Zagrożenia cyberatakami ewoluują bardzo szybko. Najwięcej z nich jest kierowanych przeciwko obywatelom, a dominuje phishing.

– Zjawisko narasta, jednak dzięki rosnącej świadomości obywateli, dzięki różnym kampaniom informacyjnym prowadzonym zarówno przez Ministerstwo Cyfryzacji, jak i NASK, ale również przez prywatne firmy widzimy wzrost liczby zgłoszeń o tych incydentach do CSIRT NASK i to jest bardzo dobra wiadomość – powiedział Maciej Siciarek, dyrektor pionu CSIRT, NASK.

Ataki na przedsiębiorców są realizowane z wykorzystaniem masowego spamu, do którego odbiorcy wciąż podchodzą mało krytycznie, co może doprowadzić do zainfekowania urządzeń a potem infrastruktury firmy. Dużą bolączką się też ataki ransomware.

– Są też ataki grup APT, czyli przez zorganizowane jednostki, których działalność ma charakter przestępczy, ale również inspirowany m.in. geopolitycznie – dodał Maciej Siciarek.

Lenistwo nie popłaca

Jarosław Grzywiński, prezes zarządu NASK S.A., podkreślił w trakcie debaty, że nigdy w historii Polska nie przeznaczała tak dużych środków na cyberbezpieczeństwo jak obecnie w 2025 r. Zauważył, że przyczyna zwiększenia liczby cyberataków jest naturalnie związana z rozwojem technologii.

– Świat się rozwija technologicznie i musimy być zawsze krok do przodu przed osobami oraz grupami wykorzystującymi technologie niekoniecznie w pozytywnym, słusznym celu. Na razie udaje nam się systemowo jako jednostkom odpowiedzialnym za cyberbezpieczeństwo zapobiegać atakom – wyjaśnił i dodał, że podstawową zasadą, o której czasami zapominają osoby odpowiedzialne za bezpieczeństwo w organizacjach, jest „Zero Trust Architecture”, rozumiana jako nieustanna weryfikacja sprzętu i kompetencji ludzkich. Znaczna część ataków jest wynikiem zaniedbania na poziomie organizacyjnym. Dlatego ważne jest – jak podkreślił Jarosław Grzywiński – skoncentrowanie się na podstawowej higienie cyfrowej, audytach bezpieczeństwa, testach penetracyjnych systemów, bo to może prewencyjnie zapobiegać znacznej części ataków.

– Człowiek z natury ma takie cechy w odróżnieniu od sztucznej inteligencji, że w pewnym momencie za bardzo wierzy we własne kompetencje, w brak konieczności nieustannej weryfikacji własnych możliwości. Rekomenduję wprowadzenie w ramach określonych korporacji i instytucji systemów opartych na zasadzie „zero trust architecture”. Zachęcałbym do wychodzenia od zasady „zero zaufania”, ale w sensie pozytywnym. Uważam, że należy przekonywać służby wewnętrzne odpowiedzialne za cyberbezpieczeństwo organizacji o konieczności niezbędnych działań służących podniesieniu bezpieczeństwa na najwyższy możliwy technologicznie poziom – powiedział Jarosław Grzywiński.

Uczestnicy dyskusji wskazywali, że często atakowane są podmioty, które najmniej przykładają się do cyberbezpieczeństwa. Jak podkreślili, lenistwo nie popłaca. Trzeba dostosowywać swoje polityki bezpieczeństwa do zmieniającej się rzeczywistości. Hasła powinny mieć odpowiednią konstrukcję i do tego być regularnie zmieniane. Tymczasem mało kto się do tego stosuje, stając się w ten sposób celem pierwszego wyboru przestępców.

Maciej Siciarek wskazał, że ważne jest zwracanie uwagi, czy infrastruktura jest właściwie budowana, czy są wdrożone zabezpieczenia, czy podstawowe wymagania, wytyczne dla zabezpieczenia infrastruktury są rzeczywiście stosowane.

Świadomość rośnie, edukacja do poprawy

Piotr Mieczkowski, dyrektor zarządzający Fundacji Digital Poland, potwierdził rosnącą liczbę cyberataków. Jak stwierdził, te SMS-owe zelżały, na sile przybrał phishing mailowy. Opowiedział on o teście wykonanym przez fundację, opartym na komunikacji pozornie pochodzącej z popularnej platformy streamingowej.

– Treść informacji brzmiała „zresetuj hasło”. W 46 proc. odbiorcy nabierali się, traktując logotyp i przez to informację jako prawdziwą – wyjaśnił. Zaznaczył też, że cyberataków będzie przybywać, bo przenosimy się coraz bardziej w sferę cyfrową. Zgodził się też z tym, że jesteśmy coraz bardziej świadomi cyberzagrożeń.

