Na przełomie września i października 2019 r. firma badawczo-analityczna PMR na zlecenie T-Mobile Polska przeprowadziła badanie w średnich (50-249 pracowników) i dużych (250 i więcej pracowników) firmach działających na terenie Polski. Przedsiębiorstwa, które wzięły udział w badaniu, działają w branżach: produkcyjnej i przetwórstwa przemysłowego, handlu hurtowego i B2B, budownictwa, edukacji oraz IT/telekomunikacji i mediów.
Raport T-Mobile to bardzo rzetelne kompendium wiedzy na temat obecnego stanu zabezpieczeń firmowych telefonów komórkowych w polskich przedsiębiorstwach. Ogromnym atutem tego badania jest prezentacja zagadnienia z różnych punktów widzenia – firm, użytkowników oraz operatora sieci.
Wyniki badania zostały skonfrontowane ze statystykami T-Mobile Polska, dotyczącymi potencjalnych zagrożeń, na które narażone są firmowe telefony komórkowe komunikujące się ze złośliwymi adresami IP. Całość uzupełniają komentarze ekspertów T-Mobile i PMR oraz słownik pojęć z zakresu cyberbezpieczeństwa, w tym również telefonów komórkowych.
Najważniejsze wnioski z raportu
Raport to ciekawa i unikalna lektura w skali kraju. Zawarte w nim dane można wykorzystać na szkoleniach IT, a także jako argumenty zachęcające do zwiększenia budżetu na zabezpieczenia mobilnych urządzeń w organizacji.
Do najważniejszych wniosków z badania przeprowadzonego przez PWC na zlecenie T-Mobile Polska zaliczamy:
1. Firmy w Polsce sposób zdecydowanie niewystarczający zabezpieczają służbowe telefony komórkowe. Brak wiedzy na temat bezpieczeństwa potwierdza również fakt, że w praktyce firmy nie zdają sobie sprawy z tego, co ich pracownicy robią ze służbowym telefonem.
2. Aż 18% dużych i średnich przedsiębiorstw w kraju przyznaje, że procedury RODO w firmie w ogóle pomijają temat służbowych smartfonów. Może to w efekcie skutkować karami nałożonymi przez UODO oraz stratami finansowymi i wizerunkowymi.
3. Najpopularniejszą metodą zapewniania bezpieczeństwa na służbowych telefonach komórkowych jest stosowanie narzędzi blokowania ekranu, którego wykorzystanie deklaruje 63% pracowników działu IT, a w ponad 50% jest to oprogramowanie antywirusowe instalowane na urządzeniu końcowym. W niemal 30% pracownicy są zobowiązani do przestrzegania regulaminu w przypadku kradzieży urządzenia lub zagrożenia atakiem.
4. Dwie trzecie działów IT deklaruje, że służbowe telefony nie mogą się łączyć z niezabezpieczonymi sieciami, ale w praktyce tylko 4% przedsiębiorstw blokuje taką możliwość. W efekcie trzy czwarte pracowników łączy się z publicznym Wi-Fi przez firmową komórkę.
5. Firmy praktycznie nie wydzielają osobnego budżetu na zabezpieczanie służbowych telefonów.
6. 27% średnich firm w Polsce w ogóle nie zabezpieczało swoich firmowych komórek.
7. Według najnowszych prognoz PMR w perspektywie 5 lat na potrzeby dostępu do Internetu będzie w Polsce używanych 32 mln telefonów.
8. 46% firm nie posiada procedur postępowania na wypadek incydentów bezpieczeństwa w obszarze urządzeń mobilnych.
9. 18% firm nie uwzględniło urządzeń mobilnych przy wdrażaniu procedur związanych z RODO.
10. 40% pracowników deklaruje użytkowanie telefonu służbowego do celów prywatnych.
Według danych z raportu mimo powszechnego stosowania telefonu komórkowego przez pracowników firm – obok poczty elektronicznej jest on podstawowym narzędziem pracy w dzisiejszych czasach – ponad połowa średnich firm posiada nie więcej niż dwa zabezpieczenia służbowych telefonów komórkowych, z czego 26% tylko jedno. Wskaźnikiem, który również świadczy o początku rozwoju polityk ochrony urządzeń mobilnych, jest ten związany z kontrolą obszaru wykorzystania telefonu służbowego, jeśli chodzi o Internet.
Obecnie przedsiębiorstwa w większości przypadków nie analizują tej aktywności. A przecież już połowa ruchu w sieci odbywa się z poziomu urządzeń mobilnych i ten odsetek w najbliższych latach, zgodnie z prognozami ujętymi w raporcie, wciąż będzie rosnąć.
