EEC 2025: skala cyberzagrożenia w Polsce jest niedoceniana. Nie chodzi już tylko o pieniądze

Cyberbezpieczeństwo zajęło ważne miejsce w agendzie drugiego dnia XVII Europejskiego Kongresu Gospodarczego. Eksperci są zgodni - skala zagrożenia w Polsce jest niedoceniana. Zmieniła się też natura ataków - dziś nie chodzi tylko o zyski finansowe, ale o przejęcie kontroli nad strategicznymi obszarami funkcjonowania państwa.

Ważne miejsce w drugim dniu XVII Europejskiego Kongresu Gospodarczego w Katowicach zajęła cyfryzacja i cyberbezpieczeństwo. Już pierwszego dnia EEC 2025 wicepremier i minister cyfryzacji Krzysztof Gawkowski wielokrotnie podkreślał w swoim wystąpieniu, że cyfrowa niezależność nie dotyczy wyłącznie struktur państwowych, lecz każdej osoby.

Podczas panelu dyskusyjnego "Cyberbezpieczeństwo w biznesie" m.in. o cyberzagrożeniu w polskich firmach, bezpieczeństwie infrastruktury IT i odporności cyfrowej biznesu rozmawiali:

• Tomasz Dreslerski, enterprise executive, Microsoft,
• Paweł Jurek, dyrektor rozwoju biznesu, Dagma Bezpieczeństwo IT,
• Remigiusz Lewandowski, członek zarządu PWPW SA,
• Agnieszka Okońska, wiceprezes PSE SA,
• Michał Pukaluk, zastępca dyrektora, Departament Cyberbezpieczeństwa, Ministerstwo Cyfryzacji,
• Jonatan Quesney, global threat managment & response director, PepsiCo,
• Maciej Siciarek, dyrektor CSIRT, NASK PIB.

Dyskusję moderował Piotr Ciepiela, partner, lider zespołu ds. cyberbezpieczeństwa w regionie EMEIA, globalny lider bezpieczeństwa architektury i nowoczesnych technologii EY.

Cyberbezpieczeństwo na EEC 2025: UKSC będzie bardzo obszernym dokumentem

O regulacje, a konkretnie o wejście w życie ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) prowadzący debatę zapytał Michała Pakulaka z Ministerstwa Cyfryzacji.

Chcemy do końca drugiego kwartału skończyć prace rządowe (nad ustawą - przyp. red.) i pójść z nią do Sejmu. Ustawa jest bardzo szeroka, wprowadza nową kategoryzację podmiotów - powiedział Pakulak.

Przedstawiciel rządu przekazał, że ustawa będzie obszerniejsza niż wymogi dyrektywy NIS 2.

- Musimy wprowadzać nowe regulacje, np. 5G Toolbox czy podejście z dostarczaniem usług i procesów przez dostawców wysokiego ryzyka (HRV). Mamy system S46, który będzie służył temu, by podmioty mogły zgłaszać incydenty, dostarczymy usługi w zakresie cyber threat intelligence (CTI), anty-DDoS, system n6. Pracujemy nad portalem cyber.gov.pl - tam przedsiębiorstwa będą mogły albo znaleźć informacje, albo załatwić swoje sprawy, które wynikają z obowiązków narzuconych przez ustawę - powiedział Pakulak.

Chcemy do końca drugiego kwartału skończyć prace rządowe (nad ustawą - przyp. red.) i pójść z nią do Sejmu - powiedział Pakulak. Fot. PTWP

Wiceprezes PSE: Jesteśmy na wojnie hybrydowej

O perspektywie zarządcy infrastruktury krytycznej w kontekście NIS 2 i UKSC opowiadała Agnieszka Okońska, wiceprezes Polskich Sieci Elektroenergetycznych. Jak stwierdziła, liczba cyberataków w Polsce bardzo się zwiększyła.

