Brak fachowców naraża małe firmy na e-ataki

pracodawcagodnyzaufania.pl 20 godzin temu

Na świecie brakuje od 2,8 do choćby 4,8 mln specjalistów zdolnych chronić cyfrową infrastrukturę.

Ta luka ma swoją cenę – organizacje z niedoborami kadrowymi ponoszą wyższe koszty w przypadku naruszenia danych. Aż 39% firm wskazuje brak umiejętności jako kluczową barierę dla swojej odporności, a tylko 14% czuje, iż ma na pokładzie odpowiednie talenty. Sytuacja jest alarmująca, zwłaszcza dla małych i średnich przedsiębiorstw. Jak w tej sytuacji MŚP mogą skutecznie się bronić i sprostać nowym wymogom prawnym? – zastanawiają się eksperci laboratorium antywirusowego ESET.

Globalna luka kompetencyjna wynosi od 2,8 do 4,8 mln nieobsadzonych stanowisk w zakresie cyberbezpieczeństwa

Braki kadrowe w obszarze cyberbezpieczeństwa przez cały czas stanowią poważne zagrożenie dla odporności biznesu. Dane Światowego Forum Ekonomicznego pokazują, iż globalna luka kompetencyjna wynosi od 2,8 do 4,8 mln nieobsadzonych stanowisk w tym obszarze, a najbardziej dotknięte są małe i średnie przedsiębiorstwa (MŚP). Przy ograniczonych budżetach, przeciążonym personelu i niewielkiej wiedzy wewnętrznej, wiele firm ma trudności z wdrażaniem choćby podstawowych środków ochrony przed cyberzagrożeniami.

Wysokie koszty niedoborów kadrowych

Zgodnie z raportem Global Cybersecurity Outlook 2025, 39% firm wskazuje brak umiejętności jako istotną barierę dla cyberodporności, a tylko 14% uważa, iż dysponuje odpowiednimi talentami. Braki kadrowe wpływają nie tylko na codzienne działania związane z bezpieczeństwem, ale także utrudniają wdrażanie regulacji w tym obszarze. Brak przeszkolonego personelu opóźnia najważniejsze procesy wykrywania cyberzagrożeń i reagowania na nie, ogranicza także możliwości analiz oraz komplikuje raportowanie. Przekłada się także, a może przede wszystkim, na wymierne straty finansowe. Według raportu IBM Cost of a Data Breach 2024, w przypadku organizacji z lukami kadrowymi koszty związane z naruszeniami danych są wyższe, niż w przypadku tych posiadających odpowiednie zasoby personalne.

– Dla małych i średnich firm bezpośrednie straty finansowe wynikające ze skutecznego cyberataku mogą być druzgocące. Konsekwencje wykraczają jednak daleko poza nie. Często równie dotkliwa i także przekładająca się długofalowo na finanse, jest utrata reputacji oraz zaufania klientów i partnerów biznesowych. Gdy dane wyciekną, a systemy przestaną działać, odbudowanie nadszarpniętego wizerunku jest procesem długotrwałym i niezwykle trudnym. Jednocześnie rośnie presja regulacyjna. Normy się coraz bardziej złożone i wymagają od firm nieustannej uwagi. Brak wykwalifikowanego personelu oznacza, iż niektóre MŚP nie tylko mają problem z obroną przed atakiem, ale także z samym zrozumieniem i wdrożeniem obowiązków legislacyjnych. To podwójne ryzyko – finansowe i prawne – mówi Kamil Sadkowski, analityk ESET.

Jak małe firmy mogą przygotować się na rosnące cyberzagrożenia?

