- Zaledwie 2 proc. działających w Polsce przedsiębiorstw ma wystarczająco wysoki – „dojrzały” – poziom gotowości na współczesne zagrożenia cybernetyczne.
- 66 proc. uczestników badania Cisco oceniło, iż incydent związany z cyberbezpieczeństwem może zakłócić działalność ich organizacji w perspektywie najbliższych 12-24 miesięcy.
- W związku z tym, 92 proc. firm zamierza zwiększyć swoje budżety na cyberbezpieczeństwo w okresie najbliższych 12-24 miesięcy.
Tylko 2 proc. polskich firm może pochwalić się „dojrzałym” poziomem gotowości, wymaganym do skutecznej ochrony przed współczesnymi cyberzagrożeniami – wynika z najnowszego raportu Cisco Cybersecurity Readiness Index 2024. Co gorsza, odsetek ten jest wyraźnie niższy w porównaniu z poprzednią edycją badania, gdzie 7 proc. firm zostało sklasyfikowanych jako dojrzałe.
Współczesne przedsiębiorstwa pozostają dziś celem zróżnicowanych ataków cybernetycznych – od phishingu i systemu ransomware po inżynierię społeczną i ataki wymierzone w łańcuchy dostaw. I choć systematycznie budują systemy zabezpieczeń przed tymi atakami, przez cały czas mają trudności z obroną, spowodowane nadmiernie skomplikowanym podejściem do bezpieczeństwa, zdominowanym przez liczne rozwiązania punktowe.
Wyzwania te potęgują się w dzisiejszych rozległych środowiskach pracy, w których dane mogą być rozproszone pomiędzy wieloma usługami, urządzeniami, aplikacjami i użytkownikami. Mimo tego, 82 proc. firm przez cały czas czuje się umiarkowanie lub bardzo pewnie co do swojej umiejętności obrony przed cyberatakiem przy użyciu obecnej infrastruktury. Ta rozbieżność między subiektywną pewnością, a obiektywną gotowością sugeruje, iż firmy mogą błędnie oceniać zarówno swoje umiejętności sprawnego poruszania się w krajobrazie zagrożeń, jak i rzeczywistą skalę wyzwań, przed którymi stoją.
Cisco Cybersecurity Readiness Index 2024: niedostatecznie przygotowane i zbyt pewne siebie firmy w obliczu zmieniającego się krajobrazu zagrożeń
Cisco Cybersecurity Readiness Index ocenia gotowość firm w pięciu kluczowych obszarach, takich jak ochrona tożsamości, odporność sieci, urządzeń końcowych i rozwiązań chmurowych oraz wykorzystanie AI (co jest nowością w tegorocznej wersji raportu), na które składa się 31 związanych z nimi kategorii rozwiązań. Badanie zostało zrealizowane w formie anonimowej ankiety przeprowadzonej przez niezależną firmę zewnętrzną wśród ponad 8000 przedstawicieli sektora prywatnego z obszaru bezpieczeństwa i biznesu w 30 krajach.
Ankietowani zostali poproszeni o wskazanie, które z rozwiązań i możliwości wdrożyli oraz na jakim etapie wdrożenia się znajdują. W oparciu o udzielone odpowiedzi firmom przyporządkowano jeden z czterech poziomów gotowości: początkujący, średnio zaawansowany, zaawansowany i dojrzały.
– Nie możemy lekceważyć zagrożenia, jakie stwarza nasza nadmierna pewność siebie – powiedział Jeetu Patel, wiceprezes wykonawczy i dyrektor generalny ds. bezpieczeństwa i współpracy w Cisco. – Współczesne organizacje muszą nadać priorytet inwestycjom w zintegrowane platformy i oprzeć się na sztucznej inteligencji, aby działać w skali maszynowej i ostatecznie przechylić szalę na swoją stronę.
