W 2024 roku 22 proc. firm działających na terenie Unii Europejskiej doświadczyło incydentów związanych z naruszeniem bezpieczeństwa ICT, wśród których znalazły się przerwy w dostępności usług, utrata lub uszkodzenie danych czy wyciek informacji poufnych. Najwięcej zgłoszeń tego typu deklarowali przedstawiciele firm z Finlandii (42 proc.), Polski (32 proc.) i Malty (29 proc.).
Eurostat w najnowszym raporcie „Cyfryzacja w Europie” przedstawił dane dotyczące sytuacji digitalizacji przedsiębiorstw funkcjonujących na terenie Unii Europejskiej w 2024 roku. Jeśli chodzi o liczbę incydentów, Polska znalazła się na drugiej pozycji. Na drugim biegunie, z najmniejszą liczbą problemów z cyberbezpieczeństwem znalazły się przedsiębiorstwa z Austrii, Słowenii, Bułgarii i Słowacji (po 12 proc.).
Jak unijne firmy dbają o cyberbezpieczeństwo?
Oprócz incydentów naruszenia bezpieczeństwa, Eurostat zapytał o środki i praktyki stosowane w zakresie cyberbezpieczeństwa. Aż 93 proc. unijnych przedsiębiorstw wdrożyło przynajmniej jeden środek ochrony ICT. Najczęściej stosowanymi zabezpieczeniami były silne hasła uwierzytelniające (stosowało je 84 proc. firm), tworzenie kopii zapasowych w innej lokalizacji lub w chmurze (79 proc.) oraz kontrola dostępu do sieci (65 proc.).
Jak wypadają tutaj polskie firmy? 83,6 z nich stosuje silne hasła uwierzytelniające, co plasuje nas na 12. pozycji we wspólnocie, 71,1 proc. stosuje backup (aż 21. pozycja wśród firm UE), a 64,3 proc. kontroluje dostęp do sieci (16. pozycja).
– Choć większość polskich firm stosuje podstawowe środki bezpieczeństwa, to jednak nadal jest to niepokojąco niski odsetek, szczególnie w porównaniu do firm z krajów z czołówki tego zestawienia. A to nasze przedsiębiorstwa, ze względu na sytuację geopolityczną i trwającą wojnę hybrydową, powinny szczególnie zadbać o obszar cybersecurity – tłumaczy Paweł Kulpa z firmy Safesqr specjalizującej się w cyberbezpieczeństwie. – Biorąc pod uwagę wzrost cyberzagrożeń, nie wystarczy wdrożenie pojedynczych narzędzi, konieczne jest zbudowanie spójnej strategii cyberbezpieczeństwa obejmującej zarówno technologię, jak i procesy oraz edukację pracowników. Takie podejście, ochrony wielowarstwowej (defence in depth) pozwala firmie zachować bezpieczeństwo nawet wtedy, gdy któryś mechanizm bezpieczeństwa zawiedzie. Przykładowo gdy mechanizm ochrony poczty przepuści niebezpieczną wiadomość, to może zauważyć ją i zgłosić do działu bezpieczeństwa wyszkolony pracownik, a jeśli i on zawiedzie, to złośliwy link zostanie zablokowany przez narzędzie chroniące dostęp do Internetu.
Kolejnym argumentem za potrzebą potraktowania cyberbezpieczeństwa w sposób bardziej poważny są zmiany prawne – dyrektywa NIS2 oraz przygotowywana nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa. Nowe regulacje będą nakładały na przedsiębiorstwa obowiązek systemowego zarządzania ryzykiem oraz raportowania incydentów, co wymaga nie tylko środków technicznych, ale też odpowiednich procedur, zespołów i kultury bezpieczeństwa w organizacji. Jak zatem wygląda sytuacja w przedsiębiorstwach działających na terenie UE pod kątem uświadamiania pracowników?
Kursy i szkolenia
Jak podaje Eurostat, w 2024 roku około 60 proc. firm w Unii Europejskiej przekazało swoim pracownikom informacje dotyczące ich obowiązków związanych z bezpieczeństwem ICT. W ramach tych działań 43 proc. firm zorganizowało dobrowolne szkolenia, co czwarta firma (25 proc.) przeprowadziła obowiązkowe kursy z zakresu cyberbezpieczeństwa, a co trzecia (34 proc.) zawarła odpowiednie zapisy w umowach z pracownikami.
Jednak aby stosowane środki ochrony były efektywne, powinny być ubrane w regularnie aktualizowane odpowiednie procedury. W 2024 roku 36 proc. unijnych firm posiadało spisane procedury, zasady i praktyki związane z bezpieczeństwem ICT. Niepokoić może fakt, że zaledwie co piąta (22 proc.) firma przygotowała w minionym roku nowe dokumenty dotyczące obszaru cybersecurity lub dokonała ich rewizji w ciągu ostatnich 12 miesięcy.
– Cyberbezpieczeństwo to nie jednorazowe działanie, ale ciągły proces, który wymaga systematycznego przeglądu i aktualizacji. W dynamicznie zmieniającym się środowisku zagrożeń – gdzie co chwila pojawiają się nowe techniki ataków – organizacje muszą być stale czujne i elastyczne. Procedury, które działały rok temu, dziś mogą być niewystarczające. Dlatego tak ważne jest, by nie traktować dokumentów czy polityk bezpieczeństwa jako formalności, ale jako żywe elementy zarządzania ryzykiem – tłumaczy Paweł Kulpa.