W 2023 roku 66% firm w Polsce odnotowaĆo przynajmniej jeden incydent polegajÄ cy na naruszeniu bezpieczeĆstwa, a 34% firm zauwaĆŒyĆo wzrost intensywnoĆci prĂłb cyberatakĂłw. PoĆowa organizacji wskazuje na trudnoĆci zwiÄ zane z rekrutacjÄ i utrzymaniem wykwalifikowanych pracownikĂłw jako najwiÄkszy problem w osiÄ gniÄciu odpowiedniego poziomu zabezpieczeĆ. Z badania KPMG w Polsce wynika, ĆŒe spadĆy obawy firm zwiÄ zane z dziaĆaniami zorganizowanych grup cyberprzestÄpczych, ktĂłre sÄ uznawane za najwiÄksze zagroĆŒenie w sieci. JednoczeĆnie dla zdecydowanej wiÄkszoĆci organizacji RODO jest priorytetowym standardem zgodnoĆci IT i ochrony danych osobowych.
W 2023 roku 66% firm w Polsce badanych przez KPMG odnotowaĆo incydenty polegajÄ ce na naruszeniu bezpieczeĆstwa â co stanowi wzrost o 8 p.p. w porĂłwnaniu z 2022 rokiem. 1 na 10 badanych organizacji w ciÄ gu poprzedniego roku zarejestrowaĆa ponad 30 cyberincydentĂłw. WÂ tej grupie prawie jednÄ trzeciÄ stanowiĆy duĆŒe firmy zatrudniajÄ ce powyĆŒej 250 pracownikĂłw. Jedna trzecia firm zaobserwowaĆa w 2023 roku znaczÄ cy wzrost liczby prĂłb cyberatakĂłw. 60% firm uwaĆŒa, ĆŒe ich liczba pozostaĆa na podobnym poziomie â w porĂłwnaniu z 2022 rokiem.
Pomimo wiÄkszej liczby zaobserwowanych naruszeĆ bezpieczeĆstwa w 2023 roku, w tegorocznej edycji badania zauwaĆŒalny jest spadek obaw przedsiÄbiorstw zwiÄ zanych z zagroĆŒeniami ze strony rĂłĆŒnych cyberprzestÄpcĂłw. O 17 p.p. zmniejszyĆy siÄ obawy dot. dziaĆania zorganizowanych grup cyberprzestÄpczych, ktĂłre wciÄ ĆŒ pozostajÄ w oczach respondentĂłw najwiÄkszym zagroĆŒeniem w sieci (53% wskazaĆ). Z kolei o 14 p.p. zmniejszyĆ siÄ odsetek firm, ktĂłre obawiajÄ siÄ cyberterrorystĂłw. PoĆowa respondentĂłw obawia siÄ zagroĆŒenia wynikajÄ cego z dziaĆalnoĆci pojedynczych hakerĂłw. Blisko ÂŒ firm dostrzega zagroĆŒenie pĆynÄ ce z dziaĆania niezadowolonych lub podkupionych pracownikĂłw. W kontekĆcie trwajÄ cej wojny w Ukrainie, odsetek firm wskazujÄ cych na zagroĆŒenie ze strony grup wspieranych przez obce paĆstwa zmniejszyĆ siÄ z 38% do 24%.
Wysoce niepokoi zmniejszenie obaw polskich firm wzglÄdem zaawansowanych grup cyberprzestÄpczych. Przy obecnej sytuacji geopolitycznej nasilenie cyberatakĂłw ze strony grup wspieranych przez obce paĆstwa jest bardzo prawdopodobne. Cyberwojna trwa. SzczegĂłlnie naraĆŒeni na cyberataki sÄ operatorzy usĆug kluczowych. Konieczne jest dziĆ zwiÄkszenie czujnoĆci oraz zapewnienie peĆnej gotowoĆci zespoĆĂłw cyberbezpieczeĆstwa. Wykrycie zaawansowanych hakerĂłw, ktĂłrzy mogÄ byÄ juĆŒ w sieci, wymaga proaktywnych dziaĆaĆ oraz wsparcia nowoczesnymi narzÄdziami â mĂłwi MichaĆ Kurek, Partner w Dziale Consultingu, Szef ZespoĆu CyberbezpieczeĆstwa w KPMG w Polsce i Europie Ćrodkowo-Wschodniej.
Firmy najbardziej obawiajÄ siÄ wyĆudzenia danych uwierzytelniajÄ cych
Firmy biorÄ ce udziaĆ w badaniu KPMG zadeklarowaĆy, ĆŒe najwiÄkszym cyberzagroĆŒeniem sÄ dla nich wyĆudzenia danych uwierzytelniajÄ cych (phishing) oraz wycieki danych za poĆrednictwem zĆoĆliwego oprogramowania (malware). W czoĆĂłwce zagroĆŒeĆ organizacje wymieniajÄ rĂłwnieĆŒ: kradzieĆŒ danych przez pracownikĂłw oraz zaawansowane ataki ze strony profesjonalistĂłw (Advanced Persistent Threat). Ponad jedna trzecia firm za caĆkowicie nieistotne niebezpieczeĆstwa cyfrowe uznaĆa ataki na ĆaĆcuch dostaw za poĆrednictwem partnerĂłw biznesowych.