Wnioski z badania wśród polskich firm
W ogólnym ujęciu badanie wykazało, iż w Polsce tylko 2 proc. firm jest gotowych stawić czoło dzisiejszym zagrożeniom, a 88 proc. organizacji znajduje się na poziomie początkującym lub średnio zaawansowanym. W skali globalnej na etapie dojrzałości znajduje się 3 proc. firm. Ponadto:
- Spodziewane są przyszłe incydenty bezpieczeństwa: 66 proc. ankietowanych oceniło, iż w ciągu najbliższych 12-24 miesięcy spodziewa się incydentu, który zakłóci działalność ich organizacji. Cena nieprzygotowania na atak może być wysoka: 53 proc. respondentów przyznało, iż doświadczyło incydentu cyberbezpieczeństwa w ciągu ostatnich 12 miesięcy, a 32 proc. dotkniętych nimi firm oceniło jego koszt na co najmniej 300 tys. dolarów.
- Przeciążenie rozwiązaniami punktowymi: tradycyjne podejście polegające na wdrażaniu wielu punktowych rozwiązań zabezpieczających nie przynosi oczekiwanych rezultatów. 79% respondentów przyznało, iż posiadanie wielu rozwiązań punktowych osłabiło zdolność ich zespołu do wykrywania, reagowania i odzyskiwania danych po incydentach. Budzi to poważne obawy, ponieważ 68% organizacji deklaruje, iż wdrożyło dziesięć lub więcej rozwiązań punktowych w swoich stosach bezpieczeństwa, a 17% stwierdziło, iż posiada ich 30 lub więcej.
- Niezabezpieczone i niezarządzane urządzenia zwiększają złożoność: 88 proc. firm stwierdziło, iż ich pracownicy uzyskują dostęp do firmowych systemów z niezarządzanych urządzeń, z czego 29 proc. spędza tam po zalogowaniu jedną piątą czasu. Ponadto 30 proc. stwierdziło, iż ich pracownicy przełączają się pomiędzy co najmniej sześcioma sieciami tygodniowo.
- Luka kompetencyjna utrzymuje się: krytyczny niedobór talentów w obszarze bezpieczeństwa został wskazany przez 86 proc. ankietowanych jako problem. 39 proc. firm przyznało, iż w momencie przeprowadzania badania w ich organizacji ponad dziesięć stanowisk związanych z cyberbezpieczeństwem nie było obsadzonych.
- Inwestycje w cyberbezpieczeństwo będą rosnąć: firmy są świadome wyzwań i wzmacniają swoją obronę. 31 proc. planuje znacząco zmodernizować swoją infrastrukturę IT w ciągu najbliższych 12-24 miesięcy. To jednak spadek w porównaniu z ubiegłym rokiem, gdy deklarowało tak 36 proc. firm. Organizacje planują przede wszystkim modernizację istniejących rozwiązań (66 proc.), wdrażanie nowych (59 proc.) i inwestycje w technologie oparte na sztucznej inteligencji (40 proc.). Co więcej, 92 proc. firm spodziewa się zwiększyć swój budżet na cyberbezpieczeństwo w ciągu najbliższych 12 miesięcy, z czego 79 proc. ankietowanych ocenia, iż ich budżety wzrosną o co najmniej 10 proc.
– Aby sprostać wyzwaniom dzisiejszego krajobrazu zagrożeń, firmy muszą zwiększyć i przyspieszyć nakłady na bezpieczeństwo, włączając w to implementację innowacyjnych środków bezpieczeństwa i ochrony w ujęciu platformowym, wzmocnienie odporności sieci, znalezienie zastosowania dla generatywnej sztucznej inteligencji i outsourcing na rzecz zamknięcia luki kompetencyjnej – powiedział Łukasz Bromirski, Dyrektor ds. Rozwoju Produktów Bezpieczeństwa w Cisco
– Niektóre wyniki badania Cisco Cybersecurity Readiness Index 2024 nie napawają optymizmem. Odsetek firm sklasyfikowanych jako dojrzałe jest w tym roku wyraźnie niższy, niż w ubiegłym – powiedział Przemysław Kania, Dyrektor Generalny Cisco w Polsce. – Warto jednak docenić, iż biznes trafnie rozpoznaje skalę ryzyka, jakie niosą ze sobą incydenty cyberbezpieczeństwa, jak również fakt, iż za tą diagnozą stoją konkretne deklaracje, związane na przykład z zamiarem wzmocnienia obszaru security poprzez nowe inwestycje – dodał.