Zaledwie 7 proc. polskich firm traktuje cyberbezpieczeństwo priorytetowo, podczas gdy w krajach UE ten odsetek wynosi 32 proc.
To niepokojące dane z raportu opracowanego przez ENISA, czyli Agencję Unii Europejskiej ds. Cyberbezpieczeństwa. Polska znajduje się w tym zestawieniu w ogonie Europy, co może mieć poważne konsekwencje dla bezpieczeństwa danych – zarówno firm, jak i obywateli.
Dramatyczne braki kadrowe
Powodów takiego stanu jest kilka. Sporym problemem jest niedostatek specjalistów – aż 39 proc. polskich firm nie zatrudnia ani jednego pracownika odpowiedzialnego za cyberbezpieczeństwo, ujawnia ENISA. Jednego pracownika odpowiedzialnego za cyfrowe bezpieczeństwo zatrudnia 45 proc. firm, a dwóch do trzech pracowników zatrudnia 8 proc. przedsiębiorstw. Najmniej firm bez żadnego specjalisty jest w Luksemburgu (co piąta), a najwięcej w Bułgarii (65 proc.). Dodatkowym problemem mogą być niskie kwalifikacje tych osób. Na tle średniej europejskiej, gdzie tylko 21 proc. firm zatrudnia osoby z formalnymi kwalifikacjami lub certyfikowanym przeszkoleniem, polskie przedsiębiorstwa wyróżniają się co prawda pozytywnie – 36 proc. z nich posiada certyfikowanych specjalistów. Jednak to i tak niewiele, bo tylko co trzeci specjalista ma formalne kwalifikacje w obszarze cyberbezpieczeństwa.
Ten deficyt jest coraz mocniej odczuwalny nie tylko z powodu ograniczonej liczby inżynierów, ale wyzwań, z którymi muszą się oni mierzyć.
– Znajdujemy się w dość specyficznym momencie. Z jednej strony mamy bardzo wymagającą sytuację geopolityczną i niesamowicie gwałtownie rosnącą liczbę cyberataków. Z drugiej, nowe regulacje w obszarze cyberbezpieczeństwa, takie jak NIS2 czy DORA, którym firmy muszą sprostać. I większość z nich samodzielnie nie jest w stanie się do nich dostosować – tłumaczy Paweł Kulpa z firmy Safesqr, specjalizującej się w cyberbezpieczeństwie i dodaje: – Te zmiany prawne będą wiązały się z nowymi obowiązkami, koniecznością przeprowadzenia analizy obecnej sytuacji, zdefiniowaniem na nowo potrzeb, dopasowaniem do nich odpowiednich procedur i ich skutecznym wdrożeniem.
Jak wynika z opracowania ENISA, sporo unijnych firm pozyskuje swoich specjalistów ds. cyberbezpieczeństwa w ramach wewnętrznej rekrutacji lub zmian organizacyjnych. Największą grupę pracowników odpowiedzialnych za cyfrowe bezpieczeństwo stanowią pracownicy, którzy zostali wchłonięci do tej roli z innego stanowiska w organizacji – dzieje się tak w 53 proc. polskich firm (wobec 57 proc. w UE). Zaledwie co dziesiąty specjalista ds. cyberbezpieczeństwa w polskiej firmie to osoba, która wcześniej specjalizowała się w tym obszarze (wobec średniej 18 proc. w całej UE).
Brak szkoleń – ignorowanie zagrożeń
Można powiedzieć, iż cała Europa ignoruje problem cyberbezpieczeństwa: zaledwie 29 proc. polskich firm przeprowadziło szkolenia z tego zakresu w ciągu ostatnich 12 miesięcy, podczas gdy średnia unijna wynosi 25 proc., wynika z raportu. Brak odpowiednich szkoleń i podnoszenia świadomości pracowników w zakresie zagrożeń cybernetycznych może prowadzić do poważnych luk w zabezpieczeniach firm, które staną się łatwym celem dla cyberprzestępców.
Potwierdzają to opinie przedstawicieli przedsiębiorstw, bo niemal co drugi ankietowany wśród największych wyzwań wskazuje trudności ze znalezieniem wykwalifikowanych kandydatów, a co piąty gwałtownie zmieniające się technologie.
Badanie „Cyberskills” zostało przeprowadzone wiosną 2024 roku na 13 tys. pracownikach firm z sektorów: produkcji, przemysłu, handlu, transportu, usług oraz opieki zdrowotnej. Ankietowane były przedsiębiorstwa z wszystkich 27 państw UE.
CYBERSEC 2024 – czego się dowiedzieliśmy?