Home Bezpieczeństwo Wiemy, że nas okradną. I nic z tym nie robimy.

Wiemy, że nas okradną. I nic z tym nie robimy.

0
0
143

Co druga polska firma z sektora MŚP miała w ciągu ostatnich dwóch lat incydent naruszenia bezpieczeństwa. Co druga. To nie jest statystyka z dystopijnej powieści – to wynik badania przeprowadzonego przez PMR by Hume’s Institute na zlecenie EXEA Data Center.

I gdyby poprzestać tylko na tej jednej liczbie, artykuł można by właściwie skończyć. Ale diabeł, jak zwykle, tkwi w szczegółach.

Świadomość bez działania to tylko dobra mina do złej gry

Zacznijmy od paradoksu, który aż prosi się o komentarz. Blisko 80 proc. małych i średnich przedsiębiorstw deklaruje, że cyberbezpieczeństwo to dla nich wysoki priorytet. Brzmi dobrze. Wygląda poważnie. Problem w tym, że wieloskładnikowe uwierzytelnianie – czyli coś, co każdy specjalista od bezpieczeństwa wymienia jako absolutne minimum – stosuje zaledwie 47 proc. z nich. Regularne kopie zapasowe robi 46 proc. Szyfrowanie dysków? 34 proc. Wymuszona zmiana haseł? 33 proc.

Innymi słowy: mówimy, że nam zależy, ale nie zakładamy kasku, wychodząc na budowę.

To nie jest zjawisko nowe ani specyficznie polskie. Ale w kontekście nadchodzącej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wdroży unijną dyrektywę NIS2 do polskiego prawa, ta przepaść między deklaracjami a rzeczywistością zaczyna boleć bardziej niż zwykle.

NIS2, czyli regulacja, która nie pyta o zdanie

Dyrektywa NIS2 obowiązuje w UE od października 2024 roku. Polska wciąż pracuje nad jej implementacją, ale kierunek jest jasny: cyberbezpieczeństwo przestaje być sprawą działu IT, a staje się odpowiedzialnością całej organizacji – łącznie z zarządem. Ciągłość działania, zarządzanie ryzykiem, procedury reagowania na incydenty – to nie są już opcjonalne dodatki dla dużych korporacji. To obowiązek, który dotknie też firmy zatrudniające kilkanaście osób.

I tu pojawia się kolejna liczba, która nie daje spokoju: 91 proc. firm planuje wydatki IT w związku z NIS2. 81 proc. zapowiada wzrost budżetów na cyberbezpieczeństwo. Brzmi jak dobra wiadomość – i pewnie nią jest. Ale warto zapytać, skąd nagle ta mobilizacja. Czy to dojrzałość? Czy raczej strach przed karą?

Magdalena Mike, prezes EXEA, ujmuje to bez owijania w bawełnę: „Świadomość zagrożeń jest wysoka, ale bez uporządkowanych procesów i jasno przypisanej odpowiedzialności trudno mówić o realnej odporności.” Można to przetłumaczyć jeszcze prościej: kupno drogiego zamka nie pomoże, jeśli nikt nie wie, kto ma klucz.

Brakuje ludzi, nie pieniędzy

Największą barierą we wdrożeniu sensownych zabezpieczeń nie są koszty – choć 58 proc. firm przyznaje, że wydatki na cyberbezpieczeństwo mogą wymusić podwyżki cen produktów i usług. Największym problemem jest brak wykwalifikowanych pracowników, wskazywany przez 35 proc. respondentów.

Stąd rosnąca popularność modelu hybrydowego: 72 proc. firm łączy własne zespoły IT z zewnętrznymi dostawcami. I tu ciekawostka – przy wyborze partnera liczy się przede wszystkim wiedza specjalistyczna (39 proc.) i elastyczność (36 proc.), a cena dopiero na końcu (25 proc.). Może to i znak dojrzałości rynku. A może po prostu efekt tego, że po pierwszym poważnym incydencie przestaje się targować.

Kopia zapasowa na pendrivie to nie strategia

Osobny rozdział to ochrona danych. Mimo że ponad połowa firm korzysta z chmury, kopie zapasowe wciąż lądują głównie na urządzeniach NAS (52 proc.) i wewnętrznych serwerach (48 proc.). Backup w chmurze stosuje 40 proc. firm. A 35 proc. małych przedsiębiorstw trzyma dane na nośnikach przenośnych.

Co gorsza – 30 proc. firm nie ma żadnych powtarzalnych procedur weryfikacji, czy kopia zapasowa w ogóle działa. Czyli: robimy backup, ale nie sprawdzamy, czy da się z niego skorzystać. To trochę jak kupowanie gaśnicy i chowanie jej za szafą.

Puenta, która nie jest pocieszeniem

Łukasz Ozimek z EXEA mówi wprost: „W sytuacji incydentu liczą się minuty i gotowość do działania, a nie szumne deklaracje.” I to jest właśnie sedno całej tej historii. NIS2 nie jest kolejnym biurokratycznym wymysłem Brukseli. To odpowiedź na świat, w którym cyberatak na małą firmę produkcyjną może zatrzymać łańcuch dostaw dla dużego kontrahenta. W którym zhakowany podwykonawca staje się furtką do systemu klienta.

Polskie MŚP mają świadomość zagrożeń. Mają coraz większe budżety. Brakuje im procesów, ludzi i – powiedzmy to uczciwie – odrobiny pokory wobec tematu, który przez lata traktowały jako problem innych. Regulacja ich do tego zmusi. Pytanie tylko, czy zdążą się przygotować, zanim ktoś zapuka do drzwi bez zaproszenia.

Dodaj komentarz

Przeczytaj również

Nowe przepisy celne: czy logistyka przeniesie się do UE?

Z początkiem lipca weszły w życie przepisy dotyczące przesyłek spoza UE, które zmieniają z…