Opracowanie:prof. nadzw. dr hab. JAN KLIMEK

KONGRES BEZPIECZEŃSTWA BIZNESU26 – 27 marca 2018 r., Spała

2018

BezpieczeństwobiznesuProgi i bariery utrudniające małym i średnim przedsiębiorcom wdrażanie procedur bezpieczeństwaCiągle rośnie skala zagrożenia przestępczością gospodarczą. Problem bezpieczeństwa dotyczy już co trzeciej firmy w Polsce. Wobec tej sytuacji przedsiębiorcy nie mogą pozostać obojętni. Celem niniejszego opracowania jest ukazanie największych zagrożeń dla biznesu oraz rozpoznanie głównych barier wpływających na wdrażanie procedur bezpieczeństwa w sektorze MŚP.

Spis treści

BEZPIECZEŃSTWO EKONOMICZNE W DOBIE GLOBALIZACJI............................2ZAGROŻENIA DLA BIZNESU.............................................................................................4

Zagrożenia cybernetyczne......................................................................................................5Rozpowszechnianie nieprawdziwych informacji – fake news...............................................9Terroryzm współczesne zagrożenie dla biznesu..................................................................10Czynnik ludzki – ryzyko utraty bezpieczeństwa firmy........................................................10

PROGI I BARIERY UTRUDNIAJĄCE MAŁYM I ŚREDNIMPRZEDSIĘBIORCOM WDRAŻANIE PROCEDUR BEZPIECZEŃSTWA..................11

Brak środków finansowych – bariera finansowa.................................................................11Bariery administracyjno-prawne..........................................................................................12Bariery infrastrukturalne, technologiczne i personalne........................................................16

BIBLIOGRAFIA.....................................................................................................................19

1

Bezpieczeństwo ekonomiczne w dobie globalizacjiZnaczenie problematyki bezpieczeństwa, zwłaszcza w aspekcie możliwych zagrożeń i sposobów przeciwdziałania im, należy dziś do zagadnień absolutnie priorytetowych. W dobie Internetu firmy coraz częściej korzystają z rozwiązań chmurowych, przechowując i przetwarzając swoje dane oraz dane swoich klientów na zewnętrznych serwerach. Muszą więc przede wszystkim troszczyć się o bezpieczeństwo tych danych. Dotyczy to również przedsiębiorców z sektora MŚP. Będzie o tym mowa w dalszej części opracowania. Na wstępie jednak należy wyjaśnić samą istotę bezpieczeństwa1.

Bezpieczeństwo w języku łacińskim to sine cura (securitas), co można tłumaczyć jako stan bez troski, zmartwienia, niepokoju czy zmian. Słowniki definiują bezpieczeństwo jako stan spokoju, pewności i niezagrożenia. Bezpieczeństwo w ogólnym znaczeniu należy rozumieć jako stan braku zagrożenia (postać wolności negatywnej), a w bardziej abstrakcyjnym znaczeniu jako przeciwieństwo (alternatywa) dla chaosu2. Niwelowaniem stanu chaosu, czyli w ujęciu jednostkowym niepokoju egzystencjonalnego, jest praktyka wypracowywania rutynowych działań wspierających zaufanie w społeczności3.

Z. Długosz zauważa, że ważną rolę w kształtowaniu się pojęcia bezpieczeństwa odgrywają zapatrywania danego środowiska w określonym czasie. Równie istotne znaczenie odgrywa szczebel kultury, religia, formy polityczne, położenie geograficzne i wiele innych okoliczności. W tworzeniu bezpieczeństwa wykorzystywano siłę, ale też odwoływano się do prawa. Osiągano je na drodze wojny, ale i pokoju. Używano przemocy, a czasami lepiej było się jej wyrzec. Odwoływano się do moralności, rozumu, ale również siły wiary i zniewalająco silnych emocji, jak miłość czy przyjaźń. Wspólnym elementem w tych różnorako osiąganych stanach bezpieczeństwa jest odczuwalna, przynajmniej przez czas jakiś, forma istnienia ładu4.

Badając zjawisko bezpieczeństwa, należy liczyć się ze zmianami, jakie zachodzą we współczesnym świecie, m.in. gwałtowny rozwój cywilizacyjny społeczeństw, rozwój cyberprzestrzeni, integracja i globalizacja, gwałtowny wzrost konkurencji między narodami, umacnianie się sojuszy polityczno-militarnych i polityczno-gospodarczych, proces rozwoju demokracji i przestrzeganie praw człowieka, przestrzeganie wolności wyznania5.

W literaturze pojęcie bezpieczeństwa ekonomicznego państwa jest definiowane bardzo różnorodnie. E. Haliżak, podaje, iż „bezpieczeństwo ekonomiczne to sytuacja, kiedy gospodarka (państwa) może rozwijać się, generować zyski i oszczędności z przeznaczeniem na inwestycje i gdy nie występują zagrożenia zewnętrzne mogące doprowadzić do zakłóceń w jej funkcjonowaniu, co mogłoby narazić obywateli i przedsiębiorstwa na szwank, a być może zagrozić fizycznemu przetrwaniu państwa”6.

Natomiast V. Cable definiuje bezpieczeństwo ekonomiczne dwojako. Po pierwsze, odnosi to pojęcie do handlu i inwestycji, które bezpośrednio wpływają na zdolność kraju do obrony, na dostęp do uzbrojenia lub związanej z nią technologii, na pewność źródeł 1 Sposobami wykorzystania interdyscyplinarnej wiedzy w tworzeniu instytucji stojących na straży takich wartości, jak bezpieczeństwo zajmują się nauki o bezpieczeństwie; K. Raczkowski, K. Żukowska, M. Żuber (red.), Interdyscyplinarność nauk o bezpieczeństwie, Difin, Warszawa 2013.2 R. Rosicki, O pojęciu i istocie bezpieczeństwa, Poznań, https://repozytorium.amu.edu.pl/bitstream/10593/2148/1/O%20pojeciu%20i%20istocie%20bezpiecze%C5%84stwa.pdf3 A. Giddens, Nowoczesność i tożsamość, PWN, Warszawa 2007, s. 50-78, 150-197.4 Z. Długosz, Pojęcie bezpieczeństwa jako kategorii ontologicznej i fenomenologicznej, „Zeszyty Naukowe Wyższej Szkoły Administracji i Biznesu im. Eugeniusza Kwiatkowskiego w Gdyni”, 2009.5 W. Pokruszyński, Bezpieczeństwo teoria i praktyka, wyd. 2, Wyższa Szkoła Bezpieczeństwa Publicznego i Indywidualnego „Apeiron” w Krakowie, Kraków 2017, s. 60.6 E. Haliżak, Ekonomiczny wymiar bezpieczeństwa narodowego i międzynarodowego [w:] D.B. Bobrow, E. Haliżak, R. Zięba (red.), Bezpieczeństwo narodowe i międzynarodowe u schyłku XX wieku, Warszawa 1997.

2

zaopatrzenia w wyposażenie wojskowe. Z drugiej strony, bezpieczeństwo ekonomiczne utożsamia się z działaniem za pomocą instrumentów polityki ekonomicznej, które są używane do agresji lub obrony: bojkoty handlowe i inwestycyjne, restrykcje związane ze źródłami energii – bezpieczeństwo zasobów7.

Istotnym elementem bezpieczeństwa publicznego jest przestępczość gospodarcza (ekonomiczna). Współcześnie ten rodzaj przestępczości dotyka niemal wszystkich sfer życia8 – piszą B.R. Kuc i Z. Ścibiorek. Natomiast, jak podaje firma PWC, w ostatnich dwóch latach ponad jedna trzecia, przebadanych, przedsiębiorstw w Polsce zadeklarowała, że padła ofiarą nadużyć. Patrząc na to z perspektywy wyższej kadry zarządzającej trzeba mieć świadomość, że problem bezpieczeństwa dotyczy już co trzeciej firmy na naszym rynku. Jeżeli popatrzymy na strukturę popełnianych przestępstw to okazuje się, że 62% to sprzeniewierzenie aktywów, 32% cyberprzestępczość oraz 29% to nadużycia w obszarze zakupowym9.

„Przestępstwa ekonomiczne popełniane są zarówno przez indywidualnych sprawców, jak i zorganizowane grupy przestępcze. To właśnie przestępczość gospodarcza była w 2016 roku, podobnie jak w latach poprzednich, dominującym obszarem działalności zorganizowanych grup przestępczych w Polsce. Przestępczość gospodarcza powoduje najwyższe straty wynikające z działalności przestępczej zarówno dla budżetu państwa (np. przez zmniejszenie wpływów, uzyskiwanie nienależnych zwrotów, wyłudzenie dopłat), jak i sektora prywatnego – przez bezpośrednie zmniejszenie dochodów oraz spadek konkurencyjności, w tym w kontekście rozwoju szarej strefy czy zaniżania kosztów działalności przez podmioty gospodarcze działające z naruszeniem prawa. Co istotne, wpływ na poziom funkcjonowania szarej strefy, a w efekcie również zagrożenie przestępczością gospodarczą, ma także sposób prowadzenia polityki podatkowej państwa. Przestępczość gospodarcza dotyczy zatem nie tylko sfery bezpieczeństwa i porządku publicznego, lecz również bezpieczeństwa ekonomicznego państwa, a także przekłada się na opłacalność i bezpieczeństwo prowadzenia działalności gospodarczej10. W 2016 roku funkcjonariusze/pracownicy organów upoważnionych do nakładania grzywien w drodze mandatów karnych nałożyli 8 058 549 mandatów karnych na kwotę 1 160 108 278 zł11. Badanie Przestępczości Gospodarczej w Polsce 2016 wskazuje, że 36% firm padło ofiarą nadużyć w ciągu ostatnich 24 miesięcy, w co piątej firmie stwierdzono nadużycia popełniane przez przedstawicieli kadry kierowniczej, a 9% przedsiębiorców nie było w stanie oszacować strat spowodowanych nadużyciami w swojej firmie”12.

Wobec rosnącej skali zagrożenia przestępczością gospodarczą przedsiębiorcy nie mogą pozostać obojętni. Zdecydowanie efektywniejsze jest zarządzanie obszarem bezpieczeństwa biznesu w sposób prewencyjny (przygotowanie organizacji na wypadek ryzyka), niż dopiero w sytuacji, kiedy to zagrożenie już wystąpiło w firmie13.

Można sformułować kilka kwestii na temat działalności gospodarczej, mającej zasadniczy wpływ na bezpieczeństwo ekonomiczne. Otóż znaczna część działalności

7 http://www.bezpieczenstwoekonomiczne.pl/definicja.htm8 B.R. Kuc, Z. Ścibiorek, Zarys metodologii nauk o bezpieczeństwie, Wyd. Adam Marszałek, Toruń 2018, s. 51.9 M. Lorenc, M. Badowski, Bezpieczeństwo polskiego biznesu a rosnąca skala zagrożeń, http://www.strefabiznesu.pl/firma/a/bezpieczenstwo-polskiego-biznesu-a-rosnaca-skala-zagrozen,10662022/10 MSWiA, Raport o stanie bezpieczeństwa w Polsce w 2016 roku, s. 143.11 Tamże, s. 321.12 B.R. Kuc, Z. Ścibiorek, Zarys metodologii…, wyd. cyt., s. 51-52.13 M. Lorenc, M. Badowski, Bezpieczeństwo polskiego biznesu…, wyd. cyt.

3

gospodarczej jest zorientowana na dalszą perspektywę. Ilekroć budujemy nowy zakład, drogę czy autostradę, ilekroć zwiększamy zasób samochodów lub komputerów, zwiększamy czas kształcenia młodzieży lub powiększamy jego jakość, zwiększamy intensywność prac badawczo-rozwojowych, tylekroć przyczyniamy się do zwiększania przyszłej gospodarki, a tym samym efektywności i skuteczności bezpieczeństwa ekonomicznego. Z tego też względu, ważna jest każda decyzja rządu, powinna być merytorycznie uzasadniona, uwzględniać długoterminową prognozę rozwoju gospodarczego14.

W dobie toczących się procesów globalizacji i integracji, problem ekonomizacji bezpieczeństwa musi być nie tylko dostrzegany, lecz konsekwentnie urzeczywistniany. Strategia bezpieczeństwa gospodarczego powinna uwzględniać przede wszystkim podstawowe wartości, tj. ochronę poziomu życia, rozwój gospodarczy, zdolność utrzymania poziomu bezpieczeństwa państwa. To wynika z gospodarki, która tworzy materialną bazę w państw w jego zasadniczych obszarach bezpieczeństwa. Cele w strategii bezpieczeństwa gospodarczego muszą być realne. Cele zbyt ambitne, pozbawione realizmu mogą świadczyć jedynie o braku kompetencji i woluntaryzmie15.

Zagrożenia wymuszają dokonanie głębokich zmian w polityce makroekonomicznej, zagranicznej oraz w wykorzystaniu służb specjalnych w państwach średniej wielkości. Zmiany te powinny polegać na większej integracji i kooperacji na obronie zasadniczych wartości bezpieczeństwa ekonomicznego. W dobie globalizacji gospodarek tylko takie działania dają pewność przeciwstawieniu się marginalizacji i zapewnienia możliwości rozwoju16.

Żeby skutecznie przeciwdziałać takim czy innym zdarzeniom przestępczości ekonomicznej, firmy muszą potraktować proces poprawy poziomu bezpieczeństwa jako zdarzenie stałe a nie jednorazowe. Sprawdzoną metodą jest wdrożenie 4 stopniowego programu poprawy i zabezpieczenia bezpieczeństwa biznesu17:

w pierwszej fazie zakłada on przeprowadzenie analizy i oceny aktualnego poziomu bezpieczeństwa;

w drugiej przeszkolenie pracowników w celu przeciwdziałania patologiom: kradzieżom, wyłudzeniom, oszustwom, korupcji, itp.;

następnie należy zadbać o wprowadzenie zasad i procedur bezpieczeństwa w firmie ze szczególnym uwzględnieniem czynnika ludzkiego;

ostatnią kwestią jest uruchomienie cyklicznych i wyrywkowych działań kontrolnych.

Zagrożenia dla biznesuZagrożenia środowiskowe, katastrofy naturalne i ekologiczne, ryzyko załamania ekosystemu czy ekstremalne zjawiska pogodowe, ataki hakerskie (cyberataki) na dużą skalę oraz rosnące zadłużenie przedsiębiorstwa, które idzie w parze z niższą wyceną ich aktywów – to najważniejsze, globalne zagrożenia na nadchodzące lata ujęte w Global Risks Report 201818. Jak więc wynika z raportu, dwa zasadnicze zagrożenia to zadłużenie przedsiębiorstw i wycena aktywów. Firmy zadłużają się na poziomie o 100% wyższym w ciągu ostatnich kilku lat. Takie obciążenie długiem jest dla firmy pewną barierą rozwojową. Drugim czynnikiem, który może

14 W. Pokruszyński, Bezpieczeństwo teoria i praktyka, wyd. cyt., s. 102.15 Tamże, s. 48.16 http://www.bezpieczenstwoekonomiczne.pl/globalizacja.htm17 M. Lorenc, M. Badowski, Bezpieczeństwo polskiego biznesu…, wyd. cyt.18 The Global Risks Report 2018, Marsh&World Economic Forum, Geneva 2018, 13th Edition, http://www3.weforum.org/docs/WEF_GRR18_Report.pdf

4

wpłynąć na rozwój biznesu, jest wycena aktywów tych firm, która osiąga poziom z 2008 r., a więc z roku poprzedzającego kryzys finansowy – zauważa Artur Grześkowiak. Prezes Marsh Polska podkreśla, że choć na dziś obiektywne przesłanki i koniunktura na rynku nie zwiastują kryzysu, przedsiębiorstwa muszą mieć na uwadze takie ryzyko i uwzględnić fakt, że obecna wycena ich aktywów może stanowić barierę rozwojową z punktu widzenia oceny instytucji finansujących i ratingowych19.

Natomiast jak wynika z Barometru Ryzyk Allianz za 201720 rok wciąż największym zagrożeniem dla globalnego biznesu są przerwy w działalności i zakłócenia w łańcuchu dostaw. To one mogą spowodować największe straty firm. Jednak coraz więcej przedsiębiorców obawia się niestabilności na rynku i zagrożeń o charakterze politycznym. Jako czynnik ryzyka traktowana jest też cyfryzacja, a konkretnie wspomniane już cyberataki czy awarie infrastruktury IT21.

Podczas pierwszego dnia III Europejskiego Kongresu Małych i Średnich Przedsiębiorstw w Katowicach w Sali Sejmu Śląskiego odbyła się sesja dyskusyjna poświęcona bezpieczeństwu informacji w MŚP22. Wszyscy akcentowali przede wszystkim zagrożenia bezpieczeństwa osobistego i bezpieczeństwa przedsiębiorców wynikające z globalizacji i cyberprzestrzeni. Zwracali uwagę, że ten strach, często paraliżujący normalnych obywateli i powodujący nadmiar biurokratycznego rozrostu, wymaga być może nowej interpretacji człowieka, a do tego potrzeba zaangażowania filozofów, teologów, socjologów – i oczywiście przedstawicieli nauk o bezpieczeństwie. Jeden z ekspertów zaznaczył, że historycy powinni przypomnieć, że podobne problemy mieli ludzie średniowiecza, zwłaszcza rycerska elita społeczeństwa, znakomicie władająca mieczem, ale nie rozumiejąca, jaki sens może mieć czytanie i pisanie książek. Podobnie dzisiaj: biurokratyczna elita doskonale żonglująca językiem prawniczym i umiejąca czytać słowo pisane, nie rozumie, jaki sens może mieć cyberprzestrzeń. Żyjemy w epoce swoistego przełomu, który już ktoś określił sytuacją rewolucyjną: już nie chcemy żyć po staremu, ale jeszcze nie umiemy żyć po nowemu – dodał. Panel poświęcony zagadnieniom bezpieczeństwa gospodarczego, ochrony danych osobowych i własności intelektualnych wskazywał na konieczność budowy świadomości i edukacji na rzecz ochrony informacji23.

Zagrożenia cybernetyczne

Cyberryzyka to grupa o bardzo wysokim prawdopodobieństwie zajścia. W związku z tym rośnie skala potencjalnych zagrożeń. Obserwujemy to zresztą w przekazach medialnych na co dzień. Jednak w tym momencie nie wszystkie przedsiębiorstwa są świadome skali strat, jakie tego typu ryzyka mogą spowodować. Do najpopularniejszych zagrożeń w cyberprzestrzeni należą24:

ataki z użyciem szkodliwego oprogramowania (malware, wirusy, robaki itp.); kradzieże tożsamości;

19 Wiele zagrożeń dla biznesu, Agencja Informacyjna Newseria, http://wgospodarce.pl/informacje/46771-wiele-zagrozen-dla-biznesu20 Allianz Risk Barometer: Top Business Risks 2017, Allianz Global Corporate & Specialty SE, Germany, Janu-ary 2017, https://serwis.allianz.pl/images/Allianz_Risk_Barometer_2017_report.pdf21 Czego obawiają się firmy w 2017 roku? Światowy ranking zagrożeń, http://www.assistance.tv/czego-obawiaja-sie-firmy-w-2017-roku-swiatowy-ranking-zagrozen22 Było to kolejne przedsięwzięcie wspierające rodzimą przedsiębiorczość, zorganizowane przez Krajowe Stowarzyszenie Informacji Niejawnych.23 Bezpieczeństwo informacji na III Europejskim Kongresie MŚP, https://www.bbn.gov.pl/pl/wydarzenia/4878,Bezpieczenstwo-informacji-na-III-Europejskim-Kongresie-MSP.html24 M. Grzelak, K. Liedel, Bezpieczeństwo w cyberprzestrzeni. Zagrożenia i wyzwania dla Polski – zarys problemu, https://www.bbn.gov.pl/download/1/.../str125-139MichalGrzelakKrzysztofLiedel.pdf

5

kradzieże (wyłudzenia), modyfikacje bądź niszczenie danych; blokowanie dostępu do usług (mail bomb, DoS oraz DDoS19); spam (niechciane lub niepotrzebne wiadomości elektroniczne); ataki socjotechniczne (np. phishing, czyli wyłudzanie poufnych informacji

przez podszywanie się pod godną zaufania osobę lub instytucję).Głośny medialnie atak WannaCry z 2017 roku był największym w dotychczasowej

historii: zainfekował ponad 300 tys. komputerów w 150 krajach świata. Przedsiębiorstwa dotkliwie odczuwają finansowe skutki fali ataków ransomware (oprogramowanie, które szyfruje dane w zamian za okup). Eksperci wskazują, że liczba ataków hakerskich na firmy podwoiła się na przestrzeni ostatnich pięciu lat, a ten trend będzie się nasilał, m.in. w związku z upowszechnianiem chmury i IoT (Internet rzeczy). Jednak na razie tylko 19% przedsiębiorstw jest odpowiednio przygotowanych do zarządzania cyberryzykiem. To powoduje poważne wyzwania dla przedsiębiorców, żeby to ryzyko wkalkulować w model biznesowy. Widzimy, że przedsiębiorcy jeszcze w bardzo małym zakresie praktykują tego typu kalkulacje w swojej działalności. To z kolei może powodować dodatkowe, nieprzewidywalne straty. Te wszystkie elementy składają się na koszty prowadzenia działalności. Także w Polsce widzimy, jakie jest bezpośrednie przełożenie tej nieprzewidywalności na obszar inwestycji i wzrost cen25 –zauważa Artur Grześkowiak, prezes Marsh Polska.

Jak wynika z badania przeprowadzonego w lipcu 2012 roku przez B2B International we współpracy z Kaspersky Lab, cyberzagrożenia znajdowały się na drugim miejscu na liście głównych problemów, z jakimi borykały się przedsiębiorstwa, a większy niepokój wywoływał tylko brak stabilności gospodarczej. W ramach badania swoje zdanie na temat zagadnień związanych z bezpieczeństwem IT wyraziło 3 300 przedstawicieli firm z 22 państw na całym świecie. Wszyscy respondenci brali aktywny udział w procesie podejmowania ważnych decyzji biznesowych, łącznie z tymi dotyczącymi bezpieczeństwa IT. Dane statystyczne zebrane przez Kaspersky Lab wskazują na stale rosnącą aktywność cyberprzestępczą, a tym samym potwierdzają, że obawy respondentów nie są bezpodstawne. O ile w 2011 r. Kaspersky Lab wykrywał średnio 70 000 nowych szkodliwych programów dziennie, w tym roku liczba ta zwiększyła się do 125 000. Ilość mobilnego szkodliwego oprogramowania, w szczególności atakującego mobilny system operacyjny Android, zwiększa się jeszcze szybciej: w 2011 r. liczba szkodliwych obiektów wzrosła 200 krotnie!26 Google poinformował, że stosowane przez niego systemy zabezpieczeń systemu Android usunęły w 2017 roku 39 mln przypadków wystąpień szkodliwego oprogramowania w dwóch miliardach urządzeń użytkowników27.

W roku 2017 ataki na urządzenia mobilne stanowiły już 25% wszystkich zagrożeń (w porównaniu do 7% w 2016 roku). Na urządzeniach mobilnych korzystamy z coraz większej liczby usług, m.in. z płatności internetowych. Dlatego wciąż pojawiają się nowe typy złośliwego oprogramowania starające się przejąć nad nimi kontrolę28. Jest to szczególnie niepokojące biorąc pod uwagę fakt, że urządzenia mobilne są coraz częściej wykorzystywane

25 Wiele zagrożeń dla biznesu, wyd. cyt.26 Brak stabilności gospodarczej i cyberprzestępczość: dwa główne zagrożenia dla biznesu , Kaspersky Lab, https://www.kaspersky.pl/o-nas/informacje-prasowe/1778/brak-stabilnosci-gospodarczej-i-cyberprzestepczosc-dwa-glowne-zagrozenia-dla-biznesu27 W 2017 roku Google usunął z Androida 39 milionów szkodliwych programów, http://www.wirtualnemedia.pl/artykul/android-ochrona-przed-wirusami28 Raport CERT Orange Polska 2017 – nowe zagrożenia, skuteczniejsza ochrona, http://odpowiedzialnybiznes.pl/aktualno%C5%9Bci/raport-cert-orange-polska-2017-nowe-zagrozenia-skuteczniejsza-ochrona/

6

w celu uzyskiwania dostępu do poufnych informacji w infrastrukturze firmowej, a co za tym idzie wymagają specjalnej kontroli i ochrony29.

Elektroniczne instrumenty płatnicze są jednym z obszarów działalności cyberprzestępców (tzw. phishing). Nowoczesne, elektroniczne narzędzia komunikacji, na czele z kartą płatniczą, telefonem komórkowym oraz bankowością elektroniczną, zwiększają dostęp klientów do usług finansowych, ale jednocześnie stanowią łakomy kąsek dla przestępców stosujących coraz to bardziej wyrafinowane metody. Wiele banków żeby zabezpieczyć się przed kradzieżami z użyciem kart płatniczych i bankowości elektronicznej wdrożyło tzw. systemy antyfraudowe, które analizują na bieżąco transakcje bankowe. Banki w Polsce i na świecie wykorzystują takie narzędzia jak stworzona przez NCR platforma Fractals, która analizuje dane transakcyjne wykorzystując technologie z obszaru uczenia maszynowego. Karty płatnicze, których popularność jako instrumentu płatniczego nieustannie rośnie stały się celem coraz bardziej wyrafinowanych metod bezprawnego pozyskiwania numeru karty płatniczej i jej PINu. W procederze nielegalnego pozyskania danych klientów banków oszuści finansowi wypracowali szereg sposobów, którymi się posługują, m.in.30:

fałszywa klawiatura bankomatowa, przechwytująca numer PIN do karty – nakładka wizualnie nie odbiega od zainstalowanych oryginalnie;

nakładki/skanery na czytnik kart, umożliwiające nieautoryzowane odczytywanie danych z paska magnetycznego karty (tzw. skimming) – wygląd bardzo zbliżony do bankomatowego czytnika kart;

przechwycenie gotówki przed jej wypłaceniem klientowi – bankomat nie wydaje banknotów, które czekają na nowego właściciela w przestrzeni wewnętrznej urządzenia;

przechwytywanie danych z kart płatniczych wyposażonych w moduł zbliżeniowy i dokonywanie zakupów na konto właściciela karty.

Płatności internetowe to dziś istotny element funkcjonowania handlu elektronicznego. Bezpieczeństwo płatności przez Internet jest więc ważnym elementem rozwoju e-biznesu. Niestety, tak jak w codziennym życiu można otrzymać fałszywe banknoty, tak i w świecie wirtualnym można podać dane dotyczące karty kredytowej osobie, która będzie chciała wykorzystać je do własnych celów. Oszustwo, z powodu rozmiaru potencjalnego zagrożenia, może być przyczyną wolniejszego rozwoju e-biznesu.

Przestępcy odkrywają także nowe możliwości związane z technikami bezprzewodowymi. Użytkownicy komputerów korzystający z bezprzewodowych punktów dostępu do Internetu (hot spot, np. w centrach handlowych, portach lotniczych czy innych miejscach publicznych) muszą liczyć się ze specjalnym wariantem phishingu, który polega na kradzieży danych personalnych poprzez fałszywe strony, wyglądające jak strony legalnych dostawców hot spotów. W wariancie phishingu Wi-Fi o nazwie Evil Twin, który zaobserwowano w Internecie w styczniu 2005 roku, znanym także jako „phishing AP” (Access Point), atakujący przedstawia się jako legalny hot spot i podstępem zachęca ofiarę do podłączenia się z laptopem lub innym urządzeniem podręcznym. Z chwilą połączenia atakujący może skłonić użytkownika do ujawnienia informacji poufnych. Phishing powoduje straty nie tylko z powodu kradzieży środków finansowych dostępnych na kontach oszukanych osób. Phishing to także zwiększone koszty, jakie muszą ponieść przedsiębiorstwa w obawie przed jego skutkami31.

29 Brak stabilności gospodarczej i cyberprzestępczość…, wyd. cyt.30 Zagrożenia bezpieczeństwa dla współczesnej bankowości, https://biznes.newseria.pl/komunikaty/bankowosc/zagrozenia,b107033116231 A. Banach, Phishing zagrożeniem dla e-biznesu, E-mentor nr 5 (12) / 2005, http://www.e-mentor.edu.pl/artykul/index/numer/12/id/227

7

Internetowi przestępcy wykorzystują także wyszukiwarki internetowe do zdobywania danych osobowych. Za pośrednictwem, takich serwisów jak Google można w łatwy sposób uzyskać dane osobowe wielu osób. Posiadając imię, nazwisko, adres, numer telefonu i datę urodzenia, można przyjąć nową tożsamość i dokonywać przestępstw w sieci. Wiele osób umieszcza na stronach internetowych własne życiorysy ze wszystkimi danymi kontaktowymi. Mogą one posłużyć na przykład do zakładania na cudze nazwiska kont w domach aukcyjnych. Przynoszą one przestępcom zyski, gdyż otrzymują pieniądze za sprzedany towar, którego nie wysyłają kupującemu. Nabywca dochodząc swoich praw trafia do rzeczywistego właściciela danych osobowych, ale nie jest on osobą, która wyłudza pieniądze. Aukcje internetowe są jednym z miejsc, gdzie oszuści dokonują nadużyć z wykorzystaniem skradzionych danych32.

W wyniku przeprowadzonych w pierwszej połowie 2005 roku badań podzielono koszty naruszeń systemów ochrony w Internecie. Są one powiązane w 39% ze spadkiem produktywności pracowników, w 32% większymi wydatkami na fundusz płac dla personelu IT, w 18% wydatkami na nowe technologie i w 7% ze spadkiem obrotów firmy33.

Ukierunkowane ataki na infrastrukturę firmową przeprowadzane w celu kradzieży krytycznych informacji stanowią kolejny poważny problem dla przedsiębiorstw. Ataki te mogą obejmować wysyłki spamowe, luki zero-day, szkodliwe skrypty oraz inne techniki. Dlatego też, aby odeprzeć takie ataki, firmy muszą instalować w pełni funkcjonalne pakiety bezpieczeństwa i chronić wszystkie elementy swojej infrastruktury IT: stacje robocze pracowników, serwery plików i poczty oraz urządzenia mobilne34.

Jak wynika z Raportu CERT Orange Polska 2017, najczęściej analizowanymi incydentami, z jakimi mieli do czynienia specjaliści czuwający nad bezpieczeństwem sieci Orange Polska było „rozpowszechnianie obraźliwych i nielegalnych treści”. Ta kategoria stanowiła już prawie połowę wszystkich zagrożeń (o niemal 8 p.p. więcej niż rok wcześniej). Obejmuje także rozsyłanie spamu, w tym spamu phishingowego, w którym wiadomości e-mail czy SMS są nośnikiem złośliwego oprogramowania szyfrującego czy wykradającego dane z urządzeń ofiary. Sporą grupę zagrożeń (prawie 20%) wciąż stanowią ataki DDoS/DoS, polegające na „zalewaniu” atakowanego systemu ogromną ilością danych. W ten sposób doprowadzają do jego niedostępności, a skutkiem biznesowym takiej sytuacji może być utrata reputacji firmy czy straty finansowe. Jak zaobserwowali autorzy raportu CERT Orange Polska, zmniejsza się liczba długich i spektakularnych ataków. Bardziej opłacalna jest seria krótkich ataków, kończących się zanim rozpocznie się proces ich unieszkodliwiania, ponieważ nawet krótki atak dostarczy cyberprzestępcom informacji o odporności systemu na ataki tego typu. Autorzy Raportu przewidują, że w najbliższych latach wyzwaniem będzie nadal rozwijający się Internet rzeczy (IoT)35.

Nowym zjawiskiem jest wykorzystywanie sztucznej inteligencji (AI, Artificial Intelligence) do złych celów (omijania systemów zabezpieczeń czy znajdowania podatności), ale też skutecznej ochrony przed takimi działaniami. Zdolności analityczne systemów AI przetwarzających bardzo duże zbiory danych (Big Data) praktycznie w czasie rzeczywistym, mogą znacząco przyspieszyć reakcję systemów zabezpieczających przed atakami oraz umożliwić wykrywanie podejrzanych zachowań w sieci, których nie są w stanie wykryć dotychczasowe rozwiązania. Kolejny trend wskazany w raporcie to pozyskiwanie kryptowaluty dla przestępców. Służy temu złośliwe oprogramowanie, np. BitCoinMiner, wykorzystujący zasoby zainfekowanych urządzeń. Pozyskiwanie kryptowaluty może być

32 Tamże.33 Tamże.34 Brak stabilności gospodarczej i cyberprzestępczość: dwa główne zagrożenia dla biznesu, wyd. cyt.35 Raport CERT Orange Polska 2017…, wyd. cyt.

8

wykonywane również poprzez skrypty w zaatakowanych serwisach internetowych. Aktywują się one w przeglądarkach użytkowników odwiedzających daną stronę, bez ich wiedzy i zgody. Autorzy raportu przewidują, że zjawisko to nasili się w 2018 roku36.

Poniżej kilka podstawowych zasad, aby jak najbardziej ułatwić start w budowaniu wartościowego systemu bezpieczeństwa w firmie37:

zabezpieczanie luk, czyli tzn. patchowanie. Gdyby nie luki w systemach, pozwalające na przejmowanie zdalnej kontroli, na odczyty danych, czy na ich szyfrowanie – wiele ataków w ogóle nie miałoby miejsca. Należy więc instalować poprawki wypuszczane regularnie przez twórców systemów operacyjnych;

edukacja pracowników – otwieranie podejrzanych emaili, klikanie w osobliwe linki, uruchamianie załączników pochodzących z wątpliwego źródła. To wszystko jest skutkiem zwykłej niewiedzy. Zadbanie o edukację pracowników jest jedną z najlepszych inwestycji w bezpieczeństwo organizacji, jakie można poczynić;

ograniczanie dostępu – z reguły tylko naprawdę niewielka liczba użytkowników potrzebuje kont administracyjnych czy kont do konkretnych systemów. Im mniejsza liczba osób posiada takie dostępy, tym mniejsze jest prawdopodobieństwo, że zostaną one wykorzystane przez malware;

kopie zapasowe – kopie należy wykonywać regularnie ze wszystkich maszyn – zarówno użytkowników końcowych, jak i serwerów. Częstotliwość zależy przede wszystkim od tego, jak duże straty w danych będą akceptowane w organizacji i może być różna dla różnych maszyn i różnych typów danych.

Rozpowszechnianie nieprawdziwych informacji – fake news

Należy pamiętać, że współczesna cywilizacja opiera swą działalność na szeroko pojętej informacji. To oznacza, że informacja, która jest podstawą wiedzy, staje się istotnym elementem w osiąganiu sukcesu. Zatem w warunkach, jakie mamy w XXI wieku, przewagę będą mieli głównie ci, którzy dysponują wszechstronną, aktualną i wiarygodną informacją. Dlatego nabiera ona szczególnego znaczenia w każdej dziedzinie działalności człowieka. Oceniając informacje w różnych aspektach, może także okazać się ona zagrożeniem dla jednostki, grupy społecznej, czy państwa. To zagrożenie może być powodowane przez osoby, działalność obcych państw lub organizacje terrorystyczne. Takie negatywne wykorzystywanie informacji przeciwko innemu podmiotowi jest dzisiaj niemal powszechne38.

Rozpowszechnianie nieprawdziwych lub wprowadzających w błąd informacji towarzyszyło nam już przed laty. Jednak nigdy dotąd ich skala oraz wpływ na wizerunek i biznes przedsiębiorstw nie były tak duże. Dzieje się tak nie tylko za sprawą rozwoju technologii i nowych metod komunikacji, ale także ścigania się w udostępnianiu atrakcyjnych treści, które będą docierały do wielu odbiorców. Skalę zjawiska pokazuje badanie zrealizowane w grudniu 2017 r. przez agencję badawczą SW Research. Jak wynika z badania, połowa Polaków spotkała się (w ciągu 6 miesięcy poprzedzających badanie) ze sfabrykowanymi informacjami rozpowszechnianymi w Internecie39.

36 Tamże.37 O. Gajewska, Dobre praktyki bezpieczeństwa, https://www.mwtsolutions.pl/dobre-praktyki-bezpieczenstwa/38 W. Pokruszyński, Bezpieczeństwo teoria i praktyka, wyd. cyt., s. 49-50.39 K. Rek, Fałszywe treści realnym zagrożeniem dla biznesu, czyli jak radzić sobie z fake news? , Grupa On Board Think Kong ECCO International Communications Network, https://onboard.pl/aktualnosci/falszywe-tresci-realnym-zagrozeniem-dla-biznesu-czyli-radzic-fake-news/

9

Dziś każdy może wybrać dowolne informacje na temat firmy i w oparciu o te informacje stworzyć i rozpowszechniać fałszywą historię na ogromną skalę. Bez trudu możemy wyobrazić sobie sytuację, w której w mediach i social mediach publikowana jest informacja, że firma X podjęła decyzję o wycofaniu z polskiego rynku. Oczywiście tego rodzaju „news” w ogromnym stopniu wpływa na działalność firmy – jej pracowników, kontrahentów, klientów, a w dłuższej perspektywie również na jej reputację. Odkrywając źródła tego rodzaju informacji można szybko zobaczyć, że w rzeczywistości firma zamknęła jeden oddział w niewielkiej miejscowości Y, a globalny szef wspomnianej firmy powiedział przed dwoma laty na konferencji z San Francisco, że będzie przyglądał się strukturze firmy i dążył do jej optymalizacji. To być może przerysowany przykład, ale tak naprawdę w ten sposób często powstają fake news40.

Dlatego to, co istotne z perspektywy firm w walce z fake newsami to m.in. następujące trzy elementy: monitoring mediów i social mediów – należy pamiętać, że nie każda fałszywa informacja może być źródłem kryzysu, równocześnie nie możemy takiej informacji zbagatelizować, gdyż zaniedbania na tym etapie mogą spowodować większy kryzys; dobre relacje z dziennikarzami i influencerami41 – w momencie opublikowania fałszywej informacji na temat firmy mogą być oni źródłem sprawdzonej i prawdziwej informacji; działania SEO i SEM – niezwykle ważne jest to, aby frazy poszukiwane przez użytkowników były wysoko indeksowane w wyszukiwarkach42.

Terroryzm współczesne zagrożenie dla biznesu

Terroryzm staje się dziś realnym zagrożeniem dla firm, które prowadzą biznes w Polsce. Potrzebna jest większa czujność i wiedza dotycząca zabezpieczenia procesu ciągłości biznesu na wypadek zdarzeń o charakterze terrorystycznym. Jest to konieczne, jeśli nie chcemy, aby po fakcie jedyne, co nam pozostanie to liczenie poważnych strat. Strategię bezpieczeństwa i zestawy instrukcji działania buduje się w czasach spokoju. Incydent terrorystyczny nie musi dotyczyć naszej firmy. Wystarczy, jeśli wydarzy się w Polsce i nastąpi jego eskalacja. Mogą być wtedy problemy z dotarciem do firm lub z łącznością. A to już wystarczające powody, aby ciągłość biznesowa wielu firm i instytucji została przerwana. Po uspokojeniu sytuacji zaczną się trudne pytania do zarządu. Jak przygotowali przedsiębiorstwo na wypadek kryzysu? Czy mogą to udokumentować i pokazać, jak zadbali o utrzymanie ciągłości biznesu np. wytyczając alternatywne działania? Prawdopodobnie znaczna część menedżerów będzie mogła wtedy jedynie stwierdzić, że nic się nie dało zrobić, bo był poważny kryzys. Przerwanie ciągłości procesu biznesowego zawsze skutkuje stratami finansowymi. Jest pewne, że po wszystkim, będą wnikliwie analizowane zachowania menedżerów, przepływ

40 K. Rek, Fałszywe treści realnym zagrożeniem dla biznesu, czyli jak radzić sobie z fake news?, wyd. cyt.41 Influencer to osoba mająca możliwość wpływu na decyzję czy opinię innych. Posiada relacje z masowymi odbiorcami, którzy bardzo silnie utożsamiają się z nim, a wyrażonym przez siebie zdaniem potrafi umiejętnie opiniować skupioną wokół jego osoby społeczność, może swoją opinią wpłynąć na grono co najmniej kilkuset osób. Zamiennie możemy określać taką osobę również przywódcą bądź liderem opinii. Zdecydowanie prościej wpływać będzie na opinię naszych odbiorców, gdy postrzegani jesteśmy jako eksperci w danej dziedzinie. Inną kategorię Influencerów tworzą również osoby publiczne - politycy, sportowcy, dziennikarze czy po prostu celebryci. Ich strefa wpływu sięga najczęściej znacznie dalej niż blogera czy osoby prowadzącego vloga w serwisie YouTube, Kim jest Influencer? Po zasięgach i charyzmie ich poznacie, https://www.whitepress.pl/baza-wiedzy/275/kim-jest-influencer-po-zasiegach-i-charyzmie-ich-poznacie42 K. Rek, Fałszywe treści realnym zagrożeniem dla biznesu, czyli jak radzić sobie z fake news?, wyd. cyt.

10

informacji, przygotowane instrukcje, alternatywne działania i algorytm podejmowania decyzji43.

