Pracownicy nie czują się odpowiedzialni za cyberbezpieczeństwo

Przeczytaj także: Ataki hakerskie w X 2018

Wprawdzie z nowoczesnych rozwiązań technologicznych korzystamy każdego dnia, to okazuje się, że ciągle nie potrafimy skutecznie zdefiniować największych zagrożeń. I tak np., aż 63% ankietowanych nie uważa, aby zagrożeniem dla firmowej sieci było używanie nieautoryzowanego urządzenia (np. USB), a 56% nie sądzi, żeby była nim instalacja aplikacji bez uprawnień. Zdaniem 61% badanych bezpieczeństwu nie zagraża również nielegalne pobieranie z sieci.

Wygoda ważniejsza od odpowiedzialności

Dlaczego pracownicy dopuszczają się ryzykownych zachowań? Za tą lekkomyślnością kryje się przede wszystkim wygoda (44%) oraz oszczędność czasu (35%). Tylko 39% uznałoby swoją odpowiedzialność, gdyby ich działania doprowadziły do cyberataku.

Tylko 38% pracowników instaluje wyłącznie aplikacje zgodne z polityką bezpieczeństwa firmy, a jedynie jedna trzecia (47%) regularnie aktualizuje oprogramowanie na swoich urządzeniach roboczych. Ponadto 54% pracowników, bez pozwolenia działu IT, decyduje się na korzystanie z narzędzi (aplikacje/dane/dostęp), których potrzebują do bardziej wydajnej pracy.

Fałszywe poczucie bezpieczeństwa

Wyniki badania dowodzą, że pracownicy nie doceniają skali zagrożenia. 78% z nich uważa, że środki bezpieczeństwa, z których korzysta ich firma są wystarczające, a 64% jest zdania, że ich firma dostosowała się wystarczająco szybko, aby poradzić sobie ze zmieniającymi się zagrożeniami cybernetycznymi.

Wyniki te są mniej imponujące, gdy mowa o konkretnych rozwiązaniach w zakresie cyberbezpieczeństwa wprowadzonych przez ich organizacje:

• tylko 18% zostały zapewnione dedykowane sesje szkoleniowe
• tylko 15% odnotowało wprowadzenie zaostrzonych zasad bezpieczeństwa lub użytkowania (dotyczących dostępu do usług)
• tylko 23% pracowników otrzymało wytyczne dotyczące najlepszych praktyk

Znajduje to swoje odbicie w ogólnym braku świadomości cybernetycznej wśród polskich MSP – mniej niż połowa pracowników (48%) faktycznie wie, czy ich organizacja padła ofiarą cyberataku wskutek czego doszło do naruszenia danych.

Ustalenia badania dowodzą, że firmy z polskiego sektora MSP powinny poświęcać więcej czasu i środków na szkolenia w zakresie cyberbezpieczeństwa. Tym bardziej, że skala pracowników, którzy nie są w stanie rozpoznać działań wysokiego ryzyka, nie czują się odpowiedzialni za swoje działania i nie boją się omijać wytyczne działów IT, jest zaskakująco duża. Od postaw, czyli bezpiecznego zarządzania hasłami po prowadzenie odpowiedniej polityki w zakresie licencji do oprogramowania. Większość naruszeń bezpieczeństwa cybernetycznego wynika z ludzkich błędów, z drugiej strony, pracownicy MSP nie otrzymują jasnego przesłania, że każdy ma obowiązek chronić dane organizacji, w której pracuje – powiedziała Sarah Coombes, dyrektor zarządzający, Compliance & Enforcement, BSA.

Badanie BSA
Badanie zostało przeprowadzone przez firmę badawczą Opinium Research na zlecenie BSA wśród 1 500 pracowników sektora MSP w Wielkiej Brytanii, Niemczech, we Włoszech i w Polsce.