Veliko podjetij še vedno slabo ravna z informacijsko varnostjo
Čeprav je informacijska varnost zaradi naglega porasta napadov in vdorov že vrsto let v ospredju pozornosti podjetij vseh velikosti, marsikje še vedno s tem vidikom uporabe informacijskih tehnologij ravnajo neprimerno. Raziskave, ki so jih v zadnjem času opravljali v različnih organizacijah, kažejo na to, da podjetja varnost pogosto obravnavajo površno, postransko in šele tedaj, ko sem jim kaj zgodi.
Raziskava družbe NTT Secuirity je na primer razkrila, da je po svetu približno tretjina podjetij pripravljena raje plačati odkupnino ob napadih, ki vključujejo zaklep s šifriranjem datotek, kot da bi investirali v rešitve in ukrepe za povečanje informacijske varnosti. Raziskava je tudi pokazala, da je naslednja tretjina negotovih, ali bi plačali ali ne, kar pomeni, da je najbrž le polovica podjetij pripravljena preventivno nekaj storiti, da ne postanejo žrtve informacijskih napadov. Avtorji raziskave ob tem opozarjajo, da je v letu 2017 število napadov u zahtevami za odkupnine naraslo za 350%. Tovrstni napadi v Evropi predstavljajo 29% vseh varnostnih napadov.
Podjetja se tudi slabo učijo iz preteklih incidentov, bodisi zaradi slabe informiranosti ali pomanjkanja časa oziroma osebja. Lep primer je zloraba BrowseAloud, ki je pred časom prizadela na tisoče državnih spletnih strani po celem svetu. Rešitev za tovrstne zlorabe je že dalj časa na voljo, a po ocenah foruma na konferenci Infosecurity Europe 2018 danes le okoli 2,5% vseh spletnih strani vsebuje teh nekaj dodatnih vrstic kode, ki bi preprečili tovrstne napade. Podobna neažurnost in neaktivnost ob hkratnem obstoju preventivnih rešitev predstavlja največje tveganje za bodočo varnost v podjetjih.
Številna podjetja povrh vsega dejanske napade na svoje informacijske sisteme pogosto prikrivajo. Po mnenju strokovnjakov je to zgrešeno in onemogoča, da bi se napade in napadalce identificiralo in s tem zmanjšalo globalni učinek, ki jih lahko varnostni napadi imajo. Zaradi tega predstavniki specializiranih enot policije in varnostni strokovnjaki pozivajo k pripravi uredb, po katerih bi morala podjetja poročati o tem, če so postala žrtve digitalnega kriminala. Na primer organizaciji EC3 European Cybercrime Centre, ki je del Europola.