S T U D I A N A D B E Z P I E C Z E Ń S T W E M
NR 3 |
ss. 65–76 |
ROK 2018 |
|
|
|
|
|
|
|
|
|
ISSN 2543–7321 |
|
Przyjęto: |
27.10.2017 |
© Instytut Bezpieczeństwa Narodowego, Akademia Pomorska w Słupsku |
Zaakceptowano: |
11.01.2018 |
Oryginalna praca badawcza
Ewa Matuska
Akademia Pomorska Słupsk ewa.matuska@apsl.edu.pl
ZARZĄDZANIE BEZPIECZEŃSTWEM CYFROWYM
W SEKTORZE MAŁYCH I ŚREDNICH PRZEDSIĘBIORSTW –
ASPEKTY PERSONALNE
MANAGING CYBERSECURITY IN THE SMALL AND MEDIUM
ENTERPRISES SECTOR – PERSONAL ASPECTS
Zarys treści: Dziedziną, w której szczególnie należy zapewnić bezpieczne przetwarzanie danych w biznesie, jest obszar procesów kadrowych oraz marketingowych związanych z relacjami z klientami. Artykuł podejmuje kwestię oceny przygotowania sektora polskich MŚP do zarządzania cyberbezpieczeństwem w kontekście upowszechniania praktyk cy- frowych w procesach przekazywania i przetwarzania danych biznesowych oraz wyzwań nowej ustawy o ochronie danych osobowych (NUODO). Opisuje luki obszarowe, w tym luki kompetencyjne menadżerów i pracowników, w sferze odpowiedzialnej ochrony pro- cesów gospodarczych przed zagrożeniami cyfrowymi. We wnioskach sformułowano zale- cenie umiejscowienia systemowej ochrony przed zagrożeniami cyfrowymi w obszarze za- rządzania strategicznego oraz powierzenie jej zadań operacyjnych także działom personal- nym, a nie tylko technicznym.
Słowa kluczowe: biznes cyfrowy, cyberbezpieczeństwo, ochrona danych osobowych, kompetencje cyfrowe, zarządzanie strategiczne, zarządzanie zasobami ludzkimi
Key words: digital business, cybersecurity, personal data protection, digital competences, strategic management, human resources management
Wprowadzenie
Cyfryzacja procesów biznesowych stwarza szansę zwiększonej elastyczności w produkcji, wyższej jakości produktów, zwiększonej produktywności i wielokierun- kowej komunikacji marketingowej. Popularyzacja biznesów cyfrowych w gospodarce
wynika przede wszystkim z poszukiwań konkurencyjnych rozwiązań w związku z ostatnim kryzysem ekonomicznym, podczas którego upadło wiele przedsiębiorstw zorganizowanych w sposób tradycyjny. Stworzyło to nisze rynkowe dla pojawienia się innowacyjnych organizacji – organizacji wirtualnych, wykorzystujących potęgę Inter- netu w niskokosztowym wariancie prowadzenia działalności gospodarczej.
Niskie koszty to zwłaszcza szansa rozwoju dla małych i mikroprzedsiębiorstw oraz tworzenia start-upów. Tym samym jest to zachęta do przedsiębiorczości i kreacji in- nowacyjnych pomysłów biznesowych. Innowacje są niezbędne, by sprostać wymaga- niom coraz bardziej świadomych klientów, którzy starannie wybierają wartości, za które płacą. Ponadto klienci coraz częściej chcą współtworzyć kupowane produkty czy usługi, dlatego chętnie uczestniczą w inicjatywach marketingowych typu crowd- sourcing1 organizowanych w Internecie – na portalach społecznościowych, poprzez webinaria, open calls czy – coraz bardziej popularne – blogi tematyczne. Na globalnej platformie ludzie i organizacje oddziałują na siebie, komunikują się, współpracują, opracowują nowe strategie, produkty i usługi. Podobnie pracownicy firm spontanicz- nie współtworzą wirtualny wizerunek pracodawców, zamieszczając w sieci opinie i komentarze o swoich miejscach pracy. Mobilne aplikacje dodają tym procesom nie- spotykanego zasięgu i tempa. Mocne strony organizacji cyfrowych to – oprócz małych nakładów – takie atrybuty, jak: złożoność, elastyczność, uspołecznienie.
Te atuty jednak niosą także istotne ryzyka związane przede wszystkim z intensyw- nym przetwarzaniem danych osobowych klientów, obywateli, pracowników. Digitali- zacja procesów biznesowych powoduje wiele zagrożeń, które muszą być uwzględnia- ne zarówno przy projektowaniu nowych wirtualnych start-upów, jak i w monitorowa- niu funkcjonowania każdej organizacji korzystającej z narzędzi ICT (Information Communication Technology). Z narzędzi tych w komunikacji zewnętrznej i we- wnętrznej korzystają powszechnie wszystkie firmy, zarówno duże, jak i te mniejsze, należące do tzw. sektora małych i średnich przedsiębiorstw (MŚP)2. W grupie MŚP znajdują się również mikroprzedsiębiorstwa (MMŚP), zatrudniające od 1 do 9 osób, które stanowią większość podmiotów gospodarczych w całym sektorze MŚP.
