Cyberkompetencje w małych firmach. NASK przedstawił zalecenia

Kwestie cyberbezpieczeństwa są wyzwaniem nie tylko dla dużych firm. Średnie oraz małe przedsiębiorstwa wydają się nie podchodzić na poważnie do tego problemu, pomimo wielu doniesień o kolejnych cyberatakach na podmioty w kraju i zagranicą.

Jak informowaliśmy na naszych łamach pod koniec marca, statystyki wskazują, że przez zdecydowaną większość małych firm, ryzyko cyberataku jest oceniane jako niskie. Tymczasem 1/4 małych i blisko połowa średnich przedsiębiorstw doświadczyła operacji ze strony aktorów zagrożeń. Pomimo tego, wiele podmiotów nie posiada planu reagowania na incydenty, a nawet nie przeprowadzało w tym zakresie szkoleń.

W MŚP brakuje podstawowej wiedzy

Problem widzą nie tylko podmioty prywatne. W maju specjalne rekomendacje dotyczące kompetencji pracowników firm w zakresie cyberbezpieczeństwa przygotowały NASK oraz Polska Agencja Rozwoju Przedsiębiorczości (PARP).

Jak wskazał Instytut w swoim komunikacie, aż 6,5 mln pracowników i przedsiębiorców może nie posiadać kompetencji do pracy w środowisku cyfrowym. Chodzi jednak nie tylko o ekspertów w zakresie IT, ale także o pracowników biurowych, administracyjnych czy wykonujących zadania sprzedażowe.

„W wielu przedsiębiorstwach z sektora MŚP problemem nie jest brak zaangażowania pracowników, ale brak jasnych i utrwalonych wzorców postępowania w sytuacjach związanych z cyberzagrożeniami. Pracownik widzi podejrzaną wiadomość lub nietypową sytuację, ale często nie wie, czy powinien ją zgłosić albo jakie działania podjąć, aby nie pogorszyć sytuacji” – stwierdził cytowany w stanowisku Paweł Zegarow, ekspert NASK ds. analiz strategicznych z obszaru cyberbezpieczeństwa.

Na poprawę cyberbezpieczeństwa w małych i średnich przedsiębiorstwach przeznaczono 60 mln zł. Według NASK, jest to inwestycja w firmy tworzące ogromną część polskiej gospodarki.

Szkolenia z pięciu obszarów

Jak przypomniano w rekomendacji, w 2024 roku odnotowano 103,4 tys. potwierdzonych incydentów cyberbezpieczeństwa. Zdecydowaną większość z nich stanowiły oszustwa.

Z kolei statystyki z raportu DESI datowanego na 2024 rok wskazują, że Polacy mają trzeci najgorszy poziom umiejętności cyfrowych w całej Unii Europejskiej. Stąd też, ujęte w dokumencie propozycje mają rozwinąć wiedzę i umiejętności pracowników przedsiębiorstw w zakresie cyberbezpieczeństwa.

Kompetencje mają być nabywane poprzez 56 godzin szkoleń, które podzielono na pięć obszarów:

• rozpoznawanie oszustw komputerowych - w którym będą przedstawione najczęstsze ich rodzaje oraz elementy ostrzegawcze w komunikacji;
• cyberhigiena – obejmie zasady bezpiecznego zarządzania hasłami, korzystania z sieci czy tworzenia kopii zapasowych;
• wzmacnianie odporności na socjotechniki wykorzystywane przez cyberprzestępców – pracownicy będą mogli rozpoznawać fazy ataków socjotechnicznych, rozpoznawać techniki manipulacji psychologicznej oraz mechanizmy socjotechniczne w cyberatakach;
• bezpieczeństwo danych i informacji w codziennej pracy – obejmie zasady bezpiecznego przetwarzania i przechowywania danych, a także jak zapobiegać ich wyciekom;
• podstawy reagowania na incydenty – umożliwią identyfikację zdarzeń mogących stanowić incydenty cyberbezpieczeństwa, a także podjęcie działań mających ograniczyć ryzyko ponownych incydentów.

Docelowo, opublikowana rekomendacja ma pomóc firmom w przełożeniu zasad cyberbezpieczeństwa na praktykę. Oprócz tematów szkoleniowych, NASK oraz PARP chcą za jego pomocą uporządkować sposób mówienia o tym problemie w uzależnionych od niego firmach.

„Cyberbezpieczeństwo nie może być luksusem dostępnym wyłącznie dla dużych organizacji. Świadomy i dobrze przygotowany pracownik może zatrzymać próbę oszustwa już na bardzo wczesnym etapie” – podkreślił Zegarow w komunikacie Instytutu.