Czy polskie firmy są bezpieczniejsze od FC Barcelony? Cyberportret autorstwa ESET sugeruje, że nie do końca

Co piąty pracownik polskiej firmy był ofiarą cyberataku w miejscu pracy. Mimo to tylko 59% polskich firm deklaruje używanie oprogramowania antywirusowego, a inwestowanie w takie rzeczy jak 2FA jest jeszcze rzadsze. To niektóre wnioski z raportu ESET i DAGMA Bezpieczeństwo IT, który daje ciekawy wgląd w to jak naprawdę wygląda cyberbezpieczeństwo w polskim biznesie.

Można odnieść wrażenie, że tzw. cyberbezpieczeństwo dwa światy. Z jednej strony mówi się o bezpieczeństwie AI, cyberwojnie, albo o fantastycznych atakach z podsłuchiwaniem smartfona przez żarówkę. Z drugiej strony wciąż wiele osób używa powtarzalnych haseł albo ignoruje zagrożenie socjotechniką bo przecież „to nie będzie tak, że zaraz mnie okradną”.

Efekty ignorowania podstaw bezpieczeństwa bywają spektakularne. Niedawno klub FC Barcelona przyznał, że przelał 1 mln euro na konto w banku cypryjskim tylko dlatego, bo otrzymał wiadomość e-mail od osoby podszywającej się pod Piniego Zahaviego (agenta Roberta Lewandowskiego). Przelew został zablokowany przez bank bo pieniądze miały iść na konto utworzone niedługo wcześniej. Bank uznał transakcję za podejrzaną, ale to co zrobili przedstawiciele znanego klubu było nie lada błędem.

Czy polskie firmy są bardziej świadome zagrożeń niż FC Barcelona? Czy ignorowanie podstawowych zasad bezpieczeństwa to norma czy margines w naszym kraju? Doświadczenia nasze i naszych Czytelników mogą być w tej kwestii bardzo różne, dlatego rzeczowa odpowiedź na te pytania wymagałaby jakichś badań.

Takie właśnie badania przeprowadziły ESET i DAGMA Bezpieczeństwo IT. Wzięło w nich udział ponad tysiąc Polaków, którzy pracują w firmach z komputerem. Dodatkowo badanie objęło 244 specjalistów IT oraz 257 ekspertów od cybersec (podsumowanie próby na wykresach poniżej). Jest to bardzo ciekawa lektura, a jeśli chcecie streszczenie tej 65-stronicowej publikacji to po prostu przeczytajcie nasze podsumowanie.

Struktura osób biorących udział w badaniu ESET i DAGMA Bezpieczeństwo IT

Ataki częstsze niż można sądzić

Zacznijmy od tego, że co piąty badany był ofiarą cyberataku w miejscu pracy. Mimo to tylko 59% firm deklaruje, że używa oprogramowania antywirusowego.

Tylko 32% firm przeprowadza regularnie testy bezpieczeństwa. Prawie połowa specjalistów od bezpieczeństwa (48%) uważa, że firmy powinny więcej inwestować w szkolenia. Powiecie, że to oczywiste bo przecież na szkoleniach się zarabia, ale… 70% pracowników deklaruje chęć udziału w takich szkoleniach, a jednak połowa z nich (52%) nie brała udziału w żadnym szkoleniu z cyberbezpieczeństwa przez ostatnie 5 lat. To wynik fatalny.

Jak atakuje się polskie firmy?

Najczęściej pracownicy stykają się z socjotechniką. Aż 41% z nich twierdzi, że zdarzyło im się otrzymać podejrzaną wiadomość z nieznanego numeru lub zagranicznej lokalizacji. Incydenty z odkryciem malware’u na komputerze zadeklarowało aż 16% badanych. Styczność z sytuacjami takimi jak włamanie do firmowego systemu, przejęcie haseł albo przejęcie danych poufnych deklarują jednocyfrowe odsetki badanych, ale gdyby zsumować to razem to okazuje się, że incydenty tego typu ogólnie rzecz biorąc nie są rzadkie.

Incydenty doświadczane przez pracowników

Specjaliści od cyber: „Ło panie! Tu się dzieje!”

Uczestniczący w badaniu eksperci od cybersec rysują bardziej mroczny obraz zagrożeń niż pracownicy. No cóż… oni obserwują to niejako z frontu. 39% z nich twierdzi, że w ostatnim roku liczba ataków na ich firmę wzrosła. Niemal co drugi uważa, że zwiększyła się także ich różnorodność.

Ponad połowa (59% badanych) ekspertów ds. cyberbezpieczeństwa zgodziła się z tezą, że w ich firmie w ciągu ostatnich kilku lat wzrosła świadomość cyberzagrożeń wśród kierownictwa. Niestety równocześnie 88% specjalistów twierdzi, że ich firma doświadczyło cyberataku w ciągu ostatnich pięciu lat. Wykres poniżej pokazuje typy ataków dostrzegane przez specjalistów. Na czele socjotechnika, ataki na sieci i aplikacje. Ransomware dopiero na 5. miejscu, ale te ataki zwykle są bardzo bolesne (i jest to nadal 18% deklaracji, czyli niemal co piąta firma jakoś się otarła o temat). Wynoszenie danych przez pracowników wydaje się równie często obserwowane.