Zabezpieczenie przetwarzanych danych osobowych klientów i pracowników stało się wymogiem prawa z dniem 25 maja 2018 r., gdy zaczęły obowiązywać regulacje nowej unijnej ustawy o ochronie danych osobowych – General Data Protection Regu- lation (GDPR), które w Polsce jako tzw. nową ustawę o ochronie danych osobowych (NUODO)3 zdecydowano się wprowadzić w sposób kompleksowy, tj. wraz ze zmia- nami w ponad 130 ustawach we wszystkich sektorach4. Tym samym postawiono bar-
———————
1Crowdsourcing (ang. crowd – ‘tłum’, outsourcing – ‘korzystanie z zasobów zewnętrznych’) – ko- munikowanie się z dużą liczbą osób w celu pozyskania ich wiedzy, opinii, czasu, zasobów itp.
2Sektor MŚP – sektor mikro-, małych i średnich przedsiębiorstw. Obejmuje podmioty, które za- trudniają mniej niż 250 pracowników i których roczny obrót nie przekracza 50 milionów euro, a/lub całkowity bilans roczny nie przekracza 43 milionów euro. Por. Nowa definicja MŚP. Po-
radnik dla użytkowników i wzór oświadczenia, Komisja Europejska, [Bruksela] 2006, s. 5.
3Nowa ustawa o ochronie danych osobowych – najważniejsze zagadnienia, https://gdpr.pl/nowa- ustawa-o-ochronie-danych-osobowych#Nowa_ustawa_o_ochronie_danych_osobowych (dostęp: 9.09.2017).
4Założenia NUODO Ministerstwo Cyfryzacji ogłosiło 14.09.2017 r. jako projekt zmian komplekso- wych, w odróżnieniu od praktyk innych krajów UE, gdzie najpierw ogłaszana jest nowa ustawa o ochronie danych osobowych, a dopiero później ustawy dostosowawcze w innych sektorach.
Zarządzanie bezpieczeństwem cyfrowym w sektorze małych i średnich przedsiębiorstw… 67
dzo wysoko poprzeczkę w dziedzinie bezpiecznego przetwarzania danych przed wszystkimi podmiotami gospodarczymi. Jest to wyzwanie szczególnie trudne dla firm z sektora mikroprzedsiębiorstw, które z uwagi na zazwyczaj mniejsze zasoby kapita- łowe nie mają wystarczających środków finansowych na zakup kompleksowych, sys- temowych zabezpieczeń przetwarzania danych.
Stan cyfryzacji polskich firm sektora MŚP
Sektor małych i średnich przedsiębiorstw w Polsce powinien być zorientowany na wykorzystanie niskokosztowych wariantów biznesowych. Zdają się to potwierdzać da- ne raportu pt. „Małe i średnie firmy w Polsce – bariery i rozwój”, zrealizowanego przez PI Research dla Banku Zachodniego WBK w 2016 roku. Wynika z nich, że ogólnie wzrost MŚP jest oparty na inwestycjach w znacznie mniejszym stopniu niż w przypad- ku dużych przedsiębiorstw5, co sugerowałoby prawdopodobną orientację MŚP na po- szukiwanie racjonalnych ekonomicznie rozwiązań inwestycyjnych. Jednakże ten sam raport podsumowuje, że „niska skłonność do zwiększania skali działalności i wysoka awersja do podejmowania ryzykownych, długoterminowych projektów inwestycyj- nych”6 mają źródło przede wszystkim w brakach wiedzy menadżerów MŚP na temat nowoczesnych narzędzi i rozwiązań. Tym samym digitalizacja mniejszych firm napo- tyka na barierę kompetencyjno-mentalną kadry zarządzającej. Istnieje też istotna barie- ra ilościowa – skali udziału sektora MŚP w gospodarce. W Polsce, na tle pozostałych krajów członkowskich Unii Europejskiej, jest on najniższy: na 1000 mieszkańców licz- ba MŚP (z wyłączeniem mikrofirm) w 2015 roku wynosiła tylko 1,9 (np. na Węgrzech
– 2,8; w Niemczech – 4,6; średnia dla wszystkich państw UE to 3,1)7.
Warto jednak zaznaczyć, że udział polskich MŚP w tworzeniu PKB systematycz- nie, chociaż powoli, rośnie – od 2008 do 2014 roku wzrósł o 2,8 p.p. (z 47 do 50%). W puli przychodów tworzonych przez wszystkie przedsiębiorstwa MŚP (bez mikro- firm) w Polsce generują ok. 36% udziału PKB (44% stanowi wkład firm dużych)8. W piętnastu na dwadzieścia siedem państw członkowskich UE to jednak sektor MŚP generuje większe przychody niż duże przedsiębiorstwa. Pokazuje to na stale niewyko- rzystany potencjał rozwojowy tego sektora w Polsce, który mógłby wiele skorzystać na wprowadzeniu biznesowych rozwiązań cyfrowych.
W marcu 2017 roku Komisja Europejska opublikowała wyniki przeprowadza- nych corocznie badań w ramach Indeksu Gospodarki Cyfrowej i Społeczeństwa Cy- frowego (Digital Economy and Society Index, DESI 2017). Narzędzie to przedstawia wyniki 28 państw członkowskich, między innymi w obszarze informatyzacji przedsię- biorstw. Zgodnie z raportem DESI 20179:
———————
5A. Czerniak, M. Stefański, Polityka Insight Research, Małe i średnie firmy w Polsce – bariery i rozwój, Bank Zachodni WBK, 2016, https://static3.bzwbk.pl/asset/m/a/l/male-i-srednie-firmy-w- polsce2_-polityka-insight_61682.pdf (dostęp: 12.09.2017).
6Tamże, s. 11.
