KPMG: 82% firm w Polsce było celem cyberataku w 2017 roku
piątek, 19 stycznia 2018 09:48

W 2017 roku 82% przedsiębiorstw, które wzięły udział w badaniu KPMG „Barometr cyberbezpieczeństwa. Cyberatak zjawiskiem powszechnym”, odnotowało przynajmniej jeden cyberincydent. Firmy zaobserwowały wzrost liczby cyberataków w przeciągu ostatniego roku.

Blisko co czwarta firma, która wzięła udział w badaniu KPMG, przyznała, że w 2017 roku zarejestrowała 10 lub więcej incydentów bezpieczeństwa. Badane organizacje zauważają rosnącą skalę cyberzagrożeń ­– ponad 1/3 przedsiębiorstw, które wzięły udział w badaniu, odnotowało w zeszłym roku wzrost liczby cyberataków. Połowa ankietowanych uznała, że liczba cyberzagrożeń pozostała na  podobnym poziomie w porównaniu z 2016 rokiem. Spadek cyberincydentów zauważyło zaledwie 5% firm.

- Z badania, które przeprowadziliśmy, wynika, że przedsiębiorstwa działające w Polsce najbardziej obawiają się zorganizowanej cyberprzestępczości. W szczególności trudnych do zidentyfikowania i  odparcia ataków ukierunkowanych, cyberprzestępstw realizowanych za pośrednictwem złośliwego oprogramowania oraz wspieranych przez socjotechnikę. Własny pracownik, który historycznie stanowił dla firm najczęstsze źródło naruszeń bezpieczeństwa, zszedł na drugi plan – mówi Michał Kurek, partner w dziale usług doradczych, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

Największe cyberzagrożenia

Osoby odpowiadające za bezpieczeństwo IT w badanych firmach najbardziej obawiają się złośliwego oprogramowania (malware), słabości czynnika ludzkiego oraz ataków na aplikacje. Złośliwe oprogramowanie najczęściej jest wykorzystywane przez cyberprzestępców do zaawansowanych ataków ukierunkowanych APT (ang. Advanced Persistent Threat), kradzieży danych lub wymuszenia okupu. Zagrożenia związane z czynnikiem ludzkim mogą doprowadzić do  wyłudzenia danych uwierzytelniających (tzw. phishing) lub do kradzieży wrażliwych danych przez pracowników. W opinii respondentów ataki typu odmowa usługi (DoS/DDoS) czy  kradzież danych na skutek naruszenia bezpieczeństwa stanowią stosunkowo najmniejsze ryzyko dla organizacji.



Firmy planują podnosić świadomość pracowników

Większość firm bardzo optymistycznie oceniło poziom swoich zabezpieczeń. Najbardziej rozwiniętymi obszarami w opinii przedsiębiorców są ochrona przed złośliwym oprogramowaniem (98% wskazań) oraz bezpieczeństwo styku z siecią internetową (95%). Na przeciwległym biegunie znalazły się m.in. klasyfikacja i kontrola aktywów, zarządzanie bezpieczeństwem partnerów biznesowych oraz bezpieczeństwo w procesach wytwarzania oprogramowania.

- Ciekawym wynikiem badania jest wysoki optymizm polskich przedsiębiorstw w kwestii oceny dojrzałości wdrożonych zabezpieczeń. Z perspektywy realizowanych audytów bezpieczeństwa wydaje się, że tak wysoka samoocena może niestety po części wynikać z wciąż niedostatecznej świadomości polskich firm w zakresie skali i złożoności dzisiejszych cyberzagrożeń. Pozytywnym sygnałem jest natomiast fakt, że  firmy inwestują dziś w mechanizmy bezpieczeństwa pozwalające na  wczesną identyfikację i reakcję na cyberatak, co jest zgodne z globalnym podejściem w  zakresie cyberbezpieczeństwa, zakładającym, że cyberatak jest dziś zjawiskiem nieuchronnym i należy się na  niego przygotować – mówi Michał Kurek.

Brak odpowiedzialnych za bezpieczeństwo IT

Odpowiedzialność za obszar bezpieczeństwa informacji przypisana jest w blisko połowie badanych firm do dyrektora IT lub dedykowanego pracownika działu IT. Zaledwie co dziesiąta organizacja biorąca udział w badaniu przyznała, że funkcja ta spoczywa na osobie odpowiedzialnej za bezpieczeństwo informacji (CSO/CISO). W 7% przedsiębiorstw odpowiedzialność za kwestie bezpieczeństwa przypisana jest strukturom globalnym poza Polską. 13% firm przyznało, że w ramach ich struktur organizacyjnych brak jest formalnego przypisania odpowiedzialności kwestii bezpieczeństwa informacji.

Bariery w zapewnieniu bezpieczeństwa IT

Najważniejszym problemem, który uniemożliwia budowę systemów cyberbezpieczeństwa w blisko połowie badanych firm, jest brak wykwalifikowanych pracowników. Czynnik ten był bardziej istotny niż brak wystarczających budżetów, na które wskazało 47% organizacji. Z kolei ponad połowa małych firm (55% wskazań), które zatrudniają mniej niż 50 osób, uważa, że główne ograniczenie w zakresie uzyskania oczekiwanego poziomu zabezpieczeń stanowi brak właściwego przypisania odpowiedzialności w zakresie bezpieczeństwa.

