82 proc. przedsiębiorstw zanotowało co najmniej jedno naruszenie bezpieczeństwa, zaś co czwarta firma zaobserwowała ich przynajmniej 10 - czytamy w najnowszym raporcie Interaktywnie. com, któremu patronuje Business Insider Polska.
Cały raport o cyberbezpieczeństwie, w pdf, można za darmo pobrać tutaj
Jak wynika z papieru, 44 proc. firm poniosło straty finansowe na skutek ataków cybernetycznych, 62 proc. spółek odnotowało zakłócenia i przestoje funkcjonowania, 31 proc. padło ofiarą zaszyfrowania dysku (ransomware), 20 proc. średnich i wielkich firm nie posiada pracownika-specjalisty od cyberbezpieczeństwa, a 46 proc. nie ma operacyjnych procedur reakcji w incydenty.
"Nie uwierzysz, co zrobiła na własnym wieczorze panieńskim! "
Tymczasem tylko 3 proc. budżetu IT stanowią średnio wydatki dzięki bezpieczeństwo – to co najmniej trzy razy zbytnio mało. Zagrożenia związane z cyberbezpieczeństwem nie ograniczają się do rozsiewania niechcianych filmików na Facebooku, ale mimo tego polscy przedsiębiorcy pozostają sceptyczni do ostrzeżeń i je lekceważą.
- Polskie firmy regulacje traktują jak fanaberie nieznających życia urzędników, a nowe technologie jedynie jako sposób na powiększenie konkurencyjności - przekonuje Tomasz Bonek, redaktor naczelny Interaktywnie. com. - Niewielu z nich zauważa korelacje między rozbudowaną infrastrukturą IT i automatyzacją procesów biznesowych z koniecznością pierwotnego odpowiedniego i nieustannego zabezpieczania, a co najciekawsze, ich podejścia nie są w dzieje zrewidować nawet własne, kiepskie doświadczenia - dodaje Tomasz Bonek.
Tymczasem już nawet na Facebooku cyberprzestępcy atakują prymitywnym clickbaitem - w stylu "Nie uwierzysz, co zrobiła dzięki swoim wieczorze panieńskim! ".
W mailu przypominają o rzekomo niezapłaconych fakturach, a w mobile'u zachęcają do pobrania zainfekowanych aplikacji. To aczkolwiek waga piórkowa hakerskich ataków w stosunku z tym, co historia się za zamkniętymi drzwiami banków, firm produkcyjnych, szpitali, szkół i - nieszczęśliwie - ośrodków rządowej administracji. Bo cyberbezpieczeństwo, choć powinno okazać się już regulowane na poziomie unijnym, w Polsce wciąż kuleje.
O cyberbezpieczeństwie, tak samo, jak o innowacjach, przedsiębiorczości, polskich start-upach i dolinach krzemowych, administracje wszystkich rządów kochają mówić. Powstają więc śmiałe plany, długofalowe strategie jak i również prezentacje, ale dochodzenie do odwiedzenia konkretnych wniosków i praktycznych ustaleń, zwykle grzęźnie w mieliźnie międzyresortowych konfliktów i personalnych przepychanek.
Cyberbezpieczeństwo nie jest wyjątkiem
Ustawa o krajowym systemie cyberbezpieczeństwa, która wykuwała się w Ministerstwie Cyfryzacji jeszcze za czasów Anny Streżyńskiej, najpierw stała się zarzewiem głośnego sporu z Ministerstwem Obrony Narodowej, a następnie przedmiotem krytyki organizacji biznesowych, którym w proponowanych zapisach brakowało centralizacji ośrodka decyzyjnego. W końcu trafiła jednak do Sejmu.
W międzyczasie jednak ofiarą ataków inspirowanych najprawdopodobniej z Rosji padły ważne, światowe organizacje a mianowicie padła amerykańska sieć elektroenergetyczna i infrastruktura lotnicza, wirus WannaCry zaszyfrował maszyny w brytyjskich szpitalach, banki w Rosji i instytucje państwowe w Ukrainie, a firma Kaspersky została oskarżona o funkcjonowania wywiadowcze. Do tego jeszcze dane internautów Facebooka zostały bezprawnie wykorzystane do celów politycznych, a na starym kontynencie Rozporządzenie o ochronie danych osobowych (RODO) uruchomiło lawinę pytań i wątpliwości związanych z przetwarzaniem wrażliwych informacji.
Jak zabezpieczyć się zanim zagrożeniami? Podstawą cyberbezpieczeństwa są i w każdej sytuacji będą ludzie. Niestety, egzystują w nim także najsłabsze ogniwo i ten fakt jest najczęściej wykorzystywany za pośrednictwem przestępców. Błędy, które popełniają pracownicy, wynikają z codzienności, zaniedbań, niezrozumienia technologii a także z braku świadomości zagrożeń.
Przestępcy korzystając z bogatego arsenału ataków socjotechnicznych, są w stanie uzyskać pewną formę kontroli morzem zachowaniem osób i po konsekwencji przełamać nawet najbardziej zaawansowane zabezpieczenia techniczne.
Przyczyny incydentów związanych wraz z naruszeniem bezpieczeństwa:
- błąd użytkownika - 41%
- wykorzystanie danych/informacji -24%
- błędy konfiguracji komponentów - 21%
- atak phishingowy 20%
- wykorzystanie znanych podatności oprogramowania a mianowicie 18%
- wykorzystanie podwładnego (socjotechnika) - 15%
- błędy projektowe systemów a mianowicie 13%
- wykorzystanie necie - 13%
- wykorzystanie aplikacji - 13%
- wykorzystanie systemu IT - 12%
Źródło: raport PwC pt.: "Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście"
Na szczycie skali zagrożeń niepodzielnie panują te będące skutkiem działań pracowników. Błędy, zaniedbania i brak kompetencji wówczas jednak tylko jedna strona medalu. Druga to katalogów sprytne wykorzystanie przez cyberprzestępców, którzy by spowodować wielomilionowe opłaty wcale nie muszą się wysilać. Phishing, czyli tak zwane. "łowienie", trudno przecież uznać za wysublimowaną metodę operowania, a jednak - wciąż działa. Cały raport o cyberbezpieczeństwie, w pdf, można za darmo pobrać tutaj
