Zwiń

Nie masz konta? Zarejestruj się

Cyberbezpieczeństwo to priorytet

Marta Biernacka
Ten tekst przeczytasz w 5 minut
Cyberbezpieczeństwo
fot. materiały prasowe

Cyberbezpieczeństwo i rozwój cybersuwerenności są dziś priorytetem i największym wyzwaniem. O tym, jakie są główne zagrożenia i jak zmienią się przepisy o Krajowym Systemie Cyberbezpieczeństwa, rozmawiali uczestnicy debaty „Rola cyberbezpieczeństwa w obliczu rosnącej cyfryzacji”

Z najnowszych danych CERT Polska, Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego wynika, że zgłoszeń zagrożenia cyberbezpieczeństwa jest 167 proc. więcej niż przed rokiem, ich liczba przekroczyła 40 tys. Zdaniem uczestników debaty zorganizowanej w ramach Cyfrowego Tygodnia, wydarzenia towarzyszącego uruchomieniu serwisu DGP Cyfrowa Gospodarka, jest to wynik przeniesienia wielu biznesów i procesów w firmach do wirtualnej przestrzeni, profesjonalizowania się cyberprzestępców, ale przede wszystkim cyberwojny, jaką Rosja wypowiedziała nie tylko Ukrainie.

Pod wirtualnym ostrzałem

Przemysław Frasunek, członek zarządu Redge Technologies, ekspert ds. cyberbezpieczeństwa Business Centre Club

Przemysław Frasunek, członek zarządu Redge Technologies, ekspert ds. cyberbezpieczeństwa Business Centre Club

- Inwazja Rosji na Ukrainę była poprzedzona serią ataków w przestrzeni wirtualnej, które miały na celu zdestabilizowanie infrastruktury ukraińskiej administracji publicznej. Nowy rodzaj robaka internetowego zaczął niszczyć dane na ukraińskich komputerach. Niestety wojny w dzisiejszych czasach będą już zawsze prowadzone hybrydowo: konwencjonalnie i w cyberprzestrzeni - mówi Przemysław Frasunek, członek zarządu Redge Technologies, ekspert ds. cyberbezpieczeństwa Business Centre Club.

Jego zdaniem przyczyn wzmożonych działań cyberprzestępców należy także szukać w samym rozwoju nowoczesnych technologii oraz migracji w czasie pandemii wielu procesów związanych z zarządzaniem organizacjami do cyberprzestrzeni.

- Dla napastników wirtualny atak na firmę jest najłatwiejszy i daje największe korzyści. Mamy do czynienia przede wszystkim z tzw. atakami ransomware, które mają na celu wyłudzenie okupu, w zamian za odzyskanie naszych danych zaszyfrowanych przez napastnika. Częste są także ataki DDoS, które polegają na unieruchomieniu infrastruktury za pomocą narzędzi generujących bardzo duży strumień ruchu sieciowego. Tak, aby organizacja nie była w stanie komunikować się z internetem, klientami, kontrahentami. To też służy do wyłudzaniu okupów - wymienił Przemysław Frasunek.

Artur Kurcweil, wiceprezes PKO Banku Polskiego

Artur Kurcweil, wiceprezes PKO Banku Polskiego

Artur Kurcweil, wiceprezes PKO Banku Polskiego, nadzorujący obszar technologii podkreślił, że więcej jest cyberataków także w Polsce.

- To wynika po części z naszej sytuacji geopolitycznej i wsparcia udzielanego Ukrainie. Dlatego cyberbezpieczeństwo jest dziś dla nas priorytetem. Pojemność naszej infrastruktury obronnej przed np. atakami DDoS w ostatnich tygodniach wzrosła o kilkadziesiąt procent - powiedział Artur Kurcweil.

Jak podkreślił inny uczestnik debaty, Andrzej Karpiński, dyrektor departamentu bezpieczeństwa w Grupie BIK, cyberataki są coraz bardziej skuteczne, bo są przeprowadzane przez profesjonalistów. Jak mówił, jest to cyberbiznes obracający wieloma milionami złotych, dysponujący potężnym zapleczem kadrowym, dedykowanymi call center zatrudniającymi po kilkaset osób. Jak opisywał Andrzej Karpiński, dziś można zlecić cyberatak online, zapłacić kartą kredytową, a wątpliwości i skargi zgłaszać przez infolinię. To jest ogromna, świetnie działająca machina. Poza tym, jak zauważył ekspert BIK, firmy nie są wystarczająco zabezpieczone. Jeśli naprzeciw dużej, zasobnej grupy przestępczej stoi mała firma, jakie ma szanse? Dlatego zdaniem Andrzeja Karpińskiego, kluczowe jest zbudowanie państwowego systemu cyberbezpieczeństwa, wdrożenie rozwiązań, które mogłyby wesprzeć mniejszych przedsiębiorców. Podkreślił znaczenie współpracy biznesu z administracją publiczną, sprawnie działających służby, ale także kooperacji dużych korporacji telekomunikacyjnych.

- Cyberprzestępcy wznieśli socjotechnikę i manipulację na tak wysoki poziom, że musimy coraz więcej uwagi poświęcać edukacji klientów i budowaniu świadomości zagrożeń. Najczęściej bowiem to człowiek jest najsłabszym ogniwem w systemie bezpieczeństwa - zauważył Artur Kurcweil.

Zdaniem ekspertów centralizacja zarządzania systemami informatycznymi sprawiła, że są one bardziej podatne na cyberataki.

- Przez pryzmat naszych projektów widać, że firmy traktują przejście do chmury jako bezpieczniejsze rozwiązanie - mówił Rafał Sobolewski, dyrektor działu zarządzania programami i projektami na rzecz bezpieczeństwa i obronności państwa w Narodowym Centrum Badań i Rozwoju.

Wszyscy na cyberfroncie

Trwają prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Radosław Nożykowski, counsel, Baker McKenzie Krzyżowski i Wspólnicy sp.k.

Radosław Nożykowski, counsel, Baker McKenzie Krzyżowski i Wspólnicy sp.k.

- Obecny projekt nowelizacji liczy 110 stron. Część propozycji idzie w dobrym kierunku, ale część już nie przystaje do dzisiejszej rzeczywistości. Nowelizacja została napisana przede wszystkim dla sektora publicznego, a powinna uwzględniać także sektor prywatny - ocenił mecenas Radosław Nożykowski, counsel, Baker McKenzie Krzyżowski i Wspólnicy sp.k.

Jego zdaniem ustawodawca nie przemyślał wielu aspektów.

- Jednocześnie zawarł w przepisach dotkliwe kary dla przedsiębiorców, którzy nie dostosują się do wymogów w zakresie cyberbezpieczeństwa. Nowelizacja jest bardzo ważna, bo obecna ustawa o KSC nie nadąża za tym, co dzieje się w cyberprzestrzeni. Mamy do czynienia z zupełnie nowymi zjawiskami. Cyberataki dokonane przez Rosję przed inwazją na Ukrainę były precyzyjnie zaplanowane i wycelowane w konkretne cele. Zmienia się charakter i forma ataków. Często celem jest nie tyle zaszkodzenie danemu dostawcy usług, ale wywołanie paniki wśród ludności, np. poprzez zablokowanie możliwości robienia zakupów czy płatności. Obecnie infrastrukturą krytyczną jest w zasadzie każdy przedsiębiorca, zwłaszcza działający w e-commerce. Tymczasem ustawa zawęża definicję tej infrastruktury - wyjaśnił mecenas Nożykowski.

