W ocenie dostawców ochrona sieci u klientów z sektora MŚP jest często niewystarczająca i nie gwarantuje im bezpieczeństwa nawet w minimalnym stopniu. Zazwyczaj ogranicza się do firewalli sprzętowych albo programowych oraz antywirusów. Co gorsza, mniejsze firmy nierzadko korzystają z produktów klasy konsumenckiej. Spora grupa użytkowników nie jest przy tym skłonna do inwestycji, oczywiście dopóki coś się nie wydarzy. Z ubiegłorocznych danych Cybersec Hub wynika, że co czwarta mała firma w Polsce przeznacza na ochronę cyfrową najwyżej nieco ponad… tysiąc zł rocznie. Połowa z tych środków idzie na antywirusy, ochronę przed spamem i spyware.

Dziurawe zabezpieczenia i skromne budżety to jeden ze skutków braku wiedzy o zagrożeniach oraz nieobecności specjalistów ds. bezpieczeństwa w małych i średnich firmach (co zresztą wynika też z bariery kosztowej). Według danych Hays dobry specjalista ds. bezpieczeństwa oczekuje wynagrodzenia rzędu 18–35 tys. zł brutto miesięcznie i jest to jedna z najlepiej opłacanych funkcji w branży. Firmy, których zwykle na taki luksus nie stać, jednocześnie rzadko korzystają ze wsparcia zewnętrznych fachowców. Ochroną cyfrową w małych podmiotach zajmują się więc zazwyczaj
administratorzy IT, którzy zwykle nie mają czasu ani wystarczającej wiedzy, by odpowiednio zadbać o cyberochronę. Nierzadko stosują po prostu ustawienia sugerowane przez producenta, a potem nikt już nie zarządza zabezpieczeniami.

To jeszcze pół biedy, bo bywa i tak, że kupionych rozwiązań ochronnych nie tylko nikt nie konfiguruje ani nie aktualizuje i nie jest to uznawane za problem. Pokazuje to przykład przytoczony przez jednego z producentów. Otóż jeden z podmiotów zainstalował firewalla, ale po pewnym czasie jego przepustowość okazała się niewystarczająca dla rosnącego ruchu sieciowego. Zamiast zainwestować w nowe rozwiązanie, wybrano najprostszą opcję, czyli wraz ze wzrostem obciążenia wyłączano firewalla. No cóż, uznano, że tak jest taniej.