Cyberbezpieczeństwo firmy – dlaczego jest takie ważne i jak uzyskać dofinansowanie na jego poprawę
Czym jest cyberbezpieczeństwo?
Cyberbezpieczeństwo to ogół technik, praktyk oraz procesów wykorzystywanych w celu ochrony urządzeń, programów, baz danych czy też całych sieci informatycznych przez atakami, uszkodzeniami lub niepożądanym dostępem. Można również powiedzieć, że jest to odporność systemów informacyjnych na działania naruszające ich integralność, dostępność, poufność oraz autentyczność.
Wymagania i standardy cyberbezpieczeństwa w sektorze MŚP
Ochrona informacji w firmach jest bardzo ważnym elementem jej polityki wewnętrznej. Istnieje szereg przepisów prawnych wymagających od przedsiębiorstwa utrzymania pewnych standardów w tym obszarze. Przepisy te zawarte są między innymi w:
- kodeksie pracy,
- ustawie o ochronie danych osobowych,
- ustawie o krajowym systemie cyberbezpieczeństwa,
- ustawie o prawie autorskim, prawach pokrewnych oraz ochrony własności intelektualnej,
- ustawie o rachunkowości,
- ustawie o zwalczaniu nieuczciwych konkurencji.
Konieczność prawna wdrożenia rozwiązań dotyczących zagadnienia, jakim jest bezpieczeństwo w sieci ma istotne podstawy prawne i ekonomiczne. Informacja jest zasobem, i tak samo jak inne zasoby ma swoją wartość. Jako zasób, informacja może być również towarem, którego utrata może wiązać się ze stratami finansowymi. Ponadto w przypadku informacji poufnych, jak na przykład know-how czy też szczegóły przebiegu procesów produkcyjnych (mowa np. o parametrach prowadzenia procesu czy recepturach produktowych), wyciek tych informacji może prowadzić do spadku konkurencyjności firmy. Jest to więc w interesie przedsiębiorstwa, żeby zapewnić bezpieczną infrastrukturę i odpowiednio chronić te informacje.
Stan cyberbezpieczeństwa w MŚP
Coleman Parkes Research na zlecenie firmy Allot przygotowało raport pt. “Telcos: Protect Your SMB Customers”, w ramach którego przeprowadzono ankietę wśród około 400 przedstawicieli MŚP z Wielkiej Brytanii, Stanów Zjednoczonych, Szwecji oraz Niemiec na temat cyberbezpieczeństwa. Według zebranych danych 24% ankietowanych przedsiębiorstw padło ofiarą cyberataków w 2021 r., z czego 64% zostało dotkniętych atakami za pośrednictwem złośliwego oprogramowania (malware), 34% oprogramowaniem szyfrującym dane i żądającym okupu (ransomware), a 22% atakami BEC (Business E-mail Compromise) polegającymi na manipulacji nagłówkami wiadomości e-mail w taki sposób aby wyglądały jakby pochodziły z wiarygodnego źródła. 18% przedsiębiorstw, które padły ofiarą cyberataków doświadczyło także różnego rodzaju socjotechnik jak np. phishing, mających na celu wyłudzenie poufnych informacji od pracowników firmy.
Do głównych barier stojących na drodze poprawy bezpieczeństwa IT w firmach, respondenci zaliczyli:
- koszty zatrudnienia specjalistów ds. cyberbezpieczeństwa (31%),
- koszty technologii i usług (30%),
- brak managera ds. bezpieczeństwa IT w firmie (25%),
- zbyt wiele produktów i usług do zabezpieczenia (24%),
- brak wiedzy, co należy zrobić (24%),
- brak czasu (pracownicy są zbyt zajęci, żeby zawracać sobie głowę kwestiami bezpieczeństwa IT – 22%),
- brak znajomości rozwiązań, które mogłyby poprawić poziom cyerbezpieczeństwa (20%),
- niski priorytet inwestycji w tego typu rozwiązania(17%).
