Polskie firmy wystawiają się na strzał. Alarmujące wyniki badania

Człowiek jest najsłabszym ogniwem systemu cyberbezpieczeństwa. Podstawowe błędy mogą doprowadzić do poważnych konsekwencji dla organizacji. Wystarczy, że nieświadomy pracownik otworzy plik załączony w podejrzanym mailulub będzie stosował słabe hasła. To zachęta i otwieranie drzwi cyberprzestępcom, którzy tylko na to czekają. A co może się stać? Przykładem są wycieki danych czy zaszyfrowanie baz w celu uzyskania okupu.

Problemy ze szkoleniem pracowników

Dlatego tak ważne jest prowadzenie szkoleń wśród personelu tak, aby zatrudnieni mogli nabywać wiedzę oraz doświadczenie, co jest niezbędne w budowie odpornej organizacji. Dotyczy to wszystkich podmiotów niezależnie od ich wielkości oraz sektora. Niestety, obecna sytuacja nadal pozostawia wiele do życzenia. 

Brak szkoleń u pracodawców widoczny jest w przypadku wielu zgłaszanych naruszeń ochrony danych. Można to zauważyć w przypadkach, w których do ujawnienia danych osobowych niewłaściwej osobie dochodzi w skutek nieprawidłowego zaadresowania przesyłki z danymi czy ataków ransomware, do których by nie doszło, gdyby personel był odpowiednio przeszkolony na okoliczność takich sytuacji. Ważne jest też by szkolenia były cykliczne, przypominające odpowiednie zasady bezpieczeństwa i cały czas dostosowywane do pojawiających się nowych zagrożeń.
Jacek Młotkiewicz, dyrektor Departamentu Kar i Naruszeń Urzędu Ochrony Danych Osobowych

Z badania przeprowadzonego TGM Research, na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów (pod patronatem UODO), wynika, że 81 proc. przedsiębiorstw zaliczanych do sektora MŚP szkoli pracowników z ochrony danych osobowych.

Problem jednak w tym, że blisko 60 proc. robi to tylko na początku zatrudnienia. Jak wskazuje Urząd Ochrony Danych Osobowych (UODO), jedynie 22 proc. ankietowanych twierdzi, że organizuje szkolenia również na dalszym etapie zatrudnienia. 

Szczególną uwagę przykuwa statystyka dotycząca przedsiębiorców, którzy w ogóle nie szkolą personelu z ochrony danych. Mowa o grupie 20 proc. badanych. 

Wielu właścicieli firm z sektora MŚP lekceważy zagrożenie ze strony hakerów. Uważają, że nie są atrakcyjnym celem ataków. Często też nie wiedzą, że to człowiek jest najsłabszym ogniwem w starciu z cyberprzestępcami. W efekcie, jeśli nawet przedsiębiorcy stosują silne zabezpieczenia, to w wyniku jakiegokolwiek braku szkoleń zatrudnianego personelu znacznie zwiększają ryzyko błędu ludzkiego, który może zakończyć się kradzieżą lub wyciekiem danych. Nie tylko własnych pracowników, lecz także klientów i kontrahentów.
Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl

Skala incydentów w polskich firmach

Sytuacja robi się poważniejsza, gdy weźmiemy pod uwagę istniejące ryzyko. Jak podaje UODO, w naszym kraju działa ok. 2,3 mln mikro, małych i średnich firm. 12 proc. ankietowanych przedsiębiorstw wskazało, że w ich organizacjach miały miejsce próby kradzieży danych osobowych. W przypadku 3 proc. sprawcom udało się je pozyskać. 

Warto jednak mieć na uwadze, że w wielu przypadkach przedstawiciele firm mogą nie być świadomi, że doszło u nich do incydentu. Część z nich stara się również ukryć problem, co podlega surowym karom wynikającym z m.in. RODO.

Brak podstawowej wiedzy

Niepokoją także wyniki dotyczące reakcji na potencjalny incydent. Ponad 40 proc. badanych osób reprezentujących MŚP nie posiada wiedzy na temat tego, jak odpowiednio zachować się w przypadku cyberataku na organizację.

Dodatkowo, jedynie 42 proc. przedsiębiorców ma świadomość, że w razie kradzieży danych lub ich wycieku fakt ten należy zgłosić UODO.    

Szczegółowe wyniki badania są dostępne na stronie Urzędu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].