Czynnik ludzki – ryzyko utraty bezpieczeństwa firmy

Jakiś czas temu przez błąd człowieka i brak procedur, kilka tysięcy osób straciło bezpowrotnie swoje dane. Czynnik ludzki jest jednym z ogniw, które cały proces dostępu do danych i ich bezpieczeństwa musi uwzględniać. Dostęp administratorów do danych powinien być oparty o kilkustopniowy mechanizm autoryzacji i wielostopniowy poziom uprawnień. Bardzo ściśle należy kontrolować, kto i do jakich systemów ma dostęp. Dodatkowo sama komunikacja z serwerami powinna odbywać się przez szyfrowane tunele tak, aby chronić sam proces czuwania nad infrastrukturą. Całości dopełniać powinny zaawansowane ustawienia na firewallach44.

To właśnie w obszarze związanym z ludźmi firmy muszą podjąć działania zmierzające do eliminowania i zapobiegania: wyłudzeniom, defraudacjom i kradzieżom, sytuacjom korupcyjnym, przestępstwom fałszowania dokumentów i posługiwania się sfałszowanymi dokumentami, przestępstwom przetargowym, nieuprawnionym pozyskiwaniem informacji i tajemnicy przedsiębiorstwa, oszustwom podatkowym, finansowym, ubezpieczeniowym, itp. Należy zwrócić uwagę, że ofiarą grup przestępczych może stać się każda firma, bez względu na branżę i wielkość. Szczególnie narażoną grupą zawodową są członkowie Zarządów i menedżerowie, gdyż jako decydenci są najlepszym kąskiem dla oszustów. Przypadek sprzed kilku lat Prezesa jednej z korporacji pokazuje jak może wyglądać atak socjotechniczny grupy przestępczej. Biznesmen tradycyjnie podróżował Intercity i te kilka godzin wykorzystał na pracę. Przeprowadził kilkanaście rozmów telefonicznych ze swoimi współpracownikami i klientami. Na miejsce dotarł zadowolony, że efektywnie wykorzystał podróż i może zająć się interesami w Gdańsku. Powrót do stolicy wyglądał podobnie. Po 3 tygodniach obraz tego dnia wyglądał już inaczej. Do Prezesa dotarli ludzie, którzy nie przypadkowo spędzili ten i kilka innych dni bardzo blisko niego. Okazało się, że byli to przestępcy, którzy od kilkunastu tygodni intensywnie go obserwowali. Nagrywali jego rozmowy oraz dokumentowali fakty z życia prywatnego, korzystając, z tego, że poza biurem Prezes był łatwym celem. W ten sposób pozyskali informacje i mogli szantażować jego a także firmę45.

Progi i bariery utrudniające małym i średnim przedsiębiorcom

wdrażanie procedur bezpieczeństwaBariery w realizacji wdrażania procedur bezpieczeństwa w małych i średnich firmach wynikają głównie z niewystarczających zasobów finansowych, ograniczeń administracyjno-prawnych, uwarunkowań infrastrukturalnych oraz technologicznych, a także przyczyn ludzkich (brak odpowiedniej wiedzy, umiejętności). Celem niniejszego podpunktu jest rozpoznanie głównych barier wpływających na wdrażanie procedur bezpieczeństwa w sektorze MŚP.

43 S. Omen-Czejarek, Terroryzm współczesne zagrożenie dla biznesu, http://www.przedsiebiorcatostylzycia.pl/2017/09/06/terroryzm-wspolczesne-zagrozenie-dla-biznesu/44 K. Cebrat, Cyberbezpieczeństwo: jak firmy z sektora MŚP mogą chronić dane cyfrowe, http://www.rp.pl/Firma/303029992-Cyberbezpieczenstwo-jak-firmy-z-sektora-MSP-moga-chronic-dane-cyfrowe.html45 M. Lorenc, M. Badowski, Bezpieczeństwo polskiego biznesu…, wyd. cyt.

11

Brak środków finansowych – bariera finansowa

Brak środków pieniężnych jest poważną barierą w dynamicznym rozwoju firm z sektora MŚP. Mali i średni przedsiębiorcy najczęściej korzystają ze środków własnych, a nowe technologie wymagają sporych nakładów finansowych. Za przykład można tu podać rozporządzenie dotyczące ochrony danych osobowych RODO. W przedstawionym rozporządzeniu ogólnikowo wspomina się o wymaganiach technicznych i informatycznych związanych z zabezpieczeniem danych osobowych. Tymczasem zabezpieczenia takie stanowią istotną pozycję w wydatkach firmy, która stara się spełniać wymagania rozporządzenia. Przykładowo przepisy wykonawcze nakładają obowiązek umieszczenia serwerowni w oddzielnym, odpowiednio zabezpieczonym pomieszczeniu, co w małych firmach stanowi duże utrudnienie i łączy się z poniesieniem nakładów finansowych, należy także zadbać o bezpieczeństwo danych przechowywanych w komputerach poprzez instalację specjalistycznego oprogramowania, którego na ogół mali przedsiębiorcy nie muszą stosować46.

Pomimo szerokiej oferty usług kredytowych proponowanej przez banki, takich jak: kredyty i pożyczki bankowe, gwarancje i poręczenia, fundusze inwestycyjne, dostęp do kredytów dla właścicieli małych i średnich przedsiębiorstw pozostaje nadal utrudniony. Często zdarza się, że polscy przedsiębiorcy mają problem ze zdobyciem środków na działalność i rozwój przedsiębiorstw. Bariera finansowa związana z pozyskaniem przez małe i średnie przedsiębiorstwa kapitału obcego związana jest z:

wysokim oprocentowaniem przez banki komercyjne; skomplikowanymi i niejasnymi przepisami, i procedurami bankowymi; wysokimi prowizjami i opłatami za oferowane usługi.Główną przyczyną, dla której banki nie chcą udzielać przedsiębiorcom kredytów jest

brak aktywów niezbędnych do zabezpieczania pożyczek oraz brak dokumentów poświadczających odpowiednio długą obecność firmy na rynku47.

Kłopoty z dostępem do kapitału to jeden z powodów niskiej skłonności do inwestycji w sektorze MŚP, co z kolei bardzo negatywnie wpływa na pozycję konkurencyjną tych firm na rynku. Pewnym rozwiązaniem tego problemu może być propagowanie innych źródeł finansowania działalności gospodarczej, np. leasing. Leasing może być traktowany jako rodzaj kredytu rzeczowego, polegającego na okresowym umożliwieniu korzystania za odpowiednią opłatą z danego dobra materialnego, głównie inwestycyjnego, bez jego nabycia48.

Dostęp do kapitału ma zasadnicze znaczenie w kontekście umożliwienia sektorowi prywatnemu, zwłaszcza MŚP i przedsiębiorstwom gospodarki społecznej, stymulowania wzrostu gospodarczego i tworzenia miejsc pracy. Jednakże banki coraz mniej chętnie udzielają kredytów przedsiębiorstwom, zwłaszcza innowacyjnym i rozpoczynającym działalność, z którymi wiąże się zarówno największe ryzyko, jak i największy potencjał rozwoju49.

46 H. Orzechowski, RODO i gigantyczne kary nadchodzą. Przedsiębiorco, nie zacząłeś się szykować? Możesz nie zdążyć, https://www.money.pl/gospodarka/wiadomosci/artykul/rodo-kawecki-reforma-dane-osobowe,22,0,2399254.html47 Bariery rozwoju MSP w Polsce, http://msp-24.pl/Bariery-rozwoju-MSP-w-Polsce,41,78.html48 W. Leoński, Bariery funkcjonowania małych i średnich przedsiębiorstw w Polsce, „Zeszyty Naukowe Wydziału Nauk Ekonomicznych Politechniki Koszalińskiej”, http://zeszyty.wne.tu.koszalin.pl/images/wydawnictwo/zeszyty/18/08_14_Wojciech_Leonski_text.pdf49 OPINIA Europejskiego Komitetu Ekonomiczno-Społecznego w sprawie kluczowych działań na rzecz Aktu o jednolitym rynku II (opinia rozpoznawcza), INT/648, Bruksela, 12 lipca 2012 r.

12

Europejski Komitet Ekonomiczno-Społeczny zaleca, by ocenić możliwość utworzenia europejskiego gwarantowanego funduszu finansowego, aby zapewniać MŚP, spełniającym określone podstawowe kryteria, środki finansowe za pośrednictwem systemu, który umożliwiłby danej firmie łatwy dostęp do kredytu bez konieczności spełnienia wymogu związanego z zabezpieczeniem lub innych wymogów stawianych zwykle przez banki. W zarządzanie tym systemem włączone zostałyby reprezentatywne organizacje biznesowe sprawujące nadzór nad danym przedsiębiorstwem50.

Bariery administracyjno-prawne

Skomplikowane prawo, uciążliwe i kosztowne procedury, brak wsparcia ze strony administracji państwowej i samorządowej – to główne problemy małych i średnich przedsiębiorców51. Firmy zdają sobie sprawę z tego, że poważnym wyzwaniem będzie przygotowanie się do wdrożenia nowych unijnych regulacji w zakresie ochrony danych osobowych. Z szeregiem nowych obowiązków i wyzwań firmy muszą poradzić sobie przed majem 2018 roku i – jak podkreślają eksperci – to już ostatni dzwonek, by zająć się przygotowaniami. Tym bardziej, że unijne prawo przewiduje surowe kary za niedostosowanie się do nowych regulacji52.

25 maja 2018 roku wchodzi w życie RODO (ang. GDPR), czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Zastąpi ono przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych. Głównym celem zmian jest zharmonizowanie i uporządkowanie zasad przetwarzania danych, a więc kwestie, które powinny ułatwić działalność przedsiębiorców. Nowe przepisy przyjęte zostały w formie rozporządzenia, co oznacza bezpośrednie stosowanie przepisów przez wszystkich przedsiębiorców przetwarzających dane osobowe na terytorium Unii Europejskiej. RODO wejdzie w życie bez konieczności implementacji polską ustawą53.