- Jak widzimy w przypadku wojny fizycznej, infrastruktura krytyczna jest drugim celem po wojskowej. Jeżeli nie jesteśmy w stanie wojny, ale jesteśmy w zagrożeniu, to metodą przeciwnika jest cyberatak. Obecne ataki są zaawansowane, finansowane przez obce kraje, ich służby - to nie są amatorskie ataki. Zmieniła się też intencja ataku - z czysto finansowej, by budować biznes na skradzionej bazie danych, do przejęcia operacyjności, np. kontroli ruchu statków. To jest wojna hybrydowa. PSE pełni obowiązki ochronne od dawna, a takie dyrektywy jak NIS2 traktujemy jako udoskonalenie tego, co stosujemy od zawsze - powiedziała Okońska.

Wiceprezes PSE zauważyła, że cyberataki na infrastrukturę krytyczną na świecie często są powodowane "bardzo analogowymi zachowaniami pracowników". Chodzi tu o podstawowe obowiązki jak niekorzystanie z tego samego hasła, by nie stosować tego samego klucza dostępu w jakimś sklepie internetowym i pełniąc obowiązki służbowe, pracując np. w energetyce.

Obecne ataki są zaawansowane, finansowane przez obce kraje, ich służby - to nie są amatorskie ataki - mówiła podczas EEC wiceprezes PSE. Fot. PTWP

- Drugim podstawowym zadaniem oprócz ochrony haseł to rozdzielenie infrastruktury IT i OT (systemów do sterowania czy monitorowania fizycznych procesów, np. do zarządzania siecią typu SCADA - przyp. red.). Trzecim zadaniem jest phishing (próba wyłudzenia informacji przez oszustwo lub podszywanie się pod inny podmiot). Pracowników i klientów stale trzeba uświadamiać i edukować. Kluczowa jest też świadomość kadry zarządzającej, że inwestycje w cybersecurity to absolutny must-have w dzisiejszych czasach - wymieniła Okońska z PSE.

Remigiusz Lewandowski, członek zarządu Polskiej Wytwórni Papierów Wartościowych, podkreślił, że wyjątkowość PWPW jako producenta dokumentów identyfikacyjnych, jak dowody osobiste, wynika z tego, że jej produkty ma każdy z nas. Z tego wynika także najwyższy priorytet dla kwestii bezpieczeństwa. - Musimy mieć pewność, że za usługą identyfikacji kryje się prawdziwa tożsamość. To są produkty czy usługi zapewniające bezpieczeństwo obrotu prawnego, gospodarczego czy finansowego - powiedział Lewandowski.

- Szalenie wiele podmiotów gospodarczych i instytucji żyje w przeświadczeniu, że są świetnie przygotowani, jeśli chodzi o bezpieczeństwo cyfrowe - niedawne badanie wykazało wynik 80 proc. W tym samym badaniu wyszło, że połowa tych przedsiębiorców nie stosuje nawet tak podstawowych technik jak back-upowanie danych. Schowaliśmy się za fasadą - zaznaczył prelegent.

Szalenie wiele podmiotów gospodarczych i instytucji żyje w przeświadczeniu, że są świetnie przygotowani, jeśli chodzi o bezpieczeństwo cyfrowe - powiedział członek zarządu PWPW. Fot. PTWP

- Jak ja się dowiaduję, że firmy korzystają ze środków identyfikacji elektronicznej na poziomie średnim, to trafia mnie szlag, bo średnio to może być wysmażony stek. Jeśli mówimy o bezpieczeństwie, to mówimy o kategorii najwyższej, co nie jest normą - wyznał Lewandowski.

Jonatan Quesney, global threat managment & response director z  PepsiCo zaznaczył, że globalne firmy co do zasady mają ogólną politykę dotyczącą wszystkich regulacji w kontekście bezpieczeństwa, ale każdy kraj ma nieco inne przepisy. Dlatego tak ważne jest weryfikowanie zgodności zasad firmowych z regulacjami krajowymi. 

- Trudno czasami jest pojąć, co zawarte jest w przepisach. W Indiach np. mamy 6 godzin na raportowanie ataku - ale nie doprecyzowano od kiedy, czy od samego zdarzenia, czy od wykrycia - zauważył Quesney.

Jonatan Quesney, global threat managment & response director z PepsiCo zaznaczył, że bardzo ważne jest weryfikowanie zgodności zasad firmowych z regulacjami krajowymi. Fot. PTWP

Konieczna jest większa świadomość wśród zarządów firm

Tomasz Dreslerski, enterprise executive z Microsoftu, zauważył, że zarządy firm nie są za bardzo zainteresowane wnikaniem w szczegóły tematu cybersecurity. 

- Brakuje inkorporowania tematów cyberbezpieczeństwa do strategii firm, a to przecież jest to jej immanentna rzecz. Wiele podmiotów ma wielu dostawców - ktoś się zajmuje antywirusem, ktoś firewallem i na koniec dnia potrzeba dużej ekspertyzy technologicznej, by zrozumieć, czy owe technologie nas zabezpieczają - powiedział Dreslerski.

Przedstawiciel firmy Microsoft także podkreślił wagę czynnika ludzkiego w kontekście cyberbezpieczeństwa - szczególnie wobec ataków w oparciu o sztuczną inteligencję. Dreslerski podniósł także temat myślenia długofalowego w kontekście bezpieczeństwa dla kluczowych instytucji operujących w Polsce, np. banków czy firm energetycznych w związku z wojną w Ukrainie.

Dreslerski podniósł także temat myślenia długofalowego w kontekście bezpieczeństwa dla kluczowych instytucji operujących w Polsce. Fot. PTWP

Paweł Jurek z Dagma Bezpieczeństwo IT uważa, że pozytywnym zjawiskiem jest przyjmowanie przez Polskę kolejnych regulacji dotyczących bezpieczeństwa cyfrowego - np. NIS 2, i że faktycznie istnieje problem wśród zarządzających polskimi firmami co do priorytetyzacji tego segmentu działalności.

- Żeby regulacje miały sens, potrzebujemy bardziej szczegółowego doradztwa - szczególnie dla firm na niższym poziomie, będących często dostawcą dla tych najważniejszych, które są uzbrojone po zęby. W Polsce lokalnej nie ma tych kompetencji. Boję się, że wdrożenie UKSC zakończy się na takich panelach, a lokalni dostawcy nie będą w stanie tego zaimplementować. Ministerstwo powinno wydawać rekomendacje branżowe - zaapaleował Jurek.

Paweł Jurek z Dagma Bezpieczeństwo IT uważa, że pozytywnym zjawiskiem jest przyjmowanie przez Polskę kolejnych regulacji dotyczących bezpieczeństwa cyfrowego. Fot. PTWP

Maciej Siciarek, dyrektor CSIRT, NASK PIB, podkreślił, że społeczna świadomość o bezpieczeństwie cyfrowym jest jeszcze dość wczesna i stąd wynika wiele problemów z nią związanych.

- Widzimy, jak trudno - także w biznesie - dojść do odpowiednich osób, które przyjmą te informacje, właściwie je zrozumieją i doprowadza do aktualizacji systemów - powiedział.

Dyrektor CSIRT, NASK PIB, podkreślił, że społeczna świadomość o bezpieczeństwie cyfrowym jest jeszcze dość wczesna. Fot. PTWP

Europejski Kongres Gospodarczy (European Economic Congress - EEC) w Katowicach to trzydniowy cykl debat, spotkań i wydarzeń towarzyszących z udziałem gości z Polski, Europy, świata, wśród których wymienić można: unijnych komisarzy, premierów i przedstawicieli rządów państw europejskich, prezesów największych firm, naukowców i praktyków, decydentów mających realny wpływ na życie gospodarcze i społeczne. W opiniotwórczym gronie, w formie otwartej debaty publicznej, prowadzone są rozmowy o kwestiach najistotniejszych dla rozwoju Europy. 

Organizatorem Europejskiego Kongresu Gospodarczego, od pierwszej jego edycji w 2009 r., jest Grupa PTWP.