W Polsce nie ma wystarczającej liczby inżynierów, by dbać o cyberbezpieczeństwo firm

Zaledwie 7 proc. polskich firm traktuje cyberbezpieczeństwo priorytetowo, podczas gdy w krajach UE ten odsetek wynosi 32 proc. To niepokojące dane z raportu opracowanego przez ENISA, czyli Agencję Unii Europejskiej ds. Cyberbezpieczeństwa. Polska znajduje się w tym zestawieniu w ogonie Europy, co może mieć poważne konsekwencje dla bezpieczeństwa danych – zarówno firm, jak i obywateli.

Dramatyczne braki kadrowe

Powodów takiego stanu jest kilka. Sporym problemem jest niedostatek specjalistów - aż 39 proc. polskich firm nie zatrudnia ani jednego pracownika odpowiedzialnego za cyberbezpieczeństwo, ujawnia ENISA. Jednego pracownika odpowiedzialnego za cyfrowe bezpieczeństwo zatrudnia 45 proc. firm, a dwóch do trzech pracowników zatrudnia 8 proc. przedsiębiorstw. Najmniej firm bez żadnego specjalisty jest w Luksemburgu (co piąta), a najwięcej w Bułgarii (65 proc.). Dodatkowym problemem mogą być niskie kwalifikacje tych osób. Na tle średniej europejskiej, gdzie tylko 21 proc. firm zatrudnia osoby z formalnymi kwalifikacjami lub certyfikowanym przeszkoleniem, polskie przedsiębiorstwa wyróżniają się co prawda pozytywnie – 36 proc. z nich posiada certyfikowanych specjalistów. Jednak to i tak niewiele, bo tylko co trzeci specjalista ma formalne kwalifikacje w obszarze cyberbezpieczeństwa.

Ten deficyt jest coraz mocniej odczuwalny nie tylko z powodu ograniczonej liczby inżynierów, ale wyzwań, z którymi muszą się oni mierzyć. – Znajdujemy się w dość specyficznym momencie. Z jednej strony mamy bardzo wymagającą sytuację geopolityczną i niesamowicie szybko rosnącą liczbę cyberataków. Z drugiej, nowe regulacje w obszarze cyberbezpieczeństwa, takie jak NIS2 czy DORA, którym firmy muszą sprostać. I większość z nich samodzielnie nie jest w stanie się do nich dostosować – tłumaczy Paweł Kulpa z firmy Safesqr, specjalizującej się w cyberbezpieczeństwie i dodaje: – Te zmiany prawne będą wiązały się z nowymi obowiązkami, koniecznością przeprowadzenia analizy obecnej sytuacji, zdefiniowaniem na nowo potrzeb, dopasowaniem do nich odpowiednich procedur i ich skutecznym wdrożeniem.

Jak wynika z opracowania ENISA, sporo unijnych firm pozyskuje swoich specjalistów ds. cyberbezpieczeństwa w ramach wewnętrznej rekrutacji lub zmian organizacyjnych. Największą grupę pracowników odpowiedzialnych za cyfrowe bezpieczeństwo stanowią pracownicy, którzy zostali wchłonięci do tej roli z innego stanowiska w organizacji – dzieje się tak w 53 proc. polskich firm (wobec 57 proc. w UE). Zaledwie co dziesiąty specjalista ds. cyberbezpieczeństwa w polskiej firmie to osoba, która wcześniej specjalizowała się w tym obszarze (wobec średniej 18 proc. w całej UE).

Brak szkoleń – ignorowanie zagrożeń

Można powiedzieć, że cała Europa ignoruje problem cyberbezpieczeństwa: zaledwie 29 proc. polskich firm przeprowadziło szkolenia z tego zakresu w ciągu ostatnich 12 miesięcy, podczas gdy średnia unijna wynosi 25 proc., wynika z raportu. Brak odpowiednich szkoleń i podnoszenia świadomości pracowników w zakresie zagrożeń cybernetycznych może prowadzić do poważnych luk w zabezpieczeniach firm, które staną się łatwym celem dla cyberprzestępców.

– Doświadczenia pokazują, że człowiek jest w obszarze cyberbezpieczeństwa najsłabszym ogniwem. To nie tylko kwestia umiejętności rozpoznawania zagrożeń. Metody działania cyberprzestępców zmieniają się tak szybko, że tylko ciągła edukacja w zakresie rozpoznawania zagrożeń i odpowiedniego reagowania na incydenty minimalizuje ryzyko i zabezpiecza firmę przed poważnymi konsekwencjami finansowymi i reputacyjnymi. Jest to tym bardziej istotne, że deficyt umiejętności związanych z cyberbezpieczeństwem pogłębia się – potrzeby rosną coraz szybciej, a przygotowanie specjalistów trwa – kończy Paweł Kulpa z Safesqr.

Potwierdzają to opinie przedstawicieli przedsiębiorstw, bo niemal co drugi ankietowany wśród największych wyzwań wskazuje trudności ze znalezieniem wykwalifikowanych kandydatów, a co piąty szybko zmieniające się technologie.

Badanie „Cyberskills” zostało przeprowadzone wiosną 2024 roku na 13 tys. pracownikach firm z sektorów: produkcji, przemysłu, handlu, transportu, usług oraz opieki zdrowotnej. Ankietowane były przedsiębiorstwa z wszystkich 27 krajów UE.

Sprawdź także: Cyberzagrożenia to ryzyko każdej firmy. Debata My Company Polska