Opracowywany projekt wdrożenia RODO, pod względem ilości zmienianych aktów prawnych, jest jednym z największych wyzwań ostatnich lat. Polska stała się tym samym pierwszym państwem w Unii Europejskiej, które, wdrażając nowe unijne prawo o ochronie danych osobowych, zmienia cały krajowy system prawny54. Wiąże się to z kolejnym obowiązkiem dla właścicieli małych i średnich firm. „Warto zaznaczyć, że w poprzedniej wersji dokumentu, wyłączenie obejmowało cały sektor mikro, małych i średnich przedsiębiorstw. Pozytywnie oceniamy fakt, że projektodawca nie zdecydował się na całkowitą rezygnację z takiego wyłączenia. Art. 3 ust. 155 przewiduje wyłączenie mikroprzedsiębiorców spod części obowiązków informacyjnych, a także spod obowiązku dostarczania kopii danych osobowych

50 OPINIA Europejskiego Komitetu Ekonomiczno-Społecznego w sprawie: „Akt o jednolitym rynku – określenie brakujących środków” (opinia dodatkowa), INT/688, Bruksela, 16 października 2013 r.51 Bariery rozwoju MSP w Polsce, wyd. cyt.52 Czego obawiają się firmy w 2017 roku? Światowy ranking zagrożeń, wyd. cyt.53 W. Maroszek, RODO, czyli ochrona danych 2.0. Nowe unijne przepisy oznaczają trudności dla przedsiębiorców, https://businessinsider.com.pl/firmy/przepisy/rodo-gdpr-regulacje-o-ochronie-danych-osobowych-zmiany-w-firmach/21p6svs54 Nowe prawo ochrony danych osobowych, https://www.gov.pl/cyfryzacja/nowe-prawo-ochrony-danych-osobowych55 Projekt ustawy z dnia 3 marca 2018 r. o ochronie danych osobowych, http://legislacja.rcl.gov.pl/docs//2/12302950/12457689/dokument332518.docx

13

podlegających przetwarzaniu, osobie, której te dane dotyczą”56 – komentują eksperci Związku Przedsiębiorców i Pracodawców.

Tymczasem świadomość przedsiębiorców dotycząca RODO wciąż jest niewielka. Według badania firmy Dell, ponad 80% ankietowanych przedstawicieli firm nic nie wie na temat nowego unijnego rozporządzenia lub ma o nim szczątkową wiedzę. Zaledwie 3% osób biorących udział w badaniu zadeklarowało, że ich firma ma stosowny plan wprowadzenia RODO. Przedsiębiorcy mają świadomość, że niebawem w całej Unii Europejskiej będzie stosowane ogólne rozporządzenie o ochronie danych (RODO), ale tylko 19 % z nich wie, że ten obowiązek obejmie wszystkich 25 maja 2018 roku, a 31% zna powody wprowadzenia nowych regulacji.

Kogo dotyczyć będzie RODO? Tak naprawdę wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Mogą to być zarówno duże korporacje – na przykład firmy ubezpieczeniowe czy instytucje finansowe – oraz niewielkie rodzinne przedsiębiorstwa, jak sklep internetowy czy salon kosmetyczny57. Nie ma przy tym znaczenia, czy będą to dane osobowe klientów, kontrahentów, pracowników, czy potencjalnych klientów przedsiębiorcy ani, czy dane te będą przetwarzane komputerowo, czy mechanicznie. Ponadto, jeżeli przedsiębiorca będzie miał siedzibę w Unii, to będą go obowiązywały przepisy RODO58.

W związku z przetwarzaniem danych osobowych RODO wprowadza pojęcie „administratora” oraz „podmiotu przetwarzającego”, do których znajdą zastosowanie przepisy tego rozporządzenia. Zarówno na administratora, jak i na podmiot przetwarzający nałożono szereg obowiązków w zakresie ochrony danych osobowych. Przez „administratora” rozumie się osobę fizyczną lub prawną, organ publiczny jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. „Podmiotem przetwarzającym” jest natomiast osoba fizyczna lub prawna organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Administratorem i podmiotem przetwarzającym dane osobowe może być każdy, nawet przedsiębiorca prowadzący jednoosobową działalność, który zapisuje sobie w wybrany przez siebie sposób dane osobowe m.in. swoich klientów, pracowników i kontrahentów59.

Przedsiębiorca będzie zobowiązany do60: zaprojektowania własnego systemu ochrony danych; przygotowania i utrzymania wszechstronnych rejestrów dotyczących

przetwarzanych danych, uwzględniających m.in.: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych itd.;

przygotowania rozwiązań, które pozwolą na żądanie udostępniać i posyłać dalej pojedynczy plik z informacją o danych osobowych;

poinformowania obywatela o celu, zakresie i czasie ich przetwarzania; uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych

osobowych od osób, których dane dotyczą; przygotowania nowych dokumentów prawnych, uwzględniających poszerzony

obowiązek informacyjny. Pojęcie „danych osobowych” zostanie z kolei poszerzone

56 Ochrona danych osobowych – mikrofirmy mogą zostać zwolnione z części obowiązków , https://www.podatki.biz/artykuly/ochrona-danych-osobowych-mikrofirmy-moga-zostac-zwolnione-z-czesci-obowiazkw_34_37413.htm57 W. Maroszek, RODO, czyli ochrona danych 2.0…, wyd. cyt.58 RODO: Zakres przedmiotowy i podmiotowy rozporządzenia, http://ika-legal.com/pl/2017/06/09/rodo-kogo-dotyczy/59 Tamże.60 10 najważniejszych zmian, które wprowadza RODO, https://www.pwc.pl/pl/artykuly/2017/10-najwazniejszych-zmian-ktore-wprowadza-rodo.html

14

o adresy IP oraz zbierane przez przeglądarkę internetową pliki cookies („ciasteczka”). Oznacza to, że klauzule dotyczące wykorzystania danych osobowych, które klienci dostają do podpisania, będą jeszcze obszerniejsze;

informowania, nawet o pojedynczym, drobnym naruszeniu, do Generalnego Inspektora Ochrony Danych Osobowych. Będą na to tylko 72 godziny (wiąże się to

z przygotowaniem procedur reagowania na incydenty ochrony danych); oceny wpływu ochrony danych. Wykonanie takiej analizy będzie obowiązkowe

przed podjęciem działań „wysokiego ryzyka”, takich jak na przykład profilowanie na dużą skalę czy wykorzystanie danych szczególnych kategorii (takich jak dane dotyczące zdrowia);

wyznaczenia Inspektora Ochrony Danych Osobowych (obowiązek ten dotyczył będzie niektórych firm zarówno kontrolujących, jak i przetwarzających dane);

niedopilnowanie nowych obowiązków dotyczących ochrony danych osobowych może kosztować firmę nawet do 20 mln euro lub 4% rocznego obrotu firmy.

Projektowana ustawa dotycząca danych osobowych bez wątpienia będzie miała wpływ na sytuację małych i średnich przedsiębiorców. Należy w tym zakresie wskazać na przyznane Prezesowi Urzędu Ochrony Danych Osobowych uprawnienie do wydawania rekomendacji w obszarze zasad zabezpieczania danych osobowych, wypracowywanych z przedsiębiorcami w tym należących do małych i średnich przedsiębiorstw. Zgodnie z treścią projektu, monitorowaniem przestrzegania zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 Rozporządzenia61, zajmuje się podmiot akredytowany przez Prezesa Urzędu62.

Każdy przedsiębiorca działa inaczej. Inaczej zabezpiecza się dane w sektorze ubezpieczeniowym, inaczej w bankowym, a jeszcze inaczej w handlu internetowym. W związku z tym nie ma jednego szablonu, każdy dostanie obowiązek stworzenia go sobie samemu. Od 25 maja 2018 r. każdy administrator – biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych – będzie musiał samodzielnie zdecydować, jakie zabezpieczenia, dokumentację i procedury przetwarzania danych wdrożyć63.

Rodzi się zatem pytanie, czy skoro przepisy są niejasne, to przedsiębiorcy będą unikać przestrzegania ich? Nie tyle nawet na przekór, co raczej z poczucia zagubienia i pewnej bezradności wobec mętnych regulacji. Każdy przedsiębiorca z pewnością zadaje sobie pytanie: czy to na pewno mnie dotyczy? Jak mam to zrobić?

Pomimo, że mówi się, iż rozporządzenie UE nie będzie wprowadzało biurokratycznych obowiązków, tylko praktyczne, naprawdę chroniące dane osobowe, to i tak wiąże się to z dodatkowym obciążeniem dla firm (wdrożenie procedur), które będą znacznym utrudnieniem dla tych najmniejszych, nie zatrudniających personelu administracyjno-biurowego.

Raport z badania przeprowadzonego przez Kantar Public dla Generalnego Inspektora Ochrony Danych Osobowych (GIODO), w którym wzięło udział 507 firm, głównie mikro i małych pokazuje, że ponad połowa z nich słyszała o nowych obowiązkach, ale zarazem nie 61 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R067962 Uzasadnienie do ustawy o ochronie danych osobowych, http://webcache.googleusercontent.com/search?q=cache:yrHCziZxAqAJ:bkns.pl/wp-content/uploads/2017/09/uzasadnienie_do_ustawy_o_ochronie_danych_osobowych_-_13.09.2017.pdf+&cd=1&hl=pl&ct=clnk&gl=pl63 Czy jesteś gotowy na RODO?, GIODO, https://giodo.gov.pl/pl/file/12866, s. 6.

15

wie dokładnie, jak je rozumieć i na czym ma polegać ich realizacja. Z konieczności zgłoszenia w ciągu 72 godzin organowi nadzorczemu przypadków naruszeń związanych z przetwarzaniem danych zdaje sobie sprawę 68% badanych, ale wiedzę, jak tego dokonać w praktyce, ma mniej respondentów, bo 41%. Najwięcej trudności ze zrozumieniem przyszłych powinności sprawia kwestia profilowania. 41%. respondentów nie zdaje sobie sprawy z określonych wymogów z tym związanych, a 37% nie wie, jak je stosować w praktyce. Wśród najmniejszych firm (do dziewięciu zatrudnionych) bardzo słabo znane jest nowe podejście do ochrony danych osobowych, czyli oparte na analizie ryzyka i obowiązku przeprowadzania oceny jego skutków, niezbędnej do zastosowania określonych form zabezpieczeń przed zagrożeniami. 51% ankietowanych nigdy o tym nie słyszało. Na razie przygotowania do przetwarzania danych osobowych zgodnie z RODO podjęło 38% firm. 13% ankietowanych deklaruje, że zrobi to w obecnym kwartale. Pozostali dopiero to planują. Poza tym mali przedsiębiorcy traktują RODO jako źródło dodatkowych i uciążliwych obowiązków. Dla połowy z nich motywacją do stosowania nowych przepisów będą wysokie kary finansowe64.