Tylko co czwarta firma deklaruje zgodność z wymogami RODO

Dla 76% badanych istnieje potencjalne ryzyko wystąpienia braku pełnej zgodności z wymogami nałożonymi przez nowe unijne rozporządzenie dotyczące ochrony danych osobowych (RODO). Przepisy RODO zaczną obowiązywać 25 maja 2018 roku. Jedynie 9% badanych firm odpowiedziało, że osiągnęło pełną zgodność z wymogami RODO, która została potwierdzona niezależnym audytem. Całkowitą zgodność z wchodzącymi w życie przepisami rozporządzenia o ochronie danych osobowych na podstawie własnej oceny wewnętrznej potwierdziło 15% ankietowanych. Aż 12% potwierdziło, że  nie prowadzi żadnych działań w celu stwierdzenia zgodności własnych procesów z przepisami nałożonymi wymogami RODO.

- Przygotowanie się do zmian wynikających z rozporządzenia o ochronie danych osobowych (RODO) jest jednym z większych wyzwań regulacyjnych, przed jakim stanęły firmy w 2017 roku. Jak wynika z  badania, znaczna większość firm ciągle zmaga się z wdrożeniem rozwiązań wynikających z tej regulacji. Dominującą grupę przedsiębiorstw deklarujących pełną zgodność stanowią organizacje zatrudniające do 250 pracowników. Co nie powinno dziwić – wdrożenie wymagań wynikających z  RODO jest wyzwaniem przede wszystkim dla przedsiębiorstw relatywnie bardziej złożonych, gdzie dane osobowe mogą być wykorzystywane w wielu obszarach ich działalności. Dziwić może, że aż 70% respondentów zadeklarowało wdrożenie rozwiązań ograniczających przetwarzanie danych osobowych wyłącznie do minimum wynikającego z celów, do jakich zostały zgromadzone. Jest to ciekawe ze względu na fakt, że często wdrożenie akurat tego wymogu może powodować zmiany w procesach wewnętrznych firm lub oznaczać konieczność uzyskania zgody na przetwarzanie już zebranych danych w innych celach – mówi Krzysztof Radziwon, partner w dziale usług doradczych, szef zespołu ds. zarządzania ryzykiem w KPMG w Polsce.

O raporcie:

Raport KPMG w Polsce pt. „Barometr cyberbezpieczeństwa. Cyberatak zjawiskiem powszechnym” powstał na podstawie badania zrealizowanego na próbie 101 firm. Badanie zostało zrealizowane metodą CATI (ang. Computer-Assisted Web Interview) wśród osób odpowiedzialnych za bezpieczeństwo IT (członków zarządu, dyrektorów ds. bezpieczeństwa, prezesów, dyrektorów IT lub innych osób odpowiedzialnych za ten obszar). Badanie zostało zrealizowane na przełomie listopada i grudnia 2017 roku przez firmę Norstat Polska.
(AM, źródło: KPMG)

 

Prudential: Sławomir Bełz dyrektorem sprzedaży agencyjnej

Sławomir Bełz został dyrektorem sprzedaży agencyjnej Prudential w Polsce. Swoje obowiązki pełni od 11 czerwca. Robert Zagata, dotychczasowy...


czytaj dalej

Friss: Krzysztof Jabłoński pokieruje rozwojem biznesu w regionie CEE

Z początkiem maja Krzysztof Jabłoński dołączył do zespołu Friss – globalnego dostawcy rozwiązań informatycznych w zakresie oprogramowania do...


czytaj dalej

Aon: Czy firma może ubezpieczyć się od kar za nieprzestrzeganie RODO?

Aon wraz z kancelarią prawną DLA Piper sprawdziły, czy firma może ubezpieczyć się od kar za nieprzestrzeganie RODO i jeśli tak, w których krajach...


czytaj dalej

Mundial w Rosji: Terroryzm i chuligaństwo odczuwalne w cenach polis

Ryzyko ataków terrorystycznych i szkód spowodowanych wybrykami chuligańskimi wywindowało w górę składki dla firm i zawodników za ubezpieczenie...


czytaj dalej

Ubezpieczenia rolne: Problem z ochroną od ryzyka suszy

Rolnicy, którzy chcieliby ubezpieczyć się od ryzyka suszy, będą mieli problem. Trudno jest bowiem znaleźć taką ochronę, a jeśli już któryś z...


czytaj dalej

Elektropolisy – mniej skarg, więcej umów

W 2017 roku po raz pierwszy od 2009 r. spadła liczba skarg na ubezpieczenia sprzętu elektronicznego (elektropolisy) zgłaszanych do Rzecznika...


czytaj dalej

 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa
tel. (22) 628 26 31

email redakcja@gu.com.pl

Gazeta

Prenumerata
E-wydanie

Firma

Redakcja
Reklama

Ogłoszenia

Podcast

Kursy on-line
Zamów newsletter
Facebook