29 listopada 2024

Co trzeci pracownik nie wie, komu w firmie zgłosić cyberatak [raport]

Nowe dane o tym, ile Polacy wiedzą na temat cyberbezpieczeństwa, nie wyglądają dobrze.
Firmy mierzą się z coraz bardziej zaawansowanymi zagrożeniami cyfrowymi, ale najsłabszym elementem ich zabezpieczeń wciąż pozostaje człowiek. Tymczasem mniej niż połowa pracowników w Polsce (48%) deklaruje, że potrafiłaby odpowiednio zareagować na cyberatak, a jedynie 42,5% uważa, że ma wystarczające kompetencje w dziedzinie cyberbezpieczeństwa.

Dane z najnowszego raportu „Cyberportret polskiego biznesu” przygotowanego przez ESET i DAGMA Bezpieczeństwo IT pokazują, że w kwestii wiedzy Polaków o cyberbezpieczeństwie jest jeszcze wiele do zrobienia, szczególnie w sektorze MŚP.

 

Niepewność pracowników wobec cyberataków

Wzrastająca liczba cyberzagrożeń, a także rosnące zaawansowanie technologiczne środowisk pracy sprawiły, że dbałość o cyberbezpieczeństwo dawno przestała być wyłącznie kwestią osób bezpośrednio odpowiedzialnych za ten obszar w firmie. Tymczasem dane ESET i DAGMA Bezpieczeństwo IT pokazują, że zdolność do reakcji na cyberzagrożenia deklaruje mniej niż połowa polskich pracowników korzystających z komputerów. Jeszcze mniej, bo 42,5% badanych sądzi, że ich kompetencje w obszarze cyberbezpieczeństwa są wystarczające. Co więcej, aż 40% badanych uważa, że cyberbezpieczeństwo to wyłączna odpowiedzialność specjalistów IT, co odsuwa ich od współodpowiedzialności za ochronę organizacji. Co trzeci pracownik nie wie, komu w firmie zgłosić cyberatak.
W efekcie wielu zagrożeniom nie zapobiega się w porę.

Eksperci podkreślają, że firmy powinny wzmocnić edukację pracowników w zakresie podstawowych procedur bezpieczeństwa. Nawet najlepsze systemy ochrony nie są wystarczające, jeśli brakuje odpowiedzialności i wiedzy na poziomie użytkownika. Szczególnie niepokojąca jest skala wyzwań w małych firmach, gdzie zasoby na edukację są ograniczone, a wiedza pracowników – fragmentaryczna.

 

Luki w wiedzy o cyberzagrożeniach

Dane z raportu „Cyberportret polskiego biznesu” ujawniają również znaczące braki w wiedzy pracowników na temat konkretnych cyberzagrożeń: 78% zna pojęcie „kradzież tożsamości”, a tylko 60% deklaruje, że wie, czym jest „phishing” (manipulowanie użytkownikami w celu uzyskania poufnych informacji). Znajomość pozostałych terminów z zakresu cyberbezpieczeństwa deklaruje nie więcej niż 2 na 10 osób.
Bardziej specjalistyczne zagrożenia, takie jak „ransomware” (rodzaj złośliwego oprogramowania, które blokuje dostęp do urządzenia lub szyfruje jego zawartość) czy „DDoS” (atak na system lub usługę w celu uniemożliwienia działania, przeprowadzany równocześnie z wielu komputerów), pozostają mało znane (ich znajomość deklaruje odpowiednio 19% i 17% badanych), mimo iż wiążą się z jednymi z najczęstszych zagrożeń dla firm. Ich niedostateczna znajomość oznacza, że pracownicy mogą być łatwym celem dla przestępców, zwłaszcza w kontekście bardziej zaawansowanych socjotechnik.

Cyberprzestępcy kierują swoje działania coraz celniej, chcąc dotrzeć do kluczowych z ich punktu widzenia zasobów firm: finansów, informacji czy wizerunku. W tym celu próbują wykorzystać najsłabszy element każdego systemu, czyli człowieka. Dlatego często w atakach na pracowników upatrują potencjalnego źródła zysków. Szantaże, kradzież danych, szpiegostwo przemysłowe przynoszą im wymierne korzyści. Odpowiednio przygotowana ochrona systemowa, ale też stosowanie się do zasad bezpieczeństwa informatycznego są kluczowe z punktu widzenia prewencji. Absolutną podstawą cyberbezpieczeństwa jest świadomość najbardziej typowych zagrożeń oraz sposobów ich uniknięcia

Beniamin Szczepankiewicz
analityk laboratorium antywirusowego, ESET

 

Wpływ wielkości firmy na wiedzę pracowników

Poziom wiedzy na temat bezpieczeństwa wśród pracowników maleje także wraz ze zmianą rozmiaru firmy. W organizacjach zatrudniających do 50 osób jedynie 43% pracowników twierdzi, że potrafi odpowiednio zareagować na zagrożenie. W największych firmach (ponad 1000 pracowników) ten wskaźnik wynosi już 56%. Z czego wynikają te różnice? Większe przedsiębiorstwa dysponują większymi budżetami, lepszymi zasobami edukacyjnymi i bardziej rozwiniętymi procedurami. Jednak mniejsze firmy pozostają w tyle, co naraża je na zwiększone ryzyko incydentów. Z badania wynika również, że pracownicy większych organizacji częściej śledzą informacje o nowych formach zagrożeń (52% w firmach powyżej 500 osób wobec 39% w małych przedsiębiorstwach). To pokazuje, że firmy inwestujące w edukację zyskują przewagę w budowaniu świadomości i odpowiedzialności zespołów.

Dla zachowania bezpieczeństwa kluczowe jest rozumienie różnic pomiędzy zagrożeniami w świecie rzeczywistym i wirtualnym. Niezbędna jest edukacja pracowników w zakresie tych właśnie różnic, mechanizmów ataków oraz zasad bezpieczeństwa. Jak pokazuje raport „Cyberportret polskiego biznesu” wydaje się, że szczególnie nienajlepiej jest w zakresie rozumienia przez pracowników mechanizmów ataków oraz tego, w jaki sposób działają cyberprzestępcy. Niestety, ale bez należytej wiedzy i cyberhigieny będziemy wobec nich bezradni

Anna Piechocka
dyrektor zarządzająca w DAGMA Bezpieczeństwo IT
Bartosz Różalski

Bartosz Różalski
senior product manager ESET

Masz pytania?
Skontaktuj się ze mną:
rozalski.b@dagma.pl
32 259 11 37

Podobne wpisy:

Polecane wydarzenia: