Newsy

Polskie firmy nieprzygotowane na cyberataki. Od 2018 r. zmiany wymusi restrykcyjne unijne prawo

2016-12-06  |  06:55

Połowa dużych firm zamierza w ciągu dwóch lat zwiększyć wydatki na bezpieczeństwo systemów informatycznych i ochronę danych. To o tyle istotne, że 40 proc. z nich nie ma nawet scenariusza awaryjnego na wypadek cyberataku. Restrykcyjne wymogi nałożą na firmy i przedsiębiorców unijne przepisy, które wejdą w życie w 2018 roku. Eksperci podkreślają, że kluczem do cyberbezpieczeństwa jest jednak wymiana informacji oraz współpraca biznesu z administracją publiczną.

Zarządy wielu firm nie do końca są świadome tego, że cyberbezpieczeństwo kosztuje. To około 10–20 proc. wydatków na IT, które są jednymi z większych kosztów ponoszonych przez organizacje, zwłaszcza bazujące na technologii. Koszty związane z cyberbezpieczeństwem pozornie się nie zwracają, nie generują przychodów, ale bez nich nie da się zapewnić należytej ochrony, w efekcie cierpią na tym dane klientów i firma, która nie ma odpowiednich zabezpieczeń – podkreśla w rozmowie z agencją informacyjną Newseria Biznes Artur Józefiak, dyrektor zespołu ds. bezpieczeństwa cyfrowego Accenture Polska.

Jak wynika z badania, które w październiku przeprowadził Ipsos na zlecenie Intela, 50 proc. dużych firm w Polsce planuje zwiększyć inwestycje w obszar bezpieczeństwa informatycznego w ciągu najbliższych dwóch lat. Zdaniem menadżerów IT zagrożenia związane z cyberatakami i wyciekami danych sprawiają, że zwiększanie wydatków i wdrażanie efektywnych technologii zabezpieczających staje się koniecznością.

Z danych firmy Intel wynika również, że polskie przedsiębiorstwa nie są przygotowane na cyberataki. Aż 40 proc. dużych firm nie ma scenariusza awaryjnego na wypadek takiego zagrożenia, a 62 proc. wykorzystuje hasło jako jedyną metodę uwierzytelniania. Z drugiej strony w 27 proc. przedsiębiorstw doszło w ostatnim czasie do incydentów takich jak dostęp nieuprawnionych osób do danych firmowych, atak złośliwego oprogramowania albo wyciek danych.

Do niedawna wymogi cyberbezpieczeństwa były traktowane z przymrużeniem oka. To się zmieni, ponieważ Unia Europejska i Polska podejmują konkretne działania, żeby zwiększyć poziom bezpieczeństwa informatycznego i podnieść odporność na cyberzagrożenia. Duże zmiany na tym polu przyniesie rozporządzenie UE dot. ochrony danych osobowych (General Data Protection Regulation EU 2016/679) oraz dyrektywa dot. bezpieczeństwa sieci i informacji (Network and Infrastructure Security), która również wymusza posiadanie odpowiednich funkcji cyberbezpieczeństwa – wskazuje Artur Józefiak.

Dyrektywa GDPR (ang. General Data Protection Regulation) to przyjęte w tym roku unijne prawo, które nakłada duże wymogi na wszystkie podmioty, które zbierają i przetwarzają dane osobowe. Zgodnie z nowelizacją firmy i przedsiębiorcy będą musieli m.in. zadbać o ochronę danych osobowych już na etapie projektowania systemów informatycznych, uzyskiwać zgodę klienta na przetwarzanie jego danych oraz w ciągu 72 godzin zgłaszać incydenty wycieku albo nieautoryzowanego dostępu do danych osobowych. Za naruszenie przepisów będą grozić im wysokie kary finansowe, sięgające nawet 4 proc. rocznych obrotów przedsiębiorstwa.

Dyrektor zespołu ds. bezpieczeństwa cyfrowego w Accenture Polska podkreśla, że na dostosowanie się do nowych, unijnych wymogów polskie firmy mają niewiele ponad rok (dyrektywa GDPR wejdzie w życie w maju 2018 roku). Wiele przedsiębiorstw nie zdaje sobie jednak sprawy z konsekwencji nowych przepisów, a w przyszłorocznych budżetach nie ma zarezerwowanych wystarczających środków finansowych na wydatki związane z dostosowaniem procesów i systemów IT do regulacji.

Firmy, które chcą zwiększyć poziom bezpieczeństwa, muszą wykonać trzy kroki. Pierwszy z nich to wdrożenie działań prewencyjnych i przygotowawczych, które podnoszą odporność na zagrożenia. Można to porównać do utrzymywania wysokiej formy fizycznej, co przekłada się na odporność organizmu na wirusy. Podobnie budowanie zabezpieczeń i usuwanie luk bezpieczeństwa to klucz do odporności na cyberzagrożenia  – wskazuje Artur Józefiak.

Po drugie, przedsiębiorstwa powinny być zdolne do wykrywania cyberataków i na bieżąco aktualizować swój poziom zabezpieczeń. Trzeci krok do cyberbezpieczeństwa to zdolność reagowania na ataki, zarówno we współpracy z organami ścigania, jak i od strony wizerunkowej.

Nie możemy się łudzić, że firmy będą odporne na ataki. Obecnie nikt już nie ma wątpliwości, że przełamanie linii obrony jest kwestią czasu, więc musimy wiedzieć, jak na to reagować. To obejmuje zarówno działania po stronie informatyki, jak i reakcję PR-ową, komunikacyjną czy zdolność do współpracy z organami ścigania i różnego rodzaju służbami – wyjaśnia Artur Józefiak.

Zdaniem dyrektora ds. bezpieczeństwa cyfrowego w Accenture Polska kluczem do cyberbezpieczeństwa jest współpraca i wymiana informacji, zarówno pomiędzy firmami z sektora IT, jak i pomiędzy administracją państwową a biznesem. Doświadczenia innych krajów takich jak Wielka Brytania, Estonia i Izrael pokazują, że administracja publiczna odgrywa kluczową rolę w walce z cyberprzestępczością. Dlatego wypracowanie odpowiednich działań, przepisów i koordynacja działań z zakresu cyberbezpieczeństwa leży po stronie organów państwowych.

Współpraca i wymiana informacji w zakresie cyberbezpieczeństwa jest kluczem do tego, aby zapewnić wszystkim odporność na zagrożenia. Jeżeli zaatakowany zostanie jeden podmiot, to wszyscy mogą wypracować wspólną reakcję, a także rozpowszechnić sposób wykrywania i reagowania na atak. Ponadto, trzeba być zdolnym do zlikwidowania źródła ataku. Firmy i przedsiębiorstwa nie mają takich możliwości, stąd współpraca z administracją publiczną i z organami ścigania jest kluczowa dla cyberbezpieczeństwa – podkreśla Artur Józefiak.

Pod koniec września br. minister cyfryzacji Anna Streżyńska informowała, że w ciągu najbliższych czterech lat wydatki resortu i podległych mu organów związane z cyberbezpieczeństwem wyniosą około 50 mln zł. To konieczne, dlatego że cyberprzestępcy nieustannie podejmują działania wymierzone w kluczowe polskie instytucje. 

Czytaj także

Kalendarium

Więcej ważnych informacji

Ochrona środowiska

Prawnicy spodziewają się wysypu pozwów za zaniedbania Polski w polityce klimatycznej. Podobne sprawy toczą się w innych krajach

W połowie tego roku pięcioro Polaków pozwało Skarb Państwa o naruszenie swoich dóbr osobistych i zaniedbania w obszarze polityki klimatycznej. Chcą, żeby sąd zobowiązał rządzących do bardziej zdecydowanych działań na rzecz klimatu i 60-proc. redukcji emisji gazów cieplarnianych przed końcem tej dekady. – To przecieranie szlaków, więc nie chciałbym spekulować, ale na świecie podobne sprawy kończą się sukcesem – mówi Wojciech Kukuła, prawnik Fundacji ClientEarth Prawnicy dla Ziemi. Jak wskazuje, obecnie można już mówić o wysypie tego typu spraw, które toczą się w kilku innych krajach UE. Jednak Polska, której polityka klimatyczna należy do najmniej ambitnych w całej Europie, musi liczyć się z tym, że podobne roszczenia mogą kierować też inne państwa.

Konsument

W 2022 roku będą dotacje na wymianę kopciuchów w budynkach wielorodzinnych. Trwają też prace nad kolejną odsłoną Mojego Prądu

Trzecia edycja programu Mój Prąd, z budżetem przekraczającym 530 mln zł, wciąż cieszy się rekordową popularnością. Do tej pory do NFOŚiGW wpłynęło już ok. 150 tys. wniosków o dofinansowanie przydomowej fotowoltaiki. Fundusz szacuje, że budżet programu wystarczy w sumie na sfinansowanie ok. 178 tys. wniosków i przy obecnym tempie za chwilę się wyczerpie. NFOŚiGW pracuje już jednak nad uruchomieniem kolejnej, czwartej edycji, która ma zachęcić prosumentów do autokonsumpcji energii wytwarzanej w gospodarstwach domowych. Trwają też prace nad poszerzeniem kolejnego, popularnego programu Czyste Powietrze o dotacje na wymianę kopciuchów w budynkach wielolokalowych.

Zdrowie

Opieka nad seniorami i osobami z niepełnosprawnościami ma być świadczona w miejscu zamieszkania. Rząd pracuje nad zmianami w funkcjonowaniu domów pomocy społecznej

Rząd zapowiada odejście od opieki w dużych instytucjach na rzecz zapewnienia wsparcia w środowisku lokalnym, w miejscu zamieszkania – takie jest główne założenie „Strategii rozwoju usług społecznych”. Przede wszystkim zmieni się funkcja domów opieki społecznych. Planowany jest także rozwój mieszkalnictwa treningowego i wspomaganego, opieki wytchnieniowej, wsparcie asystencji osobistej osób starszych i osób z niepełnosprawnościami. Deinstytucjonalizacja obejmie także pieczę zastępczą – przedstawiona niedawno ustawa zakłada ułatwienia w tworzeniu i funkcjonowaniu rodzin zastępczych oraz zakaz tworzenia nowych placówek wychowawczo-opiekuńczych.

Firma

Design thinking staje się kluczową strategią w pracy nad innowacjami. Tę metodę wdraża coraz więcej firm z różnych branż

Myślenie projektowe, czyli design thinking, polega na twórczym projektowaniu rozwiązań, usług czy produktów, które w centrum zainteresowania stawia potrzeby odbiorcy. Pięcioetapowy proces wymaga stworzenia zespołu projektowego, w skład którego wchodzą eksperci z różnych działów. Nowa metoda prac nad nowymi wdrożeniami w firmie pozwala zwiększyć zaangażowanie pracowników i maksymalnie wykorzystać ich potencjał twórczy. Design thinking na całym świecie jest już podstawową strategią wykorzystywaną w tworzeniu innowacji. Polska ciągle jeszcze dopiero poznaje jej możliwości.