Jedna piÄ ta respondentĂłw zadeklarowaĆa peĆnÄ dojrzaĆoĆÄ swoich zabezpieczeĆ w wiÄkszoĆci analizowanych obszarĂłw â co stanowi wynik lepszy o 6 p.p. w stosunku do poprzedniej edycji badania. NajwyĆŒszy poziom bezpieczeĆstwa organizacje zgĆaszajÄ w obszarze bezpieczeĆstwa styku z internetem, ochronÄ przed zĆoĆliwym oprogramowaniem oraz reagowaniem na incydenty bezpieczeĆstwa. Podobnie wysoko oceniane jest bezpieczeĆstwo sieci wewnÄtrznej, ktĂłre rĂłwnieĆŒ zostaĆo uznane za obszar w peĆni dojrzaĆy przez ponad 40% ankietowanych.
Brak pracownikĂłw najwiÄkszÄ barierÄ w budowaniu bezpieczeĆstwa IT
NajwiÄkszym wyzwaniem dla firm w osiÄ gniÄciu odpowiedniego poziomu zabezpieczeĆ sÄ obecnie trudnoĆci zwiÄ zane z rekrutacjÄ i utrzymaniem wykwalifikowanych pracownikĂłw, na ktĂłre wskazaĆo 53% organizacji. Brak wystarczajÄ cych budĆŒetĂłw, choÄ wciÄ ĆŒ istotny, spadĆ na drugie miejsce (43% wskazaĆ). Dodatkowo na zbliĆŒonym poziomie pozostajÄ inne wyzwania: brak klarownie zdefiniowanych wskaĆșnikĂłw oraz brak peĆnego zaangaĆŒowania biznesu i najwyĆŒszego kierownictwa. Jedna czwarta badanych wskazaĆa rĂłwnieĆŒ brak odpowiedniego przypisania odpowiedzialnoĆci w zakresie bezpieczeĆstwa.
Jednym ze sposobĂłw dbania o cyberbezpieczeĆstwo w firmach jest zlecanie realizacji funkcji lub procesĂłw bezpieczeĆstwa na zewnÄ trz. Zdecydowana wiÄkszoĆÄ badanych przez KPMG firm zleca rĂłĆŒnorodne aspekty bezpieczeĆstwa danych zewnÄtrznym dostawcom. W 2023 roku z outsourcingu korzystaĆo 84% organizacji. Do najczÄĆciej zlecanych na zewnÄ trz zadaĆ naleĆŒÄ programy podnoszenia ĆwiadomoĆci pracownikĂłw (42% wskazaĆ), wsparcie w reakcji na cyberataki (40% wskazaĆ) oraz analiza zĆoĆliwego oprogramowania (39% wskazaĆ).
RODO dla wiÄkszoĆci firm stanowi priorytetowy standard zgodnoĆci IT
Standardy zgodnoĆci IT i ochrony prywatnoĆci danych odgrywajÄ kluczowÄ rolÄ w cyfrowym Ćwiecie, dostarczajÄ c ram dla efektywnej ochrony informacji oraz przestrzegania przepisĂłw dotyczÄ cych prywatnoĆci. 85% badanych firm zadeklarowaĆo, ĆŒe RODO stanowi najwaĆŒniejszy aspekt w ich strukturze organizacyjnej (95% wskazaĆ w przypadku najwiÄkszych firm). Na kolejnych miejscach znalazĆy siÄ ustawa o krajowym systemie cyberbezpieczeĆstwa, na ktĂłrÄ wskazaĆo 59% firm. Z kolei mniej znaczÄ ce dla respondentĂłw wydajÄ siÄ regulacje dotyczÄ ce klasyfikowania systemĂłw sztucznej inteligencji wedĆug ryzyka i wprowadzania zrĂłĆŒnicowanych wymagaĆ dotyczÄ cych ich rozwoju i uĆŒytkowania (AI Act), a takĆŒe regulacja Parlamentu i Rady Europejskiej dotyczÄ ca operacyjnej odpornoĆci cyfrowej sektora finansowego (DORA).
W odpowiedzi na rosnÄ ce cyberzagroĆŒenia, Unia Europejska wprowadza inicjatywy regulacyjne, takie jak dyrektywa NIS2 i rozporzÄ dzenie DORA, majÄ ce na celu zwiÄkszenie cyberodpornoĆci regionu. DORA wprowadza nadzĂłr nad dostawcami kluczowych usĆug ICT, ujednolicajÄ c poziom bezpieczeĆstwa w ramach caĆego ĆaĆcucha dostaw w sektorze finansowym, podczas gdy NIS2 rozszerza ochronÄ na nowe sektory gospodarki, podkreĆlajÄ c strategiczne znaczenie cyberbezpieczeĆstwa. Implementacja tych przepisĂłw moĆŒe byÄ wyzwaniem dla przedsiÄbiorstw, wymagajÄ c adaptacji do nowych wymogĂłw i przygotowania na dynamiczne zmiany w regulacjach cyberbezpieczeĆstwa w Europie â mĂłwi Marcin Kieszkowski, Starszy MenedĆŒer w Dziale Consultingu w Zespole CyberbezpieczeĆstwa w KPMG w Polsce.