Andrzej Karpiński, dyrektor departamentu bezpieczeństwa w Grupie BIK

Andrzej Karpiński, dyrektor departamentu bezpieczeństwa w Grupie BIK

Podobnego zdania był Andrzej Karpiński, który uważa, że brak precyzyjnej definicji infrastruktury krytycznej w ustawie jest jej dużą słabością. Większość operacji finansowych odbywa się dziś bowiem online. Logistyka, transport w bardzo dużym stopniu są oparte na systemach informatycznych. Jak zauważył przedstawiciel BIK, narzędzia cyfrowe są wykorzystywane na szeroką skalę także w ochronie zdrowia czy szkolnictwie. Dlatego jego zdaniem ustawa wszystkie te obszary powinna wskazywać jako krytyczne, a tego nie robi, za to przerzuca odpowiedzialność za cyberbezpieczeństwo na przedsiębiorców.

Potrzebne wsparcie państwa

Zdaniem ekspertów państwo powinno skupić się na budowaniu spójnego systemu bezpieczeństwa cyfrowego.

- Na pewno nakładanie kar na firmy nie jest rozwiązaniem. Potrzebna jest szeroka kampania edukacyjna finansowana przez państwo dotycząca cyberbezpieczeństwa. Niezbędne jest budowanie świadomości tego, że procedury bezpieczeństwa cyfrowego muszą być już, natychmiast, wdrażane. Ten proces firmy mogą zacząć już od najprostszych działań takich jak tworzenie i przechowywanie kopii zapasowych z danymi - powiedział Radosław Nożykowski.

Zgodził się z nim Przemysław Frasunek. Ocenił, że kary, centralizacja systemów cyberbezpieczeństwa czy spółka Polskie 5G to nie są dobre rozwiązania. Pomóc mogą dotacje na rozwój polskiej cybersuwerenności oraz projekty realizowane w oparciu o partnerstwo publiczno-prywatne i współdziałanie z UE.

Rafał Sobolewski, dyrektor działu zarządzania programami i projektami na rzecz bezpieczeństwa i obronności państwa w Narodowym Centrum Badań i Rozwoju

Rafał Sobolewski, dyrektor działu zarządzania programami i projektami na rzecz bezpieczeństwa i obronności państwa w Narodowym Centrum Badań i Rozwoju

Z kolei Rafał Sobolewski podkreślił, że poziom cyberbezpieczeństwa budowany jest na różnych poziomach: przedsiębiorstw, administracji, samorządów, gospodarstw domowych.

- Robimy analizy dla resortu bezpieczeństwa i obrony narodowej, widzimy, jak szybko rośnie cyberprzestępczość. Sama ustawa o KSC jest tylko elementem większego systemu cyberbezpieczeństwa. Działamy wielosektorowo. W resorcie obrony narodowej zostały powołane wojska do obrony cyberprzestrzeni, są specjalne departamenty pracujące nad przeciwdziałaniem cyberatakom. Nie zgodziłbym się, że państwo nie ma na to planu - mówił przedstawiciel NCBR.

Problemem jest brak specjalistów z zakresu cyberbezpieczeństwa, zbyt mało opuszcza ich mury uczelni.

- Powinniśmy pracować jako państwo nad rozwiązaniami, które pomogą nam zatrzymać informatyków w kraju, a UE powinna alokować środki na budowę i rozwój europejskiego przemysłu technologicznego - powiedział Przemysław Frasunek.

Zdaniem Andrzeja Karpińskiego, nauka jest kilka lat w tyle za biznesem. Do tego duże, międzynarodowe centra kompetencyjne skutecznie drenują rynek, wysysają z niego ludzi, którzy potem świadczą usługi dla zagranicznych firm. Dlatego według niego ważna jest współpraca uczelni, NCBiR i przedsiębiorców na rzecz przygotowywania młodych ludzi do zawodów związanych z cyberbezpieczeństwem. Rafał Sobolewski zapowiedział projekty mające zatrzymywać specjalistów w kraju.

- Zamierzamy zmienić formuły konkursowe, chcemy dać środowiskom zainteresowanym cyberbezpieczeństwem możliwość proponowania tematów i przedstawiania inicjatyw, które byłyby realizowane z naszych środków - zdeklarował przedstawiciel NCBR.

Cyfrowy tydzień _belka