Zagrożenia według specjalistów cybersec

Eksperci i pracownicy zgadzają się co do jednego – ataki wycelowane w “zwykłego pracownika” są po prostu częste. W tej sytuacji wiele zależy od reakcji pracownika na incydent oraz od ogólnego poziomu “cyfrowej higieny” u pracowników. Niestety tutaj mamy braki.

“Ja to mam jedno hasło…”

Blisko 2 na 3 pracowników (65%) przyznaje iż podejmuje ryzykowne działania na swoim służbowym sprzęcie. Najczęstszym jest ignorowanie aktualizacji (24%).  Poza tym ciągle popularne jest stosowanie podobnego hasła do większości kont (29%) oraz zapisywanie haseł w miejscach, z których można je łatwo odczytać (20%). Tutaj drobna uwaga. W badaniach ESET i DAGMA Bezpieczeństwo IT do tej ostatniej praktyki (zapisywanie haseł w niewłaściwych miejscach) zaliczono też zapisywanie w przeglądarkach. Owszem, to może być ryzykowne choć nie zawsze będzie to praktyka rażąco zła. Natomiast stosowanie wszędzie podobnego hasła jest złe i przypominamy, że najlepiej hasła mieć różne, mocne i stosować menedżery haseł.

Dla wielu polskich pracowników urządzenie służbowe jest w pewnym sensie prywatne. Firmowy sprzęt często służy to prywatnej komunikacji, robienia zakupów czy korzystania z bankowości. Po co kupować własnego laptopa, skoro ten służbowy jest dobry? Zwracamy na to uwagę zwłaszcza tym przedsiębiorcom, którzy dzielą problemy bezpieczeństwa na “służbowe” i “prywatne”. Ten podział jest iluzoryczny.

— Należy również zwrócić uwagę na sytuację odwrotną – co drugi pracownik loguje się do firmowych systemów z prywatnego sprzętu. Taka praktyka jest o tyle niepokojąca, że urządzenia prywatne na ogół pozbawione są odpowiednich zabezpieczeń, takich jak ograniczenia uprawnień systemowych czy monitoring wszelkich podejrzanych zdarzeń i aktywności w systemie przez zespół ds.  bezpieczeństwa – pisze w raporcie Kamil Sadkowski, analityk laboratorium antywirusowego ESET.

Świadomi połowicznie

Około połowa (48%) badanych pracowników stwierdziła, że wie jak zareagować na incydent. Nieco mniej (43%) śledzi informacje na temat nowych form ataków. Podobny odsetek (42%) twierdzi, że posiada kompetencje w zakresie bezpieczeństwa. Podsumowując – nieco mniej niż połowa interesuje się tymi problemami.

Nieco więcej niż połowa (54%) twierdzi, że zna ustalone przez firmę zasady bezpieczeństwa. Zrozumienie czym jest “phishing” deklaruje 60% osób. Tylko połowa ludzi (51%) czuje się współodpowiedzialna za bezpieczeństwo firmy. Niezależnie od tego znaczny odsetek badanych uważa, że bezpieczeństwo w wielu kwestiach… przeszkadza. Procedury są przecież uciążliwe.

10% pracowników przyznaje, że… zachowało dla siebie informacje o incydencie naruszenia bezpieczeństwa. To mało i dużo jednocześnie.  Trudno ocenić z czego wynika. Czy to tylko brak świadomości czy np. strach przed nieuzasadnioną reakcją kierownictwa?

Jeśli już mowa o świadomości to polecamy część raportu dotyczącą szkoleń. Wynika z nich, że pracownicy generalnie chcą szkoleń z bezpieczeństwa, lubią je i uważają, że podnoszą one ich bezpieczeństwo. Jednocześnie tylko 19% potwierdziło, że ich wiedza została jakkolwiek sprawdzona, a to ma znaczenie choćby w kontekście ostatnich decyzji UODO.

Zabezpieczeni w jednej trzeciej

Tylko 54% firm deklaruje stosowanie silnych haseł do uwierzytelniania. Kontrolę dostępu do sieci stosuje niecała połowa (48%). Niewiele mniej firm deklaruje stosowanie kopii zapasowych w innych lokalizacjach oraz VPN. Systemy monitorujące do wykrywania podejrzanych działań pojawiają się w 34% deklaracji. Testy bezpieczeństwa przeprowadza co trzecia firma (32%).

Co ciekawe, tylko co trzecia firma sięga po 2FA. Kamil Sadkowski z ESET określa to jako “katastrofalne”.