7 Tamże, s. 5.
8 Raport o stanie sektora małych średnich przedsiębiorstw w Polsce, PARP, 2017, s. 5, www.parp. gov.pl/images/PARP_publications/pdf/raport%20o%20stanie%20sektora%20msp%20w%20polsce
_2017.pdf (dostęp: 10.09.2017).
9 Raport KE: cyfrowa przepaść, http://ec.europa.eu/poland/news/170303_digital_pl (dostęp: 10.09.2017).
Europejskie przedsiębiorstwa w coraz większym stopniu stosują technologie cyfrowe, wykorzystując np. oprogramowanie dla przedsiębiorstw w celu elek- tronicznej wymiany informacji (wzrost z 26 proc. w 2013 r. do 36 proc. w 2015 r.) lub przesyłania faktur elektronicznych (wzrost z 10 proc. w 2013 r.
do 18 proc. w 2016 r.).
Nieznacznie wzrósł również handel elektroniczny prowadzony przez małe i średnie przedsiębiorstwa (z 14 proc. w 2013 r. do 17 proc. w 2016 r.) Jednak tylko mniej niż połowa z nich sprzedaje swoje produkty do innych państw członkowskich UE.
Przyczyniły się do tego zapewne zmienione przez Komisję Europejską w 2016 r. przepisy mające pobudzić rozwój handlu elektronicznego poprzez ograniczenie blo- kowania geograficznego, obniżenie kosztów i poprawę transgranicznego doręczania przesyłek oraz zwiększenie zaufania klientów dzięki wzmocnionej ochronie i lepsze- mu egzekwowaniu przepisów. Wnioski z raportu DESI 2017 w odniesieniu do Polski jednak nie są satysfakcjonujące, bowiem wskazują na jej opóźnienie cyfrowe10:
na bardzo niskim poziomie utrzymują się nowoczesne funkcje biznesowe, jak: korzystanie z mediów społecznościowych, usług w chmurze (np. hosting da- nych, oprogramowanie w zakresie rachunkowości, oprogramowanie do zarzą- dzania relacjami z klientami, moce obliczeniowe);
tylko jedno na dziesięć polskich MŚP prowadzi sprzedaż internetową11 (dla porównania, w krajach UE sprzedaż z wykorzystaniem tego kanału prowadzi średnio 17% MŚP), a obroty w zakresie handlu elektronicznego MŚP wyno- szą jedynie 6,6%;
zaledwie 3,8% polskich MŚP prowadzi transgraniczną sprzedaż internetową, a 67%12 polskich przedsiębiorstw posiada stronę internetową;
ogólne wyniki Polski w raporcie z 2017 r. w dziedzinie cyfryzacji pogorszyły się w porównaniu z rokiem 2016.
Wyniki te współbrzmią z innymi badaniami potwierdzającymi „cyfrowe wyklu- czenie” sektora MŚP w Polsce, takimi jak:
„Monitoring kondycji sektora MMŚP”, przeprowadzony w 2015 roku na zle- cenie Konfederacji Lewiatan na reprezentatywnej próbie firm (N=1111), któ- ry wykazał, że:
–26% małych i 9% mikrofirm w Polsce nie korzysta z żadnych technologii informatycznych;
–przedsiębiorstwa analogowe są bardziej zachowawcze pod względem stra-
tegii zarządczych (ok. 70% z nich jest zorientowanych na „przetrwanie i utrzymanie się na rynku”), biznesy cyfrowe13 bardziej (ok. 65%) zorien- towane na „dynamiczny rozwój”;
———————
10Indeks gospodarki cyfrowej i społeczeństwa cyfrowego (DESI) 2018. Sprawozdanie krajowe doty- czące Polski, https://ec.europa.eu/digital-single-market/en/scoreboard/poland (dostęp: 10.09.2017).
11Sprzedaż za pośrednictwem sieci informatycznej stanowiąca co najmniej 1% łącznego obrotu.
12Według danych raportu „Cyfryzacja gospodarki Polski”, obejmującego również mikroprzedsię-
biorstwa, zdecydowana większość polskich przedsiębiorstw jednak ma stronę internetową, a 60% z nich posiada internetowy katalog swoich produktów i oferuje możliwość zakupu lub za- mówienia produktów przez Internet.
13Za cyfrowe uznawano biznesy wykorzystujące co najmniej trzy technologie informatyczne.
Zarządzanie bezpieczeństwem cyfrowym w sektorze małych i średnich przedsiębiorstw… 69
–przedsiębiorstwa cyfrowe są bardziej innowacyjne – ok. 60% firm cyfro- wych wprowadziło na rynek w 2014 r. i planowało wprowadzić w 2015 r. nowe lub ulepszone produkty wraz z innowacjami marketingowymi;
badanie „Nowoczesne IT w MŚP 2015”, zrealizowane przez Ipsos MORI na zlecenie Microsoft14, które konstatuje:
–brak mobilności pracowników – 76% pracowników MŚP w Polsce przy- znaje, że muszą być obecni w biurze, aby móc w pełni efektywnie wyko- nać swoje obowiązki;
–brak orientacji menadżerów na elastyczne formy pracy – 64% ankietowa- nych właścicieli firm z sektora MŚP uważa, że rozwiązania mobilne poma- gają oszczędzać czas i wspierają produktywność, a połowa zdecydowanie
zgadza się, że urządzenia i usługi mobilne pozwalają na efektywną pracę zdalną z domu oraz ułatwiają wykonywanie zadań służbowych w drodze do pracy.
Podsumowując, na tle innych krajów członkowskich Unii Europejskiej polski sektor mikro- i małych przedsiębiorstw jest w połowie drogi do cyfryzacji. Potwier- dzają to dane dotyczące pozycji Polski zawarte w „Sprawozdaniu z postępów Euro- py w zakresie cyfryzacji za rok 2017”15. Wynika z niego, że obecnie e-biznes w Pol- sce generuje jedynie około 4,1% PKB, a dla porównania w Wielkiej Brytanii, Szwe- cji i Danii udział tego sektora w strukturze PKB wynosi 6–8%. Istnieje więc ryzyko, że polska działalność gospodarcza ponosi straty, nie wykorzystując wystarczająco po- tencjału komercyjnego technologii cyfrowych. Warto jednak dodać, że cyfryzacja biz- nesu, także w sektorze MŚP, jest nieuchronna w świetle realizacji kolejnych kroków krajowej Strategii Innowacyjności i Efektywności Gospodarki „Dynamiczna Polska 2020”16 z roku 2013, która zakłada intensywne wsparcie rządu dla rozwoju Internetu rzeczy. Zgodnie z tą strategią w roku 2016 uruchomiono krajowy projekt fakturowania elektronicznego, aby wesprzeć wdrażanie Dyrektywy Parlamentu Europejskiego i Ra- dy z dnia 16 kwietnia 2014 r. w sprawie fakturowania elektronicznego w zamówie- niach publicznych17 oraz rozpoczęto budowę krajowej platformy usług obsługującej fakturowanie elektroniczne dla zamówień publicznych. Strategia zakłada, że w długiej perspektywie wszystkie polskie przedsiębiorstwa skorzystają z efektu synergii wyni- kającej z lepszej łączności między podmiotami gospodarczymi i publicznymi oraz z rozwoju umiejętności cyfrowych swoich pracowników i menadżerów.
———————
14Por. A. Klimczuk, Cyfrowi bardziej konkurencyjni. Małe firmy na START do FIRMOWYCH (R)EWOLUCJI, https://news.microsoft.com/pl-pl/2015/06/11/cyfrowi-bardziej-konkurencyjni- male-firmy-na-start-do-firmowych-rewolucji (dostęp: 1.10.2017).
15Sprawozdanie z postępów Europy w zakresie cyfryzacji za 2017 (EDPR), profil krajowy Polski, Ko- misja Europejska 2017, ec.europa.eu/newsroom/document.cfm?doc_id=44328 (dostęp: 2.09. 2017).
16Uchwała Nr 7 Rady Ministrów z dnia 15 stycznia 2013 r. w sprawie Strategii Innowacyjności i Efektywności Gospodarki „Dynamiczna Polska 2020”, http://prawo.sejm.gov.pl/isap.nsf/Doc Details.xsp?id=WMP20130000073&type=2 (dostęp: 12.09.2017).
17Dyrektywa Parlamentu Europejskiego i Rady 2014/55/UE z dnia 16 kwietnia 2014 r. w sprawie fakturowania elektronicznego w zamówieniach publicznych, http://eur-lex.europa.eu/legal- content/PL/TXT/PDF/?uri=CELEX:32014L0055&from=PL (dostęp: 15.09.2017).
Bezpieczeństwo cyfrowe polskich MŚP
Stan bezpieczeństwa w zakresie danych biznesowych przetwarzanych cyfrowo jest, jak dotąd, przedmiotem dość nielicznych badań i tylko niektóre z nich poświęco- no sektorowi MŚP. W celu uchwycenia trendu zmian przeanalizowano badanie ankie- towe wykonane w roku 2010 przez firmę Symantec – Polska18 na próbie 200 polskich przedsiębiorstw z sektora MŚP oraz badanie dostawcy sprzętu komputerowego Le-
novo Polska pt. „Raport: Sprzęt IT – polskie MŚP cenią wydajność i nowoczesność” z roku 201719.
Ranking sposobów ochrony danych stosowanych przez sektor MŚP na podstawie analizy wyników obydwu badań przedstawiono w tabeli 1.
Tabela 1 Sposoby ochrony danych stosowane w polskich przedsiębiorstwach sektora MŚP Table 1
Data protection methods used in Polish enterprises of the SME sector
Badanie Symantec z 2010 r. |
Badanie Lenovo z 2017 r. |
Które rozwiązania bezpieczeństwa |
Jakie formy ochrony bezpieczeństwa danych |
i dostępu posiada Państwa firma? |
i prywatności są stosowane do sprzętu IT? |
(pytanie wielokrotnego wyboru) |
(pytanie wielokrotnego wyboru) |
|
|
Program antywirusowy – 98% |
Program antywirusowy – 69% |
|
|
Tworzenie kopii zapasowych (back-up) – 85% |
Bezpieczne hasła – 59% |
|
|
Zapora ogniowa (firewall) – 82% |
Zapora ogniowa (firewall) – 43% |
|
|
Ochrona antyspamowa – 69% |
Automatyczne wylogowanie – 34% |
|
|
Filtrowanie treści – 37% |
Tworzenie kopii zapasowych (back-up) – 25% |
|
|
Archiwizacja wiadomości e-mail – 34% |
Szyfrowanie danych – 22% |
|
|
System IPS/IDS – 25% |
Ograniczanie dostępu na podstawie IP – 21% |
|
|
Ochrona przed wyciekiem danych – 16% |
Podwójne hasłowanie – 17% |
|
|
Szyfrowanie danych – 14% |
Tokeny – 13% |
|
|
Żadne z powyższych – 1% |
Karty smart – 6% |
|
|
– |
Skanery linii papilarnych – 5% |
|
|
– |
Autoryzacja telefoniczna – 5% |
|
|
– |
Niestosowanie żadnych zabezpieczeń – 4% |
|
|
– |
Inne – 1% |
|
|
Źródło: opracowanie własne na podstawie badań Sektor MSP a bezpieczeństwo IT (2010) oraz Sprzęt IT – polskie MŚP cenią wydajność i nowoczesność (2017), s. 13
———————
18Opis wyników: Sektor MSP a bezpieczeństwo IT (2010), www.egospodarka.pl/ 61516,Sektor-
MSP-a-bezpieczenstwo-IT,1,39,1.html (dostęp: 4.10.2017).
19Sprzęt IT – polskie MŚP cenią wydajność i nowoczesność, www.computerworld.pl/whitepaper/2833- Raport-Sprzet-IT-polskie-MSP-cenia-wydajnosc-i-nowoczesnosc.html (dostęp: 1.10.2017). Raport został opublikowany w 2017 r. w serwisie Computerworld.pl. Dane zebrane w roku 2016, nie podano wielkości próby.
Zarządzanie bezpieczeństwem cyfrowym w sektorze małych i średnich przedsiębiorstw… 71
Analiza powyższych danych pozwala na wysnucie następujących wniosków:
Zauważalny jest wzrost świadomości zagrożeń bezpieczeństwa przetwarzania danych w sektorze MŚP, co potwierdza stosowanie coraz bardziej złożonych środków ochrony w roku 2017 – w porównaniu z rokiem 2010.
Nadal najbardziej popularne środki ochrony to program antywirusowy, zapora ogniowa oraz tworzenie kopii zapasowych, jednak na drugim miejscu w 2017 roku pojawiają się już bezpieczne hasła.
Wzrósł poziom zabezpieczenia danych w postaci takich praktyk, jak szyfrowa- nie danych (+8%), oraz pojawiły się niestosowane wcześniej nowe, bardziej wyrafinowane sposoby ochrony, wymagające większego wysiłku i świadomo- ści użytkowników, jak: ograniczanie dostępu na podstawie IP, podwójne hasło-
wanie, tokeny, karty smart, skanery linii papilarnych, autoryzacja telefoniczna. W raporcie z roku 2010 wyrażano zaniepokojenie faktem, że „prawie 60 proc. pra- cowników polskich firm wynosi dane z firmy bez zgody pracodawcy”20 oraz że naj- częstszymi powodami awarii funkcjonowania systemów IT w firmie są: po pierwsze błędy pracowników (37% wskazań), a dopiero w dalszej kolejności błędy w syste- mach operacyjnych (26% wskazań) czy wpływ destrukcyjnego kodu (wirusy, robaki, konie trojańskie – 24% wskazań). Jednocześnie deklarowano (70% wskazań), że wszyscy pracownicy przechodzą odpowiednie szkolenia dotyczące bezpiecznego użytkowania sprzętu i narzędzi IT. Skuteczność prowadzonych szkoleń jednak oka-
zywała się niewystarczająca.
Raport z roku 2017 wystawia ogólnie pozytywną ocenę postępu sektora MŚP, je- śli chodzi o używanie i wykorzystanie IT, zwłaszcza w wariantach mobilnych typu smart. Jednocześnie jednak alarmuje, że w dziedzinie ochrony bezpieczeństwa sprzę- tu IT oraz danych stale występują wyraźne braki, zwłaszcza jeśli chodzi o mikro- przedsiębiorstwa, które:
często w ogóle nie archiwizują danych użytkowników;
zazwyczaj nie stosują ograniczenia dostępu na podstawie IP;
niejednokrotnie nie stosują jakichkolwiek zabezpieczeń, co grozi im utratą
wszystkich danych biznesowych.
Ponadto cały sektor MŚP niewystarczająco zabezpiecza sprzęt IT (w tym mobil- ny: laptopy, tablety, smartfony) przed zniszczeniem fizycznym czy kradzieżą:
12% w żaden sposób nie zabezpiecza swojego sprzętu przed zniszczeniem, a jako środek ochronny służą najczęściej jedynie torby czy etui, sporadycznie – folie na ekrany/monitory;
powszechnie stosowane środki ochrony przed kradzieżą to metody pasywne: monitoring oraz dodatkowe zamki i alarmy, chociaż wzrósł odsetek firm stosu- jących software antykradzieżowy (15% w badaniach z 2016 wobec 9% w roku 2015), linki zabezpieczające bez alarmu (13% – wobec 7%) oraz linki zabez- pieczające z alarmem (11% – wobec 6%).
1/3 firm MŚP nie posiada żadnej procedury zabezpieczenia przed kradzieżą.
———————
20Sektor MSP a bezpieczeństwo IT… (komentarz: M. Iwanickiego).
Badanie operatora usług telekomunikacyjnych Orange Insights, wykonane w ro- ku 201621 (pierwsza edycja badania była w 2015 r.) na próbie 500 przedstawicieli polskich MŚP22 i w całości dedykowane zagadnieniu ochrony bezpieczeństwa in- formatycznego, pozwala sformułować następujące wnioski:
Około połowy badanych przedstawicieli sektora (51%) twierdzi, że bezpie- czeństwo procesów IT to kluczowy obszar, od którego zależy ciągłość działa- nia ich firmy.
