Pensje menedżerów zależne od hakerów. Nowy pomysł korporacji

Branża IT zmieni zasady wynagrodzeń. Wypłaty miałyby być powiązane z cyberbezpieczeństwem – taki pomysł przynajmniej ma Microsoft. Ale eksperci sądzą, iż koncept ten rozleje się na inne firmy.

Publikacja: 19.06.2024 04:30

Branża IT zmieni zasady wynagrodzeń

Branża IT zmieni zasady wynagrodzeń

Foto: Adobe Stock

Amerykański gigant chce zmienić system wynagrodzeń w branży. Koncern stanie się jednym z pierwszych przedsiębiorstw, gdzie cyberbezpieczeństwo będzie bezpośrednio wpływało na premie dla kadry kierowniczej. Potwierdził to Brad Smith, wiceprezes Microsoftu, podczas przesłuchania komisji w Izbie Reprezentantów w sprawie kwestii bezpieczeństwa firmy.

Wiele wskazuje na to, że Microsoft wyznaczy trend. Eksperci twierdzą, że pomysł może się przyjąć również nad Wisłą, bo presja na bezpieczeństwo IT rośnie. Z najnowszych analiz firmy Eset, do których dotarła „Rzeczpospolita”, wynika, że w maju rodzime przedsiębiorstwa notowały niemal pięć razy więcej ataków niż rok wcześniej.

Nowy trend w branży IT

Decyzja Microsoftu o wprowadzeniu nowych praktyk, które mają poprawić problemy związane z cyberbezpieczeństwem, wynika z niedawnych jego naruszeń, które zaniepokoiły urzędników Departamentu Bezpieczeństwa Wewnętrznego USA (chodzi o hakowanie kont e-mail przedstawicieli amerykańskiej administracji). W praktyce menedżerowie Microsoftu mają być dwa razy do roku oceniani właśnie pod kątem zarządzania bezpieczeństwem. Kadra kierownicza wyższego szczebla będzie miała aż jedną trzecią swojego wynagrodzenia powiązaną z wkładem w cyberbezpieczeństwo.

Analityków nie dziwi taki ruch. Już w ub.r. eksperci IDC wskazywali, że bezpieczeństwo cybernetyczne firm spoczywa nie tylko na dyrektorach IT (tzw. CISO), lecz całym zarządzie firmy. Badana grupa dyrektorów IT oceniła wówczas, że ich rola ewoluuje, ponieważ łączy w sobie podwójną odpowiedzialność – jako lidera bezpieczeństwa cyfrowego, ale też osoby umożliwiającej prowadzenie działalności gospodarczej. Wojciech Głażewski, dyrektor zarządzający firmy Check Point Software Technologies w Polsce, tłumaczy nam, iż inicjatywa uzależnienia wynagrodzeń menedżerskich od stopnia przygotowania i zabezpieczenia firmy przed cyberatakami nie jest nowa. – Badania i praktyka pokazują, że menedżerowie wyższego szczebla są najczęściej celem ataków cybernetycznych. A zatem im wyższa świadomość w tej grupie, tym lepsza gwarancja bezpieczeństwa firmy – wyjaśnia.

Czytaj więcej

Wymagania firm wobec kandydatów do pracy mocno wzrosły

Jego zdaniem odpowiedzialność za cyberbezpieczeństwo powinna być rozłożona na cały zarząd firmy, a nie tylko na osoby sprawujące funkcję CISO. – Każdy z członków ścisłego kierownictwa ma dostęp do innego rodzaju wrażliwych danych, stanowiących potencjalny obiekt zainteresowania dla cyberprzestępców, i wszyscy powinni dokładać starań, aby zabezpieczyć firmę – przekonuje nasz rozmówca.

Szefowie firm nieświadomi zagrożeń

Ruch Microsoftu może wyznaczyć trend. A na Startym Kontynencie może on być szczególnie wyraźny. – W Europie trend ten może być powiązany z dyrektywą NIS2 zakładającą nie tylko zbiorową, ale i personalną odpowiedzialność kierownictwa firmy za przygotowanie i zabezpieczenie jej przed cyberatakami – mówi Głażewski. I podkreśla, że w tym wypadku chodzi już nie o system wynagrodzeń, lecz o odpowiedzialność i kary za brak przestrzegania norm.

