Tylko osiem na sto polskich firm jest przygotowanych na cyberzagrożenia – wynika z raportu PwC. Opracowanie dotyczące działań podejmowanych przez przedsiębiorców wobec niebezpieczeństw w sieci zatytułowano „Cyberruletka po polsku”, gdyż badania dowodzą, że w tej kwestii liczymy głównie na szczęście.

„Dojrzałe” pod tym względem firmy mają odpowiednie narzędzia i systemy zabezpieczeń przed cyberatakami, mają zespół ds. cyberbezpieczeństwa i przeznaczają na ten cel co najmniej 10 proc. swojego budżetu IT. Średnia krajowa jest jednak dużo niższa – tylko 3 proc. wydatków związanych z IT.

Zagrożenia w sferze cyfrowej stanowią poważne ryzyko biznesowe. – Prezesi z prawie wszystkich regionów świata zaliczają je do pięciu najważniejszych ryzyk dla swojej firmy. Tylko w Europie Środkowo-Wschodniej i Ameryce Łacińskiej obszar ten wciąż nie stanowi priorytetu – wskazuje Piotr Urban, partner w PwC.

To o tyle zaskakujące, że w ubiegłym roku incydenty związane z cyfrowym bezpieczeństwem wykryło u siebie 65 proc. firm działających w Polsce. Straty finansowe z tego powodu zadeklarowało 44 proc. przedsiębiorców, a 62 proc. miało zakłócenia i przerwy w funkcjonowaniu – które w ponad jednej czwartej firm trwały dłużej niż dzień roboczy. W co piątym przypadku systemy informatyczne zostały zainfekowane ransomware. Równie często cyberataki kończyły się utratą lub uszkodzeniem danych. W 11 proc. przypadków doszło do kradzieży własności intelektualnej, a w 10 proc. do wycieku danych o klientach.

Z badania PwC – w którym wzięło udział 127 polskich ekspertów zajmujących się IT i bezpieczeństwem informacji – wynika ponadto, że co piąta z dużych i średnich firm nie zatrudnia specjalisty od cyberbezpieczeństwa, a prawie połowa (46 proc.) nie stworzyła procedur reagowania w razie np. ataku hakerskiego. – W Polsce często obserwujemy cyberruletkę, liczenie na szczęście i fałszywe przekonanie, że firma jest dobrze zabezpieczona. Tymczasem mamy sporo do nadrobienia – komentuje Piotr Urban.

Na szczeblu państwowym elementem nadrabiania zaległości w tej dziedzinie jest tworzenie Krajowego Systemu Cyberbezpieczeństwa (KSC). Ustawa w tej sprawie weszła w życie w końcu sierpnia. KSC ma umożliwić sprawne działania na rzecz wykrywania, zapobiegania i minimalizowania skutków ataków naruszających cyberbezpieczeństwo Polski. Nowa regulacja prawna jest wdrożeniem unijnej dyrektywy NIS (Network and Information Systems). W skład KSC wejdą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki (tzw. operatorzy usług kluczowych), w tym banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale. Operatorzy usług kluczowych będą zobowiązani do wdrożenia zabezpieczeń przed cyberatakami, wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo i zgłaszania incydentów w tej dziedzinie.

O cyberbezpieczeństwie będą dyskutować uczestnicy Kongresu 590, który zaczyna się dziś w podrzeszowskiej Jasionce. Na piątek zaplanowano panel „Cyberbezpieczeństwo państwa oraz polskich firm”, podczas którego zostaną poruszone m.in. zagadnienia głównych zagrożeń w sferze cyfrowej oraz współpracy sektorów publicznego i prywatnego w tym zakresie.