Wiele z tych odpowiedzi sugeruje, że poziom wiedzy na temat cyberbezpieczeństwa oraz świadomość konieczności zabezpieczania danych w firmie są zdecydowanie na niskim poziomie. Część przedsiębiorców uważa również, że rozwiązania te nie są im potrzebne, a problemy cyberataków ich nie dotyczą. Być może wynika to z faktu, iż przedsiębiorstwa te nie miały jeszcze styczności z poważnym cyberatakiem i nie zdają sobie sprawy z jego konsekwencji. Według estymacji na bazie danych od respondentów ankiety średni koszt incydentu cyberbezpieczeństwa w firmie wynosi około 216 tys. dolarów.
Sposoby zabezpieczenia i ochrony infrastruktury informatycznej
Poziom cyberbezpieczeństwa jest przede wszystkim uzależniony od posiadania odpowiedniej infrastruktury oraz wyszkolonych specjalistów. Istotne jest również podnoszenie świadomości i promowanie dobrych praktyk wśród pracowników firmy (np. organizowanie cyklicznych szkoleń poświęconych cyberbezpieczeństwu). Odpowiednia infrastruktura, w której skład wchodzi cały wymagany sprzęt, oprogramowanie i licencje, w połączeniu z wyszkolonymi specjalistami zapewnią stabilny i odporny system oraz bezpieczną sieć firmową. Działania te jednak pójdą na marne jeżeli świadomość dotycząca procedur i dobrych praktyk z obszaru cyberbezpieczeństwa wśród pracowników będzie niska. Bagatelizujący zagrożenie pracownicy mogą całkowicie nieświadomie być “koniem trojańskim” pozwalającym atakującemu ominąć wszystkie wcześniej wymienione zabezpieczenia. Wskazanym jest więc, aby przedsiębiorstwa prowadziły szkolenia dla pracowników w tym zakresie, a także posiadały skodyfikowany i ogólnodostępny spis procedur i zasad dotyczących cyberbezpieczeństwa. Tak skonstruowany system powinien być odporny na znaczną część cyberataków, w tym również złośliwych socjotechnik.
Dofinansowanie na cyberbezpieczeństwo
W ramach funduszy europejskich rozdzielanych zarówno na szczeblu krajowym jak i regionalnym dostępne są dotacje dla MŚP na działania związane z cyberbezpieczeństwem. W ostatnich latach można było składać wnioski do konkursów takich jak np. Szybka Ścieżka (1.1.1) realizowanego w ramach Programu Operacyjnego Inteligentny Rozwój (POIR), gdzie wspierano opracowywanie innowacyjnych rozwiązań z różnych obszarów, w tym IT. Pod koniec 2022 r. zorganizowano nawet nabór dedykowany stricte technologiom cyfrowym (Szybka Ścieżka – Innowacje cyfrowe) z budżetem o wartości 811 301 837,90 PLN.
W nowej perspektywie finansowej inwestycje w cyberbezpieczeństwo również będą szeroko wspierane. Dofinansowanie realizacji prac badawczo-rozwojowych w zakresie cyberbezpieczeństwa przewidziano w wielu programach regionalnych np. w programie Fundusze Europejskie dla Śląskiego 2021-2027, do którego ogłoszony już został harmonogram naborów na 2023 r. Środki na cyfryzację firm przewidziano także w priorytecie I programu Fundusze Europejskie dla Nowoczesnej Gospodarki (FENG). W ramach startującej 21 lutego Ścieżki SMART przedsiębiorcy (niezależnie od wielkości) będą mogli – korzystając z modułu Cyfryzacja – dofinansować m.in. inwestycje mające prowadzić do podniesienia poziomu cyberbezpieczeństwa w firmie. Wsparcie procesów cyfryzacyjnych przewidziano również w Krajowym Planie Odbudowy. Już w II kwartale prowadzony będzie nabór do konkursu KPO A2.1.1 , w którym przewidziano dofinansowanie inwestycji wspierających robotyzację i cyfryzację w dużych przedsiębiorstwach.
Aktualne informacje o najnowszych konkursach będą pojawiać się na naszej stronie, a w przypadku konkretnych pytań zachęcamy do kontaktu.