NIS2 obnaża prawdę o polskich firmach. „Są kompletnie nieprzygotowane na ataki przez dostawców"

Polskie firmy wciąż nie radzą sobie z zarządzaniem bezpieczeństwem dostawców. Najnowsze badanie pokazuje niski poziom dojrzałości oraz dużą niepewność regulacyjną wokół NIS2. Eksperci ostrzegają: to połączenie może prowadzić do poważnych kryzysów.

Bezpieczeństwo łańcucha dostaw pozostaje jednym z największych wyzwań dla dużych firm w Polsce. Średnia dojrzałość w tym obszarze wynosi jedynie 3,0 na 5 punktów. To najniższy wynik spośród wszystkich analizowanych kategorii cyberbezpieczeństwa.

Jednocześnie aż 39,2 proc. organizacji wskazuje łańcuch dostaw jako najbardziej niejasny element regulacyjny związany z dyrektywą NIS2. W efekcie firmy działają w warunkach niepewności. To z kolei utrudnia wdrażanie skutecznych zabezpieczeń.

Dostawcy pozostają w tyle

Badanie Business Growth Review, przeprowadzone na próbie 1018 firm zatrudniających ponad 300 pracowników, pokazuje wyraźną dysproporcję. Inne obszary cyberbezpieczeństwa osiągają znacznie wyższe wyniki.

Polityki i procedury uzyskały 3,63 punktu. Systemy IAM, MFA oraz PAM osiągnęły poziom 3,53. Z kolei kopie zapasowe wraz z testami odtwarzania oceniono na 3,57.

Na tym tle bezpieczeństwo dostawców wyraźnie odstaje. To jedyny obszar, który nie przekracza poziomu 3,0 punktów.

Brak systemowego podejścia

Dane pokazują, że wiele firm nie zarządza ryzykiem dostawców w sposób uporządkowany. Aż 28,8 proc. organizacji praktycznie nie podejmuje żadnych działań w tym zakresie.

Firmy te nie określają wymagań w umowach. Nie prowadzą audytów bezpieczeństwa. Nie monitorują także poziomu ochrony swoich partnerów biznesowych.

Kolejne 44,9 proc. działa jedynie częściowo. W ich przypadku brakuje spójnych procedur oraz systemowego podejścia do zarządzania ryzykiem.

Niewielu liderów w obszarze bezpieczeństwa

Tylko 26,3 proc. firm wdrożyło kompleksowe zarządzanie ryzykiem dostawców. Obejmuje ono audyty, umowy SLA oraz procedury zgłaszania incydentów.

To pokazuje, że dojrzałe podejście do bezpieczeństwa łańcucha dostaw wciąż należy do rzadkości. W kontekście nowych regulacji i rosnących zagrożeń oznacza to poważne wyzwanie dla całego rynku.

— Wyniki badania potwierdzają to, co obserwuję na co dzień w pracy z organizacjami z większości sektorów objętych NIS2 – faktycznie świadomość rośnie, ale gotowość procesowa jest bardzo nierówna. Najczęściej brakuje spójnego podejścia do zarządzania dostawcami, ryzykiem i incydentami. Organizacje, które jeszcze nie rozpoczęły prac albo są we wstępnej fazie, powinny zacząć od uporządkowania własnej wiedzy o sobie, zdefiniowania luk organizacyjno-procesowych, od identyfikacji ryzyk, systemów, procesów, ról i odpowiedzialności, a dopiero potem sięgać po rozwiązania techniczne będące narzędziem do zapewnienia bezpieczeństwa i ciągłości działania swoich usług — mówi Cyprian Gutkowski, prawnik, CISO w sektorze finansowym i zdrowia, ekspert w obszarze zapewnienia zgodności z przepisami prawa i regulacjami branżowymi w firmie Trecom.

Łańcuch dostaw na celowniku cyberprzestępców

Problemem są zwłaszcza ataki przez łańcuch dostaw. Przestępcy coraz częściej wykorzystują słabsze zabezpieczenia partnerów biznesowych, aby uzyskać dostęp do docelowych organizacji. Dyrektywa NIS2 uznaje ten obszar za jeden z kluczowych filarów bezpieczeństwa. Wymaga od firm uwzględniania ryzyka całego ekosystemu dostawców w politykach cyberbezpieczeństwa. Mimo to badania pokazują, że wiele polskich organizacji nie spełnia tych wymagań.

Problem pogłębia niski poziom dojrzałości w zakresie reagowania na incydenty. Wynik 3,21 na 5 punktów to drugi najgorszy rezultat w całym badaniu. Aż 38,3 proc. firm nie ma jasno określonych progów poważnego incydentu lub nie wie, czy takie definicje istnieją. To utrudnia szybkie podjęcie decyzji w sytuacji kryzysowej. Dodatkowo 20,2 proc. organizacji nie posiada procedur raportowania incydentów. W praktyce oznacza to chaos informacyjny w momencie zagrożenia.

Część organizacji dostrzega skalę problemu. Zarządzanie dostawcami jako obszar wymagający wsparcia zewnętrznego wskazuje 32,7 proc. firm. Jednak deklaracje nie idą w parze z realnymi zmianami. Wdrożenia blokują przede wszystkim braki kadrowe, które wskazuje 57,3 proc. badanych.

— Braki kadrowe i ograniczony budżet stanowią dla biznesu najistotniejsze bariery wdrożenia NIS2. W tej sytuacji outsourcing zadań związanych z cyberbezpieczeństwem wydaje się najrozsądniejszym rozwiązaniem. Model ten pozwala nie tylko ograniczyć koszty stałe, ale także uzyskać dostęp do specjalistycznych kompetencji i nowoczesnych technologii, które trudno zbudować wyłącznie w oparciu o własne zasoby. Wierzę, że przedsiębiorstwa nie będą patrzyły na NIS2 jako na uciążliwy obowiązek, ale dostrzegą liczne, długofalowe korzyści wynikające z wprowadzenia zmian regulacyjnych. Bezpieczny ekosystem usług cyfrowych w Polsce pozwoli zadbać nie tylko o kluczowe sektory, ale przyczyni się do rozwoju całej gospodarki — mówi Marcin Lebiecki, wiceprezes zarządu Asseco Cloud.

Skala zagrożeń jest wyraźna: aż 67,8 proc. firm doświadczyło co najmniej jednego istotnego incydentu cybernetycznego w ciągu ostatnich 12 miesięcy, w tym 24,4 proc. odnotowało od trzech do pięciu, a 11,4 proc. – sześć lub więcej.