Informacja prasowa
02 lis 2023  | Warszawa, PL

Badanie EY: większość ekspertów od cyberbezpieczeństwa uznaje działania swoich organizacji za nieefektywne

Kontakt dla mediów

Z opracowanego przez EY Global Cybersecurity Leadership Insights Study wynika, że tylko jeden na pięciu liderów ds. cyberbezpieczeństwa uważa, że podejście jego organizacji do zwalczania wirtualnych zagrożeń jest skuteczne. Jednym z głównych wyzwań na drodze do budowania efektywnej ochrony przed cyberatakami jest szybkie wykrywanie incydentów i minimalizowanie potencjalnych szkód. Tymczasem obecnie aż 76% respondentów potrzebuje co najmniej sześciu miesięcy, aby rozpoznać zagrożenie i na nie zareagować. Na drugim biegunie znajdują się cybernetyczni prymusi, których wyróżnia m.in. korzystanie z nowych technologii na wczesnych etapach ich rozwoju (70% wskazań) oraz przeprowadzanie szkoleń w zakresie wirtualnych ryzyk wśród wszystkich pracowników.

Liczba przeprowadzanych cyberataków z roku na rok się zwiększa – według danych University of Maryland CISSM Cyber Attacks Database w ciągu ostatnich pięciu lat wzrosła o ok. 75%. Ich ofiarami padają rozmaite organizacje, bez względu na ich wielkość i profil działalności, a także infrastruktura krytyczna. Nie wszystkie z nich potrafią odpowiednio wykrywać i zwalczać potencjalne ryzyka. Badanie EY przeprowadzone wśród 500 liderów ds. cyberbezpieczeństwa wykazało, że zaledwie co piąty jest zdania, że jego firma podejmuje właściwe działania w celu zwalczania wirtualnych zagrożeń.

Co więcej, połowa badanych przejawia sceptycyzm co do efektywności szkoleń prowadzonych wśród pracowników na temat wirtualnych zagrożeń i sposobów ich niwelowania. Zaledwie 36% ekspertów jest zadowolonych ze sposobu, w jaki zespoły spoza działu IT stosują na co dzień najlepsze praktyki dotyczące cyberbezpieczeństwa. 

Rośnie liczba incydentów, rosną koszty

Uczestnicy badania EY podkreślają rosnące koszty związane z inwestycjami w cyberbezpieczeństwo. Szefowie bezpieczeństwa informacji (CISO) podają, że średnie roczne wydatki na ten cel sięgają w ich organizacjach 35 mln dolarów. Tak znaczne kwoty są proporcjonalne do rosnącej liczby zagrożeń – w 2022 r. w ankietowanych firmach średnia liczba incydentów wyniosła 44. Pomimo wysokiego poziomu wydatków przeznaczanych na minimalizowanie wirtualnych ryzyk, prędkość ich wykrywania jest zdaniem ankietowych dalece niezadowalająca. Ponad trzy czwarte respondentów (76%) przyznaje, że ich organizacje potrzebują średnio sześciu miesięcy lub więcej, aby zareagować na incydent.

– Mimo szeroko zakrojonych działań i inwestycji wielu liderów ds. cyberbezpieczeństwa wciąż czuje, że ich organizacje pozostają nieprzygotowane na możliwe zagrożenia. Poziom ich niezadowolenia jest tym bardziej alarmujący, że czekają nas znacznie podstępniejsze i lepiej przygotowane cyberataki, których negatywne skutki biznesowe mogą być trudne do opanowania. Dlatego coraz większą rolę odgrywać będzie szybsze wykrywanie i rozwiązywanie incydentów. W efekcie eksperci ds. cyberbezpieczeństwa powinni budować świadomość o przyszłych zagrożeniach wśród wszystkich pracowników, w tym u członków zarządów, oraz opracować strategię działania, która efektywnie wykorzystuje istniejące systemy, np. za pomocą automatyzacji, oraz zabezpiecza kluczowe obszary, takie jak chmura - komentuje Piotr Ciepiela, Partner EY, Globalny Lider Bezpieczeństwa Architektury i Nowoczesnych Technologii.

Cybernetyczni prymusi

Firmy, które są zadowolone ze swojego podejścia do cyberbezpieczeństwa oraz szybciej wykrywają i reagują na incydenty, mają pewne wspólne cechy. Przede wszystkim 70% z nich określa siebie jako wczesnych użytkowników nowych technologii. Ich celem jest wyciąganie jak największej wartości z konkretnych zaawansowanych rozwiązań, takich jak sztuczna inteligencja i uczenie maszynowe (AI/ML) (62%) czy technologia SOAR – z ang. Security Orchestration, Automation and Response (52%). Ponadto prymusi w zakresie cyberbezpieczeństwa opracowali konkretne strategie zarządzania atakami z wielu źródeł, np. z własnej chmury, ze strony dostawców czy łańcuchów dostaw.

