Polska wciąż nie doczekała się implementacji dyrektywy NIS2. Tymczasem cyberbezpieczeństwo to dla państwa fundamentalna kwestia. Jak na EEC przekonywał przedstawiciel resortu cyfryzacji, rządowy etap prac nad ustawą o Krajowym Systemie Cyberbezpieczeństwa ma się zakończyć do czerwca. Później czeka ją droga przez parlament.
Polska (i UE) stoi przed koniecznością przedefiniowania podejścia do cyberbezpieczeństwa poprzez lepsze regulacje, partnerską współpracę sektora publicznego i prywatnego oraz zmianę podejścia do tego obszaru – z kosztu na strategiczną inwestycję w przyszłość – takie wnioski płyną z dyskusji w sesji „Bezpieczeństwo cyfrowe państwa” w czasie EEC 2025 w Katowicach.
Moderujący sesję Artur Józefiak, wiceprezes i szef Centrum Usług Cyberbezpieczeństwa dla Europy Accenture w Polsce przywołał we wstępie trzy najważniejsze trendy w tym obszarze: zmiana geopolityczna, kolejna fala zmiany technologicznej oraz zależności łańcucha dostaw. - Zaczynamy odkrywać, że technologie mają narodowość i często nie wiemy kto jest drugim lub trzecim poddostawcą technologii, którą kupujemy - zauważył.
Artur Józefiak był prowadzącym debatę podczas EEC 2025 ( fot. PTWP)- Cyberbezpieczeństwo awansowało do kwestii o najwyższej randze i wadze politycznej - potwierdziła Joanna Świątkowska, zastępca sekretarza generalnego Europejskiej Organizacji ds. Cyberbezpieczeństwa (ECSO). - Widać to kiedy spojrzymy na kluczowe inicjatywy głównie z obszaru regulacyjnego - dodała, precyzując że chodzi o uchwalenie takich aktów prawnych jak NIS2, DORA, Cyber Solidarity Act czy Cyber Resilience Act.
To właśnie regulacje zdominowały dużą część rozmowy. W centrum debaty znalazła się zapowiadana już od kilku lat nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która – jak zapowiedział Łukasz Wojewoda z Ministerstwa Cyfryzacji – ma opuścić rządowy etap prac do końca drugiego kwartału 2025. Takie są nadzieje resortu, ale – jak przyznał urzędnik – wiele może zmienić się jeszcze na etapie prac legislacyjnych. Kiedy należy spodziewać się gotowej i podpisanej przez prezydenta ustawy? Tego nie wiadomo.
Szczególnie dużo kontrowersji cały czas budzi w niej kwestia określania dostawców wysokiego ryzyka, których produkty będzie można wykluczać z budowy kluczowych usług.
Jak zapowiedział Łukasz Wojewoda z Ministerstwa Cyfryzacji, KSC ma opuścić rządowy etap prac do końca drugiego kwartału 2025 r. (Fot. PTWP)Tymczasem przepisy są potrzebne, bo - jak przekonywali paneliści - pomimo wielu prób regulacji wciąż brakuje spójnych, obowiązkowych standardów i certyfikacji urządzeń wykorzystywanych np. w infrastrukturze krytycznej. Wymogów dotyczących cyberbezpieczeństwa nie ma także w prawie zamówień publicznych. - Polska jako jeden z niewielu krajów nie ma standardów bezpieczeństwa dla urządzeń instalowanych na infrastrukturze krytycznej - mówił Maciej Wyczesany, prezes zarządu i dyrektor generalny Apator SA. - Nie kontrolujemy dostawców, nie ma transparentności pochodzenia.
