Jakie wyzwania stoją obecnie przed firmami, jeśli chodzi o cyberbezpieczeństwo?

Coraz większa liczba ataków hakerskich typu DDoS, malware, ransomware czy wszechobecny phishing oznacza konieczność stosowania odpowiednich zabezpieczeń technologicznych, ale też odpowiedniej edukacji. Firmy muszą mieć wiedzę w obszarze cyberbezpieczeństwa. Wyzwaniami są: budowanie kompetencji, świadomości, a także dostęp do wykwalifikowanej kadry i jej utrzymanie.

Istotne jest sprostanie wymogom regulacyjnym, krajowym oraz unijnym. Wdrożenie rozmaitych rekomendacji nie jest łatwe dla przedsiębiorców. Mamy takie akty prawne UE jak: rozporządzenie DORA o cyfrowej odporności operacyjnej dla sektora finansowego, dyrektywa NIS 2 czy Cyber Resilience Act.

W obszarze cyberbezpieczeństwa obserwujemy również nowe trendy i zagrożenia, jak np. te związane z upowszechnieniem sztucznej inteligencji, która z jednej strony pozwala się bardziej efektywnie bronić przed atakami, a z drugiej – jest wykorzystywana przez cyberprzestępców. Wspomnę też o wyzwaniach związanych z wdrażaniem coraz większej liczby cyfrowych urządzeń, w szczególności końcowych, jak m.in. rozwiązania OT (operational technology) wspierające przemysł. Rozwija się internet rzeczy IoT, a liczba opartych na nim rozwiązań gwałtownie rośnie i będzie rosła. Urządzenia bywają niedostatecznie zabezpieczone, nawet jeśli są wykorzystywane w krytycznych procesach biznesowych. Dlatego takie istotne jest inwestowanie w wiedzę.

Zwrócę uwagę na jeszcze jeden obszar. W świecie cyfrowym używamy szyfrowania, klucza asymetrycznego do komunikacji, przelewów bankowych itp. O ile do tej pory było to bezpieczne, o tyle w przyszłości, wraz z wprowadzeniem komputerów kwantowych, te algorytmy będą mogły być łamane. Dlatego trzeba zadbać o dodatkowe zabezpieczenia hybrydowe (klasyczne i kwantowe), aby się przed tym uchronić.

Oczywiście jest jeszcze aspekt ekonomiczny.

Tak, niestety często pomijany. Wiele mówimy o technologiach, o ludziach, a dla firm, przedsiębiorców aspekt ekonomiczny jest także ważny. Na cyberbezpieczeństwo można wydać dowolne pieniądze, ale nie w tym rzecz. Bardzo ważną kwestią, nad którą warto się pochylić, jest odpowiedni balans – ekonomiczne uzasadnienie inwestycji i ryzyka w tym obszarze.

Czy są zagrożenia, które dotykają biznes niezależnie od wielkości, oraz specyficzne, dla konkretnych branż?

Część zagrożeń, takich jak phishing, DDoS, ransomware, może dotyczyć właściwie każdego podmiotu. Dotykają one coraz mniejsze firmy, bo technologie i wiedza potrzebne do przeprowadzenia ataków stają się coraz bardziej dostępne, powszechne i tanie.

Część firm ze względu na specyfikę mierzy się z dodatkowymi problemami. Choćby te działające w przemyśle 4.0, wykorzystujące bardzo dużą liczbę cyfrowych technologii, co czyni je potencjalnym celem. Innym przykładem są instytucje, które przetwarzają dane, szczególnie te wrażliwe. Chodzi o sektory publiczny czy ochrony zdrowia. Mamy przykład z marca – atak na szpital MSWiA w Krakowie.

W jaki sposób firmy mogą sprawdzić, na jakie zagrożenia są najbardziej narażone?

Wymienię kilka przykładowych działań. Po pierwsze, można przeprowadzić testy, wykonywane najlepiej przez zewnętrzną firmę. Testy penetracyjne, podatności czy socjotechniczne, aby sprawdzić odporność pracowników na phishing albo na nietypowe działania. To jest taki podstawowy obszar.

Kolejnym jest kompleksowy audyt zabezpieczeń, procesów i procedur w firmie. On pokaże, czy mamy luki i podatności, jaki jest stan. Na podstawie takiego szczegółowego raportu można zdecydować, co zostanie wprowadzone w organizacji.

Warto też śledzić informacje wyspecjalizowanych serwisów państwowych i komercyjnych, w tym CERT Orange Polska. Dość szybko publikują one wiadomości na temat nowych zagrożeń. Wyspecjalizowane firmy opracowują również raporty na ten temat na podstawie dogłębnych analiz i informacji (cyber threat intelligence).

Wymienię też rozwiązania, które pozwalają na zweryfikowanie, czy np. hasła naszych pracowników bądź klientów nie pojawiły się gdzieś w internecie.

Możliwości jest sporo, warto do tego podejść w sposób przemyślany, czasem z pomocą i doradztwem innych, jeśli nie ma się po swojej stronie dosyć wyspecjalizowanych sił czy odpowiednich zasobów.

Jak rysuje się przyszłość, jeśli idzie o cyberbezpieczeństwo firm? Orange Polska otworzył w marcu Centrum Doświadczeń Cyberbezpieczeństwa. Co się za tym kryje?

Odpowiem w ten sposób: jeden ze znanych międzynarodowych banków opublikował dane dotyczące PKB. Numerem jeden w tym zestawieniu były Stany Zjednoczone, na drugim miejscu znalazły się Chiny, a na trzecim tzw. gospodarka cybercrime, i to z dwucyfrowym wzrostem. To pokazuje skalę tego, z czym się mierzymy. Zawsze pojawia się bowiem pytanie, jakie zasoby są zaangażowane po złej stronie mocy. Aby to zrównoważyć, potrzebne są inwestycje oraz edukacja i wzrost świadomości w zakresie cyberbezpieczeństwa.

Jako Orange dbamy o bezpieczeństwo i inwestujemy w nie – zarówno naszej firmy, jak i klientów. Wynikiem tego jest m.in. utworzenie Centrum Doświadczeń Cyberbezpieczeństwa. Można się w nim bezpiecznie zmierzyć z realną, zbliżoną do prowadzonego biznesu sytuacją kryzysową, wziąć udział w symulacji. Funkcjonuje to trochę jak poligon wojskowy, który pozwala ocenić, jak dana firma jest przygotowana na to, aby się zmierzyć z niepożądanym zdarzeniem w rzeczywistości. Klienci wysoko oceniają tę możliwość.

Rozmawiał: Jacek Pochłopień