Nie mniej istotne jest to, że wdrażają odpowiednie myślenie o cyber ryzykach oraz przeprowadzają szkolenia w zakresie cyberbezpieczeństwa na wszystkich szczeblach w swojej firmie – od kierownictwa po szeregowych pracowników. W rezultacie CISO z tych organizacji twierdzą, że ich podejście z większym prawdopodobieństwem pozytywnie wpłynie na tempo transformacji i innowacji (56%), a także na ich zdolność do szybkiego reagowania na możliwości rynkowe (58%) i tworzenia wartości dodanej (63%).

Prostota najlepszą tarczą ochronną

Jednocześnie to błąd ludzki nadal jest głównym czynnikiem umożliwiającym cyberataki. Czterech na dziesięciu ankietowanych uznało niestosowanie się do wyznaczonych praktyk przez inne zespoły poza działem IT za wyzwanie na drodze do zwiększania poziomu cyberbezpieczeństwa. Obok przeprowadzania powszechnych i cyklicznych szkoleń dla pracowników, ważnym elementem jest racjonalne podejście do technologii. Budowanie skutecznej tarczy ochronnej przeciwko wirtualnym zagrożeniom nie powinno sprowadzać się do dużej liczby rozwiązań zaprzęgniętych do tego celu. Wręcz przeciwnie, im więcej stosowanych technologii, tym trudniej odbierać niepokojące sygnały i szybko reagować na problemy.

– Liderzy ds. cyberbezpieczeństwa w organizacji nie powinni skupiać się jedynie na wprowadzaniu nowych rozwiązań, ale na lepszej integracji już istniejących. Drugim ważnym aspektem jest edukowanie i pokazywanie, że cyberbezpieczeństwo nie stanowi czynnika hamującego rozwój biznesu. Wręcz przeciwnie – prawidłowo poukładane procesy bezpieczeństwa tworzą wartość dodaną, budzą zaufanie u partnerów, ale również wśród pracowników. Ci drudzy stanowią pierwszą i zarazem najważniejszą linię obrony przed cyberatakami. Jednocześnie w bezpiecznym środowisku organizacyjnym chętniej wysuwają innowacyjne pomysły i wdrażają nowoczesne technologie. A stąd już krótka droga do nowych możliwości biznesowych i umacniania swojej pozycji rynkowej w oparciu o transformację cyfrową – podsumowuje Piotr Ciepiela.

O badaniu

Badanie EY 2023 Global Cybersecurity Leadership Insights Study zostało przeprowadzone w lutym i marcu 2023 r. wśród 500 menedżerów wyższego szczebla i liderów ds. cyberbezpieczeństwa w 25 krajach z obu Ameryk, Azji oraz regionu EMEIA (Europa, Bliski Wschód, Indie i Afryka). Respondenci reprezentowali organizacje o rocznych przychodach przekraczających 1 miliard dolarów. 

O firmie EY

Celem działalności EY jest budowanie lepiej funkcjonującego świata - poprzez wspieranie klientów, pracowników i społeczeństwa w tworzeniu trwałych wartości - oraz budowanie zaufania na rynkach kapitałowych.

Wspomagane przez dane i technologię, zróżnicowane zespoły EY działające w ponad 150 krajach, zapewniają zaufanie dzięki usługom audytorskim oraz wspierają klientów w rozwoju, transformacji biznesowej i działalności operacyjnej.

Zespoły audytorskieconsultingoweprawnestrategicznepodatkowe i transakcyjne zadają nieoczywiste pytania, by móc znaleźć nowe odpowiedzi na złożone wyzwania, przed którymi stoi dziś świat.

 EY w Polsce to ponad 5000 specjalistów pracujących w 8 miastach: w Warszawie, Gdańsku, Katowicach, Krakowie, Łodzi, Poznaniu, Wrocławiu i Rzeszowie oraz w Centrum Usług Wspólnych EY.

Działając na polskim rynku co roku EY doradza tysiącom firm, zarówno małym i średnim przedsiębiorstwom, jak i największym firmom. Tworzy unikatowe analizy, dzieli się wiedzą, integruje środowisko przedsiębiorców oraz angażuje się społecznie. Działająca od ponad 20 lat Fundacja EY wspiera rozwój i edukację dzieci oraz młodzieży z rodzin zastępczych, zwiększając ich szanse na dobrą przyszłość, a także pomaga opiekunom zastępczym w ich codziennej pracy. Każdego roku Fundacja EY realizuje około 20 projektów pomocowych, wspierając w ten sposób ponad 1300 rodzin zastępczych.

EY Polska od 2003 roku prowadzi polską edycję międzynarodowego konkursu EY Przedsiębiorca Roku, której zwycięzcy reprezentują Polskę w międzynarodowym finale World Entrepreneur of the Year organizowanym co roku w Monte Carlo. To jedyna tej rangi, międzynarodowa inicjatywa promująca najlepszych przedsiębiorców.

EY Polska jest sygnatariuszem Karty Różnorodności i pracodawcą równych szans. Realizuje wewnętrzny program „Poziom wyżej bez barier”, aktywnie wspierający osoby z niepełnosprawnościami na rynku pracy. EY był w Polsce wielokrotnie wyróżniany tytułem „Pracodawca Roku®” w rankingu prowadzonym przez międzynarodową organizację studencką AIESEC. EY jest również laureatem w rankingach Great Place to Work oraz Idealny Pracodawca według Universum.

Powiązane informacje prasowe