– Mamy coraz więcej mechanizmów, możliwości zgłaszania. Już nie tylko SMS-em, mailem, ale też w aplikacji mObywatel jest możliwość zgłoszenia informacji o incydencie – uzupełnił.

Uczestnicy debaty podkreślali, że skuteczne cyberbezpieczeństwo wymaga też zmiany mentalności. Robert Grabowski, szef CERT Orange Polska, porównał budowanie cyberświadomości do walki z chorobami.

– Lubię powtarzać, że musimy wypracować cyberodporność stadną i tak jak staramy się wyplenić niektóre choroby ze społeczeństwa, to podobnie powinniśmy podchodzić do budowania cyberświadomości – zaznaczył i dodał, że kluczowe jest uświadamianie zagrożeń i konsekwencji cyberataków, a także promowanie odpowiedzialnego korzystania z technologii cyfrowych.

– Wyzwanie jest ogromne, a cyberbezpieczeństwo jest procesem i dotyczy wszystkich bez wyjątku – zaznaczył Robert Grabowski.

Piotr Mieczkowski zwrócił uwagę na kompetencje cyfrowe społeczeństwa, którym nie sprzyja system nauczania w szkołach.

– Jest coraz więcej informatyki, ale skupia się ona na programowaniu, na nauce języków programowania, które oczywiście są bardzo potrzebne, lecz niewystarczające. Trzeba popracować nad świadomością i umiejętnościami, aby ludzie potrafili bezpiecznie poruszać się po sieci. Mamy deficyt kompetencji cyfrowych – zaznaczył i dodał, że prace nad jego niwelowaniem trzeba prowadzić już w szkołach oraz w społeczeństwie. Chodzi na przykład o programy dla seniorów, którzy są coraz bardziej aktywni w sieci, a tym samym narażeni na cyberataki.

Jednocześnie w dyskusji podkreślono, że coraz więcej zaczyna się dziać w obszarze edukacji, począwszy od szkół, a skończywszy na rodzicach.

Tomasz Bukowski z Kancelarii Prawnej Media zwrócił uwagę, że szczególnie narażone na cyberataki są instytucje publiczne. Powodem jest to, że mają najmniej świadomości zagrożeń i swojej roli w ich zwalczaniu oraz nie są skore do współpracy w tym kontekście z przedsiębiorcami telekomunikacyjnymi oraz wyspecjalizowanymi instytucjami.

Maciej Siciarek dodał, że podatność na ataki wynika także ze skali środków przeznaczonych na cyberbezpieczeństwo. Podmioty, które inwestują w profesjonalne kadry i nowoczesne rozwiązania, mają większe szanse na skuteczną obronę.

Regulacje w tle

Eksperci odnieśli się też do przepisów. Jak powiedział Tomasz Bukowski, ważnym krokiem na drodze do bezpieczeństwa w sieci będzie wejście w życie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.

– Zaimplementuje dyrektywę NIS2, czyli akt prawa europejskiego, który reguluje dosyć szczegółowo kwestie cyberbezpieczeństwa – wyjaśnił.

Eksperci zauważyli, że ustawa wprowadziła dosyć rewolucyjne z punktu widzenia polskiego prawa rozwiązania, między innymi odpowiedzialność karną osób zarządzających.

Uczestnicy dyskusji odnieśli się też do regulacji w zakresie sztucznej inteligencji. Zauważyli, że Komisja Europejska pracuje nad aktem prawnym, który będzie regulował AI. Przewiduje on bardzo szeroką współpracę organów zajmujących się cyberbezpieczeństwem.

W prawie polskim nie ma obecnie kompleksowych przepisów, które regulowałyby sztuczną inteligencję. To przykład na to, że prawo zawsze idzie parę kroków za technologią. Posługujemy się więc między innymi starymi przepisami, które regulują inne kwestie, na przykład przetwarzanie danych osobowych, ochronę danych osobowych, cyberbezpieczeństwo.

Eksperci zwrócili uwagę, że zagrożeniem dla cyberbezpieczeństwa są też nadregulacje. Szczególnie w zakresie implementacji prawa unijnego, do którego dodawane są polskie przepisy lub nieefektywne procedury.

– Dotyczy to przede wszystkim obecnych regulacji cyberbezpieczeństwa. Takie działalnie polskiego legislatora nie zwiększa bezpieczeństwa, ale uderza w polskich przedsiębiorców i hamuje rozwój unijnego rynku wewnętrznego – ocenił Tomasz Bukowski, który zwrócił też uwagę na rolę sektora telekomunikacyjnego w walce z cyberprzestępczością. Jego zdaniem mało osób wie, że przedsiębiorstwa telekomunikacyjne są główną linią obrony w walce z przestępczością w ogóle.

– Współpracujemy ze służbami w zakresie obrony obywateli, bezpieczeństwa państwa, również ratownictwa. Wszystko to przedsiębiorcy oczywiście robią za darmo w ramach swojej działalności gospodarczej – zaznaczył.

