczne są intensywne zmiany w podejściu polskich firm do kwestii bezpieczeństwa systemów informatycznych – mówi Aleksander Ludynia.
Aż trzy czwarte respondentów badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm” stwierdziło, że przeprowadziło w firmie testy bezpieczeństwa, wprawdzie jedynie co piąta firma (21%) zrobiła to w ciągu ostatniego roku, ale wynik ten można uznać za wysoki. Jednak samo wykonanie to tylko pierwszy etap, na którym większość badanych się zatrzymuje. Tylko 15% firm twierdzi, że wnioski z audytu zostały wdrożone w życie.
Autorami badania "Cyberbezpieczeństwo firm" są konsultanci CubeResearch, EY oraz Chubb. Badanie składało się z dwóch części – badania zasadniczego, gdzie na zadane pytania odpowiadały osoby na co dzień zajmujące się problematyką cyberbezpieczeństwa firm oraz badania dodatkowego zrealizowanego na pracownikach firm. Badanie zasadnicze zrealizowano w listopadzie 2016 na próbie 350 firm. Badanie dodatkowe zrealizowano na próbie 500 pracowników zatrudnionych w polskich firmach.
Wykorzystano materiały ze strony infowire.pl/
Kiedy już zaatakują…
Zaledwie 7% firm posiada system informowania o incydentach, działający w trybie 24/7/365, do którego podłączone są wszystkie istotne systemy teleinformatyczne. Aż 43% firm nie posiada żadnego systemu ostrzegania. Bodźcem do bardziej intensywnych działań w obszarze bezpieczeństwa IT jest atak hakerski. W sytuacji kryzysowej, zarząd firmy widzi na bieżąco jak skuteczne są plany reakcji i struktury odpowiedzialne za bezpieczeństwo IT.
Czy wiem w jaki sposób skutecznie zabezpieczyć najcenniejsze zasoby mojej firmy? Pomożemy!
Trzeba zacząć od podstaw, czyli przede wszystkim dobrze zabezpieczyć styk sieci lokalnej z internetem, regularnie aktualizować oprogramowanie antywirusowe, korzystać z dobrych zabezpieczeń, a przede wszystkim regularnie tworzyć kopie zapasowe.
Jednak same technologie nie pomogą, jeśli wszyscy pracownicy nie będą znali i stosowali obowiązujących w naszej firmie zasad bezpieczeństwa. To bardzo ważne, bo jak wynika ze statystyk ogromna ilość naruszeń wynika właśnie z błędu ludzkiego i ignorowania podstawowych zasad bezpieczeństwa. Dlatego równie ważne jest, aby te zasady ustanowić i przeszkolić wszystkich pracowników. W każdej firmie powinna zostać wdrożona polityka bezpieczeństwa, dopiero wtedy można powiedzieć, że firma jest zabezpieczona przed zagrożeniami.
Pomyślmy zatem o bezpieczeństwie swojej firmy, warto przy tym skorzystać z pomocy ekspertów, którzy pomogą opracować zabezpieczenia i procedury. Dobrym pomysłem może się także okazać audyt bezpieczeństwa, w ramach którego specjalista sprawdzi zasady i narzędzia bezpieczeństwa w firmie i wskaże najlepsze rozwiązania.
Zapraszamy do kontaktu - pomożemy wdrożyć skuteczne rozwiązania!
Dodaj komentarz