- Wymogi w przetargach są tak lakoniczne, że firmy nie zaoferują niczego w cyberbezpieczeństwie, bo będą drożsi niż konkurenci. No to dlaczego mam oferować coś co jest dobre, ale przegram postępowanie? To bez sensu z punktu widzenia ekonomicznego - zastanawiał się Andrzej Cieślak, prezes zarządu Dynacon. Zwrócił też uwagę na paradoks związany z zamówieniami publicznymi: - Przekazujemy [w przetargach - red.] szczegółowe informacje. Nie są to informacje niejawne, ale jak państwo sobie pozbieracie te informacje to piękna lekcja jak zaatakować praktycznie każdy kraj, który tego typu procedury ma u siebie. Nie muszę ani chodzić, ani inwigilować a i tak się dowiem: kto dostarcza, co dostarcza, kiedy dostarcza - mówił.
Andrzej Cieślak zwracał uwagę na kwestię zamówień publicznych ( fot. PTWP)Wyczesany odniósł się do urządzeń związanych z wytwórstwem energii. - W Polsce mamy miliony urządzeń, które nie tylko zbierają dane, ale też uczestniczą w bilansowaniu rynku energetycznego. Co więcej sterują rosnącymi źródłami OZE. Przypominam, że zapotrzebowanie w Polsce to są 22 GW dziennie, a źródła OZE generują 16 GW w szczycie. Większość urządzeń, które sterują tymi urządzeniami wytwórczymi nie musiało przejść żadnej certyfikacji w zakresie cyberbezpieczeństwa. Mówimy np. o inwerterach - mówił.
Mówimy w Polsce o 2 mln prosumentów produkujących energię. Podstawowe urządzenia sterujące tymi punktami pracują na otwartych łączach serwisowych, najczęściej w chmurach chińskich. Możecie sobie państwo dopowiedzieć, jak wygląda cały system odporności.
Maciej Wyczesany, prezes zarządu i dyrektor generalny Apator SA. (Fot. PTWP)Na drugim biegunie cyberbezpieczeństwa jest Polska Wytwórnia Papierów Wartościowych. Jak podkreślił Zygmunt Kostkiewicz, prezes zarządu spółki, z uwagi na ściśle regulowaną działalność, ma dostęp tylko do bardzo ograniczonej puli dostawców.
- Bezpieczeństwo jest w naszym DNA - zapewnił. Przyznał jednak, że od czasu wybuchu pełnoskalowej wojny, zapewnienie bezpieczeństwa jest coraz trudniejsze. - Zwiększyła się liczba ataków na PWPW SA. Zmienił się charakter tych ataków. Jak rozmawialiśmy 5 lat temu, to cele hakerstwa były ekonomiczne albo poznawcze. Chodziło o zablokowanie systemu i pobranie okupu. Dzisiaj mówimy o wojnie cyber, która nie prowadzi do korzyści atakującego, tylko do szkody atakowanego.
Kostkiewicz: korzyści ataków są dziś w destabilizacji. Byłoby ciekawe gdyby ktoś policzył ile Rosję kosztuje wojna cyber ( fot. PTWP)Bezpieczeństwo pomimo istnienia regulacji pozostaje papierowe - zwrócił uwagę Artur Józefiak.
Paweł Nogowicz, prezes zarządu Evercom, przyznawał mu rację.
- Z gotowością dobrze nie jest, ale to wynika nie tylko z kwestii regulacyjnych, ale z przenikających się dwóch obszarów. Pierwszy obszar jest czysto gospodarczy, którym steruje niewidoczna ręka rynku. Jest związany z tym, jak produkty zawierające komponent cyfrowy są produkowane, wdrażane, jaki poziom bezpieczeństwa nam zapewniają. Drugi obszar jest związany z użytkownikiem - mówił i dodawał:
Rynek co do zasady nie promuje bezpieczeństwa. Rynek preferuje zysk oraz przychód, który generuje producent rozwiązania trafiającego na rynek. [...] Otrzymujemy z rynku całe mnóstwo produktów, które są tak naprawdę niebezpieczne, a firmy nie są w żaden sposób premiowane za to, że produkty są bezpieczne.
