W 2018 roku to nie coraz bardziej przebiegli cyberprzestępcy, ale urzędnicy i twórcy ustaw spędzali sen z powiek statystycznemu CSO – wynika z raportu Security Excellence.
W badaniu przeprowadzonym przez CIONET Polska i Digital Excellence wzięło udział 170 menedżerów odpowiedzialnych za strategię bezpieczeństwa w swoich organizacjach, a następnie dziewięciu ekspertów przeanalizowało wyniki i skonfrontowało je z własnymi doświadczeniami. Wnioski z badania wpisują się w dyskusje, które towarzyszyły tegorocznemu programowi Security Excellence, gdzie bezpieczeństwo zderzyliśmy z trzema głównymi obszarami: regulacje prawne, technologia i człowiek.
Cyberbezpieczeństwo vs regulacje
RODO i inne przepisy prawa mają ogromny wpływ na strategię bezpieczeństwa w firmach – wymuszają wiele działań, które do tej pory nie były obowiązkowe, zwłaszcza w związku z przechowywaniem i przetwarzaniem danych. „Dla licznych organizacji było to pierwsze zderzenie ze sformalizowaniem danych i okazał się to najbardziej kosztowny element procesu” – uważa mec. Marcin Maruta.
Ponad połowa organizacji jako najważniejszy czynnik brany w tym roku pod uwagę przy podejmowaniu decyzji w związku z inwestycją w cybersecurity, wymienia właśnie konieczność spełnienia wymagań przepisów i rozporządzeń. Widać efekty - już ok. 65% organizacji ma, zgodnie z wymogami nowych regulacji, sformalizowane procesy zarządzania incydentami bezpieczeństwa, choć dla wielu były to pionierskie działania.
Cyberbezpieczeństwo vs technologia
Drastycznie rośnie skala wyzwań - w 85% firm uczestniczących w badaniu, liczba zadań związanych z rozwojem i utrzymaniem systemów bezpieczeństwa zwiększyła się, jednocześnie w ponad połowie liczba pracowników odpowiedzialnych za ten obszar pozostała bez zmian.
Firmy inwestują przede wszystkim w obronę przed zagrożeniami, które już wystąpiły, a nie tymi, które dopiero są przewidywane. Niemal co trzecia firma w ciągu ostatniego roku zaobserwowała przypadki wykrycia przez dział IT złośliwego oprogramowania, jednak dane te nie są do końca miarodajne, ponieważ zaledwie 61% organizacji prowadzi statystykę incydentów. Najczęściej wymieniane zagrożenia to klasyczny katalog: socjotechnika, oszustwo, szkodliwe oprogramowanie, naruszenie ochrony danych. Na razie reaktywna polityka jest więc wystarczająca.
Co ciekawe, podejście do chmury wciąż jest ostrożne – zaledwie 10% aplikacji znajduje się w chmurze publicznej i główną barierą jest brak zaufania.
Cyberbezpieczeństwo vs człowiek
Człowiek jest najsłabszym ogniwem łańcucha bezpieczeństwa. Najłatwiej ulega presji socjotechnicznej i popełnia błędy. Wprawdzie tylko 10% firm przyznaje, że pracownicy wynoszą dane poza granice ich sieci, ale znaczna część organizacji mogła po prostu nie wykryć tego typu incydentów.
Jednym z coraz popularniejszych rozwiązań jest przeprowadzanie symulacji ataków socjotechnicznych jako forma sprawdzenia zabezpieczeń i poziomu świadomości pracowników– już 31% firm wypróbowała to na sobie, a jeszcze większy odsetek ma to w planach. Natomiast wciąż większość organizacji nie ma wydzielonego budżetu na szkolenie pracowników technicznych i nietechnicznych w zakresie bezpieczeństwa.
Wciąż są obszary wymagające poprawy
Nawet w tak wszechobecnym zadaniu jak zapewnienie bezpieczeństwa dostępu do danych, ok. 64% firm ma wymóg korzystania z unikatowych haseł, ale jednocześnie tylko co trzecia zapewnia odpowiednie narzędzia do tworzenia takich haseł. „Wyniki ankiety lekko mnie zdziwiły. Z jednej strony są bardzo pozytywne, bo pokazują, że polskie firmy myślą o bezpieczeństwie i działają w kierunku jego zwiększenia. Z drugiej strony widać spory chaos i brak strategii wdrażania tego bezpieczeństwa, ponieważ część z podejmowanych działań jest, krótko mówiąc, bez sensu” – komentuje Piotr Konieczny, Niebezpiecznik.pl.
