Polska jest w czołówce państw europejskich najczęściej atakowanych przez cyberprzestępców. Zagrożone są już nie tylko duże korporacje, ale nawet średnie i małe przedsiębiorstwa. Jak zabezpieczyć się przed cyberzagrożeniami, które mogą narazić nasz biznes na poważne straty finansowe, wizerunkowe, a nawet kary administracyjne? Najnowszy przewodnik, którego partnerem jest PZU, to przydatne każdej firmie źródło wiedzy o najlepszych praktykach w zakresie cyberbezpieczeństwa oraz wymogach regulacyjnych.
Każdego dnia systemy Microsoftu wykrywają na świecie 2,5 miliarda cyberataków. Według amerykańskiego giganta[1], w Europie tylko Ukraina, Wielka Brytania i Francja odnotowują więcej cyberataków niż Polska. Większość z nich jest przeprowadzana w sposób zautomatyzowany i na szeroką skalę, przez co ich ofiarami padają także mniejsi przedsiębiorcy. Relatywne łatwy dostęp przestępców do zaawansowanych technologicznie narzędzi sprawia, że liczba zagrożeń rośnie wykładniczo. Na przykład już co piąta polska firma padła ofiarą ataku typu ransomware. Blisko 40% z nich zdecydowało się zapłacić przestępcom okup, lecz tylko niewielka część z nich faktycznie odzyskała dostęp do wszystkich zablokowanych danych.[2] Szacuje się, że w 2025 r. przeciętna firma będzie doświadczać ponad 700 ataków phishingowych i innych rocznie.
Przedsiębiorcy nie pozostają jednak bezbronni wobec tych zagrożeń. Raport Business Insider „Zarządzaj ryzykiem, nie kryzysem. Przewodnik po skutecznym cyberbezpieczeństwie dla firm”, przygotowany we współpracy z PZU, to użyteczne kompendium wiedzy o najważniejszych strategiach i praktykach w zakresie tworzenia w firmach skutecznych systemów bezpieczeństwa, planowania awaryjnego i zarządzania ryzykiem cybernetycznym, a także o wyzwaniach, jakie niesie dla przedsiębiorców bliskie wdrożenie unijnej dyrektywy NIS2.
– Nowoczesne technologie, takie jak AI, machine learning, big data czy cloud, użyte w konkretnych rozwiązaniach, przyczyniają się do poprawy poziomu bezpieczeństwa. Za ich pomocą możemy nie tylko przyśpieszać wykrywanie zagrożeń czy lepiej chronić dane, jesteśmy też w stanie przewidywać ataki, co wspiera proaktywne podejście do bezpieczeństwa firmy. Musimy jednak pamiętać, że technologia automatyzuje i wspiera procesy, ale to ludzie muszą umieć ją wykorzystać oraz dostosować do zmieniających się zagrożeń — podkreśla Tomasz Żelski, dyrektor zarządzający ds. IT i digitalizacji w Grupie PZU. To jeden z ekspertów PZU, którzy dzielą się w raporcie wiedzą i doświadczeniami tej największej w regionie grupy finansowej w zakresie cyberbezpieczeństwa – by wspierać i budować odporność całego polskiego biznesu.
Znaczenie planowania i zarządzania ryzykiem
Autorzy przewodnika analizują m.in. najczęstsze rodzaje cyberataków, najlepsze praktyki dotyczące zasad bezpieczeństwa IT, w tym rozwiązań chmurowych, rolę sztucznej inteligencji zarówno w cyberatakach, jak i obronie przed nimi. Podkreślają dużą wartość tworzenia i testowania w firmach planów awaryjnych. Pomagają one organizacji przyspieszyć reakcję na incydent i ograniczyć potencjalne szkody, jakie mógłby on wywołać. Zwracają też uwagę na potrzebę kompleksowego zarządzania ryzykiem, czego ważnym elementem mogą być ubezpieczenia cybernetyczne. Przykładowo, polisa PZU Cyber oferuje nie tylko pokrycie kosztów związanych z odzyskiwaniem usuniętych, uszkodzonych, zniszczonych lub zaszyfrowanych przez wirusa danych, wynajęciem informatyków śledczych, obsługi prawnej lub nawet PR czy zawiadomieniem odpowiednich organów, ale też obejmuje ryzyka związane z roszczeniami wobec firmy, jakie mogą być następstwem cyberataku, którego padła ofiarą, czyli np. dotyczące naruszenia prywatności, praw autorskich czy wynikające z przekazania dalej wirusa lub innego złośliwego oprogramowania. W grę wchodzi też zrekompensowanie utraconych w wyniku cyberataku zysków firmy oraz wydatków niezbędnych, by po takim ataku podtrzymać jej funkcjonowanie.
Nowe wymogi dla firm i instytucji
Mniej niż połowa organizacji w Polsce deklaruje, że są bardzo dobre lub dobrze przygotowane do zmieniających się regulacji w kontekście cyberbezpieczeństwa, ochrony danych i prywatności.[3] Tym bardziej ważne jest budowanie świadomości przedsiębiorców na temat przepisów, które już niedługo będą dotyczyły wielu z nich. Dlatego przewodnik omawia także dyrektywę NIS2, czyli Network and Information Systems Directive 2 – nową regulację unijną, mającą na celu wzmocnienie poziomu cyberbezpieczeństwa w całej Wspólnocie. Regulacja realnie wejdzie w życie prawdopodobnie jesienią 2025 roku. NIS2 rozszerza obowiązki dotyczące cyberbezpieczeństwa z 400 na prawie 40 000 firm i instytucji w Polsce, w tym w 18 kluczowych sektorach, jak zdrowie, żywność, energia czy transport. Co istotne dla tych firm, które zostaną zakwalifikowane jako podmioty kluczowe lub ważne, będą one musiały świadomie zarządzać ryzykiem cyberzagrożeń. Obejmuje to m.in. identyfikację zagrożeń, wykrywanie i zgłaszanie incydentów oraz ich obsługę, a za naruszenia regulacji grożą bardzo wysokie kary.
Pobierz pełny raport Business Insidera „Zarządzaj ryzykiem, nie kryzysem. Przewodnik po skutecznym cyberbezpieczeństwie dla firm” i dowiedz się:
- czym jest cyberbezpieczeństwo;
- z jakimi cyfrowymi zagrożeniami najczęściej zmagają się przedsiębiorcy i jak je ograniczyć;
- na które strategie i rozwiązania w cyberbezpieczeństwie warto postawić;
- jak reagować na incydenty i na czym polega planowanie awaryjne;
- jak dyrektywa NIS2 wpłynie na biznes.
[1] Microsoft Digital Defense Report 2024
[2] Badanie „Ransomware w Polsce 2024” firmy Sophos
[3] „Barometr cyberbezpieczeństwa 2024” KPMG
