Firma Dagma z Katowic, przy współpracy z TÜV Rheinland Polska oraz PKPP Lewiatan, przeprowadziła badanie mające na celu zdiagnozowanie poziomu bezpieczeństwa danych w polskich przedsiębiorstwach. Partnerem merytorycznym projektu był instytut Millward Brown SMG/KRC. Wyniki pozwalają stwierdzić, że rodzime przedsiębiorstwa poważnie podchodzą do kwestii ochrony swoich komputerów przed wirusami – prawie wszyscy ankietowani zadeklarowali, że w ich firmach zainstalowano oprogramowanie antywirusowe (98%). I jak się wydaje jest to działanie słuszne – 36% ankietowanych przyznało, że przedsiębiorstwa, którymi zarządzają lub w których pracują, odnotowały w ostatnich 12 miesiącach incydenty związane z bezpieczeństwem IT.
Najczęściej wiązały się one właśnie z infekcją wirusa. Niestety wizerunek odpowiedzialnych i poważnie podchodzących do bezpieczeństwa informatycznego przedsiębiorstw psuje fakt, iż polskie firmy zapominają o konieczności zabezpieczania jednych z najcenniejszych swoich aktywów – danych zapisanych na dyskach twardych komputerów. Taka sytuacja jest bardzo często równoznaczna z łamaniem przez rodzime przedsiębiorstwa przepisów polskiego prawa.
79% ankietowanych przyznało, że przechowuje na dyskach firmowych laptopów dane osobowe, jednak tylko 22% pytanych wiedziało o ustawowym obowiązku szyfrowania takich komputerów, jeśli są one wynoszone poza siedzibę przedsiębiorstwa. Aż 46% ankietowanych zadeklarowało, że w Polsce nie ma obowiązku stosowania rozwiązania kryptograficznego.
Tymczasem obowiązująca regulacja stanowi jednoznacznie, że “Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania (…) stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.” [rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r.].
Nieznajomość prawa nie oznacza jednak, że polskie firmy nie zauważają niebezpieczeństw, na jakie może narazić je lekceważące podejście do ochrony danych. Większość ankietowanych przyznała (88%), że utrata danych wpłynęłaby negatywnie na ich działalność, powodując konsekwencje finansowe, prawne lub utratę zlecenia, a nawet klienta. Wśród negatywnych konsekwencji utraty danych ankietowani wskazali również na niebezpieczeństwo zaistnienia konieczności zawieszenia lub zamknięcia działalności gospodarczej!
Sytuację pogarsza fakt, że ewentualne sytuacje kryzysowe firmy prowokują samodzielnie – 41% ankietowanych przyznało, iż w ich przedsiębiorstwach pracownicy mogą kopiować na nośniki zewnętrzne dowolne dane! Oznacza to, że w firmach tych realny jest scenariusz, kiedy to szeregowy pracownik kopiuje na swój pendrive firmową bazę klientów lub projekt, nad którym przedsiębiorstwo pracuje od wielu miesięcy. Zdobyte w ten sposób pliki mogą być później sprzedane konkurencji lub posłużyć do szantażu. Takie przypadki kradzieży danych naprawdę się zdarzają – potwierdzili to sami ankietowani.
Polskie firmy wydają się dostrzegać problem zapewnienia sobie należytego bezpieczeństwa IT i jak twierdzi ponad połowa badanych (56%), ich przedsiębiorstwa szkolą swoich pracowników z zakresu reguł bezpieczeństwa informatycznego obowiązujących w pracy. Podczas tego typu szkoleń pracownicy dowiadują się, m.in. których stron nie powinni odwiedzać w godzinach pracy, czy też dlaczego nie powinno się podawać haseł, zabezpieczających dostęp do firmowego komputera osobom trzecim itd. Niestety 36% rodzimych przedsiębiorstw tego typu szkoleń nie organizuje w ogóle, wymawiając się najczęściej brakiem środków finansowych lub brakiem czasu. Tymczasem prawidłowa edukacja pracowników, połączona z wprowadzeniem spójnej polityki bezpieczeństwa, mogłaby zlikwidować ryzyko kosztownych i często kłopotliwych konsekwencji, związanych z utratą firmowych danych.
Badanie zostało przeprowadzone na grupie 112 przedstawicieli polskich przedsiębiorstw za pomocą ankiety elektronicznej, udostępnionej na platformie ebadania.pl.