Zwrócił w tym kontekście uwagę na problem finansowania nowych obowiązków wynikających z dyrektywy NIS 2 i Toolboxa, wobec nienajlepszej kondycji finansowej branży telekomunikacyjnej.

– We własnym zakresie przedsiębiorcy inwestują w bezpieczeństwo sieci. Brakuje natomiast wsparcia na wskazane przez Ministerstwo Cyfryzacji obowiązki z projektowanej nowelizacji KSC – ocenił Tomasz Bukowski.

Pomoc płynąca z programów

Maciej Siciarek podkreślił rolę NASK-u we wspieraniu małych i średnich przedsiębiorstw w obszarze cyberbezpieczeństwa. Wspomniał on o ogłoszonej ponad miesiąc temu platformie moje.cert.pl, gdzie każdy przedsiębiorca może zarejestrować się, wprowadzić swoje klasy adresowe i domeny oraz uzyskać pierwszą informację o wynikach skanowania tej przestrzeni adresowej i domenowej.

Dodał, że ważną inicjatywą jest program „Firma Bezpieczna Cyfrowo”, realizowany we współpracy z Ministerstwem Rozwoju i Technologii oraz jednostki certyfikującej w NASK.

Piotr Mieczkowski wskazał, że rząd kieruje dużo środków finansowych na podniesienie cyberbezpieczeństwa naszego kraju poprzez takie programy jak Cyberbezpieczny Samorząd (FERC), Cyberbezpieczny Rząd (KPO), są one jednak przeznaczone dla instytucji publicznych. Sektor prywatny, a szczególnie telekomunikacyjny, na który nakładane są kolejne obowiązki, nie może niestety liczyć na wsparcie. Wspomniał też o ważnej inicjatywie. Ministrowie ds. cyberbezpieczeństwa w czasie polskiej prezydencji przyjęli na początku marca Apel Warszawski. Wśród kluczowych postulatów znalazły się potrzeba harmonijnego i sprzyjającego innowacjom wdrażania przepisów NIS2, uproszczenie oraz ograniczenie obciążeń administracyjnych, a także rozwój unijnych ocen ryzyka cyberbezpieczeństwa.

– Jeśli w całej Unii Europejskiej uda się wdrożyć przepisy NIS2 oraz ujednolicić podejście do kwestii 5G Toolbox, będzie to istotny krok w kierunku budowy jednolitego rynku cyfrowego – powiedział.

Kluczowe wyzwania

Uczestnicy debaty podsumowali kluczowe wyzwania w obszarze cyberbezpieczeństwa. Maciej Siciarek podkreślił konieczność koncentracji uwagi, kompetencji i środków na ochronie zasobów. Zwrócił także uwagę na potrzebę myślenia strategicznego o cyberbezpieczeństwie i uwzględniania w nim małych i średnich przedsiębiorstw, które są elementem łańcucha krytycznych usług.

Tomasz Bukowski, poza wdrożeniem dyrektywy NIS 2, za kluczowe uznał skoordynowanie działań rządu w obszarze cyberbezpieczeństwa. Wskazał na potrzebę integracji systemów kontroli treści nielegalnych w internecie.

Robert Grabowski, odnosząc się do wyzwań, zaapelował o odpowiedzialność i pomoc w budowaniu cyberbezpieczeństwa.

Jarosław Grzywiński zwrócił uwagę na konieczność promowania zasad „Cyber Security Governance” (autorski program przygotowany przez NASK), czyli przyjęcia kodeksu cyberbezpieczeństwa i wdrożenia go do działań operacyjnych zarządów spółek i organizacji. Podkreślił również istotność certyfikacji ISO 27001 i 22301, które mogą zwiększyć świadomość pracowników i bezpieczeństwo organizacji.

Piotr Mieczkowski dodał, że do wyzwań należy doliczyć walkę z dezinformacją z użyciem AI.

– Obawiam się, że coraz więcej będzie rozmów, połączeń, gdzie ktoś będzie wykorzystywał sztuczną inteligencję w sposób niecny, czyli klonując głos rozmówcy i podszywając się pod kogoś w sposób bardzo autentyczny i to może powodować pewne nawet zamieszki społeczne. Największym wyzwaniem jest natomiast zbudowanie konsensusu między różnymi sojusznikami, ale również między Stanami Zjednoczonymi i Unią Europejską – powiedział Piotr Mieczkowski.

Na zakończenie eksperci zaapelowali o zwiększenie nakładów na cyberbezpieczeństwo, poprawę koordynacji działań rządu i sektora publicznego, a także o promowanie edukacji i uświadamianie społeczeństwa. Podkreślili również, że kluczowa jest współpraca między sektorem publicznym i prywatnym oraz na poziomie międzynarodowym.

PAO

rozmowy i debaty można obejrzeć na cyfrowa-gospodarka.gazetaprawna.pl

PARTNERZY: