Polityka i prawo
Incydenty bezpieczeństwa - dlaczego firmy lekceważą wymóg ich zgłaszania?
Większość - 67 proc. organizacji przemysłowych nie zgłasza incydentów naruszenia cyberbezpieczeństwa - wynika z badania przeprowadzonego przez firmę Kaspersky nt. stanu cyberbezpieczeństwa przemysłowego w 2019 r.
W badaniu online uczestniczyło 282 przedsiębiorstw i organizacji z całego świata, uwzględniono w nim także wypowiedzi przedstawicieli kolejnych 20 firm.
Według wyników badania wiele firm lekceważy wymogi zgłaszania incydentów podmiotom nadzorującym, prawdopodobnie w celu uniknięcia kar oraz w obawie, że publiczne ujawnienie takich przypadków mogłoby zaszkodzić ich reputacji.
Autorzy raportu zwracają uwagę, że stosowanie się do restrykcyjnych zasad dotyczących cyberbezpieczeństwa oraz przestrzeganie regulacji - od przepisów RODO po standardy ustanowione przez Międzynarodową Komisję Elektrotechniczną (IEC) - jest istotne zwłaszcza obecnie, gdy cyberprzestępcy coraz powszechniej wykorzystują zaawansowane ataki w celu włamania się do organizacji przemysłowych.
Z wypowiedzi respondentów wynika, że ponad połowa (52 proc.) incydentów prowadzi do naruszenia wymogów regulacyjnych. 63 proc. odpowiedzi jako jedną z głównych obaw związanych z prowadzeniem działalności podaje utratę zaufania klientów na skutek incydentu naruszenia cyberbezpieczeństwa.
Pozostałe wyniki badania sugerują, że poza koniecznością zgłaszania incydentów firmy traktują przestrzeganie przepisów bardzo poważnie – tylko jedna piąta (21 proc.) przedsiębiorstw przemysłowych przyznała, że nie stosuje się obecnie do obowiązkowych regulacji branżowych.
Zdaniem autorów badania firmy przemysłowe, mimo niezgłaszania incydentów, zdają sobie sprawę z konieczności przestrzegania wymogów regulacyjnych. W przypadku 55 proc. respondentów zgodność z przepisami jest głównym czynnikiem uwzględnianym w strategiach inwestycji w cyberbezpieczeństwo. Jednak koncentrując się przede wszystkim na procedurach, firmy mogą zacząć lekceważyć jakość rozwiązań cyberbezpieczeństwa, nie zwracając uwagi na rzeczywiste zagrożenia – tylko 28 proc. respondentów wskazało krajobraz zagrożeń jako główny czynnik uwzględniany podczas ustalania budżetu.
"Rzeczywisty krajobraz zagrożeń zmienia się dynamicznie. Skuteczne rozwiązanie cyberbezpieczeństwa (...) powinny stosować środki ukierunkowane na technologie, ocenę luk w zabezpieczeniach, zapewniać reagowanie na incydenty oraz inicjatywy zwiększania świadomości wszystkich pracowników mających do czynienia z systemami automatyzacji przemysłowej" – podkreśla Gieorgij Szebuldajew, szef działu odpowiedzialnego za rozwój produktu Kaspersky Industrial Cybersecurity.