Tylko około jednej czwartej badanych (23%) ma świadomość systematyczne- go wzrostu zagrożenia informatycznego w procesach biznesowych.
Według około jednej czwartej badanych (23%) najistotniejszą tendencją w bu- dowaniu bezpieczeństwa IT jest konieczność zapewnienia ciągłości funkcjo- nowania systemów.
W rankingu największych zagrożeń dla IT wskazywano23: cyberprzestępczość (31% wskazań), problemy z transmisją danych przez Internet (26%), nie- uczciwość pracowników oraz awarie serwerów, komputerów i łączy (po 25%
wskazań).
W komentarzu do powyższych danych autorzy badania wykazują zaniepokoje- nie, że:
Mobilność pracowników nie jest w ogóle postrzegana jako potencjalne zagro- żenie przez ponad połowę badanych firm (61%) – pomimo faktu, że systema- tycznie rośnie groźba cyberataków na urządzenia mobilne (laptopy, telefony
komórkowe, smartfony, tablety) w sektorze MŚP i w 2016 roku aż 13% z nich było obiektem takich zdarzeń24, co przy dominującym udziale tego sektora w puli wszystkich przedsiębiorstw daje obraz skali zagrożenia.
Analiza jakościowa cyberataków ujawnia, że połowa z nich (49%) to włama-
nia na strony WWW, serwery i pocztę, 25% to szantaż finansowy, a 15% ata- ków to złośliwe wirusy i tzw. trojany.
Interesujące jest zróżnicowane postrzeganie ryzyk i wyzwań w zakresie bezpie- czeństwa IT w odniesieniu do odmiennych sektorów działalności gospodarczej MŚP, co przedstawia tabela 2. Zawarte w niej dane wskazują, że głównym źródłem poten- cjalnego zagrożenia bezpieczeństwa cyfrowego w przedsiębiorstwach, niezależnie od typu działalności gospodarczej, jest człowiek. Jako główne wyzwanie w tym obszarze jest jednak postrzegane „zapewnienie ciągłości funkcjonowania systemów IT”, a je- dynie w sektorze usług jest to „budowanie świadomości dbania o bezpieczeństwo da- nych wśród pracowników”.
Obserwacja ta dowodzi, że bezpieczeństwo cyfrowe w sektorze MŚP stale jest in- terpretowane raczej jako zagrożenie techniczne, a nie personalne, co w świetle przed-
———————
21Opis wyników on-line: Sektor MSP wobec bezpieczeństwa IT. Główne trendy i zagrożenia, www.egospodarka.pl/130743,Sektor-MSP-wobec-bezpieczenstwa-IT-Glowne-trendy-i-zagrozenia, 1,12,1.html (dostęp: 4.10.2017).
22Próbę badawczą stanowiło: 300 właścicieli i zarządzających, 100 specjalistów IT zatrudnionych
na etacie oraz współpracujących 100 freelancerów IT, metoda: ankieta typu CATI/CAWI.
23Respondenci mieli możliwość wielokrotnego wyboru odpowiedzi na to pytanie, dlatego odpowie- dzi nie sumują się do 100.
24Sektor MSP wobec bezpieczeństwa IT… (komentarz A. Stankiewicza).
Zarządzanie bezpieczeństwem cyfrowym w sektorze małych i średnich przedsiębiorstw… 73
stawionych danych stanowi błąd. Większość identyfikowanych ryzyk, takich jak: „cyberprzestępczość”, „mobilność pracowników”, „nieuczciwość pracowników”, ma charakter stricte personalny, a inne, np. „awarie serwerów, komputerów i łączy”, mogą pośrednio wynikać z niewłaściwego użytkowania powierzonego sprzętu (czyli braku umiejętności) lub braku świadomości pracowników w obszarze bezpiecznego posługiwania się technologią IT.
Tabela 2
Ranking ryzyk i wyzwań IT w polskich MŚP według sektorów działalności Table 2
Ranking of IT risks and challenges in Polish SMEs by sector of activity
Handel (% wskazań) |
Usługi (% wskazań) |
Produkcja (% wskazań) |
|
ryzyka IT |
|
Cyberprzestępczość ( 39) |
Cyberprzestępczość (42) |
Cyberprzestępczość (28) |
|
|
|
Mobilność pracowników (32) |
Awarie serwerów, komputerów |
Nieuczciwość pracowników |
|
i łączy (35) |
(32) |
|
|
|
Nieuczciwość pracowników (32) |
– |
Problemy z transmisją danych |
|
|
przez Internet (32) |
|
wyzwania IT |
|
Zapewnienie ciągłości |
Budowanie świadomości dbania |
Zapewnienie ciągłości |
funkcjonowania systemów IT |
o bezpieczeństwo danych wśród |
funkcjonowania systemów IT |
(18) |
pracowników (17) |
(25) |
|
|
|
Budowanie świadomości dbania |
– |
– |
o bezpieczeństwo danych wśród |
|
|
pracowników (15) |
|
|
|
|
|
Źródło: opracowanie własne na podstawie badań Orange Insights, Orange Polska 201625
Niestety, stale wielu przedsiębiorców w sektorze MŚP nie docenia korzyści z za- trudniania kompetentnych cyfrowo pracowników. Popularny w tym sektorze jest out- sourcing usług IT, jednak tylko 45% badanych przedsiębiorców deklaruje, że z free- lancerami podpisywane są umowy o zachowaniu poufności26.
