Małe i średnie przedsiębiorstwa (MŚP) są bardziej narażone na cyberataki niż większe firmy. Powodem nie jest niska świadomość czy luki w zabezpieczeniach, ale brak specjalistów ds. cyberbezpieczeństwa, który jest drugim największym wyzwaniem w tym obszarze. Dla porównania, według badania firmy Sophos, w przypadku dużych firm ryzyko to zajmuje dopiero siódme miejsce.
Niemal każda firma odczuwa braki specjalistów, to efekt luki kadrowej, z którą boryka się nie tylko Polska. Jednak w branżach lub obszarach szczególnie wrażliwych, jak infrastruktura krytyczna czy cyberbezpieczeństwo, konsekwencje braku specjalistów mogą być mocno odczuwalne i szczególnie dotkliwe. Duże firmy, dysponujące większymi budżetami i lepszymi narzędziami, mogą skuteczniej radzić sobie z tym wyzwaniem. Dla małych i średnich firm brak specjalistów oznacza większe ryzyko wycieku danych, trudności w szybkim reagowaniu na incydenty oraz poważne straty finansowe i wizerunkowe. Według wspomnianego raportu, wyzwania takie jak brak zaawansowanych narzędzi czy kradzież danych uwierzytelniających są priorytetowe dla większych organizacji. Natomiast dla mniejszych firm największym problemem jest już samo znalezienie i zatrudnienie osób z odpowiednimi kompetencjami.
Tymczasem bezpieczeństwo infrastruktury i danych powinno być dziś jednym z priorytetów dla wszystkich organizacji: – W obliczu rosnącego napięcia geopolitycznego – w przypadku Polski niezwykłe istotne są wydarzenia za naszą wschodnią granicą – cyberbezpieczeństwo nabiera kluczowego znaczenia. Współczesne konflikty nie ograniczają się już wyłącznie do działań fizycznych — cyberataki stały się jednym z podstawowych narzędzi destabilizacji gospodarek i społeczeństw. Dodatkowo mniejsze przedsiębiorstwa, które są zwykle postrzegane jako mniej odporne, są traktowane także przez atakujących, motywowanych czysto finansowo, jako łatwa zdobycz. Dla małych i średnich firm, które stanowią kręgosłup lokalnych gospodarek, ochrona przed zagrożeniami cybernetycznymi jest nie tylko warunkiem przetrwania, ale i budowania odporności całego sektora – wyjaśnia Paweł Kulpa z Safesqr, firmy specjalizującej się w cyberbezpieczeństwie.
Rosnące wyzwanie
Główną przyczyną tych trudności jest niedobór wykwalifikowanych specjalistów ds. cyberbezpieczeństwa. Dla sektora MŚP oznacza to zarówno brak wiedzy, jak i możliwości jej rozwijania, ponieważ dobre zarządzanie bezpieczeństwem informatycznym wymaga posiadania wiedzy specjalistycznej oraz jej ciągłego uzupełniania. Tymczasem cyberataki stają się coraz bardziej złożone, a ich powstrzymanie wymaga wysokiego poziomu ekspertyzy.
Aż 96 proc. przedstawicieli mniejszych firm wskazuje na trudności w analizie podejrzanych alertów. Chociaż większe organizacje również zmagają się z operacjami związanymi z bezpieczeństwem, wyzwanie to jest zdecydowanie większe w małych i średnich przedsiębiorstwach. Zdobywanie i rozwijanie wiedzy z zakresu bezpieczeństwa IT to szczególne wyzwanie dla pracowników sektora MŚP. Gdy tylko kilka osób pracuje w zespole IT SEC, regularne poświęcanie czasu na ciągłą edukację staje się trudne.
Brak możliwości
Zapewnienie cyberbezpieczeństwa wymaga całodobowego zaangażowania. Dlaczego? Ataki mogą wystąpić w dowolnym momencie, a szybka reakcja często decyduje o zminimalizowaniu szkód. Ataki typu ransomware często rozpoczynają się poza standardowymi godzinami pracy — dotyczy to aż 91 proc. przypadków – gdy obrona organizacji jest mniej aktywna. Tymczasem, żeby systemy były zawsze chronione, nawet podczas urlopów czy chorób, potrzeba co najmniej czterech pracowników na pełny etat, a to tylko w obszarze monitorowania podejrzanej aktywności oraz incydentów. Większości małych firm trudno to osiągnąć, ponieważ brakuje im środków i zasobów.
Ponad jedna trzecia mniejszych firm (33 proc.) nie ma nikogo, kto aktywnie monitorowałby sytuację i reagował na alerty. Brak aktywnego reagowania sprawia, że organizacje te są szeroko narażone na ataki. Dodatkowo, przy mniejszej liczbie osób dzielących się obciążeniem związanym z cyberbezpieczeństwem, ryzyko wypalenia zawodowego u pracowników znacznie wzrasta.
Małe i średnie firmy w trudnej sytuacji
Dla większości organizacji z sektora MŚP zatrudnianie większej liczby pracowników nie jest realną opcją z powodu ograniczeń budżetowych i małej dostępności specjalistów na rynku. Zatrudnienie dodatkowych osób znacznie bardziej obciąża budżet mniejszych firm niż większych. Małe i duże organizacje konkurują o ograniczoną pulę talentów, a wykwalifikowani specjaliści często chętniej wybierają pracę w większych przedsiębiorstwach, oferujących wyższe zarobki.
Co zatem mogą zrobić firmy z sektora MŚP, aby mimo ograniczonych zasobów zadbać o bezpieczeństwo na określonym poziomie? Rozwiązaniem może być współpraca z wyspecjalizowaną firmą zewnętrzną: – Cyberbezpieczeństwo to proces, a nie jednorazowa inwestycja. Nawet najlepsze narzędzia nie będą skuteczne bez odpowiednich procedur i edukacji zespołu. Sektor MŚP, ze względu na ograniczone zasoby, powinien szczególnie zadbać o wdrożenie podstawowych procesów, takich jak regularne aktualizacje systemów, monitorowanie podejrzanych działań czy reakcja na incydenty. Współpraca z zewnętrznymi ekspertami może uzupełnić brakujące kompetencje i zapewnić firmom lepszą ochronę przed stale rosnącym zagrożeniu – tłumaczy Paweł Kulpa.
*Badanie zostało przeprowadzone wśród 5000 specjalistów IT/cyberbezpieczeństwa z 14 krajów. 1402 z nich pracuje w organizacjach zatrudniających od 100 do 500 pracowników, uznanych w tym opracowaniu za małe i średnie przedsiębiorstwa. Badanie zostało przeprowadzone w pierwszym kwartale 2024 roku.