Czy przemysł lekceważy kwestie cyberbezpieczeństwa?


Jak wynika z jednego z ostatnich badań zrealizowanych przez firmę Kaspersky, przemysł dość opieszale podchodzi do kwestii przekazywania podmiotom nadzorującym informacji dotyczących incydentów naruszenia cyberbezpieczeństwa – 2/3 firm nie robi tego wcale. Jest to o tyle zaskakujące, że obowiązki w tym zakresie określone są dość precyzyjnie i nie ma tu właściwie miejsca ani na opieszałość, ani też na żadną dowolność. Okazuje się, że istnieje cały zestaw czynników, które wywierają wpływ na to, jak firmy traktują obowiązek postępowania zgodnie z regulacjami.

Dziś przemysł to obszar, który niemal nieustannie znajduje się na celowniku zaawansowanych ataków cyberprzestępczych. Z tego też względu stosowanie się do restrykcyjnych reguł cyberbezpieczeństwa jest ważne jak nigdy dotąd. Od regulacji wynikających z RODO, po standardy ustalone przez Międzynarodową Komisję Elektrotechniczną (IEC) – firmy przemysłowe muszą działać w zgodzie z narzuconymi odgórnie wymogami. Czy tak się dzieje? Praktyka pokazuje, że sytuacja pozostawia sporo do życzenia.

Jak wynika bowiem z opracowanego przez Kaspersky raportu odnośnie cyberbezpieczeństwa przemysłowego w 2019 r., całkiem pokaźna rzesza firm z dość dużą lekkością podchodzi do wymogu zgłaszania incydentów. Dlaczego? Najprawdopodobniej chodzi tu o uniknięcie kar oraz publicznego nagłaśniania zdarzeń, które mogłyby zaważyć na reputacji i wizerunku firmy. Odpowiedzi udzielone przez respondentów wskazują, że przeszło połowa (52%) incydentów prowadzi do naruszenia wymogów regulacyjnych. Ponadto 63% respondentów jako jedną z głównych obaw związanych z prowadzeniem działalności podaje utratę zaufania klientów na skutek incydentu naruszenia cyberbezpieczeństwa.

Pozostałe wyniki badania sugerują, że poza koniecznością zgłaszania incydentów przemysł traktuje przestrzeganie przepisów z dużą powagą – tylko jedna piąta (21%) przedsiębiorstw przemysłowych przyznała, że nie stosuje się obecnie do obowiązkowych regulacji branżowych. Co istotne, przedsiębiorstwa, mimo niezgłaszania incydentów, zdają sobie sprawę z konieczności przestrzegania wymogów regulacyjnych. W przypadku 55% respondentów zgodność z przepisami jest głównym czynnikiem uwzględnianym w strategiach inwestycji w cyberbezpieczeństwo. Jednak koncentrując się przede wszystkim na procedurach, firmy mogą zacząć lekceważyć jakość rozwiązań cyberbezpieczeństwa, nie zwracając uwagi na rzeczywiste zagrożenia – tylko 28% respondentów wskazało krajobraz zagrożeń jako główny czynnik uwzględniany podczas ustalania budżetu.

Instalacja przemysłowa

fot. mat. prasowe

Instalacja przemysłowa

Dwie trzecie organizacji przemysłowych nie zgłasza incydentów naruszenia cyberbezpieczeństwa odpowiednim organom

Przestrzeganie wymogów przemysłowych i regulacyjnych nie powinno być lekceważone. Należy jednak pamiętać, że rzeczywisty krajobraz zagrożeń zmienia się dynamicznie. Skuteczne rozwiązanie cyberbezpieczeństwa w połączeniu z jasną polityką powinno pomóc firmom osiągnąć niezbędny poziom ochrony zgodny z wymogami regulacyjnymi. Takie rozwiązania powinny stosować środki ukierunkowane na technologie, ocenę luk w zabezpieczeniach, zapewniać reagowanie na incydenty oraz inicjatywy zwiększania świadomości wszystkich pracowników mających do czynienia z systemami automatyzacji przemysłowej – powiedział Gieorgij Szebuldajew, szef działu odpowiedzialnego za rozwój produktu Kaspersky Industrial Cybersecurity.

You have Successfully Subscribed!