Osoby zarządzające i podejmujące kluczowe decyzje w małych i średnich firmach powinny być świadome zmian, jakie nastąpią od 25 maja 2018 r. Muszą one zrozumieć skalę wyzwań, jakie niesie wykazanie zgodności z ogólnym rozporządzeniem i zidentyfikować obszary, które koniecznie wymagają zmian. Pracować należy przede wszystkim nad niezbędną wiedzą dotyczącą nowych instrumentów prawnych w zakresie przetwarzania danych osobowych. Jeśli w firmie został powołany administrator bezpieczeństwa informacji (ABI), powinien on już teraz podnosić wiedzę wszystkich osób uczestniczących w procesach przetwarzania danych, przygotowując ich tym samym do stosowania nowego prawa. Dodatkowo udział w zewnętrznych szkoleniach czy pomoc profesjonalnych firm w zakresie wdrożenia rozporządzenia może być pomocnym rozwiązaniem65.

Nowe rozporządzenie zawiera przepis wymagający, by strategie dotyczące ochrony prywatności były przejrzyste i zrozumiałe dla konsumentów. Opracowanie standardowych oświadczeń o ochronie prywatności pomoże zagwarantować, że konsumenci będą odpowiednio informowani o przetwarzaniu ich danych osobowych i że strategie dotyczące ochrony prywatności nie będą już skomplikowanymi tekstami prawnymi. Należy zadbać o to, by nie powodowało to nieproporcjonalnych obciążeń administracyjnych ani kosztów dla przedsiębiorstw, zwłaszcza dla MŚP66.

Przy wprowadzaniu zaleceń dotyczących ochrony danych osobowych (RODO) mikroprzedsiębiorstwa, małe przedsiębiorstwa i średnie przedsiębiorstwa powinny być traktowane jak trzy oddzielne grupy, a nie jako jedna grupa MŚP67. Poziom wymaganych zabezpieczeń jest podobny, a obciążenia finansowe całkiem inne.

Bariery infrastrukturalne, technologiczne i personalne

Nasilająca się aktywność cyberprzestępców powoduje, że firmy z sektora MŚP w Polsce zmagają się z coraz większymi wyzwaniami. Z jednej strony mamy wzrastające wymagania obronne, z drugiej – ograniczone zasoby w zakresie budżetu i personelu. Zrównoważenie tych potrzeb musi odpowiadać podstawowym warunkom stawianym przez biznes, jakimi są: zachowanie ciągłości pracy, ochrona danych wrażliwych i reputacji organizacji. Te

64 Mali i średni przedsiębiorcy słabo przygotowani do RODO, http://www.rp.pl/Firma/302029958-Mali-i-sredni-przedsiebiorcy-slabo-przygotowani-do-RODO.html65 Czy jesteś gotowy na RODO?, wyd. cyt., s. 33.66 OPINIA Europejskiego Komitetu Ekonomiczno-Społecznego w sprawie: „Akt o jednolitym rynku – określenie brakujących środków”…, wyd. cyt.67 Tamże.

16

wymagania nie różnią się znacząco od potrzeb największych firm. Również narzędzia hakerów są praktycznie te same. Nasuwa się zatem prosty wniosek, że narzędzia obronne muszą być podobnej klasy. Jak temu sprostać?68.

Poczynając od procedur dostępu do informacji, jak i miejsca ich przechowywania. Do niedawna firmy inwestowały we własne serwerownie i systemy zabezpieczeń, jednak rozwój nowoczesnych usług hostingowych sprawił, że właściciele firm coraz częściej trzymają swoje dane w chmurze69. Takie rozwiązania dostarczają nowoczesne firmy hostingowe, biorąc za to pełną odpowiedzialność. Ważne pliki, zawartość skrzynek mailowych, baz danych, aplikacje, strony internetowe to w obecnych czasach główne aktywa przedsiębiorstw, bez których nie można funkcjonować70. Jest to idealne rozwiązanie dla firm z sektora MŚP, pozwalające uniknąć początkowych nakładów na infrastrukturę oraz licencje, dając zarazem dostęp do najnowocześniejszych, i co najważniejsze, skalowalnych rozwiązań71. Klient otrzymuje dokładnie taką ilość zasobów, jakiej w danym momencie potrzebuje minimalizując dzięki temu inwestycje w IT oraz ryzyko finansowe. Jak wynika z badań Komisji Europejskiej, w 2012 roku, aż 80% firm korzystających z chmury, odnotowało spadek kosztów związanych z informatyką o 10-20%. (…) Nie bez znaczenia jest również fakt, iż korzystając z infrastruktury dostawcy, klient ma też dostęp do wiedzy inżynierów usługodawcy72.

Inwestycje we własną infrastrukturę są bardzo kosztowne. Duża część firm z segmentu MŚP nie ma wystarczających środków, aby własnym sumptem stworzyć bezpieczną infrastrukturę IT, która nadąża za wyzwaniami cyfrowego bezpieczeństwa albo wręcz świadomie nie decyduje się na takie inwestycje, wybierając rozwiązania chmurowe. Usługi i infrastruktura w chmurze obliczeniowej gwarantują wysoki poziom zabezpieczeń, często niemożliwy do zapewnienia we własnym zakresie. Zapewniają one również dostęp do zawsze najbardziej aktualnych wersji aplikacji, przy jednoczesnej elastyczności finansowej73.

Większość przedstawicieli MŚP twierdzi, że na poprawę bezpieczeństwa informacji w istotny sposób wpłynęłaby modernizacja infrastruktury IT, inwestycje w rozwiązania do archiwizacji i backupu, wprowadzenie narzędzi monitorujących ochronę danych. Natomiast niewielu zdecydowałoby się na przeniesienie kluczowych danych do chmury (15% wskazań) czy przekazanie zarządzania infrastrukturą zewnętrznemu dostawcy (13%)74.

Wykres 1. Działania, które mogłyby podnieść bezpieczeństwo informacji w firmie

68 G. Szałański, Bezpieczeństwo MSP czerpie z rynku Enterprise, Puls Biznesu, nr 188/2015.69 Sektor MŚP bezpieczny cyfrowo, http://brief.pl/sektor-msp-bezpieczny-cyfrowo/70 K. Cebrat, Cyberbezpieczeństwo: jak firmy z sektora…, wyd. cyt.71 J. Jasiurkowski, Cloud computing w małej i średniej firmie – chwyt marketingowy, czy przyszłość IT?, Biznes benchamrk magazyn, nr 2/9/2013, s. 11.72 J. Jasiurkowski, Biznes w chmurze, czyli cloud computing w praktyce, Biznes benchamrk magazyn, nr 2/9/2013, s. 13.73 P. Jamrogiewicz, Bezpieczeństwo w biznesie jest priorytetem dla polskich firm MŚP, https://news.microsoft.com/pl-pl/2016/08/23/bezpieczenstwo-w-biznesie-jest-priorytetem-dla-polskich-firm-msp/74 Raport specjalny, HP Polska dla Biznesu Bezpieczeństwo. Ryzyko. Dostępność, Hewlett–Packard Develop-ment Company L.P. 2015, s. 12.

17

Źródło: Raport specjalny, HP Polska dla Biznesu Bezpieczeństwo…, wyd. cyt.,s. 12.

Firmy zdają sobie sprawę, że nie jest możliwe stworzenie idealnie bezpiecznego środowiska, choćby ze względu na dynamicznie zmieniające się typy zagrożeń oraz coraz szybszy rozwój IT. Większość firm nie powierza całościowego zarządzania obszarem bezpieczeństwa zewnętrznym podmiotom. W większości przypadków firmy chcą mieć kontrolę nad bezpieczeństwem i zarządza nim wewnętrzny dział. Jednak tylko co dziesiąte przedsiębiorstwo posiada wyodrębnioną komórkę zajmującą się wyłącznie tymi kwestiami. W niemal połowie przypadków bezpieczeństwo to po prostu jedna z kompetencji działu IT. Natomiast mimo ogólnych deklaracji o priorytetowym traktowaniu bezpieczeństwa, aż 36% przedsiębiorstw odpowiedzialność za tę kwestię rozprasza w różnych działach. Ta praktyka najczęściej stosowana jest w firmach działających w branży usługowej, które mają lokalny zasięg lub obsługują wyłącznie klientów B2C75.

Outsourcing zarządzania bezpieczeństwem wciąż nie jest popularny w polskich MŚP – zaledwie ok. 9% podmiotów korzysta z tego modelu. Jednocześnie najpoważniej do kwestii zabezpieczania informacji podchodzą firmy, które utworzyły specjalny dział security lub właśnie korzystają z outsourcingu tego obszaru. Skłonność do inwestowania w bezpieczeństwo rośnie wraz ze skalą przedsiębiorstwa – aż 40% organizacji zatrudniających powyżej 200 osób zadeklarowało podniesienie nakładów w tym roku. Jest to też wyróżnik firm, które posiadają wyłącznie klientów B2B76.

Przedstawiciele polskich firm MŚP na szczęście coraz lepiej rozumieją możliwości, jakie oferują nowoczesne technologie, także te związane z bezpieczeństwem. 77% respondentów, którzy wzięli udział w badaniu „Nowoczesne IT w MŚP 2016” 77 przyznaje, że dla poprawy produktywności biznesu bardzo ważne jest, by dane klientów i firmy były skutecznie chronione w dowolnym miejscu wykonywania obowiązków. Ma to szczególny wpływ na pracę w coraz popularniejszym środowisku mobilnym. Wynik ten przekracza średnią europejską aż o 14%. Dla porównania, w krajach Europy Zachodniej temat bezpieczeństwa w pracy zdalnej jest bardzo ważny dla 61% respondentów, a Europy Centralnej i Wschodniej, aż 70% Wyniki te jasno pokazują, że kraje, które są dopiero na drodze do cyfrowej rewolucji zwracają większą uwagę na wyzwania dotyczące bezpieczeństwa ich zasobów, również w kontekście

75 Tamże, s. 7.76 Tamże.77 Badanie „Nowoczesne IT w MŚP 2016” przeprowadzone przez Ipsos MORI na zlecenie Microsoft objęło 6200 pracowników MŚP (w tym 500 pracowników w Polsce) w następujących krajach: Francja, Niemcy, Dania, Wielka Brytania, Włochy, Grecja, Węgry, Rumunia, Polska, Czechy, Ukraina, Hiszpania, Holandia, Belgia, Szwecja, Portugalia, Szwajcaria, Norwegia, Słowenia, Finlandia. Firmy biorące udział w badaniu zatrudniają do 250 pracowników. Badanie zostało przeprowadzone w styczniu 2016 r.

18

cyberzagrożeń. Pokazuje to, że MŚP z krajów zachodnich nie tyle nie dostrzegają wagi takich inwestycji, co już poczyniły te inwestycje w przeszłości78.

Bibliografia1. Długosz Z., Pojęcie bezpieczeństwa jako kategorii ontologicznej i fenomenologicznej, „Zeszyty Naukowe

Wyższej Szkoły Administracji i Biznesu im. Eugeniusza Kwiatkowskiego w Gdyni”, 2009.2. Giddens A., Nowoczesność i tożsamość, PWN, Warszawa 2007.3. Haliżak E., Ekonomiczny wymiar bezpieczeństwa narodowego i międzynarodowego [w:] Bobrow D.B., Haliżak

E., Zięba R. (red.), Bezpieczeństwo narodowe i międzynarodowe u schyłku XX wieku, Warszawa 1997.4. Jasiurkowski J., Biznes w chmurze, czyli cloud computing w praktyce, Biznes benchamrk magazyn, nr

2/9/2013.5. Jasiurkowski J., Cloud computing w małej i średniej firmie – chwyt marketingowy, czy przyszłość IT?,

Biznes benchamrk magazyn, nr 2/9/2013.6. Kuc B.R., Ścibiorek Z., Zarys metodologii nauk o bezpieczeństwie, Wyd. Adam Marszałek, Toruń 2018.7. MSWiA, Raport o stanie bezpieczeństwa w Polsce w 2016 roku.8. OPINIA Europejskiego Komitetu Ekonomiczno-Społecznego w sprawie kluczowych działań na rzecz Aktu

o jednolitym rynku II (opinia rozpoznawcza), INT/648, Bruksela, 12 lipca 2012 r.9. OPINIA Europejskiego Komitetu Ekonomiczno-Społecznego w sprawie: „Akt o jednolitym rynku –

określenie brakujących środków” (opinia dodatkowa), INT/688, Bruksela, 16 października 2013 r.10. Pokruszyński W., Bezpieczeństwo teoria i praktyka, wyd. 2, Wyższa Szkoła Bezpieczeństwa Publicznego

i Indywidualnego „Apeiron” w Krakowie, Kraków 2017.

78 Bezpieczeństwo w biznesie jest priorytetem dla polskich firm MŚP, https://news.microsoft.com/pl-pl/2016/08/23/bezpieczenstwo-w-biznesie-jest-priorytetem-dla-polskich-firm-msp/

19

11. Raczkowski K., Żukowska K., Żuber M. (red.), Interdyscyplinarność nauk o bezpieczeństwie, Difin, Warszawa 2013.

12. Szałański G., Bezpieczeństwo MSP czerpie z rynku Enterprise, Puls Biznesu, nr 188/2015.

Źródła internetowe

1. 10 najważniejszych zmian, które wprowadza RODO, https://www.pwc.pl/pl/artykuly/2017/10-najwazniejszych-zmian-ktore-wprowadza-rodo.html

2. Allianz Risk Barometer: Top Business Risks 2017, Allianz Global Corporate & Specialty SE, Germany, January 2017, https://serwis.allianz.pl/images/Allianz_Risk_Barometer_2017_report.pdf

3. Banach A., Phishing zagrożeniem dla e-biznesu, E-mentor nr 5 (12) / 2005, http://www.e-mentor.edu.pl/artykul/index/numer/12/id/227

4. Bariery rozwoju MSP w Polsce, http://msp-24.pl/Bariery-rozwoju-MSP-w-Polsce,41,78.html5. Bezpieczeństwo informacji na III Europejskim Kongresie MŚP, https://www.bbn.gov.pl/pl/wydarzenia

/4878,Bezpieczenstwo-informacji-na-III-Europejskim-Kongresie-MSP.html6. Bezpieczeństwo w biznesie jest priorytetem dla polskich firm MŚP,

https://news.microsoft.com/pl-pl/2016/08/23/bezpieczenstwo-w-biznesie-jest-priorytetem-dla-polskich-firm-msp/

7. Brak stabilności gospodarczej i cyberprzestępczość: dwa główne zagrożenia dla biznesu , Kaspersky Lab, https://www.kaspersky.pl/o-nas/informacje-prasowe/1778/brak-stabilnosci-gospodarczej-i-cyberprzestepczosc-dwa-glowne-zagrozenia-dla-biznesu

8. Cebrat K., Cyberbezpieczeństwo: jak firmy z sektora MŚP mogą chronić dane cyfrowe , http://www.rp.pl/Firma/303029992-Cyberbezpieczenstwo-jak-firmy-z-sektora-MSP-moga-chronic-dane-cyfrowe.html

9. Czego obawiają się firmy w 2017 roku? Światowy ranking zagrożeń, http://www.assistance.tv/czego-obawiaja-sie-firmy-w-2017-roku-swiatowy-ranking-zagrozen

10. Czy jesteś gotowy na RODO?, GIODO, https://giodo.gov.pl/pl/file/1286611. Gajewska O., Dobre praktyki bezpieczeństwa, https://www.mwtsolutions.pl/dobre-praktyki-bezpieczenstwa/12. Grzelak M., Liedel K., Bezpieczeństwo w cyberprzestrzeni. Zagrożenia i wyzwania dla Polski – zarys

problemu, https://www.bbn.gov.pl/download/1/.../str125-139MichalGrzelakKrzysztofLiedel.pdf13. http://www.bezpieczenstwoekonomiczne.pl/definicja.htm14. http://www.bezpieczenstwoekonomiczne.pl/globalizacja.htm15. Jamrogiewicz P., Bezpieczeństwo w biznesie jest priorytetem dla polskich firm MŚP, https://news.

microsoft.com/pl-pl/2016/08/23/bezpieczenstwo-w-biznesie-jest-priorytetem-dla-polskich-firm-msp/16. Kim jest Influencer? Po zasięgach i charyzmie ich poznacie, https://www.whitepress.pl/baza-wiedzy

/275/kim-jest-influencer-po-zasiegach-i-charyzmie-ich-poznacie17. Leoński W., Bariery funkcjonowania małych i średnich przedsiębiorstw w Polsce, „Zeszyty Naukowe

Wydziału Nauk Ekonomicznych Politechniki Koszalińskiej”, http://zeszyty.wne.tu.koszalin.pl/images/wydawnictwo/zeszyty/18/08_14_Wojciech_Leonski_text.pdf

18. Lorenc M., Badowski M., Bezpieczeństwo polskiego biznesu a rosnąca skala zagrożeń, http://www.strefabiznesu.pl/firma/a/bezpieczenstwo-polskiego-biznesu-a-rosnaca-skala-zagrozen,10662022/

19. Mali i średni przedsiębiorcy słabo przygotowani do RODO, http://www.rp.pl/Firma/302029958-Mali-i-sredni-przedsiebiorcy-slabo-przygotowani-do-RODO.html

20. Maroszek W., RODO, czyli ochrona danych 2.0. Nowe unijne przepisy oznaczają trudności dla przedsiębiorców, https://businessinsider.com.pl/firmy/przepisy/rodo-gdpr-regulacje-o-ochronie-danych-osobowych-zmiany-w-firmach/21p6svs

21. Nowe prawo ochrony danych osobowych, https://www.gov.pl/cyfryzacja/nowe-prawo-ochrony-danych-osobowych

22. Ochrona danych osobowych – mikrofirmy mogą zostać zwolnione z części obowiązków, https://www.podatki.biz/artykuly/ochrona-danych-osobowych-mikrofirmy-moga-zostac-zwolnione-z-czesci-obowiazkw_34_37413.htm

23. Omen-Czejarek S., Terroryzm współczesne zagrożenie dla biznesu, http://www.przedsiebiorcatostylzycia.pl/2017/09/06/terroryzm-wspolczesne-zagrozenie-dla-biznesu/

24. Orzechowski H., RODO i gigantyczne kary nadchodzą. Przedsiębiorco, nie zacząłeś się szykować? Możesz nie zdążyć, https://www.money.pl/gospodarka/wiadomosci/artykul/rodo-kawecki-reforma-dane-osobowe,22,0,2399254.html

20

25. Projekt ustawy z dnia 3 marca 2018 r. o ochronie danych osobowych, http://legislacja.rcl.gov.pl/docs//2/12302950/12457689/dokument332518.docx

26. Raport CERT Orange Polska 2017 – nowe zagrożenia, skuteczniejsza ochrona, http://odpowiedzialnybiznes.pl/aktualno%C5%9Bci/raport-cert-orange-polska-2017-nowe-zagrozenia-skuteczniejsza-ochrona/

27. Raport specjalny, HP Polska dla Biznesu Bezpieczeństwo. Ryzyko. Dostępność, Hewlett–Packard Develop-ment Company L.P. 2015.

28. Rek K., Fałszywe treści realnym zagrożeniem dla biznesu, czyli jak radzić sobie z fake news? , Grupa On Board Think Kong ECCO International Communications Network, https://onboard.pl/aktualnosci/falszywe-tresci-realnym-zagrozeniem-dla-biznesu-czyli-radzic-fake-news/

29. RODO: Zakres przedmiotowy i podmiotowy rozporządzenia, http://ika-legal.com/pl/2017/06/09/rodo-kogo-dotyczy/

30. Rosicki R., O pojęciu i istocie bezpieczeństwa, Poznań, https://repozytorium.amu.edu.pl/bitstream/10593/2148/1/O%20pojeciu%20i%20istocie%20bezpiecze%C5%84stwa.pdf

31. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679

32. Sektor MŚP bezpieczny cyfrowo, http://brief.pl/sektor-msp-bezpieczny-cyfrowo/33. The Global Risks Report 2018, Marsh&World Economic Forum, Geneva 2018, 13th Edition, http://

www3.weforum.org/docs/WEF_GRR18_Report.pdf34. Uzasadnienie do ustawy o ochronie danych osobowych, http://webcache.googleusercontent.com

/search?q=cache:yrHCziZxAqAJ:bkns.pl/wp-content/uploads/2017/09/uzasadnienie_do_ustawy_o_ochronie_danych_osobowych_-_13.09.2017.pdf+&cd=1&hl=pl&ct=clnk&gl=pl

35. W 2017 roku Google usunął z Androida 39 milionów szkodliwych programów, http://www.wirtualnemedia.pl/artykul/android-ochrona-przed-wirusami

36. Wiele zagrożeń dla biznesu, Agencja Informacyjna Newseria, http://wgospodarce.pl/informacje/46771-wiele-zagrozen-dla-biznesu

37. Zagrożenia bezpieczeństwa dla współczesnej bankowości, https://biznes.newseria.pl/komunikaty/bankowosc/zagrozenia,b1070331162

21