Należy także podkreślić, że ogromny wpływ na krystalizowanie się zasad stosowania sprzętu służbowego miało wprowadzenie RODO w maju 2018 r. Wciąż jednak w przypadku 23% średnich i 10% dużych firm za bezpieczeństwo telefonów służbowych nie odpowiada żaden przypisany do tego zadania dział. W tej sytuacji dobrym pomysłem jest rozważenie outsourcingu usług ICT i takie zadania jako T-Mobile także realizujemy dla różnych podmiotów.
Oczywiście obok prowadzenia analiz rynku i inicjowania dyskusji, ważnym obszarem aktywności czołowych przedsiębiorstw techn-logicznych powinno być proponowanie odpowiednich rozwiązań dostosowanych do warunków i sytuacji panujących w firmach. Zarysowawszy zaledwie wątki, które kontynuację znajdują w raporcie, zachęcam Państwa do jego lektury i zapoznania się z najnowszym stanem wiedzy na temat cyberbezpieczeństwa smartfonów w polskich firmach.
Włodzimierz Nowak, Członek Zarządu, Dyrektor ds. Prawnych, Bezpieczeństwa i Zarządzania Zgodnością T-Mobile Polska
W raporcie chcemy Państwu przybliżyć zagadnienie ochrony smartfonów przed cyberatakami. Wśród najistotniejszych tematów, które analizujemy, na pierwszy plan wysuwa się wybór najpowszechniejszych narzędzi stosowanych przez firmy w celu zabezpieczenia sprzętu. Dane te będą wyjątkowo interesujące nie tylko dla dostawców takich rozwiązań. Ważną obserwacją jest także fakt, że wachlarz czynności, do których pracownicy wykorzystują służbowy sprzęt jest bardzo szeroki.
Przeglądają oczywiście firmową pocztę – robi to aż 66%. z nich. Dodatkowo – w przypadku średnich firm – chętnie sięgają oni do bazy klientów i danych finansowych. Z kolei osoby zatrudnione w dużych przedsiębiorstwach otrzymują od organizacji funkcjonalności w postaci wglądu do kalendarzy pracowników, a także bardziej zaawansowane, specjalistyczne aplikacje, takie jak CRM czy ERP. Jednocześnie nierzadko zdarza się, że posiadacze służbowych smartfonów aktywnie korzystają za ich pomocą z mediów społecznościowych.
Jakub Górnik, Dyrektor Departamentu Zarządzania Rozwojem Produktów, Pion B2B T-Mobile Polska.
Ze statystyk T-Mobile Polska wynika ponadto, że zdecydowanie najczęstszymi zagrożeniami są malware/trojan. Odpowiadają za 95% incydentów, do których dochodzi w ciągu miesiąca.
Brak odpowiednich działań w zakresie zabezpieczenia telefonów komórkowych ma odzwierciedlenie w budżetach. Aż 8 na 10 dużych firm nie ma oddzielnego budżetu na cyberochronę służbowych telefonów komórkowych. Wśród średnich przedsiębiorstw odsetek ten sięga 96%. Wśród dużych podmiotów środki przeznaczone na cyberochronę smartfonów oraz plany ich zgromadzenia mają najczęściej firmy zatrudniające powyżej 1000 pracowników oraz te liczące od 300 do 499 osób.
W przypadku cyberataków na służbowe telefony, częściej ich ofiarami padały firmy średniej wielkości niż duże. 4% przedsiębiorstw zatrudniających od 50 do 250 pracowników otwarcie przyznaje, że poniosło straty lub nałożono na nie kary finansowe, a 2% doświadczyło tzw. czarnego PR-u ze strony konkurencji. Z kolei w przypadku 2% dużych firm cyberatak na służbowe telefony doprowadził do wycieku danych klientów, danych finansowych itp. W praktyce liczby te mogą być nawet wyższe.
Trzeba zwrócić uwagę na fakt, że ponad połowa podmiotów w ogóle nie monitoruje telefonów. Dodatkowo część z nich odmawia odpowiedzi na pytania o konsekwencje cyberataków, zasłaniając się swoją polityką bezpieczeństwa.
Ubezpieczenie służbowych telefonów komórkowych posiada 4 na 10 przedsiębiorstw. Najczęściej jest to ubezpieczenie od zniszczenia (83%) i kradzieży (72%). Ubezpieczenie firmowych telefonów komórkowych od cyberataku deklaruje 17% firm w naszym kraju.
Zbadań PMR wynika, że jest to odsetek ponad dwukrotnie mniejszy niż ubezpieczenia od cyberataków w ogóle. To kolejny dowód, że firmy spychają „mobile security” na margines, co może okazać się bardzo kosztowne, bo w przypadku ewentualnych strat przedsiębiorstwo zmuszone będzie w całości pokryć koszty z własnych środków.
Bezpośredni link do całego raportu: https://biznes.t-mobile.pl/pl/badanie-bezpieczenstwa-telefonow-sluzbowych
