Wydatki polskich przedsiębiorstw na bezpieczeństwo IT z roku na rok rosną u 52 proc. respondentów, zaś ich poziom to najczęściej 20-50 proc. budżetu IT – według badania Orange Polska, Kantar TNS i HBR Polska. Jak się okazało, większość pytanych (62 proc.) ocenia swój poziom bezpieczeństwa IT jako wysoki. Jednak na taką subiektywną ocenę ma wpływ m.in. ilość problemów, których doświadcza firma, zarządzanie ryzykiem i poniesione straty.  

Antywirusy i kiepskie szkolenia

Nasycenie rozwiązaniami bezpieczeństwa IT w polskich przedsiębiorstwach jest umiarkowane – średnio na organizację przypada 14 rozwiązań. Autorzy badania podzielili dostępną na rynku ofertę na trzy koszyki: podstawowy, średniozaawansowany oraz zaawansowany.

Wśród podstawowych rozwiązań cyberochrony respondenci najczęściej wskazali antywirusy (96 proc.), archiwizację, backup oraz firewall (87 proc.), skanowanie i ochronę poczty elektronicznej (86 proc.).

W koszyku średniozaawansowanym firmy najczęściej wybierają ochronę aplikacji www (88 proc.), anty-malware (78 proc.) oraz szkolenia pracowników w zakresie cyberbezpieczeństwa (66 proc.). Jednak te ostatnie przez ponad połowę respondentów, którzy w ostatnim roku testowali różne narzędzia ochrony, są oceniane jako mało skuteczne.  

Organizacje coraz większą wagę firmy przywiązują do zaawansowanych systemów bezpieczeństwa IT. Tutaj wśród najczęściej wymienianych znalazły się rozwiązania ochraniające serwer DNS – Domain Name System (66 proc.) oraz anty-DDoS (60 proc.).

Jak się okazało firmy, które w ostatnim roku doświadczyły różnego rodzaju incydentów bezpieczeństwa, postanowiły w 2018 r. zwiększyć wydatki na ochronę IT, w tym na rozwiązania Network Access Control (NAC), Identity Management System, stworzenie procedur bezpieczeństwa IT oraz politykę haseł. Czyli przedsiębiorcy więcej inwestują w cyberochronę, gdy mają problemy.

Firmy posiadające mniej niż 100 stanowisk komputerowych rzadziej sięgają po produkty średniozaawansowane i zaawansowane. Takie organizacje najczęściej nie monitorują aktywnie incydentów IT.

Czego firmy boją się najbardziej?

Ataki hakerskie, a co za tym idzie przerwanie ciągłości działania, budzą największe obawy polskich firm. Obecnie ¼ badanych uważa, że przywrócenie ciągłości po incydencie sparaliżowałoby działanie przedsiębiorstwa. Za utrudniające jego funkcjonowanie 73 proc. badanych uznało naruszenie danych lub oprogramowania, a 75 proc. uszkodzenie urządzeń i likwidację szkód.  

Jednak ponad 80 proc. firm deklaruje, że w ciągu ostatnich 12 miesięcy nie odnotowało ani jednego incydentu bezpieczeństwa IT. Część z nich może być nieświadoma problemów lub nie przyznaje się do nich. Firmy posiadające więcej niż 100 stanowisk komputerowych częściej przyznają, że w ciągu ostatnich 12 miesięcy miały u nich miejsce od 1 do 4 naruszeń bezpieczeństwa IT.

RODO wyzwaniem dla 19 proc.

W maju 2018 r. wchodzi w życie RODO – unijne rozporządzenie dotyczące ochrony danych osobowych. Zastanawiające jest to, że nowe wymogi regulacyjne stanowią największe wyzwanie tylko dla 19 proc. badanych.  

Nieco mniej wskazało na ataki socjotechniczne – 17 proc. respondentów boi się ich wpływu na prowadzony biznes.

W firmach posiadających co najmniej 100 stanowisk komputerowych, częściej jako wyzwanie postrzega się również phishing wymierzony w klientów, bezpieczeństwo rozwiązań Internetu rzeczy, ataki DDoS/DoS oraz ataki malware.

Rozwój „świętej trójcy”

– Firmy, które mają bardziej rozbudowane portfolio rozwiązań IT, także więcej inwestują w obszar bezpieczeństwa IT i są przekonane o jego wysokim poziomie. Łyżką dziegciu jest to, że 80 proc. firm w ciągu 12 ostatnich miesięcy nie odnotowała żadnego incydentu, co może być oznaką słabego monitorowania, jak i niechęci do dzielenia się informacją na ich temat. Odpowiednia ilość dobrej jakościowo informacji pomaga zwiększyć poziom bezpieczeństwa IT. A tu jesteśmy na początku drogi – komentuje badanie Andrzej Gab z Integrated Solutions.

Według spółki wyzwaniem 2018 r., jak i kolejnych lat, poza RODO, będzie umiejętne rozwijanie i synchronizowanie „świętej trójcy” bezpieczeństwa IT – rozwiązań technicznych, zasobów i procesów – tak, by jak najlepiej pomagały realizować zadania biznesowe firm i chroniły przed zagrożeniami lub sprawnie redukowały straty.

Na rynku brakuje specjalistów od bezpieczeństwa IT, ale zdaniem spółki problem ten można rozwiązać poprzez odpowiednie zbudowanie lub dostosowanie procesów, a nawet częściowe przeniesienie na zewnątrz (poprzez outsourcing) pewnych uciążliwych lub kosztownych funkcji bezpieczeństwa IT.