KPMG: Barometr cyberbezpieczeństwa. W kierunku rozwiązań chmurowych

62 proc. firm uważa, że chmura zwiększa bezpieczeństwo, zapewniając ciągłość procesów biznesowych – wynika z raportu KPMG w Polsce „Barometr cyberbezpieczeństwa. W kierunku rozwiązań chmurowych”.

Choć na mniejszą skalę niż w poprzednich latach cyberataki dotknęły większość polskich firm – 54 proc. organizacji zanotowało przynajmniej jeden cyberincydent w 2019 r. 21 proc. zauważyło wzrost prób cyberataków w stosunku do roku 2018. Bez zmian największym zagrożeniem dla firm pozostaje szeroko rozumiana cyberprzestępczość, na którą wskazało 90 proc. firm. Organizacje najbardziej obawiają się wycieku danych za pośrednictwem złośliwego oprogramowania, phishingu oraz ogólnych kampanii ransomware. Sposobem na zapewnienie większego bezpieczeństwa danych może być korzystanie z usług chmurowych. Tymczasem przed wybuchem pandemii COVID-19 zaledwie 40 proc. przedsiębiorstw biorących udział w badaniu KPMG zadeklarowało, że korzystało z chmury. 6 na 10 przedsiębiorstw w Polsce wskazuje, że wykorzystanie chmury pozwala zapewnić ciągłość procesów biznesowych.

43 proc. firm badanych przez KPMG w Polsce w lutym br. zadeklarowało, że wykorzystuje technologie chmurowe. Kolejne 17 proc. respondentów planowało z kolei przenieść do chmury część swoich usług w najbliższym czasie. Korzystanie z usług w chmurze okazało się niezbędne do zapewnienia ciągłości działania biznesu w obliczu negatywnych skutków, które wywołuje COVID-19, dlatego w wyjątkowo złej sytuacji mogło znaleźć się 40 proc. badanych organizacji, które przyznały, że w najbliższym czasie nie planowały korzystać z chmury w swojej codziennej pracy. Wśród firm, które obecnie wykorzystują chmurę, blisko 40 proc. przetwarza dane dwutorowo, przetwarzając je zarówno w lokalnym centrum przetwarzania danych, jak i w chmurze, natomiast 5 proc. zadeklarowało, że korzysta praktycznie wyłącznie z usług chmurowych. Najczęściej wykorzystywanymi usługami chmurowymi przez przedsiębiorstwa w Polsce są witryny internetowe (73 proc. wskazań), poczta elektroniczna (72 proc. wskazań) oraz usługi przestrzeni dyskowej (62 proc. wskazań). W dużo mniejszym zakresie firmy korzystają z systemów ERP i CRM w chmurze – odpowiednio 18 proc. i 15 proc. wskazań.

– Wydaje się, że przyczyną sytuacji, w której ponad połowa firm w Polsce nie korzysta z rozwiązań chmurowych, jest wciąż niska wiedza na temat tych usług. Nawet wśród respondentów, którzy wykorzystują chmurę w swojej działalności, aż 62 proc. organizacji nie potrafiło określić, z jakiego typu chmury korzysta. Pandemia COVID-19 i skutki, z jakimi obecnie mierzą się organizacje, może jednak diametralnie zmienić podejście firm do chmury. W najbliższej przyszłości można spodziewać się zwiększonego zainteresowania rozwiązaniami chmurowymi w polskich przedsiębiorstwach. Tym bardziej że wiodący dostawcy infrastruktury chmurowej rozpoczęli pracę nad zbudowaniem regionalnych centrów przetwarzania danych zlokalizowanych w Polsce – mówi Michał Kurek, partner w dziale doradztwa biznesowego, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce.

Pozytywny wpływ usług chmurowych na zapewnienie ciągłości działania

Blisko 2/3 firm biorących udział w badaniu KPMG uważa, że usługi chmurowe pozytywnie wpływają na zapewnienie ciągłości działania procesów biznesowych w organizacji, co jest niewątpliwie bardzo ważnym aspektem w czasie trwania pandemii. Dodatkowo niemal połowa respondentów wyraża przekonanie, że dzięki chmurze publicznej podnosi się bezpieczeństwo przetwarzania danych. W bezpieczeństwo chmury publicznej nie wierzy z kolei 23 proc. firm, które obawiają się utraty kontroli nad przetwarzanymi danymi. Jednocześnie 16 proc. organizacji uważa, że korzystanie z usług dostępnych w chmurze może zwiększyć ryzyko utraty ciągłości procesów biznesowych.

Połowa firm, bez względu na to, czy korzysta z rozwiązań chmurowych, czy dopiero planuje wykorzystanie takich rozwiązań, uważa, że są one tak samo bezpieczne, jak rozwiązania oparte na wewnętrznej infrastrukturze. Zaledwie 11 proc. respondentów uznało chmurę za bezpieczniejsze miejsce do przechowywania usług, a z kolei 21 proc. za bezpieczniejsze uważa utrzymywanie usług w ramach wewnętrznej infrastruktury organizacji.

