Choć na mniejszą skalę niż w poprzednich latach, cyberataki dotknęły większości polskich firm – 54% organizacji zanotowało przynajmniej jeden cyberincydent w 2019 r. 21% organizacji zauważyło wzrost prób cyberataków w stosunku do 2018 r. Bez zmian największym zagrożeniem dla firm pozostaje szeroko rozumiana cyberprzestępczość, na którą wskazało 90% firm. Organizacje najbardziej obawiają się wycieku danych za pośrednictwem złośliwego oprogramowania, phishingu oraz ogólnych kampanii ransomware.
Sposobem na zapewnienie większego bezpieczeństwa danych może być korzystanie z usług chmurowych. Tymczasem przed wybuchem pandemii Covid-19 zaledwie 40% przedsiębiorstw biorących udział w badaniu KPMG zadeklarowało, że korzystało z chmury. Sześć na dziesięć przedsiębiorstw w Polsce wskazuje, że wykorzystanie chmury pozwala zapewnić ciągłość procesów biznesowych.
43% firm badanych przez KPMG w Polsce w lutym br. zadeklarowało, że wykorzystuje technologie chmurowe. Kolejne 17% respondentów planowało przenieść do chmury część swoich usług w najbliższym czasie. Korzystanie z usług w chmurze okazało się niezbędne do zapewnienia ciągłości działania biznesu w obliczu negatywnych skutków, które wywołuje Covid-19, dlatego w wyjątkowo złej sytuacji mogło znaleźć się 40% badanych organizacji, które przyznały, że w najbliższym czasie nie planowały korzystać z chmury w swojej codziennej pracy.
Wśród firm, które obecnie wykorzystują chmurę, blisko 40% przetwarza dane dwutorowo, zarówno w lokalnym centrum przetwarzania danych, jak i w chmurze, natomiast 5% zadeklarowało, że korzysta praktycznie wyłącznie z usług chmurowych.
Najczęściej wykorzystywanymi przez przedsiębiorstwa w Polsce usługami chmurowymi są witryny internetowe (73% wskazań), poczta elektroniczna (72% wskazań) oraz usługi przestrzeni dyskowej (62% wskazań). W dużo mniejszym zakresie firmy korzystają z systemów ERP i CRM w chmurze – odpowiednio 18% i 15% wskazań.
– Wydaje się, że przyczyną sytuacji, w której ponad połowa firm w Polsce nie korzysta z rozwiązań chmurowych, jest wciąż niska wiedza na temat tych usług. Nawet wśród respondentów, którzy wykorzystują chmurę w swojej działalności, aż 62% organizacji nie potrafiło określić, z jakiego typu chmury korzysta. Pandemia Covid-19 i skutki, z jakimi obecnie mierzą się organizacje, może jednak diametralnie zmienić podejście firm do chmury.
W najbliższej przyszłości można spodziewać się zwiększonego zainteresowania rozwiązaniami chmurowymi w polskich przedsiębiorstwach. Tym bardziej że czołowi dostawcy infrastruktury chmurowej rozpoczęli pracę nad zbudowaniem regionalnych centrów przetwarzania danych zlokalizowanych w Polsce – mówi Michał Kurek, partner w dziale doradztwa biznesowego, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.
Pozytywny wpływ usług chmurowych na zapewnienie ciągłości działania
Blisko 2/3 firm biorących udział w badaniu KPMG uważa, że usługi chmurowe pozytywnie wpływają na zapewnienie ciągłości działania procesów biznesowych w organizacji, co jest niewątpliwie bardzo ważnym aspektem w czasie trwania pandemii. Dodatkowo niemal połowa respondentów wyraża przekonanie, że dzięki chmurze publicznej podnosi się bezpieczeństwo przetwarzania danych.
W bezpieczeństwo chmury publicznej nie wierzy z kolei 23% firm, które obawiają się utraty kontroli nad przetwarzanymi danymi. Jednocześnie 16% organizacji uważa, że korzystanie z usług dostępnych w chmurze może zwiększyć ryzyko utraty ciągłości procesów biznesowych.
Połowa firm, bez względu na to, czy korzysta z rozwiązań chmurowych, czy dopiero planuje wykorzystanie takich rozwiązań, uważa, że są one tak samo bezpieczne jak rozwiązania oparte na wewnętrznej infrastrukturze.
Zaledwie 11% respondentów uznało chmurę za bezpieczniejsze miejsce do przechowywania usług, natomiast 21% za bezpieczniejsze uważa utrzymywanie usług w ramach wewnętrznej infrastruktury organizacji.
Maleje skala cyberataków na firmy w Polsce
Rok 2019 okazał się najbezpieczniejszym pod względem liczby zarejestrowanych przez firmy incydentów bezpieczeństwa w porównaniu z dwoma poprzednimi edycjami badania. W zeszłym roku przynajmniej jeden cyberincydent zanotowała nieco więcej niż połowa badanych organizacji (54% wskazań).
