W 2023 roku 66 proc. firm w Polsce badanych przez KPMG odnotowało incydenty polegające na naruszeniu bezpieczeństwa – co stanowi wzrost o 8 p.p. w porównaniu z 2022 rokiem. 1 na 10 badanych organizacji w ciągu poprzedniego roku zarejestrowała ponad 30 cyberincydentów. W tej grupie prawie jedną trzecią stanowiły duże firmy zatrudniające powyżej 250 pracowników. Jedna trzecia firm zaobserwowała w 2023 roku znaczący wzrost liczby prób cyberataków. 60 proc. firm uważa, że ich liczba pozostała na podobnym poziomie – w porównaniu z 2022 rokiem.

Firmy najbardziej obawiają się wyłudzenia danych uwierzytelniających

Firmy biorące udział w badaniu KPMG zadeklarowały, że największym cyberzagrożeniem są dla nich wyłudzenia danych uwierzytelniających (phishing) oraz wycieki danych za pośrednictwem złośliwego oprogramowania (malware). W czołówce zagrożeń organizacje wymieniają również: kradzież danych przez pracowników oraz zaawansowane ataki ze strony profesjonalistów (Advanced Persistent Threat). Ponad jedna trzecia firm za całkowicie nieistotne niebezpieczeństwa cyfrowe uznała ataki na łańcuch dostaw za pośrednictwem partnerów biznesowych.

Jedna piąta respondentów zadeklarowała pełną dojrzałość swoich zabezpieczeń w większości analizowanych obszarów – co stanowi wynik lepszy o 6 p.p. w stosunku do poprzedniej edycji badania. Najwyższy poziom bezpieczeństwa organizacje zgłaszają w obszarze bezpieczeństwa styku z internetem, ochroną przed złośliwym oprogramowaniem oraz reagowaniem na incydenty bezpieczeństwa. Podobnie wysoko oceniane jest bezpieczeństwo sieci wewnętrznej, które również zostało uznane za obszar w pełni dojrzały przez ponad 40 proc. ankietowanych.

Prawo sztucznej inteligencji i nowych technologii 3

Dawid Chaba, Paweł Fajgielski

Sprawdź  

Brak pracowników największą barierą w budowaniu bezpieczeństwa IT

Największym wyzwaniem dla firm w osiągnięciu odpowiedniego poziomu zabezpieczeń są obecnie trudności związane z rekrutacją i utrzymaniem wykwalifikowanych pracowników, na które wskazało 53 proc. organizacji. Brak wystarczających budżetów, choć wciąż istotny, spadł na drugie miejsce (43% wskazań). Dodatkowo na zbliżonym poziomie pozostają inne wyzwania: brak klarownie zdefiniowanych wskaźników oraz brak pełnego zaangażowania biznesu i najwyższego kierownictwa. Jedna czwarta badanych wskazała również brak odpowiedniego przypisania odpowiedzialności w zakresie bezpieczeństwa.

RODO dla większości firm stanowi priorytetowy standard zgodności IT

Standardy zgodności IT i ochrony prywatności danych odgrywają kluczową rolę w cyfrowym świecie, dostarczając ram dla efektywnej ochrony informacji oraz przestrzegania przepisów dotyczących prywatności. 85 proc. badanych firm zadeklarowało, że RODO stanowi najważniejszy aspekt w ich strukturze organizacyjnej (95 proc. wskazań w przypadku największych firm). Na kolejnych miejscach znalazły się ustawa o krajowym systemie cyberbezpieczeństwa, na którą wskazało 59 proc. firm. Z kolei mniej znaczące dla respondentów wydają się regulacje dotyczące klasyfikowania systemów sztucznej inteligencji według ryzyka i wprowadzania zróżnicowanych wymagań dotyczących ich rozwoju i użytkowania (AI Act), a także regulacja Parlamentu i Rady Europejskiej dotycząca operacyjnej odporności cyfrowej sektora finansowego (DORA).

- W odpowiedzi na rosnące cyberzagrożenia, Unia Europejska wprowadza inicjatywy regulacyjne, takie jak dyrektywa NIS2 i rozporządzenie DORA, mające na celu zwiększenie cyberodporności regionu. DORA wprowadza nadzór nad dostawcami kluczowych usług ICT, ujednolicając poziom bezpieczeństwa w ramach całego łańcucha dostaw w sektorze finansowym, podczas gdy NIS2 rozszerza ochronę na nowe sektory gospodarki, podkreślając strategiczne znaczenie cyberbezpieczeństwa. Implementacja tych przepisów może być wyzwaniem dla przedsiębiorstw, wymagając adaptacji do nowych wymogów i przygotowania na dynamiczne zmiany w regulacjach cyberbezpieczeństwa w Europie – mówi Marcin Kieszkowski, Starszy Menedżer w Dziale Consultingu w Zespole Cyberbezpieczeństwa w KPMG w Polsce.

Istotnym elementem wspierającym organizację w utrzymaniu wysokiego poziomu bezpieczeństwa informatycznego oraz spełnianiu obowiązujących norm i przepisów jest monitorowanie i raportowanie zgodności z wymogami IT. Ponad trzy czwarte respondentów wskazało wewnętrzne narzędzia, a ponad połowa zdecydowała się na zewnętrzne audyty jako najskuteczniejsze metody ochrony danych. Jednocześnie 45 proc. organizacji jest przekonanych, że są bardzo dobrze lub dobrze przygotowane do zmieniających się regulacji.

O raporcie 

Raport KPMG w Polsce pt. „Barometr cyberbezpieczeństwa. Na fali, czy w labiryncie regulacji?” powstał na podstawie badania przeprowadzonego na próbie 100 organizacji w Polsce o przychodach powyżej 50 mln złotych. Jest to siódma edycja badania przeprowadzonego przez KPMG w Polsce, którego celem jest poznanie dynamiki i charakterystyki cyberataków oraz przygotowania na nie przez firmy w Polsce. Badanie zostało zrealizowane metodą wywiadów telefonicznych CATI wśród osób odpowiedzialnych za bezpieczeństwo IT w firmach (członków zarządu, dyrektorów ds. bezpieczeństwa, prezesów, dyrektorów IT lub innych osób odpowiedzialnych za ten obszar) na przełomie 2023 i 2024 roku przez firmę Norstat Polska.