Jak podkreślają specjaliści, firmy z sektora MŚP nie muszą wzorować się na rozbudowanych, korporacyjnych rozwiązaniach i zespołach cyberbezpieczeństwa. W tym sektorze warto skoncentrować się przede wszystkim na budowie strategii dopasowanych do profilu ryzyka i możliwości operacyjnych. W praktyce oznacza to m.in.:

  • Podstawy – nie potrzeba ogromnych budżetów, by osiągnąć znaczący postęp w cyberbezpieczeństwie. Szkolenia z zakresu świadomości zagrożeń – zwłaszcza phishingu i socjotechniki – należą do najskuteczniejszych sposobów ograniczania błędów ludzkich. Regularne audyty bezpieczeństwa i oceny ryzyka pomagają zidentyfikować i priorytetyzować podatności, zanim staną się one celem ataku. Szyfrowanie danych, bezpieczne kopie zapasowe oraz polityka silnych haseł stanowią podstawy higieny cyfrowej i można je wdrożyć przy minimalnych kosztach. Działania te wzmacniają bezpieczeństwo i pomagają spełniać wymagania regulacyjne dotyczące integralności danych, kontroli dostępu i ciągłości działania.
  • Współpraca z firmami zewnętrznymi – jednym z pierwszych kroków może być zaangażowanie zewnętrznych dostawców usług bezpieczeństwa. Zależnie od potrzeb, dobiorą oni rozwiązania i usługi wspierające np. monitoring, wykrywanie zagrożeń, ich analizę i specjalistyczną reakcję na incydenty bez konieczności utrzymywania wewnętrznych zespołów.
  • Architektura Zero Trust – model Zero Trust nie jest już zarezerwowany wyłącznie dla dużych firm. Jego podstawy – uwierzytelnianie wieloskładnikowe, zasada najmniejszych uprawnień, segmentacja sieci – są proste, a jednocześnie bardzo skuteczne dla MŚP. Ograniczając dostęp tylko do niezbędnych zasobów i separując wrażliwe systemy, firmy mogą znacząco ograniczyć ryzyko w przypadku włamania.

Nie tylko dobre praktyki, ale i obowiązki prawne

Zamknięcie luki kompetencyjnej to nie tylko wyzwanie techniczne, ale też sposób na sprostanie coraz bardziej złożonym wymogom regulacyjnym, dotyczącym niektórych małych i średnich firm. Warto pamiętać, iż zgodnie z przepisami MŚP mogą być objęte NIS2, jeżeli ich działalność ma istotny wpływ na bezpieczeństwo społeczne czy gospodarcze w danym kraju lub sektorze, lub jeżeli są dostawcami albo klientami firm już objętych dyrektywą.

– Wraz z pełnym wdrożeniem w Polsce unijnej dyrektywy NIS2, era, w której małe i średnie firmy mogły traktować cyberbezpieczeństwo jako problem dotyczący tylko największych graczy, bezpowrotnie się kończy. Nowe przepisy rozszerzają katalog podmiotów objętych ścisłymi wymogami na tysiące średnich przedsiębiorstw z kluczowych sektorów, takich jak produkcja, logistyka czy usługi cyfrowe. To już nie jest kwestia dobrych praktyk, a twardy obowiązek prawny, obejmujący zarządzanie ryzykiem, regularne audyty i zgłaszanie incydentów. Konsekwencje zaniedbań są dziś znacznie poważniejsze niż kiedykolwiek wcześniej. Mówimy o karach finansowych sięgających milionów euro, ale także o osobistej odpowiedzialności kadry zarządzającej za niedopełnienie obowiązków. Dla wielu MŚP największym ryzykiem może być jednak wykluczenie z łańcucha dostaw. Więksi partnerzy po prostu nie będą mogli sobie pozwolić na współpracę z podmiotem, który nie gwarantuje zgodności z NIS2 – mówi Paweł Jurek, Business Development Director, w firmie DAGMA Bezpieczeństwo IT.

Więcej: https://dagma.eu/pl
NIS2 – wymogi cyberbezpieczeństwa w firmach: https://www.youtube.com/embed/2FAq-mNt6Ac
Idź do oryginalnego materiału