Małe firmy nie biorą pod uwagę cyberataku

Cyberataki od wielu miesięcy pozostają jedną z najistotniejszych wyzwań z perspektywy bezpieczeństwa Polski. Tylko w marcu na naszych łamach informowaliśmy o trzech cyberatakach na szpitale w różnych częściach kraju. W styczniu z kolei ujawniono informacje o odparciu operacji przeciwko polskiej energetyce.

Dużo ataków i niska świadomość zagrożenia

Okazuje się, że pomimo tego, przedsiębiorstwa niekoniecznie podchodzą do problemu na poważnie. Z zaprezentowanych przez Mastercard wyników badania wynika, że większość organizacji nie bierze pod uwagę możliwości stania się celem cyberprzestępców.

Zebrane dane wskazują, że cyberataku doświadczyło 25 proc. małych, 44 proc. średnich oraz połowa dużych przedsiębiorstw w Polsce. Aktorzy zagrożeń najchętniej atakują branżę produkcyjną (49 proc.), handlową (38 proc.) a także e-commerce (34 proc.), wykorzystując w tym celu najczęściej ransomware, fałszywe e-maile czy smishing.

Nie wszyscy są przygotowani na tego typu zdarzenia. Plan reagowania na incydenty w przypadku dużych organizacji posiada 78 proc. ankietowanych. Znacznie gorzej jest jednak w przypadku mniejszych przedsiębiorstw – tylko 18 proc. z nich posiada odpowiednie dokumenty.

Samo doświadczenie cyberataku wpływa na postrzeganie zagrożenia. 25 proc. firm, które miało już z nim do czynienia w swojej historii, ocenia ryzyko jako wysokie, podczas gdy dla niezaatakowanych statystyka ta wynosi 7 proc.

Firmy nie biorą wszystkiego pod uwagę

W świetle incydentów z ostatnich miesięcy, opinie przedsiębiorców nie wyglądają zbyt pozytywnie.

Małgorzata Domagała, VP, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację stwierdziła w rozmowie z CyberDefence24, że małe firmy nie biorą pod uwagę ryzyka cyberataku. Ze względu na skalę ich działalności, zabezpieczenia mogą być uboższe bądź mniej szczelne.

Bezwzględnie widać, że deklarowana ilość zaatakowanych dużych firm jest wyższa niż tych najmniejszych; ponad połowa ankietowanych przedsiębiorstw już była zaatakowana, a 25 proc. firm było małych. To absolutnie nie oznacza, że te drugie nie są atakowane – tak się dzieje, tylko że rzadziej. Jest w nich takie przekonanie, że „jakoś to będzie" albo że system antywirusowy wystarczy. Nie są brane pod uwagę kwestie związane z manipulacją oraz inżynierią społeczną.
Małgorzata Domagała, VP, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację

Nie tylko edukacja

Niezbyt lepiej wygląda kwestia edukacji i wniosków. Z jednej strony, wraz z rozmiarem firmy rośnie waga szkolenia pracowników: aż 54 proc. małych przedsiębiorstw nie przeprowadziło nigdy szkoleń tego typu, natomiast 64 proc. dużych już tak.

Z drugiej zaś, tylko 16 proc. dużych firm analizuje szkody i naruszone systemy, zaś 12 proc. uruchamia swoje plany reagowania. Wiele podmiotów nie informuje również swoich pracowników o samym fakcie, że cyberatak miał miejsce.

Według Domagały, brak informowania kadry wynika z ogólnego poczucia wstydu przedsiębiorstw związanego faktem ataku (często incydenty nie są zgłaszane, rzadko stają się oficjalnym komunikatem). Istotną rolę odgrywa także liczenie na szczęście oraz na to, że „statystycznie nie powinniśmy być znów zaatakowani”.

Podkreśliła, że rozwiązanie ma charakter dwuwymiarowy: z jednej strony kluczowa jest edukacja (na każdym szczeblu przedsiębiorstwa), z drugiej – systemowe zmiany w przedsiębiorstwie, które niejako wymuszą regulacje: od DORA i NIS2, po ustawę o krajowym systemie cyberbezpieczeństwa.

Wspomniane przepisy wymuszą bowiem stałe analizowanie zagrożeń we własnym przedsiębiorstwie, ale także podatności i ryzyka wśród stron trzecich, odpowiednie raportowanie incydentów i usystematyzowane działania po ataku.

„Moim zdaniem, firmy będą musiały trochę zmienić paradygmat myślenia o cyberbezpieczeństwie. To nie będzie tylko kwestia tego, czy ja zostanę zaatakowany, czy nie, ale też tego, jakie będą moje szanse w biznesie. Jeżeli weźmiemy pod uwagę wymagania tych regulacji i ciągłą analizę ryzyk stron trzecich, to każda duża firma będzie wymagała od mniejszych podmiotów odpowiednich standardów cyberbezpieczeństwa zanim w ogóle dopuści je do współpracy. Już nie tylko cena i nie tylko umiejętności danej firmy w zakresie realizowania potrzeb czy zamówień będą brane pod uwagę, ale też jaką ma pozycję związaną z cyber” – wyjaśniła dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację w rozmowie z naszą redakcją.