Nogowicz przekonywał, że na rynku funkcjonuje coś "bełkot marketingowy", który kończy się tak, że użytkownik nabywa rozwiązanie kierując się ceną czy modą. Tymczasem popularne rozwiązania okazują się dziurawe. - Zaczynamy czuć się bardzo niepewnie - podkreślił.
Dodał również, że o ile niektóre obszary dotyczące cyberbezpieczeństwa są nadregulowane, o tyle brakuje regulacji, które zmusiłyby producentów, które całkowicie lekceważą sobie bezpieczeństwo.
Paweł Nogowicz zwrócił uwagę, że podejście do cyberbezpieczeństwa w Polsce wymaga zmiany ( fot. PTWP)Aleksander Skołożyński, CFO, członek zarządu ds. finansowych Cellnex Poland zaapelował natomiast o stabilność przepisów. - Jako firma infrastrukturalna mamy bardzo daleki horyzont inwestycyjny. W przypadku sprzętu aktywnego to może być 7-10 lat, w przypadku sprzętu pasywnego może to być nawet 30 -40 lat. To co jest dla nas absolutnie kluczowe i to, czego koniecznie potrzebujemy, to jest: przejrzystość i stabilność prawa. W przeciwnym wypadku będziemy czynić złe inwestycje, które nie tylko się nie zwrócą, ale wybudowana infrastruktura nie będzie optymalna - zaznaczył.
Skołożyński: odpowiednie prawo, skonsultowane i przejrzyste jest koniecznością ( fot. PTWP)W panelu wielokrotnie powracał temat nieskutecznej współpracy między sektorami oraz potrzeby większej przejrzystości i stabilności prawa. Eksperci podkreślali, że bez realnego partnerstwa między administracją publiczną a biznesem trudno będzie zbudować skuteczny system odporny na zagrożenia cyfrowe. Zwracano uwagę na potrzebę traktowania cyberbezpieczeństwa nie jako kosztu, lecz jako strategicznej inwestycji.
- Jako NASK pokusiliśmy się o wypracowanie reguł dotyczących tego co nazwaliśmy i chcielibyśmy implementować jako "Cyber security governance", czyli wprowadzenie zasad nie w oparciu o implementację NIS 2 i jak najszybszą nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, ale podstawową odpowiedzialność członków zarządu - mówił Jarosław Grzywiński, prezes zarządu NASK S.A. Jak dodawał:
Najpierw postarajmy się, żeby zamówienia publiczne były jak najbardziej kompatybilne z cyberbezpieczeństwem, a po drugie - cyberbezpieczeństwo jako zasady w codziennym życiu każdej organizacji.
NASK S.A. proponuje, by cyberbezpieczeństwo było podstawą działania organizacji - mówił prezes Jarosław Grzywiński ( fot. PTWP)
Wnioskiem płynącym z debaty była konieczność pilnych, systemowych zmian – nie tylko regulacyjnych, ale również mentalnych i organizacyjnych, które pozwolą traktować cyberbezpieczeństwo jako filar rozwoju i bezpieczeństwa państwa.
- Regulacje, wokół których orientują się nasze działania w UE, nie mogą być jedynym punktem działań w obszarze cyber. Potrzebujemy rozbudowania naszych zdolności. Musimy zacząć postrzegać cyberbezpieczeństwo jako silnik rozwoju gospodarczego - mówiła Joanna Świątkowska, zastępca sekretarza generalnego Europejskiej Organizacji ds. Cyberbezpieczeństwa (ECSO).
Musimy zacząć postrzegać cyberbezpieczeństwo jako silnik rozwoju gospodarczego - mówiła Joanna Świątkowska. Fot. PTWPWspólnym mianownikiem wszystkich wypowiedzi jest przekonanie, że obecne podejście do cyberbezpieczeństwa w Polsce (i szerzej – w UE) wymaga poważnej aktualizacji i urealnienia wobec współczesnych zagrożeń.
Oglądasz archiwalną wersję strony Europejskiego Kongresu Gospodarczego.
Co możesz zrobić:
Przejdź do strony bieżącej edycji lub Kontynuuj przeglądanie