Krzysztof GAWKOWSKI: Cyfrowe zagrożenia dla małych i średnich przedsiębiorstw

Cyfrowe zagrożenia dla małych i średnich przedsiębiorstw

Photo of Krzysztof GAWKOWSKI

Krzysztof GAWKOWSKI

Doktor nauk humanistycznych, działacz Sojuszu Lewicy Demokratycznej, Wiosna i Nowej Lewicy, przewodniczący klubu parlamentarnego Lewicy (od 2019 r.). Poseł na Sejm IX kadencji

Polskie firmy nie radzą sobie z wykrywaniem incydentów bezpieczeństwa i tym samym identyfikują bardzo mało cyberataków – pisze Krzysztof GAWKOWSKI

Przyspieszający rozwój nowoczesnych technologii zmienia naszą cywilizację nie do poznania. Integracja cyfrowa na całym świecie stała się tak powszechnym zjawiskiem, że wielu ludzi zapomina o czasach, w których telefon przewodowy był szczytem technologicznego postępu i w których z możliwości wysłania telegramu tylko w Polsce korzystano rocznie kilkadziesiąt milionów razy. Dziś taki telefon to coraz częściej wspomnienie minionych lat, a z usługami telegramu Poczta Polska w 2018 roku postanowiła  pożegnać się na zawsze. Globalna firma analityczna IDC prognozuje, że do końca 2020 roku blisko trzy czwarte firm na świecie postawi na cyfrową transformację jako główne założenie strategii rozwoju. Przede wszystkim rozwijać się będą rozwiązania chmurowe i big data, internet rzeczy, robotyzacja i automatyzacja oraz komunikacja sieciowa społeczeństwa. Inwestycje firm w tym zakresie szacuje się na blisko bilion dolarów i jest to czterokrotnie więcej niż obecnie. 

Z tegorocznego badania Polskiego Instytutu Cyberbezpieczeństwa #CyfrowaTransformacja2018 wynika, że polskie firmy również mają świadomość potrzeby cyfrowej przemiany, ale nie zawsze takie postrzeganie rzeczywistości idzie w parze z ochroną przed zagrożeniami cyfrowymie. Firmy  postrzegają cyfryzację najczęściej jako czynnik, który decyduje o przewadze konkurencyjnej (76 proc.); strategię transformacji cyfrowej ma ponad połowa badanych (57 proc.), natomiast o konieczności wdrożenia odpowiednich zabezpieczeń czy ewentualnych problemach związanych z cyberbezpieczeństwem myśli jedynie 21 proc. badanych. 

Wielu małych i średnich przedsiębiorców (MŚP) w Polsce zdaje sobie sprawę, że wysoka innowacyjność firmy jest szczególnym czynnikiem stymulującym rozwój biznesu w warunkach gospodarki opartej na wiedzy. Śmiało można powiedzieć, że jest ona wręcz wskazywana jako jeden z fundamentów rozwoju. Inwestorzy zdają sobie również sprawę, że adaptowanie dostępnych technologii w wielu różnych obszarach powoduje, że firma staje się efektywniejsza i kreatywniejsza. W tym kontekście bardzo niepokojącym sygnałem jest brak zrozumienia dla konieczności inwestowania w działania mające na celu cyberbezpieczeństwo oraz ochronę informacji, danych czy patentów technologicznych. 

Diagnozę problemu należy rozpocząć od stwierdzenia, że firmy w Polsce nie radzą sobie z wykrywaniem incydentów bezpieczeństwa i tym samym identyfikują bardzo mało cyberataków. Ze wspomnianego badania #CyfrowaTransformacja2018 wynika, że 45 proc. firm nie znalazło żadnych naruszeń swojej cyberprzestrzeni, a 35 proc. badanych przedsiębiorstw w ciągu roku wykryło od zera do pięciu incydentów. Jeszcze gorzej zestawienie to wygląda dla małych i średnich firm – deklaracje o zidentyfikowaniu jakiegokolwiek cyfrowego zagrożenia zgłasza jedynie 22 proc. ankietowanych. Czy zatem jest tak dobrze i polskie przedsiębiorstwa są rzadko poddawane cyfrowej inwigilacji, czy może wręcz przeciwnie, czynione jest to z taką starannością, że nikt o tym nie wie?

Czy zatem jest tak dobrze i polskie przedsiębiorstwa są rzadko poddawane cyfrowej inwigilacji, czy może wręcz przeciwnie, czynione jest to z taką starannością, że nikt o tym nie wie? Szukając odpowiedzi, warto sięgnąć do światowych badań i analiz, w których Polska również bierze udział. Według „Internet Security Threat Report”, przygotowanego przez firmę Symantec, w zeszłym roku najwięcej ataków typu malware zanotowały właśnie małe i średnie firmy, gdzie nawet 1 na 95 otrzymanych e-maili zawierał złośliwe oprogramowanie. Podobnie statystyka wygląda według danych zbieranych z systemów bezpieczeństwa firmy Check Point, która informuje, że w skali globalnej w 2018 roku dochodzi do ponad 1000 ataków na godzinę. Oczywiście nie wszystkie próby ataku są skuteczne, jednak ich liczba cały czas rośnie i w stosunku do roku 2017 wzrosła o 10 proc. Dane te potwierdzają jedynie przypuszczenie, że polskie firmy w znikomym stopniu potrafią identyfikować zagrożenia i jest ich zapewne zdecydowanie więcej, niż wykrywają. Braki w zakresie procesów i ustalania metodyki szacowania skutków naruszeń cyberbezpieczeństwa można jednak nadrobić. Bardzo ważnym elementem jest np. wykształcenie odpowiednich umiejętności dokładnej oceny kosztów i skutków naruszeń oraz sposobów gromadzenia informacji o incydentach związanych z bezpieczeństwem. 