Oznacza to spadek o 14 pkt. proc. w stosunku do roku 2018 i aż o 27 pkt. proc. w stosunku do pierwszej edycji badania, kiedy aż 81% polskich firm przyznało w 2017 r., że było ofiarą przynajmniej jednego cyberataku.
W 2019 r. wzrost liczby prób cyberataków zauważyło natomiast 21% przedsiębiorców, ich spadek z kolei zadeklarowało 5% respondentów. Ponad siedem na dziesięć organizacji uważa, że liczba zaobserwowanych prób cyberataków pozostała na niezmienionym poziomie w stosunku do 2018 r.
Szeroko rozumiana cyberprzestępczość od lat jest największym zagrożeniem dla organizacji. 72% firm zadeklarowało, że w 2019 r. najgroźniejsi byli pojedynczy hakerzy. Oznacza to spadek o 12 pkt. proc. W stosunku do poprzedniej edycji badania.
Z roku na rok można zaobserwować rosnące zagrożenie, które organizacje dostrzegają w niezadowolonych lub podkupionych pracownikach – w 2019 r. 58% firm wskazało ich jako potencjalne niebezpieczeństwo dla organizacji.
Blisko połowa firm obawia się również zorganizowanych grup cyberprzestępczych oraz cyberterrorystów.
– Przedsiębiorstwa nadal najbardziej obawiają się zorganizowanej cyberprzestępczości. W szczególności trudnych do zidentyfikowania i odparcia ataków ukierunkowanych, cyberprzestępstw realizowanych za pośrednictwem złośliwego oprogramowania oraz wspieranych przez socjotechnikę. Ze zwiększoną liczbą takich prób ataków mamy do czynienia w związku z pandemią Covid-19.
Od połowy lutego br. można zaobserwować błyskawiczny rozrost infrastruktury wykorzystywanej przez cyberprzestępców do prowadzenia ukierunkowanych kampanii phisingowych związanych tematycznie z Covid-19 – stwierdza Michał Kurek.
Wyciek danych i wyłudzenia danych uwierzytelniających największym zagrożeniem dla firm
Zdaniem ankietowanych przedsiębiorstw największe ryzyko stanowią dla nich wycieki danych za pośrednictwem złośliwego oprogramowania, phishing – czyli wyłudzanie danych uwierzytelniających oraz ogólne kampanie ransomware.
Kradzież danych przez pracowników lub ataki na sieci bezprzewodowe są postrzegane jako obarczone średnim ryzykiem. Organizacje z kolei najmniej obawiają się włamań do urządzeń mobilnych oraz ataków typu odmowa usługi (DoS/DDoS).
Podobnie jak w zeszłym roku, przedsiębiorstwa najlepiej oceniają swoją ochronę przed złośliwym oprogramowaniem oraz zabezpieczenia styku z siecią internetową. Dodatkowo deklarują, że w dużym stopniu osiągnęły dojrzałość w kwestii reagowania na incydenty bezpieczeństwa oraz planowania zapewnienia ciągłości działania.
– Firmy dość wysoko oceniają dojrzałość własnych zabezpieczeń, zdecydowanie lepiej niż w ubiegłorocznej edycji badania. W 2019 r. 64% respondentów zadeklarowało dojrzałość zabezpieczeń na poziomie dostatecznym w większości analizowanych obszarów, natomiast 11% w każdym z analizowanych.
Z perspektywy doświadczeń KPMG w Polsce z realizowanych audytów bezpieczeństwa wydaje się, że tak wysoka samoocena może niestety po części wynikać z wciąż niedostatecznej świadomości polskich firm w zakresie skali i złożoności dzisiejszych cyberzagrożeń – komentuje Michał Kurek.
Brak odpowiedniego budżetu największą barierą w budowaniu bezpieczeństwa IT
Po raz pierwszy od 2017 r. brak wykwalifikowanych pracowników nie był dla firm największą przeszkodą w budowaniu odpowiedniego bezpieczeństwa IT. W 2019 r. największą barierą dla firm był brak wystarczających budżetów (64% wskazań). Trudności w znalezieniu i utrzymaniu wykwalifikowanych pracowników zadeklarowało zaledwie 43% respondentów – co oznacza spadek aż o 20 pkt. proc. w stosunku do poprzedniej edycji badania.
Może tłumaczyć to rosnącą popularność powierzania funkcji bezpieczeństwa zewnętrznym dostawcom. Z outsourcingu w obszarze cyberbezpieczeństwa korzysta 76% polskich firm.
Raport w wersji elektronicznej można pobrać ze strony kpmg.pl
