4 din 5 angajați ai firmelor mici au comportamente riscante la serviciu, cu 16 puncte procentuale peste media națională de 63%.
- Angajații acestor companii identifică, în medie, doar 3.2 măsuri de securitate active, față de 5 măsuri în companiile mari.
- 41% dintre angajații IMM-urilor instalează software neautorizat pe dispozitivele de serviciu.
Companiile mici și mijlocii din România se confruntă cu un decalaj semnificativ în ceea ce privește securitatea cibernetică, iar acest lucru se reflectă direct în comportamentul angajaților. Potrivit rezultatelor studiului național „Cyber Literacy Audit 2026”, realizat de MKOR pentru Arctic Stream și Cyber Arena, aproape 8 din 10 angajați ai firmelor mici adoptă comportamente care pot crește expunerea organizației la incidente de securitate cibernetică.
Din datele acestui prim studiu complex legat de cyber literacy în România, reiese că angajații din companiile cu 10-49 de salariați identifică în medie doar 3.2 măsuri de securitate active în organizația lor, comparativ cu 5 măsuri în cazul angajaților din companiile mari. Diferența sugerează existența unui nivel mai redus de protecție, control și vizibilitate asupra mecanismelor de securitate implementate la nivel organizațional.
Potrivit cercetării, 79% dintre angajații firmelor mici au adoptat în ultimele 12 luni cel puțin un comportament care poate genera riscuri cibernetice, comparativ cu media națională de 63%. Una dintre cele mai frecvente practici este instalarea de software neautorizat pe dispozitivele de serviciu, comportament recunoscut de 41% dintre respondenții din acest segment.
În paralel, studiul arată că 11% dintre organizațiile din România declară că nu au resurse dedicate pentru gestionarea securității cibernetice, ceea ce poate amplifica vulnerabilitatea în special în cazul companiilor cu resurse limitate și echipe IT restrânse.
„Datele studiului arată că diferența dintre companiile mici și cele mari nu este determinată exclusiv de tehnologie, ci și de procese, disciplină operațională și educație. În multe IMM-uri, dezvoltarea afacerii, presiunea pe costuri și viteza de execuție ajung să aibă prioritate în fața securității cibernetice. În acest context, angajații ajung să utilizeze soluții rapide și instrumente neautorizate care cresc suprafața de atac a organizației. De cele mai multe ori, impactul resimțit în business pentru o companie mică sau medie al unui atac cibernetic este mult mai mare, iar capacitatea de revenire mult mai redusă. Reziliența cibernetică nu este rezervată marilor companii și trebuie să devină o prioritate pentru orice business conectat la economia digitală”, a declarat Ioana Manea, General Manager la Cyber Arena România și Chief Innovation Officer la Arctic Stream.
„Cyber Literacy Audit 2026” relevă existența unui decalaj semnificativ între nivelul de protecție perceput în companiile mari și cel din firmele mai mici. În timp ce măsurile de bază, precum antivirusul, sunt relativ răspândite, mecanismele de control și guvernanță – precum restricțiile privind instalarea aplicațiilor, autentificarea avansată sau alte măsuri de securitate operațională – sunt mai puțin vizibile în mediul IMM.
Acest context favorizează apariția unor practici care pot ocoli politicile organizaționale și care cresc riscul unor incidente de securitate, de la utilizarea aplicațiilor neautorizate până la transferul necontrolat de informații.
Rezultatele studiului confirmă că securitatea cibernetică nu mai poate fi privită exclusiv ca o responsabilitate a departamentelor IT. Nivelul de protecție al unei organizații este influențat direct de comportamentele cotidiene ale angajaților, de gradul de conștientizare a riscurilor și de existența unor mecanisme clare de prevenție și răspuns.
În același timp, concluziile generale ale „Cyber Literacy Audit 2026” arată că provocarea este una extinsă la nivelul întregii economii: 74% dintre angajații români cu expunere digitală au un nivel insuficient de alfabetizare cibernetică, în timp ce numai 4% pot fi considerați „Cyber-Rezilienți”, demonstrând comportamente și reacții constante în fața amenințărilor. Nu mai puțin de 8 din 10 incidente de securitate raportate în ultimul an au implicat e-mailuri sau mesaje suspecte, iar aproape jumătate dintre manageri (49%) afirmă că organizațiile lor acționează preponderent după producerea unui incident.
