Cyberbezpieczeństwo zajęło ważne miejsce w agendzie drugiego dnia XVII Europejskiego Kongresu Gospodarczego. Eksperci są zgodni - skala zagrożenia w Polsce jest niedoceniana. Zmieniła się też natura ataków - dziś nie chodzi tylko o zyski finansowe, ale o przejęcie kontroli nad strategicznymi obszarami funkcjonowania państwa.
Ważne miejsce w drugim dniu XVII Europejskiego Kongresu Gospodarczego w Katowicach zajęła cyfryzacja i cyberbezpieczeństwo. Już pierwszego dnia EEC 2025 wicepremier i minister cyfryzacji Krzysztof Gawkowski wielokrotnie podkreślał w swoim wystąpieniu, że cyfrowa niezależność nie dotyczy wyłącznie struktur państwowych, lecz każdej osoby.
Podczas panelu dyskusyjnego "Cyberbezpieczeństwo w biznesie" m.in. o cyberzagrożeniu w polskich firmach, bezpieczeństwie infrastruktury IT i odporności cyfrowej biznesu rozmawiali:
Dyskusję moderował Piotr Ciepiela, partner, lider zespołu ds. cyberbezpieczeństwa w regionie EMEIA, globalny lider bezpieczeństwa architektury i nowoczesnych technologii EY.
O regulacje, a konkretnie o wejście w życie ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) prowadzący debatę zapytał Michała Pakulaka z Ministerstwa Cyfryzacji.
Chcemy do końca drugiego kwartału skończyć prace rządowe (nad ustawą - przyp. red.) i pójść z nią do Sejmu. Ustawa jest bardzo szeroka, wprowadza nową kategoryzację podmiotów - powiedział Pakulak.
Przedstawiciel rządu przekazał, że ustawa będzie obszerniejsza niż wymogi dyrektywy NIS 2.
- Musimy wprowadzać nowe regulacje, np. 5G Toolbox czy podejście z dostarczaniem usług i procesów przez dostawców wysokiego ryzyka (HRV). Mamy system S46, który będzie służył temu, by podmioty mogły zgłaszać incydenty, dostarczymy usługi w zakresie cyber threat intelligence (CTI), anty-DDoS, system n6. Pracujemy nad portalem cyber.gov.pl - tam przedsiębiorstwa będą mogły albo znaleźć informacje, albo załatwić swoje sprawy, które wynikają z obowiązków narzuconych przez ustawę - powiedział Pakulak.
Chcemy do końca drugiego kwartału skończyć prace rządowe (nad ustawą - przyp. red.) i pójść z nią do Sejmu - powiedział Pakulak. Fot. PTWPO perspektywie zarządcy infrastruktury krytycznej w kontekście NIS 2 i UKSC opowiadała Agnieszka Okońska, wiceprezes Polskich Sieci Elektroenergetycznych. Jak stwierdziła, liczba cyberataków w Polsce bardzo się zwiększyła.
- Jak widzimy w przypadku wojny fizycznej, infrastruktura krytyczna jest drugim celem po wojskowej. Jeżeli nie jesteśmy w stanie wojny, ale jesteśmy w zagrożeniu, to metodą przeciwnika jest cyberatak. Obecne ataki są zaawansowane, finansowane przez obce kraje, ich służby - to nie są amatorskie ataki. Zmieniła się też intencja ataku - z czysto finansowej, by budować biznes na skradzionej bazie danych, do przejęcia operacyjności, np. kontroli ruchu statków. To jest wojna hybrydowa. PSE pełni obowiązki ochronne od dawna, a takie dyrektywy jak NIS2 traktujemy jako udoskonalenie tego, co stosujemy od zawsze - powiedziała Okońska.
Wiceprezes PSE zauważyła, że cyberataki na infrastrukturę krytyczną na świecie często są powodowane "bardzo analogowymi zachowaniami pracowników". Chodzi tu o podstawowe obowiązki jak niekorzystanie z tego samego hasła, by nie stosować tego samego klucza dostępu w jakimś sklepie internetowym i pełniąc obowiązki służbowe, pracując np. w energetyce.
Obecne ataki są zaawansowane, finansowane przez obce kraje, ich służby - to nie są amatorskie ataki - mówiła podczas EEC wiceprezes PSE. Fot. PTWP- Drugim podstawowym zadaniem oprócz ochrony haseł to rozdzielenie infrastruktury IT i OT (systemów do sterowania czy monitorowania fizycznych procesów, np. do zarządzania siecią typu SCADA - przyp. red.). Trzecim zadaniem jest phishing (próba wyłudzenia informacji przez oszustwo lub podszywanie się pod inny podmiot). Pracowników i klientów stale trzeba uświadamiać i edukować. Kluczowa jest też świadomość kadry zarządzającej, że inwestycje w cybersecurity to absolutny must-have w dzisiejszych czasach - wymieniła Okońska z PSE.
Remigiusz Lewandowski, członek zarządu Polskiej Wytwórni Papierów Wartościowych, podkreślił, że wyjątkowość PWPW jako producenta dokumentów identyfikacyjnych, jak dowody osobiste, wynika z tego, że jej produkty ma każdy z nas. Z tego wynika także najwyższy priorytet dla kwestii bezpieczeństwa. - Musimy mieć pewność, że za usługą identyfikacji kryje się prawdziwa tożsamość. To są produkty czy usługi zapewniające bezpieczeństwo obrotu prawnego, gospodarczego czy finansowego - powiedział Lewandowski.
