Ponad 70 proc. przedstawicieli małych firm ocenia ryzyko cyberataku jako niskie lub raczej niskie, choć około jedna czwarta z nich już doświadczyła incydentu. W przypadku dużych przedsiębiorstw skala problemu jest jeszcze większa – co druga firma padła ofiarą ataku.
Dane z badania Mastercard, przeprowadzonego na próbie 300 osób odpowiedzialnych za cyberbezpieczeństwo w firmach, pokazują wyraźną lukę między percepcją zagrożeń a rzeczywistością. To może mieć bezpośrednie konsekwencje dla bezpieczeństwa danych i ciągłości działania biznesu.
Małe firmy bagatelizują ryzyko
Z badania wynika, że aż 71 proc. przedstawicieli małych przedsiębiorstw ocenia ryzyko cyberataku jako niskie lub raczej niskie. W tej grupie 30 proc. uznaje je za „bardzo niskie”, a 41 proc. za „raczej niskie”. Jednocześnie tylko 5 proc. badanych widzi bardzo wysokie zagrożenie dla swojej organizacji.
Inaczej sytuację postrzegają duże firmy. W ich przypadku 18 proc. respondentów ocenia ryzyko jako wysokie lub bardzo wysokie. Oznacza to, że większe organizacje częściej dostrzegają skalę zagrożeń, co może wynikać z ich doświadczeń i większej ekspozycji na ataki.
Doświadczenie zmienia podejście
Firmy, które miały już do czynienia z cyberatakiem, wyraźnie inaczej oceniają ryzyko. W tej grupie 25 proc. uznaje je za wysokie, podczas gdy wśród przedsiębiorstw bez takich doświadczeń odsetek ten wynosi zaledwie 7 proc.
Najczęściej wskazywane obszary narażone na ataki to dane klientów (46 proc.) oraz dane finansowe i księgowe (41 proc.). W większych organizacjach katalog zagrożeń jest szerszy i obejmuje także systemy IT, bazy danych, dane pracowników oraz dokumenty strategiczne.
– Nasze badanie pokazało, że świadomość zagrożeń skorelowana jest z wielkością organizacji oraz z doświadczeniami firm. W przedsiębiorstwach zatrudniających powyżej 50 osób szczególnie narażone są wewnętrzne systemy IT, co może wynikać z ich większej złożoności i szerszego dostępu użytkowników. Firmy, które kiedykolwiek delegowały cyberbezpieczeństwo podmiotom zewnętrznym, częściej postrzegają dane klientów i dane pracowników jako obszary podatne na cyberataki – komentuje Małgorzata Domagała, VP, dyrektorka ds. produktów i rozwiązań Mastercard na Polskę, Czechy, Słowację.
Firmy reagują, ale głównie po fakcie
Z danych wynika, że cyberataki nie są incydentami jednostkowymi. Około jedna czwarta małych firm w Polsce doświadczyła naruszenia bezpieczeństwa. W przypadku średnich przedsiębiorstw było to 44 proc., a wśród dużych – już połowa.
Najczęściej ataki dotykają firm z branży produkcyjnej (49 proc.), handlowej (38 proc.) oraz e-commerce (34 proc.). Dominują ransomware, ataki socjotechniczne wykorzystujące e-mail lub SMS oraz próby przejęcia dostępu do systemów. Największym słabym ogniwem jest człowiek, bo ataki częściej wykorzystują błędy pracowników niż luki infrastrukturalne.
Większość przedsiębiorstw skupia się na działaniach po incydencie, a nie na zapobieganiu. Po cyberataku firmy najczęściej wzmacniają zabezpieczenia lub wdrażają nowe rozwiązania.
Duże organizacje częściej informują pracowników i izolują zainfekowane systemy. Z kolei mniejsze firmy częściej korzystają z pomocy zewnętrznych ekspertów.
Jednocześnie tylko 16 proc. dużych firm analizuje dokładnie skalę szkód i zakres naruszenia danych, a 12 proc. aktywuje formalny plan reagowania. W mniejszych firmach te odsetki są jeszcze niższe.
– Dlatego tak ważne są działania prewencyjne i edukacyjne, które pozwolą zwiększać świadomość na temat zagrożeń oraz wprowadzać standardy bezpiecznej higieny cyfrowej. Jak pokazują wyniki naszego badania, niski odsetek wskazań dla malware, resource manipulation i reconnaissance sugeruje, że organizacje dostrzegają incydenty dopiero w fazie następstw, a nie na etapie wczesnego rozpoznania – mówi Małgorzata Domagała.
Brakuje procedur i szkoleń
Różnice między firmami widać także w przygotowaniu organizacyjnym. Plan reagowania na incydenty posiada 78 proc. dużych organizacji, ale tylko 18 proc. małych firm.
Jeszcze większa luka dotyczy szkoleń. 64 proc. dużych przedsiębiorstw szkoli pracowników przynajmniej raz w roku. W przypadku małych firm więcej niż połowa (54 proc.) nigdy nie przeprowadziło takich działań.
To oznacza, że w wielu organizacjach pracownicy nie są przygotowani na rozpoznanie zagrożeń, mimo że to właśnie oni najczęściej stają się punktem wejścia dla cyberprzestępców.
Najsłabsze ogniwo w łańcuchu
Badanie pokazuje wyraźną asymetrię między dużymi i małymi firmami. Większe podmioty są bardziej świadome zagrożeń i lepiej przygotowane systemowo. Z kolei mniejsze organizacje często nie dostrzegają ryzyka lub uznają, że ich nie dotyczy.
– Nic bardziej mylnego. Cyberprzestępcy szukają najsłabszych ogniw w łańcuchu – często są nimi nieświadomi pracownicy oraz mniejsze i słabiej zabezpieczone organizacje, których luki w infrastrukturze mogą narazić na niebezpieczeństwo także większe, powiązane z nimi firmy – dodaje Małgorzata Domagała.
W efekcie oznacza to, że bezpieczeństwo cyfrowe nie jest już wyłącznie problemem pojedynczej firmy. W dobie powiązań biznesowych słabo zabezpieczony podmiot może stać się punktem wejścia do całego łańcucha dostaw.
– Wspólnym interesem całego rynku – zarówno dużych, jak i małych podmiotów – jest zbudowanie odporności cyfrowej po to, aby wzajemnie się wzmacniać i uzupełniać – mówi ekspertka.
Przeczytaj także:
- Brak cen, błędne promocje. Inspekcja Handlowa ujawnia nieprawidłowości
- Co jeśli konflikt na Bliskim Wschodzie się przedłuży? Ceny ropy, inflacja i ryzyko recesji
- Młodzi Polacy nie korzystają z benefitów. Często… o nich zapominają
- E-mail i Excel zamiast AI. Logistyka zostaje w tyle przez brak cyfryzacji