Maleje skala cyberataków na firmy w Polsce

2019 r. okazał się najbezpieczniejszym pod względem liczby zarejestrowanych przez firmy incydentów bezpieczeństwa w porównaniu z dwoma poprzednimi edycjami badania. W zeszłym roku przynajmniej jeden cyberincydent zanotowała nieco więcej niż połowa badanych organizacji (54 proc. wskazań). Oznacza to spadek o 14 p.p. w stosunku do roku 2018 i aż o 27 p.p. w stosunku do pierwszej edycji badania, kiedy aż 81 proc. polskich firm przyznało w 2017 r., że było ofiarą przynajmniej jednego cyberataku. W 2019 r. wzrost liczby prób cyberataków zauważyło natomiast 21 proc. przedsiębiorców, ich spadek z kolei zadeklarowało 5 proc. respondentów. Ponad 7 na 10 organizacji uważa, że liczba zaobserwowanych prób cyberataków pozostała na niezmienionym poziomie w stosunku do 2018 r.

Szeroko rozumiana cyberprzestępczość od lat jest największym zagrożeniem dla organizacji. 72 proc. firm zadeklarowało, że w 2019 r. najgroźniejsi byli pojedynczy hakerzy. Oznacza to spadek o 12 p.p. w stosunku do poprzedniej edycji badania. Z roku na rok można zaobserwować rosnące zagrożenie, które organizacje dostrzegają w niezadowolonych lub podkupionych pracownikach – w 2019 r. 58 proc. firm wskazało ich jako potencjalne niebezpieczeństwo dla organizacji. Blisko połowa firm obawia się również zorganizowanych grup cyberprzestępczych oraz cyberterrorystów.

– Przedsiębiorstwa nadal najbardziej obawiają się zorganizowanej cyberprzestępczości, w szczególności trudnych do zidentyfikowania i odparcia ataków ukierunkowanych, cyberprzestępstw realizowanych za pośrednictwem złośliwego oprogramowania oraz wspieranych przez socjotechnikę. Ze zwiększoną liczbą takich prób ataków mamy do czynienia w związku z pandemią COVID-19. Od połowy lutego br. można zaobserwować błyskawiczny rozrost infrastruktury wykorzystywanej przez cyberprzestępców do prowadzenia ukierunkowanych kampanii phisingowych związanych tematycznie z COVID-19 – mówi Michał Kurek.

Wyciek danych i wyłudzenia danych uwierzytelniających największym zagrożeniem

Zdaniem ankietowanych przedsiębiorstw największe ryzyko stanowią dla nich wycieki danych za pośrednictwem złośliwego oprogramowania, phishing – czyli wyłudzanie danych uwierzytelniających oraz ogólne kampanie ransomware. Kradzież danych przez pracowników lub ataki na sieci bezprzewodowe są postrzegane jako obarczone średnim ryzykiem. Organizacje z kolei najmniej obawiają się włamań do urządzeń mobilnych oraz ataków typu odmowa usługi (DoS/DDoS). Podobnie jak w zeszłym roku przedsiębiorstwa najlepiej oceniają swoją ochronę przed złośliwym oprogramowaniem oraz zabezpieczenia styku z siecią internetową. Dodatkowo deklarują, że w dużym stopniu osiągnęły dojrzałość w kwestii reagowania na incydenty bezpieczeństwa oraz planowania zapewnienia ciągłości działania.

– Firmy dość wysoko oceniają dojrzałość swoich własnych zabezpieczeń, zdecydowanie lepiej niż w ubiegłorocznej edycji badania. W 2019 r. 64 proc. respondentów zadeklarowało dojrzałość zabezpieczeń na poziomie dostatecznym w większości analizowanych obszarów, natomiast 11 proc. w każdym z analizowanych obszarów. Z perspektywy doświadczeń KPMG w Polsce z realizowanych audytów bezpieczeństwa, wydaje się, że tak wysoka samoocena, może niestety po części wynikać z wciąż niedostatecznej świadomości polskich firm w zakresie skali i złożoności dzisiejszych cyberzagrożeń – mówi Michał Kurek.

Brak odpowiedniego budżetu największą barierą w budowaniu bezpieczeństwa IT

Po raz pierwszy od 2017 r. brak wykwalifikowanych pracowników nie był dla firm największą przeszkodą w budowaniu odpowiedniego bezpieczeństwa IT. W 2019 r. największą barierą dla firm był brak wystarczających budżetów (64 proc. wskazań). Trudności w znalezieniu i utrzymaniu wykwalifikowanych pracowników zadeklarowało zaledwie 43 proc. respondentów – co oznacza spadek aż o 20 p.p. w stosunku do poprzedniej edycji badania. Może tłumaczyć to rosnącą popularność powierzania funkcji bezpieczeństwa zewnętrznym dostawcom. Z outsourcingu w obszarze cyberbezpieczeństwa korzysta 76 proc. polskich firm.