W 96% średnich i dużych przedsiębiorstw działających w Polsce w ostatnich 12 miesiącach doszło do ponad 50 cyberataków, wynika z raportu firmy doradczej PwC "Ochrona biznesu w cyfrowej transformacji", przygotowanego na podstawie 4. edycji dorocznego badania ,,Stan bezpieczeństwa informacji w Polsce". Najczęściej wykorzystywaną metodą był atak phishingowy. Jednocześnie, aż 41% firm przemysłowych obawia się, że w wyniku ataku hakerskiego może dojść do uszkodzenia infrastruktury.
"Cyfrowa transformacja wystawia na próbę zaufanie w cyfrowym świecie. Skuteczna ochrona systemów IT, zgromadzonych danych i informacji jest dziś kluczowym elementem dla stabilnego funkcjonowania firmy. 61% prezesów firm na świecie wskazało cyberzagrożenia jako jedno z największych obszarów ryzyka dla ich biznesu" - powiedział partner w PwC, lider zespołu zarządzania ryzykiem Piotr Urban, cytowany w komunikacie.
Jak wynika z badania przeprowadzonego na potrzeby raportu PwC, w ostatnim roku 96% polskich średnich i dużych firm zanotowało ponad 50 incydentów związanych z naruszeniem bezpieczeństwa informacji lub systemów IT. W przypadku 64% liczba tego typu zdarzeń była większa niż 500.
"Najczęściej wykorzystywaną metodą cyberataków był atak phishingowy (39%), mający na celu zmylenie użytkownika i nakłonienie do wykonania zamierzonej operacji. Na drugim miejscu znalazło się wykorzystanie systemów IT (35%), a na trzecim użycie zewnętrznego nośnika danych (23%). Wśród najbardziej dotkliwych skutków cyberataków respondenci badania wskazywali: narażenie na ryzyko prawne i straty finansowe (35% wskazań) oraz utrata klientów i kradzież własności intelektualnej (po 30%). Jednocześnie, aż 55% firm nie ma świadomości, jakie były efekty ataków cybernetycznych na dane w ich organizacjach biznesowych" - czytamy w komunikacie poświęconym raportowi.
W 79% przypadków wykrytych incydentów związanych z naruszeniem bezpieczeństwa informacji ich źródłem byli aktualni pracownicy firmy, natomiast 62% stanowiły ataki hakerskie.
"Dojrzałe organizacje dostrzegają korzyści z posiadania stałej informacji na temat cyberryzyka oraz możliwości jej wykorzystania w decyzjach biznesowych. Do tego organizacja musi jednak posiadać właściwe narzędzia umożliwiające pozyskanie, analizę, śledzenie i raportowanie otoczenia i związanych z nim ryzyk. Warto podkreślić, że takie narzędzia istnieją - systemy SIEM, czy DLP, często jednak brakuje procesów i wiedzy oraz ludzi, co umożliwiłoby ich pełne wykorzystanie" - skomentował wicedyrektor w zespole Cyber Security PwC Patryk Gęborys, także cytowany w komunikacie.
Z raportu PwC wynika, że średnie i duże polskie firmy przeznaczają obecnie znaczące budżety na kwestie związane z zapewnieniem bezpieczeństwa danych i systemów IT. W 48% przedsiębiorstw wydatki te są większe niż 1 mln zł, a w ponad połowie badanych firm mieszczą się w przedziale od 500 tys. zł do 1 mln zł. Jak zauważają autorzy raportu, polskie firmy rzadko podejmują dodatkowe działania w celu ochrony przed cyberzagrożeniami - jedynie 31% prowadzi współpracę z innymi podmiotami na rzecz poprawy bezpieczeństwa i ograniczenia ryzyka w przyszłości. Jeszcze mniej, bo tylko 7%, twierdzi, że wykupiło specjalne ubezpieczenie obejmujące skutki potencjalnych cyberataków.
PwC zwraca jednocześnie uwagę, że wpływ na cyberbezpieczeństwo będzie miało nowe unijne Rozporządzenie o ochronie danych osobowych (RODO), które wejdzie w życie 25 maja 2018 r. i będzie dotyczyć wszystkich przedsiębiorców, zastępując krajowe przepisy dotyczące ochrony danych osobowych.
"Dla firm przygotowanie się do nowych przepisów jest ogromnym wyzwaniem. RODO wprowadza wiele istotnych zmian w podejściu do spełnienia wymagań zabezpieczania danych osobowych. Na przykład wszystkie incydenty związane z naruszeniem bezpieczeństwa danych osobowych będą musiały być zgłaszane w ciągu 72 godzin do organu regulacyjnego. Dodatkowo, każdy rodzaj biznesu przetwarzający takie dane będzie musiał przeprowadzić stosowne analizy ryzyka i wdrożyć adekwatne zabezpieczenia. Może to oznaczać zmianę lub konieczność nowej strategii w zakresie zarządzania danymi i wdrożenia procesów oraz technologii w celu zapewnienia inwentaryzacji i ochrony danych osobowych" - czytamy dalej w komunikacie.
Tymczasem jak wynika z badania PwC, polskie firmy pod względem przygotowania do RODO znajdują się dopiero na początku drogi do zapewnienia zgodności z nowymi przepisami. Wśród podjętych kroków najskuteczniej zrealizowane zostało uwzględnienie mechanizmów ochrony danych osobowych w fazie projektowania nowych systemów informatycznych. Z kolei najbardziej zaniedbanymi obszarami związanymi z nowymi przepisami są: utworzenie i aktualizacja rejestru operacji przetwarzania danych osobowych, ocena skutków operacji przetwarzania oraz ograniczenie liczby operacji przetwarzania do minimum koniecznego do osiągnięcia celu, dla którego zostały zebrane.
Jak podkreślają eksperci PwC, kary za niedostosowanie się do nowych przepisów mogą być dla firm bardzo dotkliwe - do 20 mln euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa.
Raport "Ochrona biznesu w cyfrowej transformacji, czyli 4 kroki do bezpiecznej firmy" został przygotowany na podstawie badania, w którym wzięli udział eksperci zajmujący się bezpieczeństwem informacji i IT w 100 dużych i średnich firmach (powyżej 100 pracowników) działających w Polsce. Badanie zostało przeprowadzone jesienią 2016 roku metodą ankiety online. Aspekty bezpieczeństwa OT zostały zbadane w ramach wywiadów pogłębionych. Polskie badanie jest częścią międzynarodowego projektu The Global State of Information Security Survey 2017, który bada 133 kraje pod kątem stanu bezpieczeństwa informacji.