Wnioski
Skuteczne zarządzanie bezpieczeństwem cyfrowym w sektorze MŚP wymaga dostępu do najnowocześniejszych rozwiązań technicznych IT, ale przede wszystkim kształtowania nowoczesnych cyfrowych kompetencji zawodowych i budowania świadomości zagrożeń IT, zarówno wśród menadżerów, jak i wśród wszystkich pra- cowników firm. W zachodnich opracowaniach podkreśla się, że gospodarcze bez-
———————
25W. Jabczyński, Orange Insights: czyli jak wygląda informatyzacja w małych i średnich firmach w Polsce, https://biuroprasowe.orange.pl/informacje-prasowe/Orangeinsights-czyli-jak-wyglada- informatyzacja-w-malych-i-srednich-firmach-w-polsce/ (dostęp: 10.09.2017).
26Tamże.
pieczeństwo cyfrowe wymaga przede wszystkim orientacji „na biznes”, a nie „na technologię”27. Duże firmy i korporacje dawno zauważyły, że w aspekcie ochrony przed zagrożeniami IT priorytetem nie jest rozwiązywanie technologicznych luk w za- bezpieczeniach, ale ochrona najważniejszych aktywów lub procesów biznesowych (np. informacji o karcie kredytowej klienta) – jest to tzw. podejście „business-back”. Małe i średnie przedsiębiorstwa jeszcze bardziej muszą myśleć w ten sam sposób, bo ich „łańcuch wartości” jest zazwyczaj krótszy w porównaniu z dużymi graczami biznesowymi i łatwiej mogą stracić klientów, których transakcje czy dane nie będą należycie zabezpieczone.
Tym samym zadania w zakresie bezpieczeństwa cyfrowego powinny stać w cen- trum uwagi menadżerów – jako kluczowy punkt zarządzania strategicznego. Opera- cyjne zadania w tym zakresie mogą realizować działy personalne (kadrowe) firm przy udziale działów IT, jednak nie same działy techniczne, które nie są przygotowane me- rytorycznie do obsługi złożonych procesów personalnych. W większych przedsiębior- stwach procesami personalnymi zajmują się tzw. działy HR (Human Resources – za- soby ludzkie), a w przypadku mniejszych firm – najczęściej osoby zarządzające lub właściciele.
Działania HR w zakresie cyfrowego bezpieczeństwa personalnego powinny obej- mować co najmniej takie elementy polityki kadrowej, jak:
Szkolenia stanowiskowe i szkolenia zawodowe doskonalące – szkolenia w za- kresie bezpiecznego używania systemów IT powinny mieć charakter działań systemowych, tj. powinny być: systematyczne; prowadzone w sposób zrozu- miały dla pracowników nieposiadających technicznego przygotowania zawo- dowego; włączone w system procesów HR ukierunkowanych na poszerzanie i kontrolę kompetencji zawodowych pracowników zatrudnionych na stanowi- skach.
Opisy stanowisk pracy – opisy powinny uwzględniać procedury ochrony przed zagrożeniami cyfrowymi i zawierać wykaz zalecanych systemów za- bezpieczeń podczas wykonywania zadań na stanowisku.
Dostęp do mentorów w dziedzinie IT – stały i łatwy, dla wszystkich pracow- ników.
System okresowej oceny pracownika – powinien zawierać kryteria ewaluacji praktycznego stosowania bezpiecznych cyfrowo praktyk biznesowych wyma- ganych w zadaniach wykonywanych na danym stanowisku pracy.
Employer branding wewnętrzny – dbanie o dobry wizerunek pracodawcy wśród własnych pracowników poprzez różnego rodzaju benefity i działania marketin- gu personalnego może zmniejszyć ryzyko destrukcyjnej i/lub niefrasobliwej ak- tywności pracowników w sieci.
Kształtowanie czujności menadżerów w sferze ryzyk IT – poprzez ich uczest- niczenie w różnych formach uczenia się przez całe życie (konferencjach, se- minariach, warsztatach) dedykowanych nowo pojawiającym się zagrożeniom cyfrowym i skutecznym taktykom radzenia sobie z nimi.
———————
27J. Caplan, S. Sharma, A.Weinberg, Meeting the cybersecurity challenge, Mc Kinsey, June 2011, www.mckinsey.com/business-functions/digital-mckinsey/our-insights/meeting-the-cybersecurity- challenge (dostęp: 4.10.2017).
Zarządzanie bezpieczeństwem cyfrowym w sektorze małych i średnich przedsiębiorstw… 75
Człowiek stale pozostaje najsłabszym elementem systemu cyberbezpieczeństwa w sferze gospodarczej28, ze względu na swój brak umiejętności lub świadomości za- grożeń w obszarze IT sam bardzo często prowokuje ryzykowne sytuacje. Efekt „per- sonalnej niekompetencji” pracowników przedsiębiorstw, zwłaszcza tych mniejszych, jest doskonale znany osobom celowo działającym z zamiarem popełnienia przestępstw gospodarczych i stanowi kanwę ich cyberataków. Kevin Mitnick, nazywany „najsłyn- niejszym hakerem na świecie”, w swojej książce29 wyznaje, że w rzeczywistości łamał ludzi, a nie hasła. Tylko systemowe podejście menadżerów do cyberbezpieczeństwa przedsiębiorstw pozwoli planować ich rozwój, a od strony formalnej – sprostać wy- mogom nowej ustawy o ochronie danych osobowych.