— Jedynie co trzecia firma deklaruje wykorzystywanie systemów monitorowania, takich jak EDR, MDR, XDR, umożliwiających wykrywanie i zapobieganie podejrzanym zdarzeniom na urządzeniach firmowych. Takie systemy, w kontekście dynamicznie rozwijającego się krajobrazu cyberzagrożeń, powinny stanowić fundament wielowarstwowej ochrony organizacji, dając możliwość szybkiego wykrywania i reagowania na wszelką złośliwą aktywność, odnotowywaną w sieciach firmowych – zauważa Kamil Sadkowski z ESET.

Już po RODO, ale przed NIS2

Po roku 2018 wiele polskich firm przeżyło mały wstrząs. Okazało się, że ochrona danych osobowych nie będzie już tylko czczym wymogiem prawnym. Incydenty trzeba będzie naprawdę obsługiwać, czasem publicznie ogłaszać, a opieszałość może się skończyć karą. Wszyscy pamiętamy panikę jaka temu towarzyszyła.

Autorzy raportu ESET i DAGMA Bezpieczeństwo IT chcieli sprawdzić, czy udało się firmom dostosować do RODO. Blisko 7 na 10 badanych uważa, że owszem, skutecznie dostosowały się do wymogów rozporządzenia. Natomiast tylko 7% z nich nie zgadza się z tym stwierdzeniem, a 25 nie ma na ten temat jednoznacznej opinii. Paradoksalnie można to odczytać jako pewien postęp (to nasz wniosek – nie autorów raportu). Firmy już rozumieją, że “RODO tkwi w szczegółach”. Zaczynają rozumieć, że nie da kupić “zgodności z RODO”. Mają  bardziej niż kiedyś świadomość problemowych kwestii (np. niejasnych przepisów w zakresie okresów przechowywania danych albo rozproszenia przepisów o ochronie danych po różnych ustawach).

Niebawem będziemy przeżywać podobny ból jak ten poRODOwy. Wiele firm obejmie nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa, której wprowadzenie wiąże się z unijną dyrektywą NIS2. Czy to zmusi firmy do inwestowania w bezpieczeństwo? Cóż. Na to pytanie częściowo odpowiada dalsza część raportu poświęcona właśnie wydatkom.

Działanie “reponsywne” zamiast świadomości

Z badania wynika, że specjaliści od cyber uznają wydatki na ten obszar za zbyt małe. To nie dziwi bo każdy lubi widzieć pieniądze na własnym podwórku. Ciekawie natomiast wygląda zestawienie kluczowych obszarów, które według specjalistów wymagają doinwestowania.

Szkolenia, reagowanie, ochrona sieci. To bardzo oczywiste kierunki inwestycji. Jednak tym razem do czołowej piątki wskoczyły rozwiązania klasy EDR i XDR. 46% firm deklaruje zwiększenie wydatków właśnie w tym obszarze. Ten obszar nie był wcześniej tak wyraźnie dostrzegany w podobnych badaniach.

Jeśli chodzi o przeszkody w dalszych inwestycjach w cyberbezpieczeństwo to według ekspertów można zauważyć kilka kluczowych barier. Przede wszystkim ograniczenia budżetowe (szczególnie wobec innych priorytetów firm), a także opór ze strony pracowników i… jednak wciąż niska świadomość wśród personelu oraz liderów organizacji.

— Budżetowanie i wydatkowanie w obszarze cyberbezpieczeństwa to temat często stymulowany czynnikami innymi niż strategia biznesowa  – zauważa Dawid Zięcina, Technical Department Director, DAGMA Bezpieczeństwo IT – Inwestycje w cyberbezpieczeństwo zyskują na znaczeniu poprzez wpływ czynników zewnętrznych jak np. regulacje na poziomie państwa czy wymagania partnerów biznesowych. Wzrost wydatków na cyberbezpieczeństwo potwierdzają firmy, w których dochodzi do incydentów. Powyższe scenariusze pokazują, że decydentom z jednej strony brakuje nadal przekonania o wpływie cyberodporności na rozwój organizacji, a decyzje o podniesieniu wydatków w tym obszarze podejmują często na podstawie poniesionych strat w wyniku cyberataków. Jest to działanie  responsywne, pokazujące niską świadomość o istotności cyberbezpieczeństwa dla organizacji.

W tym miejscu wracamy do kwestii RODO I NIS2. Badanie (i komentujący je eksperci) potwierdzają, że naciski od strony prawnej naprawdę przyczyniają się do podnoszenia poziomu bezpieczeństwa. Z drugiej strony nawet wiele lat po wdrożeniu RODO widzieliśmy spektakularne wycieki będące skutkiem bardzo oczywistych zaniedbań. Stąd zgodzimy się, że trzeba budować większą świadomość, a wyniki wspomnianych badań mogą temu służyć. Szczegóły na jego temat znajdziecie w raporcie Cyberportret polskiego biznesu.

Niniejszy artykuł to materiał sponsorowany i za jego publikację redakcja Niebezpiecznika otrzymała wynagrodzenie, ale raport jest jak najbardziej warty lektury, więc rzućcie na niego okiem.