Czy firmy przygotowują się do RODO? Badanie T-Mobile

Monika Brzozowska-Pasieka

Autor: Wioleta Szczygielska

Dodano: 23 listopada 2017
Czy firmy przygotowują się do RODO? Badanie T-Mobile

Prawie 40% średnich i ponad 35% dużych firm w Polsce wie, że musi dostosować się do RODO i już zaczęło ten proces – wynika z badania przeprowadzonego przez T-Mobile.

T-Mobile przeprowadziło badanie wśród blisko 700 firm. Podmioty zostały zapytane o to, na jakim etapie jest ich przygotowanie do ogólnego rozporządzenia o ochronie danych (RODO, ang. GDPR), czy w swojej działalności doświadczyły cyberataków, jakie rozwiązania wpływające na cyberbezpieczeństwo stosują i jakie wydatki ponoszą w tym zakresie, a także jakie znaczenie mają firmy zewnętrzne i właśni specjaliści w zakresie cyberbezpieczeństwa.

Nie wszystkie firmy przygotowują się do RODO

Badanie przeprowadzone przez T-Mobile pokazuje, że większość przedsiębiorców ma świadomość istnienia takiego aktu prawnego, jak ogólne rozporządzenie o ochronie danych (RODO) – tylko 24% średnich i 30% dużych firm twierdzi, że nigdy nie spotkało się z określeniem RODO/GDPR. Reszta wie, że takie rozporządzenie istnieje. Blisko 40% średnich i 36% dużych przedsiębiorstw już się do niego przygotowuje, znacznie mniej (odpowiednio 14 i 18%) planuje rozpocząć przygotowania. Reszta przedsiębiorców twierdzi, że RODO nie będzie miało wpływu na ich firmę i nie muszą się do niego przygotowywać.

Badanie pokazało, że największą świadomość w kwestii RODO ma sektor ochrony zdrowia (46% podmiotów już się przygotowuje, a 24% ma to w planach). Zdecydowanie gorzej wypadają firmy produkcyjne.

Działania firm dostosowujące je do RODO w głównej mierze polegają na okresowym szkoleniu pracowników z zakresu ochrony danych osobowych, uwzględnianiu mechanizmów ochrony danych osobowych w systemach IT i wdrażaniu w zakresie ochrony danych osobowych oraz przeprowadzają audyt obszaru ochrony danych, korzystając z usług firmy zewnętrznej. Około połowa firm tworzy lub aktualizuje rejestr operacji przetwarzania danych osobowych i przeprowadza ocenę skutków operacji przetwarzania danych.

„Niepokoi brak świadomości nadchodzących zmian prawa wśród przedsiębiorstw. Ponad połowa firm biorących udział w badaniu nie podjęła jeszcze kroków, by ocenić wpływ RODO na swoją działalność lub działań w celu dostosowania się do regulacji. W grupie tej znalazło się 62% średnich i 64% dużych spośród badanych firm. Przedsiębiorstwa te nie mają wiedzy o zmianach wprowadzanych przez RODO, uznają, że regulacja ich w ogóle nie dotyczy (!) albo zwlekają z podjęciem niezbędnych działań” – komentuje Daniel Ślęzak kierownik Działu Ochrony Danych i Zarządzania Ryzykiem, radca prawny, T-Mobile Polska S.A.

Czy firmy doświadczają cyberataków

Co druga badana firma z segmentu dużych i średnich przedsiębiorstw zadeklarowała, że do tej pory nigdy nie doświadczyła żadnych cyberataków (48%). Nieco częściej na brak ataków wskazywały firmy zatrudniające poniżej 250 pracowników (51%).

Zdaniem Arkadiusza Buczka, głównego specjalisty ds. cyberbezpieczeństwa w T-Mobile „Taki wynik świadczy o niskiej kondycji cyberbezpieczeństwa w Polsce. Obserwacje prowadzone na całym świecie wskazują, że praktycznie każda infrastruktura dostępna w Internecie poddawana jest atakom. Czas wykrycia poważnego incydentu często zajmuje miesiące, a nawet lata. Dane te odzwierciedlają zatem niską jakość stosowanych metod monitorowania i rejestracji incydentów w polskich firmach, które ignorują nadzorowanie stanu bezpieczeństwa swoich zasobów i opóźniają wykrycie udanych ataków cybernetycznych”.

Z badania wynika, że głównym celem cyberataku jest użytkownik. Najczęstszym wektorem ataków jest złośliwe oprogramowanie, któremu uległo łącznie 37% respondentów. Ataków na komputery pracowników doświadczyło ogółem 14% badanych firm. Duże firmy, z racji skali swojej działalności, znacznie częściej niż średnie przedsiębiorstwa bywają celem bezpośrednich ataków, takich jak: ataki na serwery firmowe (15%), zasoby WWW (13%) czy bazy danych (8%).

Jakie zabezpieczenia stosują firmy

Zarówno w średnich, jak i w dużych firmach najważniejsza rozwiązania wpływające na bezpieczeństwo sieciowe to program antywirusowy oraz zapora sieciowa. Dla większości badanych firm są one podstawą całego systemu bezpieczeństwa.

W ciągu najbliższych 2 lat badane firmy z sektora dużych i średnich przedsiębiorstw nie planują większych zmian w działaniach związanych z cyberbezpieczeństwem. Podstawowe zabezpieczenia będą oparte na oprogramowaniu antywirusowym oraz zaporach sieciowych. Ponadto nadal dużą uwagę będą przywiązywać do rozwiązań, mających na celu zapewnienie bezpieczeństwa baz danych. Siedem na dziesięć badanych przedsiębiorstw przeprowadziło testy penetracyjne sieci i serwerów.

Tylko jedna trzecia średnich firm przeprowadziła audyt bezpieczeństwa informacji pod kątem zgodności z normą ISO 27001. Częściej na przeprowadzenie audytu wskazywali przedstawiciele dużych firm (43% w stosunku do 33% w grupie średnich przedsiębiorstw).

Ile firmy wydają na cyberbezpieczeństwo

Wydatki dużych i średnich przedsiębiorstw poniesione z tytułu działań w obszarze cyberbezpieczeństwa kształtują się na relatywnie niskim poziomie. Trzy czwarte badanych firm zadeklarowało, że na ten cel w 2016 roku przeznaczyło mniej niż 50 tys. zł. Warto też zwrócić uwagę na to, że ok. 7% dużych firm działających w Polsce przeznaczyło w ubiegłym roku ponad 1 mln zł na działania w obszarze cyberbezpieczeństwa.

Nie jest zaskakujące, że duże firmy przeznaczały w 2016 r. większe kwoty na cyberbezpieczeństwo niż średnie przedsiębiorstwa. Wyższe koszty były związane z większymi przychodami, które na ogół wypracowują duże podmioty, oraz z większymi zasobami IT do zabezpieczenia.

Struktura wydatków na działania w obszarze cyberbezpieczeństwa w dużych i średnich firmach nieznacznie się różni. O ile średnie firmy wydają mniej więcej tyle samo na sprzęt oraz oprogramowanie, o tyle duże firmy nieco większe kwoty przeznaczają na sprzęt. Zwiększenie budżetu na działania w obszarze cyberbezpieczeństwa w 2017 r. rozważa jedynie co piąta średnia i co trzecia duża firma.

Czy firmy korzystają z własnych specjalistów ds. cyberbezpieczeństwa, czy z podmiotów zewnętrznych

Przedstawiciele 80% badanych firm z sektora dużych i średnich przedsiębiorstw zadeklarowali, że sami kupują, wdrażają oraz zarządzają rozwiązaniami z zakresu cyberbezpieczeństwa. Z outsourcingu ekspertów lub zasobów korzysta co szóste przedsiębiorstwo. Dwie piąte dużych i tylko co piąta średnia firma zatrudnia specjalistę odpowiedzialnego za obszar bezpieczeństwa cyfrowego. Większe firmy częściej decydują się na zatrudnienie specjalnej osoby odpowiedzialnej za cyberbezpieczeństwo, ponieważ – jak wynika z deklaracji badanych – częściej borykają się z problemem cyberataków.

Większość przedsiębiorstw nie tworzy oddzielnych stanowisk dla osób, których podstawowym obowiązkiem jest dbanie o bezpieczeństwo. Z badania wynika, że aż 61% firm nie planuje poszukiwania specjalisty z tej dziedziny. Obowiązki te przydzielane są zazwyczaj pracownikom działu IT – administratorom systemów i/lub sieci. Badanie pokazuje także, że firmy nie odczuwają skutków ataków, dlatego też nie decydują się na zatrudnienie ekspertów z zakresu cyberbezpieczeństwa.

Obawy o wyższe koszty skorzystania z usług firmy zewnętrznej w zakresie cyberbezpieczeństwa są szczególnie widocznie wśród średnich firm, co jest zrozumiałe, gdyż generują one niższe przychody niż duże firmy.

Źródło:
  • Badanie rynku cyberbezpieczeństwa w Polsce 2017 w dużych i średnich firmach, T-Mobile Polska.
Monika Brzozowska-Pasieka

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel