Polskie przedsiębiorstwa i administracja państwowa muszą wykonać ogrom pracy, aby sprawnie zabezpieczać się przed cyberatakami, identyfikować je i odpowiednio reagować. Czy pomoże w tym ustawa, która narzuca pewne rozwiązania? Trudno powiedzieć - ale na pewno nie zaszkodzi.

GALERIA  9 ZDJĘĆ


• Przedsiębiorcy kluczowi dla polskiej gospodarki będą musieli zgłaszać incydenty cyberbezpieczeństwa - to jedna z najważniejszych zmian, które wprowadza ustawa.


• Brak wykwalifikowanych ludzi  i dług technologiczny to największe wyzwania, z jakimi zetkną się przedsiębiorcy i administracja przy wprowadzaniu cyfrowych zabezpieczeń.


• Wydaje się, że sektor prywatny poradzi sobie z cyberbezpieczeńswem. Ale obawiam się, że administracja publiczna - pozostawiona sama sobie - zupełnie sobie z tym nie poradzi - stwierdził Paweł Sawicki z kancelarii Sołtysiński Kawecki & Szlęzak.
  


• Nad cyfrowymi zagrożeniami i rozwojem ochrony dyskutowali uczestnicy sesji „Cyberzagrożenia i cyberbezpieczeństwo”, która odbyła się podczas Europejskiego Kongresu Gospodarczego.

Przedsiębiorcy kluczowi dla polskiej gospodarki będą musieli zgłaszać incydenty cyberbezpieczeństwa do jednego z trzech CSIRT (ang. Computer Security Incident Response Team) poziomu krajowego - to jedna z najważniejszych zmian, którą wprowadza ustawa o krajowym systemie cyberbezpieczeństwa.

Prezydent Andrzej Duda podpisał ją 1 sierpnia 2018 roku. Dokument implementuje do polskiego prawa dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej (tzw. dyrektywę NIS).

Jest ustawa, pora brać się do pracy

- Ustawa tworzy ramy krajowego systemu cyberbezpieczeństwa w Polsce. W jego skład wejdą m.in. administracja rządowa i samorządowa, a przede wszystkim operatorzy usług kluczowych, czyli najwięksi przedsiębiorcy z wybranych sektorów gospodarki, takich jak energetyka, transport, sektor bankowy i finansowy, zdrowie, zaopatrzenie w wodę i infrastruktura cyfrowa - wyjaśniał Krzysztof Silicki, zastępca dyrektora ds. cyberbezpieczeństwa i innowacji w NASK.

- Ustawa zobowiązuje te podmioty do zapewnienia odpowiedniego poziomu bezpieczeństwa oraz raportowania incydentów. W polskim porządku prawnym jest to nowość, ponieważ dotychczas - poza sektorem telekomunikacyjnym - nie było obowiązku zgłaszania incydentów.
- Trudno sobie dziś wyobrazić jakikolwiek przejaw działalności, który jest związany z IT i nie podlegałby jakimś zagrożeniom - dodał Krzysztof Silicki.

- Ustawa to pierwszy krok do tego, żeby sobie uświadomić, że obecnej dynamice usług związanych z przekazem cyfrowym towarzyszy równie mocna dynamika cyberzagrożeń. Już nie wystarczy rozmawiać, jakie kto ma doświadczenia, ale trzeba stworzyć system, który pozwoli na współpracę między sektorami - kontynuował Krzysztof Silicki. - Współpraca ma umożliwić wymianę informacji potrzebną do przeprowadzenia analiz, z jakim zagrożeniem mamy do czynienia, jaka jest jego skala, jaka jest specyfika.

- Myślenie o cyberbezpieczeństwie powinno być myśleniem procesowym. Ustawa jest dopiero takim początkiem, fundamentem, wokół którego należałoby budować cały system - powiedział Paweł Sawicki, adwokat, Senior Counsel w kancelarii Sołtysiński Kawecki & Szlęzak. - Sektor prywatny ma inne możliwości i też inne ograniczenia niż sektor publiczny. Inna jest wrażliwość danych przechowywanych przez podmioty publiczne i podmioty prywatne.

Cała ustawa oparta na współpracy

- Istotne jest to, jakimi możliwościami dany sektor dysponuje. Sektor prywatny ma możliwości finansowe dużo większe niż sektor publiczny - kontynuował Paweł Sawicki. - Ale z drugiej strony mam wrażenie, że w sektorze prywatnym nie ma dużej woli współpracy globalnej. Brakuje tam myślenia o innych podmiotach, którym można i trzeba pomóc w podobnej sytuacji.
- Zgłaszanie incydentów to jeden z najważniejszych elementów ustawy, na nim opiera się cała jej logika - zauważył Krzysztof Silicki. - W ustawie incydent jest rozumiany szeroko, więc nawet jeśli łatwo poradziliśmy sobie z jakimś zdarzeniem, powinniśmy zgłosić je do odpowiednich instytucji na poziomie krajowym. Głownie po to, żeby móc ostrzegać innych. Ponadto takie zgłoszenie pomoże koordynować działania na wyższym poziomie, a także wypełniać treścią krajowy system cyberbezpieczeństwa.

- Jeżeli zdarzy się duży atak złośliwego oprogramowania, który blokuje wszystkie komputery w danej instytucji, to najczęściej rozsiewa się to później na inne instytucje. Wówczas zdarzenie w takim samym stopniu dotyczy sektora prywatnego, jak i publicznego - zauważył Paweł Sawicki.

- Sektor prywatny sobie jakoś poradzi, straci jakąś kwotę pieniędzy, ale te kluczowe funkcje czy usługi nie zostaną nagle odcięte od odbiorców i społeczeństwa. Efekty mogą być dramatyczne w przypadku sektora publicznego.

- Jeśli chodzi o wymianę informacji i zgłaszanie incydentów, bardzo dobre jest to, że ustawa wymusza, aby w firmach funkcjonowały procesy identyfikowania incydentów, klasyfikacji i zgłaszania ich - uważa Michał Kurek, szef zespołu ds. cyberbezpieczeństwa KPMG.

- W wielu firmach, szczególnie w sektorach o niskiej „cyberdojrzałości”, cyberbezpieczeństwo sprowadza się do implementacji pewnych zabezpieczeń prewencyjnych, które - jak doświadczają tego nawet największe firmy technologiczne - nie zabezpieczają w stu procentach.

Jest źle... albo gorzej

- Jak pokazują badania, dążenie do zgodności z innymi systemami to bardzo często główny motywator, żeby budować cyberbezpieczeństwo i ta zgodność jest bardzo istotna - podkreślał Michał Kurek. - Jednak samym dążeniem do zgodności cyberbezpieczeństwa się nie zbuduje. Istotne jest, aby operatorzy usług kluczowych chcieli rzeczywiście podnosić bezpieczeństwo, nie tylko spełnić wymagania ustawy.
- Ustawa dała pierwszy impuls, ale przed polskimi firmami długa droga do tego, aby sprawnie zabezpieczać się przed cyberatakami, identyfikować je i odpowiednio reagować - powiedział Michał Kurek.

- Prawo powinno pełnić rolę wychowawczą, ale nie zmieni się samym prawem obszaru o tak dużym długu technologicznym i tak dużych problemach - powiedział Artur Jozefiak, CEE Security Lead w Accenture. - Ten dług technologiczny wynika z tego, że przez długi czas bezpieczeństwo nie było ani elementem technologii, ani procesów.

- Musimy być tego świadomi, że nasze słabości jako firm nie szkodzą tylko wewnątrz naszej organizacji, ale mają wpływ na naszych partnerów. W tym aspekcie musimy być odpowiedzialni za cały nasz łańcuch dostaw i mieć tę świadomość - podkreślał Artur Jozefiak.

- Niestety badania, które robiliśmy, pokazały taką trochę „naiwność” odpowiedzialnych za bezpieczeństwo. Na pytanie o bezpieczeństwo łańcucha dostarczania wartości najczęściej padały odpowiedzi oparte na słowach „wierzę” i „ufam”, a powinny być oparte na słowach „wiem” lub „jestem przekonany”.
- Zgadzam się, że tak naprawdę największa, najgorsza robota dopiero przed nami - czyli budowanie na bazie tej ustawy świadomości cyberbezpieczeństwa. Im mniejszy podmiot, im mniejsza jednostka, tym to wyzwanie jest dużo większe - tłumaczył Michał Kanownik, prezes zarządu Związku Cyfrowa Polska.

- Nawet wśród firm świadomych zagrożeń cyberbezpieczeństwa niewielki odsetek uważa się za zabezpieczone. Co gorsze, większość firm nie wie, jak skutecznie się zabezpieczyć, nie angażując przy tym zbyt dużych nakładów sił i środków. Dla nich dalej nie jest to produkt pierwszej potrzeby.
- Co jeszcze gorsze, gdybyśmy te badania poszerzyli np. o samorządy,  to tu w ogóle będziemy mieli dramatyczne wyniki - zarówno jeśli chodzi o świadomość zagrożenia, jak i metody i narzędzia, jakimi można się chronić - kontynuował prezes Kanownik.

- Dobrze, że ustawa jest, bo jest potrzebna. Natomiast przed nami wszystkimi jeszcze ogrom pracy do wykonania przy budowaniu świadomości, jak zabezpieczać się przed cyberzagrożeniami.

Prywatni dostosują się najszybciej i mogą pomóc

- Najlepiej przygotowany do wykonywania ustawy jest sektor bankowy i finansowy. Tutaj już na początku stycznia otrzymaliśmy informację z Komisji Nadzoru Finansowego, że 19 podmiotów z tego sektora zostało uznanych za operatorów usług kluczowych. Wykaz tych operatorów trafił do ministra cyfryzacji - zaznaczył Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji.

- Już tydzień później odbyły się ćwiczenia w sektorze bankowym, które były organizowane przez Związek Banków Polskich. 11 podmiotów - tych, które zostały uznane za operatorów usług kluczowych - uczestniczyło w tych ćwiczeniach.
- Myślę, że o współpracę w zakresie cyberbezpieczeństwa najłatwiej w sektorze prywatnym. Bo w tym przypadku tę współpracę napędza wspólny interes. A wspólny interes polega na tym, żeby lepiej chronić swoją infrastrukturę, budować odporność na ataki, wymieniać się informacjami, które mogą dotyczyć każdego - powiedział Robert Kośla. - Istotne jest to, żeby administracja publiczna nie przeszkadzała w tej współpracy.

W administracji bieda i brak możliwości

- Rzeczywiście, wydaje się, że sektor prywatny sobie poradzi z cyberbezpieczeńswem. Ale obawiam się, że administracja publiczna - pozostawiona sama sobie - zupełnie sobie z tym nie poradzi. Dlatego potrzebuje współpracy z sektorem prywatnym - stwierdził Paweł Sawicki.

- Sektor prywatny ma środki techniczne, środki finansowe i - widząc wspólny cel - mógłby pomóc. Administracja publiczna powinna szukać, wszelkimi możliwościami, współpracy z sektorem prywatnym.

- Zwłaszcza że środki państwowe są niewystarczające. W ustawie wprowadzono sugerowane kwoty, jakie ma wydać skarb państwa w kolejnych latach na cyberbezpieczeństwo - przypomniał Paweł Sawicki.

- Wystraszyłem się na poważnie, widząc kwotę „0” w roku 2022 przy Ministerstwie Spraw Wewnętrznych. Albo kwoty rzędu 400 tys. zł rocznie. Taki budżet oznacza, że np. Żegluga Morska może wynająć sobie rocznie „półtora specjalisty”.

Bardzo mnie cieszy, że branża zauważa, iż kwestie związane z cyberbezpieczeństwem powinny być lepiej zasilane finansowo. Minister otrzymał petycję Polskiej Izby Teleinformatyki i Telekomunikacji, żeby to finansowanie było na wyższym poziomie - potwierdził Robert Kośla.

- Myślę, że również Najwyższa Izba Kontroli zauważy ten aspekt finansowania długoletniego. Jeżeli mamy wsparcie z tylu stron, żeby w kolejnych latach te wydatki zwiększać, to na pewno będą prowadzone działania w tym zakresie.

Brak ludzi i dług technologiczny – tu walka będzie najcięższa

- Sektor prywatny na pewno lepiej sobie poradzi z cyberbezpieczeństwem niż administracja publiczna, ale będzie miał sporo kłopotów w tym „radzeniu sobie” - zauważył Artur Jozefiak. - Firmy, które nie rozpoczęły budowania swojego bezpieczeństwa kilka lat temu, teraz mają ogromne problemy. Przede wszystkim z kadrami.

- Wprowadzenie krajowego systemu cyberbezpieczeństwa nałożyło się na ogromny drenaż kompetencji w tym zakresie. Cały świat zachodni, największe gospodarki zorientowały się, że w Polsce są świetne kadry z zakresu cyberbezpieczeństwa - kontynuował Artur Jozefiak.

- Drugim, nie mniej ważnym problemem sektora prywatnego jest dług technologiczny. Pamiętajmy, że - szczególnie w sektorze, który posługuje się automatyką przemysłową - cykl życia produktu jest ogromny i cyberbezpieczeństwo przez lata nie było tam parametrem uwzględnianym przy budowie rozwiązań. Ten problem dotyczy także IT w firmach, które nie postrzegały tego działu jako elementu kluczowego w dostarczaniu wartości - powiedział Artur Jozefiak.

- To jest ważny problem, jego rozwiązanie zajmie lata i pochłonie ogromne środki. Inwestycje, które się obecnie przeprowadza, są za małe na to, by nadrobić tę lukę technologiczną.

- Kadry to jest luka najtrudniejsza do zapełnienia. Najwięcej czasu będzie potrzeba na to, żeby zapewnić taką ilość kadr na polskim rynku, która da przynajmniej elementarne poczucie nasycenia - potwierdził Michał Kanownik.

- Tu absolutnie konieczna jest współpraca międzyresortowa - resort cyfryzacji musi współpracować z resortami nauki i edukacji, żeby odpowiednio kształcić specjalistów w tym zakresie. Potrzebna jest też współpraca z biznesem, żeby wiedzieć, jak profilować te kadry, żeby mogły jak najszybciej wejść na rynek.

Sesję moderował Robert Siudak, dyrektor ds. współpracy i realizacji projektów w Instytucie Kościuszki.

« POWRÓT