- Szalenie wiele podmiotów gospodarczych i instytucji żyje w przeświadczeniu, że są świetnie przygotowani, jeśli chodzi o bezpieczeństwo cyfrowe - niedawne badanie wykazało wynik 80 proc. W tym samym badaniu wyszło, że połowa tych przedsiębiorców nie stosuje nawet tak podstawowych technik jak back-upowanie danych. Schowaliśmy się za fasadą - zaznaczył prelegent.
Szalenie wiele podmiotów gospodarczych i instytucji żyje w przeświadczeniu, że są świetnie przygotowani, jeśli chodzi o bezpieczeństwo cyfrowe - powiedział członek zarządu PWPW. Fot. PTWP- Jak ja się dowiaduję, że firmy korzystają ze środków identyfikacji elektronicznej na poziomie średnim, to trafia mnie szlag, bo średnio to może być wysmażony stek. Jeśli mówimy o bezpieczeństwie, to mówimy o kategorii najwyższej, co nie jest normą - wyznał Lewandowski.
Jonatan Quesney, global threat managment & response director z PepsiCo zaznaczył, że globalne firmy co do zasady mają ogólną politykę dotyczącą wszystkich regulacji w kontekście bezpieczeństwa, ale każdy kraj ma nieco inne przepisy. Dlatego tak ważne jest weryfikowanie zgodności zasad firmowych z regulacjami krajowymi.
- Trudno czasami jest pojąć, co zawarte jest w przepisach. W Indiach np. mamy 6 godzin na raportowanie ataku - ale nie doprecyzowano od kiedy, czy od samego zdarzenia, czy od wykrycia - zauważył Quesney.
Jonatan Quesney, global threat managment & response director z PepsiCo zaznaczył, że bardzo ważne jest weryfikowanie zgodności zasad firmowych z regulacjami krajowymi. Fot. PTWPTomasz Dreslerski, enterprise executive z Microsoftu, zauważył, że zarządy firm nie są za bardzo zainteresowane wnikaniem w szczegóły tematu cybersecurity.
- Brakuje inkorporowania tematów cyberbezpieczeństwa do strategii firm, a to przecież jest to jej immanentna rzecz. Wiele podmiotów ma wielu dostawców - ktoś się zajmuje antywirusem, ktoś firewallem i na koniec dnia potrzeba dużej ekspertyzy technologicznej, by zrozumieć, czy owe technologie nas zabezpieczają - powiedział Dreslerski.
Przedstawiciel firmy Microsoft także podkreślił wagę czynnika ludzkiego w kontekście cyberbezpieczeństwa - szczególnie wobec ataków w oparciu o sztuczną inteligencję. Dreslerski podniósł także temat myślenia długofalowego w kontekście bezpieczeństwa dla kluczowych instytucji operujących w Polsce, np. banków czy firm energetycznych w związku z wojną w Ukrainie.
Dreslerski podniósł także temat myślenia długofalowego w kontekście bezpieczeństwa dla kluczowych instytucji operujących w Polsce. Fot. PTWPPaweł Jurek z Dagma Bezpieczeństwo IT uważa, że pozytywnym zjawiskiem jest przyjmowanie przez Polskę kolejnych regulacji dotyczących bezpieczeństwa cyfrowego - np. NIS 2, i że faktycznie istnieje problem wśród zarządzających polskimi firmami co do priorytetyzacji tego segmentu działalności.
- Żeby regulacje miały sens, potrzebujemy bardziej szczegółowego doradztwa - szczególnie dla firm na niższym poziomie, będących często dostawcą dla tych najważniejszych, które są uzbrojone po zęby. W Polsce lokalnej nie ma tych kompetencji. Boję się, że wdrożenie UKSC zakończy się na takich panelach, a lokalni dostawcy nie będą w stanie tego zaimplementować. Ministerstwo powinno wydawać rekomendacje branżowe - zaapaleował Jurek.
Paweł Jurek z Dagma Bezpieczeństwo IT uważa, że pozytywnym zjawiskiem jest przyjmowanie przez Polskę kolejnych regulacji dotyczących bezpieczeństwa cyfrowego. Fot. PTWPMaciej Siciarek, dyrektor CSIRT, NASK PIB, podkreślił, że społeczna świadomość o bezpieczeństwie cyfrowym jest jeszcze dość wczesna i stąd wynika wiele problemów z nią związanych.
- Widzimy, jak trudno - także w biznesie - dojść do odpowiednich osób, które przyjmą te informacje, właściwie je zrozumieją i doprowadza do aktualizacji systemów - powiedział.
Dyrektor CSIRT, NASK PIB, podkreślił, że społeczna świadomość o bezpieczeństwie cyfrowym jest jeszcze dość wczesna. Fot. PTWPEuropejski Kongres Gospodarczy (European Economic Congress - EEC) w Katowicach to trzydniowy cykl debat, spotkań i wydarzeń towarzyszących z udziałem gości z Polski, Europy, świata, wśród których wymienić można: unijnych komisarzy, premierów i przedstawicieli rządów państw europejskich, prezesów największych firm, naukowców i praktyków, decydentów mających realny wpływ na życie gospodarcze i społeczne. W opiniotwórczym gronie, w formie otwartej debaty publicznej, prowadzone są rozmowy o kwestiach najistotniejszych dla rozwoju Europy.
Organizatorem Europejskiego Kongresu Gospodarczego, od pierwszej jego edycji w 2009 r., jest Grupa PTWP.
Oglądasz archiwalną wersję strony Europejskiego Kongresu Gospodarczego.
Co możesz zrobić:
Przejdź do strony bieżącej edycji lub Kontynuuj przeglądanie
MENU