Według szefa Check Point w Polsce kierownictwo firmy winno być świadome zagrożeń, a przy tym zbiorowo i indywidualnie odpowiedzialne za przygotowanie przedsiębiorstwa do rosnącej liczby ataków. – Podstawową formą prewencji jest budowanie wysokiego wskaźnika świadomości wśród kadry kierowniczej. Zapoznanie się z zakresem wymagań nowej dyrektywy NIS2 i zrozumienie go są absolutnie niezbędne dla kierownictwa. Przecież to oni poniosą odpowiedzialność w Polsce w przypadku udowodnionych uchybień. I to już od października 2024 r. – przestrzega.

Czytaj więcej

Najbardziej atrakcyjne branże dla polskich pracowników. Jest nowy lider

A z ową świadomością nad Wisłą nie jest najlepiej. Jak wynika z badań CSO Council, EY Polska oraz Trend Micro, aż 25 proc. firm w naszym kraju nie zdaje sobie nawet sprawy, że dyrektywa NIS2 ich dotyczy. Co więcej, ponad 30 proc. organizacji nie postrzega nowych regulacji jako priorytetu. A to błąd, bo – jak wskazuje Bartosz Lewszuk, kierownik zespołu bezpieczeństwa informacji w EFL – nowe regulacje nakładają na przedsiębiorstwa szereg zobowiązań w zakresie cyfrowej odporności. – Pomagają tym samym w spójny sposób wdrożyć niezbędne środki bezpieczeństwa – dodaje.

Dyrektywa namiesza na rynku pracy

Nowa dyrektywa nakłada obowiązek zapewnienia zgodności z przepisami o cyberbezpieczeństwie, dzieląc firmy i instytucje na dwie grupy: kluczowe i ważne. Do pierwszej z nich należą te działające w 10 kluczowych sektorach, zatrudniające co najmniej 50 pracowników oraz o rocznym obrocie przekraczającym 10 mln euro. Wśród tych priorytetowych obszarów znajdziemy najważniejsze dziedziny polskiej gospodarki – energetykę, transport i bankowość, ale i szczególnie istotne dla funkcjonowania państwa: ochronę zdrowia, infrastrukturę cyfrową czy administrację publiczną.

Czytaj więcej

Koniec eldorado w polskim IT. Niższe płace i zwolnienia pracowników

Organizacje, które będą uchylać się od spełnienia nowych obowiązków, czekają surowe kary. W przypadku podmiotów kluczowych mogą wynieść nawet 10 mln euro lub 2 proc. łącznego światowego obrotu, co będzie szczególnie dotkliwe dla firm globalnych. Natomiast podmioty ważne (m.in. firmy średniej wielkości z kluczowych sektorów, dostawcy usług cyfrowych i pocztowych oraz producenci żywności) mogą otrzymać karę do 7 mln euro lub 1,4 proc. łącznego światowego obrotu w poprzednim roku.

Tymczasem ryzyko hakerskiego uderzenia wyraźnie rośnie. Jak pokazują najnowsze dane Eset, w maju br. polskie firmy były 5 razy częściej atakowane złośliwym oprogramowaniem, które daje cyberprzestępcom zdalny dostęp do komputerów pracowników, niż rok wcześniej. Skokowo wzrosła również liczba ataków, które umożliwiają kopanie kryptowalut na sprzęcie ofiary. Przestępcy coraz częściej zdalnie wydają komendy firmowym serwerom, przyznają sobie szerokie uprawnienia w systemach i szpiegują pracowników, śledząc naciśnięcia klawiszy na klawiaturze (liczba takich ataków z wykorzystaniem jednego ze złośliwych programów wzrosła w badanym okresie o 68 proc.).

Rynek pracy
Szklane sufity w dużych spółkach mają pęknąć. Za mało kobiet we władzach
Rynek pracy
Chińskie firmy oburzyły kobiety. Do akcji wkraczają władze w Pekinie
Rynek pracy
Jakich pracowników szukają pracodawcy? Ta grupa nie może narzekać na brak ofert
Rynek pracy
Emigracja zarobkowa coraz mniej kusi Polaków. Najniższy odsetek od pandemii
Materiał Promocyjny
Mała Księgowość: sprawdzone rozwiązanie dla małych i średnich przedsiębiorców
Rynek pracy
Ostra walka o dobre oferty pracy sezonowej. Kto może przebierać w pracownikach?