Innym punktem niedoceniania zagrożeń wynikających z  konieczności ochrony cyberprzestrzeni w firmach jest brak wiedzy o stratach, jakie mogą one spowodować. Dzieje się tak zapewne z powodu dość powszechnego myślenia, że przestępstwo komputerowe wiąże się przede wszystkim z kradzieżą danych lub środków z konta firmowego. Nie ma nic bardziej mylnego, bo jak wynika z raportu PwC „Cyber-ruletka po polsku”, w 2017 roku aż 40 proc. wszystkich incydentów w cyberprzestrzeni wiązało się z dłuższymi niż trzy godziny przestojami w prawidłowym funkcjonowaniu przedsiębiorstwa. W 15 proc. badanych firm trwały one więcej niż jeden dzień, z czego w 5 proc. przypadków było to ponad pięć dni. Gdyby zatem przeliczyć dzienny koszt sparaliżowania pracy w działach obsługi klientów, sprzedaży czy jednostek odpowiedzialnych za produkcję bądź logistykę, to okazałoby się, że mówimy o stratach sięgających milionów złotych.

Rosnące ryzyko cyberataku na firmę nie spowodowało u polskich przedsiębiorców radykalnej zmiany myślenia, także w kontekście stosowania odpowiednich zabezpieczeń.

Nawet jeśli firmy można zaliczyć do grona rozumiejących zagrożenia wynikające z postępu technologicznego i rozrastającej się cyberprzestrzeni, to najczęściej opierają swoją ochronę na technikach z przełomu XX i XXI w. Z badania EY, Chubb i CubeResearch „Cyberbezpieczeństwo firm” wynika, że są to przede wszystkim programy antywirusowe (93 proc.) i zapory ogniowe (89 proc.). Popularność́ innych  zabezpieczeń w firmach nie przekroczyła jednej trzeciej i oznacza to, że zdolność do dostosowywania technik ochrony cybernetycznej do obecnych zagrożeń jest znikoma. 

Sytuacji w zakresie bezpieczeństwa cyfrowego firm nie poprawiło również znacząco wprowadzenie rozporządzenia o ochronie danych osobowych (RODO). Z danych Polskiego Instytutu Cyberbezpieczeństwa wynika, że na koniec trzeciego kwartału 2018 roku wdrożenia przepisów nie zrealizowała jeszcze co trzecia zobowiązana do tego firma. Elementem mobilizującym nie są nawet kary, które mogą skutkować obciążeniami w wysokości 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa. 

Priorytety cyberbezpieczeństwa cały czas nie są także kluczowe dla zarządów firm, bo jak wynika z badania #CyfrowaTransformacja2018, tylko 16 proc. osób zasiadających w zarządach lub właścicieli przedsiębiorstw traktuje cyberochronę jako jeden z trzech głównych filarów rozwojowych firmy. Dziwić to może szczególnie ze względu na fakt, że jako technologie wschodzące najczęściej wskazują właśnie rynek innowacji w branży IT. Z badania Digital IQ 2017 przygotowanego przez PwC wynika, że polskie firmy zaczynają już planować działania w obszarze internetu rzeczy (60 proc.), sztucznej inteligencji (36 proc.) czy robotyki (26 proc.). Tymczasem zapytani o priorytety bezpieczeństwa podkreślają ich wagę, ale zdecydowanie mniejszym zainteresowaniem cieszą się działania ukierunkowane na zapewnienie spójności między procesami technologicznymi a bezpieczeństwem w cyberprzestrzeni. 

.Pomimo szybkiego rozwoju technologicznego cyberbezpieczeństwo w polskiej firmie, szczególnie w sektorze MŚP, nie jest elementem integralnym w procesie wdrażania technologii. Przedsiębiorstwa przeznaczają średnio zaledwie 3 proc. swojego budżetu na cyberbezpieczeństwo („Cyberbezpieczeństwo firm”), a to zdecydowanie za mało, aby można było zbudować skuteczną obronę przed atakami.  Pocieszająca może być jednak informacja, że z roku na rok świadomość konieczności inwestycji w ten obszar rośnie. Firmy i ich właściciele coraz częściej interesują się, jak nie utracić przewagi konkurencyjnej, a w konsekwencji dużych środków finansowych. Decydując się na udział w audytach, badaniach czy testach potwierdzających przygotowanie do ochrony przed atakiem w cyberprzestrzeni, wykazują chęć przeciwdziałania czyhającym zagrożeniom. Droga, choć kręta, nie wydaje się niemożliwa do przejścia. Dziś jeszcze mety nie widać, ale dobre chęci mogą zaprowadzić polski biznes do światowej czołówki walki o bezpieczną cyberprzestrzeń. 

Krzystzof Gawkowski

Materiał chroniony prawem autorskim. Dalsze rozpowszechnianie wyłącznie za zgodą wydawcy. 27 września 2018