Dlaczego MŚP nie wdrażają cyberochrony?

Podczas panelu eksperckiego „Cyberbezpieczeństwo w erze zintegrowanych systemów elektronicznych”, który odbył się w ramach Evertiq Expo Kraków 2025, wielokrotnie powracał ten sam wniosek: brak wdrożeń z obszaru cyberbezpieczeństwa w sektorze małych i średnich przedsiębiorstw nie jest efektem braku chęci. Firmy nie wiedzą jak przeprowadzić takie wdrożenie albo, ze względów finansowych, nie mogą sobie na nie pozwolić.

Bariera kosztu

„Trzeba zapłacić za szkolenie, które będzie kosztować 10 tysięcy złotych za osobę, albo wdrożenie cyberbezpieczeństwa w całej firmie za 100 tysięcy - dla niektórych firm są to za duże kwoty”, zauważył Janusz Wasylew z Technosystem.

Firmy z sektora małych i średnich przedsiębiorstw, często operujące na niskich marżach, swoje środki priorytetowo kierują w stronę rozwoju produktów i sprzedaży. Przy bieżących wydatkach nie ma przestrzeni na inwestycje w cyberbezpieczeństwo. Hipotetyczny charakter zagrożenia może skutecznie odwlekać decyzję o wdrożeniu.

Eksperci zwrócili jednak uwagę na nieproporcjonalnie większe straty, gdyby jednak doszło do ataku. W przypadku ingerencji w systemy zagrożone mogą być np. ciągłość produkcji i dane klientów, a co za tym idzie - również reputacja firmy.

„W Polsce myślimy tak: dopóki nie ma jakiegoś zdarzenia, to nic z tym nie robimy”, przyznał Wasylew.

Taka reaktywna postawa, w której refleksja przychodzi po incydencie, nie sprawdzi się w kwestii cyberbezpieczeństwa. Raz wykradzione dane nigdy nie wrócą, a uszkodzone maszyny mogą na długo zatrzymać firmę.

Brak wiedzy i wytycznych

„My mamy mnóstwo pracy nad własną technologią. Chcielibyśmy się skupić tylko na niej, nie martwiąc się, że ktoś destabilizuje produkcję albo wykrada dane naszych klientów”, powiedział Adam Lipiec z Łukasiewicz ITR.

Jednym z problemów, na który zwrócili uwagę paneliści, jest brak wiedzy z obszaru cyberbezpieczeństwa. Firmy często nie wiedzą od czego zacząć, jakie praktyki wdrażać. Jak zauważył Adam Lipiec, bardzo pomocne mogłyby być zunifikowane standardy działań zabezpieczających, przeprowadzające firmy przez cały proces. 

„Każdy z nas w firmie ma naprawdę świetnych specjalistów: inżynierów, technologów. Jesteśmy w stanie wdrożyć rozwiązania sami, ale musimy wiedzieć jak”, dodał Janusz Wasylew.

Rozmówcy zgodzili się, że polskie firmy mają znakomitą kadrę, której cyberbezpieczeństwa nie trzeba tłumaczyć od zera. Wystarczające będzie wskazanie kierunku działania i zapewnienie odpowiednich narzędzi.

„Czy ktoś w firmie odpowiada tylko za cyberbezpieczeństwo? Często nie. To spada na informatyka, który poza tym chodzi i resetuje komputery. A to nie to samo”, powiedział Piotr Siwek z Hub4Industry.

Siwek zwrócił uwagę na brak wewnętrznych procedur bezpieczeństwa i podziału odpowiedzialności, często występujący w MŚP. Temat odpowiedzialności był jednym z zagadnień omawianych przez gości panelu, o czym szerzej pisaliśmy w tekście Kto odpowiada za cyberbezpieczeństwo? Odpowiedzialność w przemyśle elektronicznym.

Bezwartościowe szkolenia

W zdobywaniu wiedzy nie pomagają dostępne na rynku szkolenia, niejednokrotnie reprezentujące bardzo niski poziom. Paneliści poruszyli problem szkoleń dla samego certyfikatu, który nie dotyczy wyłącznie branży elektronicznej. Firmy poszukujące wiedzy mogą trafić na kursy pozbawione treści.

„Koledzy poszli na szkolenie. Pytam: Czego się dowiedziałeś? W sumie niczego nowego, uprościli. Ale certyfikat jest”, relacjonował z ironią Wasylew.

“Ja z czymś takim spotykam się na co dzień. Tam zależy na papierze, a nie na tym, żeby faktycznie coś działało. I jeżeli nie przestawimy sobie trochę tego sposobu myślenia, no to będzie bardzo słabo”, dodał Lipiec.

Co robić?

Specjaliści podkreślali, że firmy MŚP potrzebują systemowych rozwiązań, które nie obciążą ich budżetów. Państwo i Unia Europejska mają do odegrania w tym procesie ważną rolę. MŚP potrzebują wsparcia finansowego, np. w postaci dotacji na szkolenia i audyty oraz wzorców: jasnych wytycznych, gotowych modeli i regulacji, w oparciu o które będą mogły podejmować działania.

W chwili obecnej firmy, w oczekiwaniu na rozwój kwestii legislacyjnych, zmuszone są na własną rękę podejmować działania podwyższające poziom cyberochrony. Jako dobry punkt startu goście panelu Evertiq Expo Kraków 2025 zaproponowali:

• Wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo - nawet, jeśli nie będzie to ekspert. Zadeklarowanie takiej roli bardzo usprawnia działania.
• Wprowadzenie prostych procedur: terminowe aktualizacje, silne hasła, segmentacja sieci.
• Praktyczne, rozwojowe szkolenia, zapewniające transfer wiedzy do firmy.
• Śledzenie regulacji (np. UKSC) ułatwi dynamiczną adaptację do nowych warunków rynkowych.

Bezpieczeństwo i przyszłość branży elektronicznej były tematami, które zdominowały Evertiq Expo Kraków 2025, o czym pisaliśmy w podsumowaniu tegorocznych targów. Kolejna krakowska edycja Evertiq Expo odbędzie się 7 maja 2026 roku w Centrum Konferencyjnym CKF13 na ulicy Fabrycznej, a rejestracja na wydarzenie już ruszyła.