Bibliografia
Caplan J., Sharma S., Weinberg A., Meeting the cybersecurity challenge, Mc Kinsey, 2011, https://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/meeting- the-cybersecurity-challenge (dostęp: 4.10.2017).
Czerniak A., Stefański M., Polityka Insight Research, Małe i średnie firmy w Polsce – ba- riery i rozwój, Bank Zachodni WBK, 2016, https://static3.bzwbk.pl/asset/m/a/l/male-i- srednie-firmy-w-polsce2_-polityka-insight_61682.pdf (dostęp: 12.09.2017).
Effective Cybersecurity Strategy Rests on People, Not Just Technology, 1.03.2017, www.insurancejournal.com/news/national/2017/03/01/443270.htm (dostęp: 10.10. 2017).
Indeks gospodarki cyfrowej i społeczeństwa cyfrowego (DESI) 2018. Sprawozdanie krajo- we dotyczące Polski, https://ec.europa.eu/digital-single-market/en/scoreboard/Poland (dostęp: 10.09.2017).
Jabczyński W., Orange Insights: czyli jak wygląda informatyzacja w małych i średnich firmach w Polsce, https://biuroprasowe.orange.pl/informacje-prasowe/Orangeinsights- czyli-jak-wyglada-informatyzacja-w-malych-i-srednich-firmach-w-polsce/ (dostęp: 10.09.2017).
Klimczuk A., Cyfrowi bardziej konkurencyjni. Małe firmy na START do FIRMOWYCH (R)EWOLUCJI, https://news.microsoft.com/pl-pl/2015/06/11/cyfrowi-bardziej- konkurencyjni-male-firmy-na-start-do-firmowych-rewolucji (dostęp: 1.10.2017).
Mitnick K.D, Simon W.L, Sztuka podstępu. Łamałem ludzi, nie hasła, przeł. J. Dobrzań- ski, Warszawa 2003.
Nowa definicja MŚP. Poradnik dla użytkowników i wzór oświadczenia, Komisja Euro- pejska, [Bruksela] 2006.
Nowa ustawa o ochronie danych osobowych – najważniejsze zagadnienia, https://gdpr.pl/ nowa-ustawa-o-ochronie-danych-osobowych#Nowa_Ustawa_o_ochronie_ danych_ osobowych (dostęp: 9.09.2017).
Raport KE: cyfrowa przepaść, http://ec.europa.eu/poland/news/170303_digital_pl (dostęp: 10.09.2017).
———————
28Effective Cybersecurity Strategy Rests on People, Not Just Technology, 1.03.2017, www.insurancejournal.com/news/national/2017/03/01/443270.htm (dostęp: 10.10. 2017).
29Mitnick K.D., Simon W. L, Sztuka podstępu. Łamałem ludzi, nie hasła, przeł. J. Dobrzański, Warszawa 2003.
Raport o stanie sektora małych średnich przedsiębiorstw w Polsce, PARP, 2017. www.parp.gov.pl/images/PARP_publications/pdf/raport%20o%20stanie%20sektora% 20msp%20w%20polsce_2017.pdf (dostęp: 10.09.2017).
Sektor MSP a bezpieczeństwo IT (2010), www.egospodarka.pl/ 61516,Sektor-MSP-a- bezpieczenstwo-IT,1,39,1.html (dostęp: 4.10.2017).
Sektor MSP wobec bezpieczeństwa IT. Główne trendy i zagrożenia, www.egospodarka.pl/ 130743,Sektor-MSP-wobec-bezpieczenstwa-IT-Glowne-trendy-i-zagrozenia,1,12,1.html (dostęp: 4.10.2017).
Sprawozdanie z postępów Europy w zakresie cyfryzacji za 2017 (EDPR), profil krajowy Pol- ski, Komisja Europejska 2017, ec.europa.eu/newsroom/document.cfm?doc_id=44328 (dostęp: 2.09.2017).
Sprzęt IT – polskie MŚP cenią wydajność i nowoczesność, www.computerworld.pl/white paper/2833-Raport-Sprzet-IT-polskie-MSP-cenia-wydajnosc-i-nowoczesnosc.html (dostęp: 1.10.2017).
Dyrektywa Parlamentu Europejskiego i Rady 2014/55/UE z dnia 16 kwietnia 2014 r. w sprawie fakturowania elektronicznego w zamówieniach publicznych, http://eur-lex. europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32014L0055&from=PL (dostęp: 15.09.2017).
Uchwała Nr 7 Rady Ministrów z dnia 15 stycznia 2013 r. w sprawie Strategii Innowacyj- ności i Efektywności Gospodarki „Dynamiczna Polska 2020”, http://prawo.sejm.gov.pl/ isap.nsf/DocDetails.xsp?id=WMP20130000073&type=2 (dostęp: 12.09.2017).
Ustawa o ochronie danych osobowych, tekst jednolity, Dz.U. z 2016 r., poz. 922.
Summary
The area in which business data security is especially important is the area of human re- sources and customer relationship marketing. The article addresses the issue of assessing the preparation of the Polish SME sector for cyber security in the context of dissemina- tion of digital practices in the processes of transmitting and processing business data and the challenges of the new Data Protection Act (NUODO). It describes gap areas, includ- ing – competence gaps in managers and employees in business processes responsible for protection against digital dangers. The proposals recommend the location of systematic protection against digital threats in the area of strategic management and the assignment of operational tasks to personnel departments, not just only technical ones.