Polskie firmy nieprzygotowane na cyberataki. Od 2018 r. zmiany wymusi restrykcyjne unijne prawo

Połowa dużych firm zamierza w ciągu dwóch lat zwiększyć wydatki na bezpieczeństwo systemów informatycznych i ochronę danych. To o tyle istotne, że 40 proc. z nich nie ma nawet scenariusza awaryjnego na wypadek cyberataku. Restrykcyjne wymogi nałożą na firmy i przedsiębiorców unijne przepisy, które wejdą w życie w 2018 roku. Eksperci podkreślają, że kluczem do cyberbezpieczeństwa jest jednak wymiana informacji oraz współpraca biznesu z administracją publiczną.

– Zarządy wielu firm nie do końca są świadome tego, że cyberbezpieczeństwo kosztuje. To około 10–20 proc. wydatków na IT, które są jednymi z większych kosztów ponoszonych przez organizacje, zwłaszcza bazujące na technologii. Koszty związane z cyberbezpieczeństwem pozornie się nie zwracają, nie generują przychodów, ale bez nich nie da się zapewnić należytej ochrony, w efekcie cierpią na tym dane klientów i firma, która nie ma odpowiednich zabezpieczeń – podkreśla w rozmowie z agencją informacyjną Newseria Biznes Artur Józefiak, dyrektor zespołu ds. bezpieczeństwa cyfrowego Accenture Polska.

Jak wynika z badania, które w październiku przeprowadził Ipsos na zlecenie Intela, 50 proc. dużych firm w Polsce planuje zwiększyć inwestycje w obszar bezpieczeństwa informatycznego w ciągu najbliższych dwóch lat. Zdaniem menadżerów IT zagrożenia związane z cyberatakami i wyciekami danych sprawiają, że zwiększanie wydatków i wdrażanie efektywnych technologii zabezpieczających staje się koniecznością.

Z danych firmy Intel wynika również, że polskie przedsiębiorstwa nie są przygotowane na cyberataki. Aż 40 proc. dużych firm nie ma scenariusza awaryjnego na wypadek takiego zagrożenia, a 62 proc. wykorzystuje hasło jako jedyną metodę uwierzytelniania. Z drugiej strony w 27 proc. przedsiębiorstw doszło w ostatnim czasie do incydentów takich jak dostęp nieuprawnionych osób do danych firmowych, atak złośliwego oprogramowania albo wyciek danych.

– Do niedawna wymogi cyberbezpieczeństwa były traktowane z przymrużeniem oka. To się zmieni, ponieważ Unia Europejska i Polska podejmują konkretne działania, żeby zwiększyć poziom bezpieczeństwa informatycznego i podnieść odporność na cyberzagrożenia. Duże zmiany na tym polu przyniesie rozporządzenie UE dot. ochrony danych osobowych (General Data Protection Regulation EU 2016/679) oraz dyrektywa dot. bezpieczeństwa sieci i informacji (Network and Infrastructure Security), która również wymusza posiadanie odpowiednich funkcji cyberbezpieczeństwa – wskazuje Artur Józefiak.

Dyrektywa GDPR (ang. General Data Protection Regulation) to przyjęte w tym roku unijne prawo, które nakłada duże wymogi na wszystkie podmioty, które zbierają i przetwarzają dane osobowe. Zgodnie z nowelizacją firmy i przedsiębiorcy będą musieli m.in. zadbać o ochronę danych osobowych już na etapie projektowania systemów informatycznych, uzyskiwać zgodę klienta na przetwarzanie jego danych oraz w ciągu 72 godzin zgłaszać incydenty wycieku albo nieautoryzowanego dostępu do danych osobowych. Za naruszenie przepisów będą grozić im wysokie kary finansowe, sięgające nawet 4 proc. rocznych obrotów przedsiębiorstwa.

Dyrektor zespołu ds. bezpieczeństwa cyfrowego w Accenture Polska podkreśla, że na dostosowanie się do nowych, unijnych wymogów polskie firmy mają niewiele ponad rok (dyrektywa GDPR wejdzie w życie w maju 2018 roku). Wiele przedsiębiorstw nie zdaje sobie jednak sprawy z konsekwencji nowych przepisów, a w przyszłorocznych budżetach nie ma zarezerwowanych wystarczających środków finansowych na wydatki związane z dostosowaniem procesów i systemów IT do regulacji.

– Firmy, które chcą zwiększyć poziom bezpieczeństwa, muszą wykonać trzy kroki. Pierwszy z nich to wdrożenie działań prewencyjnych i przygotowawczych, które podnoszą odporność na zagrożenia. Można to porównać do utrzymywania wysokiej formy fizycznej, co przekłada się na odporność organizmu na wirusy. Podobnie budowanie zabezpieczeń i usuwanie luk bezpieczeństwa to klucz do odporności na cyberzagrożenia  – wskazuje Artur Józefiak.

Po drugie, przedsiębiorstwa powinny być zdolne do wykrywania cyberataków i na bieżąco aktualizować swój poziom zabezpieczeń. Trzeci krok do cyberbezpieczeństwa to zdolność reagowania na ataki, zarówno we współpracy z organami ścigania, jak i od strony wizerunkowej.

– Nie możemy się łudzić, że firmy będą odporne na ataki. Obecnie nikt już nie ma wątpliwości, że przełamanie linii obrony jest kwestią czasu, więc musimy wiedzieć, jak na to reagować. To obejmuje zarówno działania po stronie informatyki, jak i reakcję PR-ową, komunikacyjną czy zdolność do współpracy z organami ścigania i różnego rodzaju służbami – wyjaśnia Artur Józefiak.

Zdaniem dyrektora ds. bezpieczeństwa cyfrowego w Accenture Polska kluczem do cyberbezpieczeństwa jest współpraca i wymiana informacji, zarówno pomiędzy firmami z sektora IT, jak i pomiędzy administracją państwową a biznesem. Doświadczenia innych krajów takich jak Wielka Brytania, Estonia i Izrael pokazują, że administracja publiczna odgrywa kluczową rolę w walce z cyberprzestępczością. Dlatego wypracowanie odpowiednich działań, przepisów i koordynacja działań z zakresu cyberbezpieczeństwa leży po stronie organów państwowych.

– Współpraca i wymiana informacji w zakresie cyberbezpieczeństwa jest kluczem do tego, aby zapewnić wszystkim odporność na zagrożenia. Jeżeli zaatakowany zostanie jeden podmiot, to wszyscy mogą wypracować wspólną reakcję, a także rozpowszechnić sposób wykrywania i reagowania na atak. Ponadto, trzeba być zdolnym do zlikwidowania źródła ataku. Firmy i przedsiębiorstwa nie mają takich możliwości, stąd współpraca z administracją publiczną i z organami ścigania jest kluczowa dla cyberbezpieczeństwa – podkreśla Artur Józefiak.

Pod koniec września br. minister cyfryzacji Anna Streżyńska informowała, że w ciągu najbliższych czterech lat wydatki resortu i podległych mu organów związane z cyberbezpieczeństwem wyniosą około 50 mln zł. To konieczne, dlatego że cyberprzestępcy nieustannie podejmują działania wymierzone w kluczowe polskie instytucje.