Inwestycje w cyberbezpieczeństwo są kosztowne, a firmy często mają pilniejsze wydatki. Dlatego wiele z nich wybiera outsourcing.
Dziś nie trzeba być nawet hakerem, by dokonać cyberataku. Użycie gotowych, zestawów narzędzi czy platform nie wymaga specjalistycznej wiedzy. Wystarczą pieniądze, by taki pakiet kupić. Dlatego problem bezpieczeństwa w sieci dotyka wszystkich, lecz przede wszystkim przedsiębiorstw. Dość powiedzieć, że w 2015 r. liczba wykrytych cyberataków na firmy w Polsce wzrosła prawie o połowę. Widać zdecydowany wzrost zarówno anonimowych ataków hakerskich, jak i przeprowadzanych przez zorganizowane grupy cyberprzestępcze. Co trzecia firma, której to dotknęło, straciła pieniądze. W najgorszych przypadkach nawet 1 mln zł.
Podstawowym problemem związanym z cyberbezpieczeństwem od zawsze był brak pieniędzy i świadomości. Menedżerowie nie dostrzegali ryzyka albo je ignorowali. Gdy przyszło do inwestycji, zwykle były pilniejsze wydatki. O ile brak pieniędzy wciąż jest zaporą, to problem świadomości zanika, czego dowodzą analizy Cisco. Menedżerowie wewnątrz firm przestali bagatelizować cyberbezpieczeństwo. Aż 92 proc. z nich wskazało, że inwestorzy i organy odpowiedzialne za regulacje prawne będą wymagać efektywnego zarządzania ryzykiem związanym z zagrożeniami w sieci. Jednak mniej niż połowa z nich darzy zaufaniem swoje obecne systemy zabezpieczeń.
– Zaobserwowaliśmy spadek pewności siebie obrońców bezpieczeństwa, wywołany świadomością rosnącego zagrożenia ze strony profesjonalnych grup cyberprzestępczych – mówi dyrektor Centrum Bezpieczeństwa Cisco Polska Gaweł Mikołajczyk. Organizacje mają duże problemy z taką modernizacją systemów bezpieczeństwa, by mogły one sprostać zagrożeniom wywoływanym przez różne rodzaje ataków wykorzystujących np. szkodliwe wtyczki do przeglądarek i umożliwiające wyciek danych w szybko starzejącej się infrastrukturze.
Dlatego firmy coraz częściej szukają pomocy u zewnętrznych specjalistów w postaci outsourcingu. Decyduje się na to ponad połowa przepytanych przez Cisco przedsiębiorstw. Tak jest taniej i szybciej. Nie trzeba kupować drogich systemów na własność i zatrudniać dodatkowych ekspertów do ich obsługi i monitorowania. – Firmy, które się na to decydują, coraz bardziej zdają sobie sprawę ze złożoności problemu bezpieczeństwa, ale brak im zasobów na budowanie wewnątrzfirmowych zespołów ds. bezpieczeństwa. Rozwiązaniem jest korzystanie z usług specjalistów – twierdzi Gaweł Mikołajczyk.
W Polsce takie działanie jest raczej rzadkie, szczególnie w segmencie małych i średnich firm. Z danych Integrated Solutions wynika, że robi tak niespełna co dziesiąte przedsiębiorstwo. – Większość firm działa na własną rękę, przenosząc 100 proc. odpowiedzialności za tak ważny obszar na swój dział IT. Niestety, ten model nie zawsze się sprawdza – komentuje wiceprezes IS Andrzej Różański. Choćby dlatego, że tych kilku czy kilkunastu informatyków i bez tego ma mnóstwo pracy związanej np. z utrzymaniem firmowej infrastruktury teleinformatycznej. – Aktywna ochrona przed cyberzagrożeniami wymaga trwania na posterunku przez 24 godziny na dobę i stałego rozwijania kompetencji związanych tylko z tym obszarem – dodaje Andrzej Różański.
Dlatego to właśnie małe i średnie firmy są dla przestępców szczególnie łakomym kąskiem. Nie obracają tak wielkimi pieniędzmi czy zbiorami danych jak korporacje, jednak są słabiej chronione. Cyberprzestępcy też kalkulują. Włamanie to jedno, później muszą jeszcze nie dać się złapać. Dlatego często podejmują próbę kradzieży mniejszych kwot z kilkuset źródeł, zamiast dokonać jednego spektakularnego ataku. Ponad 70 proc. małych i średnich firm w Polsce w ciągu roku było atakowanych kilkakrotnie, a co 10. nawet kilka razy w miesiącu. Ataki w skali tygodnia czy nawet dnia należą już do rzadkości i boryka się z nimi 3 proc. firm.