Liczba cyberataków na firmy w Polsce rośnie znacznie szybciej niż na świecie

Liczba wykrytych incydentów naruszających bezpieczeństwo informacji w firmach, czyli tzw. cyberataków, wzrosła na świecie w porównaniu z poprzednim rokiem o 38%, a w Polsce aż o 46%.

Firmy są świadome rosnących zagrożeń, dlatego zwiększają budżety na zapobieganie cyberzagrożeniom, ale nadal ich działania są niewystarczające - wynika z raportu „W obronie cyfrowych granic” opartego na trzeciej edycji badania Stan Bezpieczeństwa Informacji w Polsce. Waga zagadnienia wzrasta z uwagi na nowe regulacje UE. Dadzą one podstawy do nakładania na firmy kary w wysokości do 4% globalnych obrotów za uchybienia w ochronie danych osobowych.

Z badania przeprowadzonego na potrzeby raportu „W obronie cyfrowych granic” wynika, że w 2015 r. ponad połowa firm w Polsce odnotowała nie mniej niż 6 cyberataków w ciągu roku. Jako główne źródło cyberataków 70% wskazało pracowników (w 2014 r. 48%), 67% anonimowe ataki hakerskie (w zeszłym roku 35%), a 41% przestępców z grupy zorganizowanej (w 2014 r. 26%).Co ciekawe, na inne źródła cyberataków wskazywano w badaniu globalnym: 34% pracownicy, 29% byli pracownicy, 19% obecni dostawcy i wykonawcy.

Cyberataki wiążą się z ogromnymi stratami dla firm, zarówno materialnymi, jak też wizerunkowymi. Zanotowane w Polsce w 2015 r. incydenty naruszenia informacji w 33% przełożyły się na straty finansowe, w 31% na ujawnienie lub modyfikację danych, a w 16% na utratę reputacji. Jak wynika z danych zebranych w raporcie w minionym roku 4% polskich firm w wyniku cyberataków straciło ponad 1 mln zł, a 5% odnotowało przestój w działalności dłuższy niż 5 dni.

Część firm jest świadoma zagrożeń związanych z bezpieczeństwem informacji w cyfrowym świecie i dlatego zwiększa budżety przeznaczone na zapewnienie odpowiedniego poziomu bezpieczeństwa. Obecnie polskie firmy przeznaczają na ochronę przed cyberatakami 10% całego budżetu IT (w 2014 r. było to 5,5%). Na świecie udział wydatków na ten cel w ogólnym budżecie IT wynosi 19%.

Jedynie 46% firm w Polsce kieruje się jasno zdefiniowanymi formalnymi regułami bezpieczeństwa. Na świecie odsetek ten był niemal dwukrotnie wyższy i wyniósł 91%. Co ciekawe, 70% przedsiębiorstw deklaruje, że dostosowało się do wymogów ustawy o ochronie danych osobowych. Oznacza to, że po kilkunastu latach obowiązywania w Polsce „Ustawy o Ochronie Danych Osobowych” wciąż niemal jedna trzecia firm nie osiągnęła z nią zgodności. Jest to tym bardziej istotne, że UE planuje wdrożyć regulacje, które będą podstawą do nałożenia na firmy kary w wysokości do 4% globalnych obrotów za uchybienia w ochronie danych osobowych.

Oprócz zwiększonych wydatków na bezpieczeństwo w ogólnych budżetach IT, firmy w Polsce niechętnie podejmują inne działania w tym zakresie. Współpracę z przedsiębiorstwami z branży w celu poprawy bezpieczeństwa informacji nawiązało 45% firm. Także polisy od cyberzagrożeń nie są w Polsce zbyt popularne – jedynie 8% polskich firm miało wykupione w 2015 r. takie ubezpieczenie, podczas gdy światowy wskaźnik kształtował się na poziomie 59%.

Jednocześnie, aż 63% firm w Polsce twierdzi, że podejmowane przez nie działania na rzecz zapewnienia bezpieczeństwa informacji są skuteczne. 35% z nich nie jest jednak co do tego przekonana.

„Bezpieczeństwo informacji, dobra reputacja oraz zaufanie klientów to kluczowe elementy budowy przewagi konkurencyjnej na rynku. Dlatego tak ważne jest zaangażowanie najwyższych szczebli w firmie w działania przeciwdziałające cyberzagrożeniom” – mówi Piotr Urban, partner, lider zespołu zarządzania ryzykiem.

„Wzrost budżetu w firmach na cyberbezpieczeństwo to dobra wiadomość. Należy jednak pamiętać, że ważniejsze od “ile” jest “jak”. Warto zastanowić się, w jaki sposób nasze inwestycje pozwalają nam stać się mniejszym celem, szybciej zorientować się, że zostaliśmy zaatakowani, zwiększyć zaufanie do własnych działań w sytuacji kryzysowej, do reakcji pracowników oraz do umiejętności i odpowiedzialności partnerów biznesowych” – podsumowuje Rafał Jaczyński, dyrektor w zespole Cyber Security w Polsce i Europie Centralnej.

„Zarządy firm coraz częściej rozumieją, że bezpieczeństwo informacji jest nieodłącznym elementem świadczonych przez firmy usług, dlatego nie powinno się go traktować jak wyizolowanej części oderwanej od kontekstu działania całej organizacji, a raczej jak istotną wartością dodaną dla celu biznesowego” – twierdzi Jacek Sygutowski, dyrektor w zespole Cyber Security Technology Services.