ZaangaĆŒowanie w nowy kodeks postÄpowania branĆŒowego RODO w kontekĆcie cyberbezpieczeĆstwa jest czÄĆciÄ procedury dostosowania siÄ do regulacji ochrony danych osobowych oraz elementem procesu podnoszenia standardĂłw bezpieczeĆstwa. WÂ odpowiedzi na to wyzwanie 82% organizacji zadeklarowaĆo swoje zaangaĆŒowanie w ten proces.
BezpieczeĆstwo danych osobowych, ze wzglÄdu na powszechnoĆÄ regulacji RODO, jest od kilku lat najistotniejszym wyzwaniem, z ktĂłrym mierzÄ siÄ przedsiÄbiorcy. Wsparciem w uzyskaniu zgodnoĆci mogÄ byÄ branĆŒowe kodeksy postÄpowania. WiÄkszoĆÄ takich dokumentĂłw jest jeszcze na etapie projektowania, ale przykĆady juĆŒ zatwierdzonych kodeksĂłw oraz ogromne zainteresowanie zaangaĆŒowaniem w nowe inicjatywy ĆwiadczÄ o istotnoĆci tego narzÄdzia â mĂłwi Piotr Burzyk, Starszy MenedĆŒer w Dziale Consultingu w Zespole CyberbezpieczeĆstwa w KPMG w Polsce.
Istotnym elementem wspierajÄ cym organizacjÄ w utrzymaniu wysokiego poziomu bezpieczeĆstwa informatycznego oraz speĆnianiu obowiÄ zujÄ cych norm i przepisĂłw jest monitorowanie i raportowanie zgodnoĆci z wymogami IT. Ponad trzy czwarte respondentĂłw wskazaĆo wewnÄtrzne narzÄdzia, a ponad poĆowa zdecydowaĆa siÄ na zewnÄtrzne audyty jako najskuteczniejsze metody ochrony danych. JednoczeĆnie 45% organizacji jest przekonanych, ĆŒe sÄ bardzo dobrze lub dobrze przygotowane do zmieniajÄ cych siÄ regulacji.
MÄ dra (polska) firma po szkodzie?
Firmy, ktĂłre w przeszĆoĆci zetknÄĆy siÄ z naruszeniem zgodnoĆci IT, deklarujÄ , ĆŒe w ramach podjÄtych krokĂłw naprawczych przede wszystkim zorganizowaĆo szkolenia dla pracownikĂłw (44% wskazaĆ). 39% organizacji wzmocniĆo swoje zabezpieczenia IT, a 1/3 firm wprowadziĆa caĆkowicie nowe procedury bezpieczeĆstwa lub dokonaĆa aktualizacji istniejÄ cych polityk bezpieczeĆstwa. ZaskakujÄ cy jest fakt, ĆŒe 32% respondentĂłw nie zrobiĆo nic po wykrytym naruszeniu zgodnoĆci IT.
W zapewnieniu cyberbezpieczeĆstwa kluczowe jest rĂłwnieĆŒ zapewnienie bezpiecznych partnerstw z innymi firmami. Z badania KPMG w Polsce wynika, ĆŒe firmy stosujÄ rĂłĆŒnorodne strategie i procedury majÄ ce na celu skutecznÄ weryfikacjÄ oraz nadzĂłr nad swoimi podwykonawcami. NajczÄĆciej jest to ankieta ochrony danych wypeĆniana na etapie wyboru dostawcy lub zawarcia umowy (51% wskazaĆ). Inne popularne narzÄdzia weryfikacji to ankieta bezpieczeĆstwa (42% wskazaĆ) oraz audyt bezpieczeĆstwa informacji u podwykonawcy (34% wskazaĆ).
O RAPORCIE:
Raport KPMG w Polsce pt. âBarometr cyberbezpieczeĆstwa. Na fali, czy w labiryncie regulacji?â powstaĆ na podstawie badania przeprowadzonego na prĂłbie 100 organizacji w Polsce o przychodach powyĆŒej 50 mln zĆotych. Jest to siĂłdma edycja badania przeprowadzonego przez KPMG w Polsce, ktĂłrego celem jest poznanie dynamiki i charakterystyki cyberatakĂłw oraz przygotowania na nie przez firmy w Polsce. Badanie zostaĆo zrealizowane metodÄ wywiadĂłw telefonicznych CATI wĆrĂłd osĂłb odpowiedzialnych za bezpieczeĆstwo IT w firmach (czĆonkĂłw zarzÄ du, dyrektorĂłw ds. bezpieczeĆstwa, prezesĂłw, dyrektorĂłw IT lub innych osĂłb odpowiedzialnych za ten obszar) na przeĆomie 2023 i 2024 roku przez firmÄ Norstat Polska.





