EEC Poland

EEC 2025: skala cyberzagrożenia w Polsce jest niedoceniana. Nie chodzi już tylko o pieniądze


Obecne ataki są zaawansowane, finansowane przez obce kraje, ich służby - to nie są amatorskie ataki - mówiła podczas EEC wiceprezes PSE

Cyberbezpieczeństwo zajęło ważne miejsce w agendzie drugiego dnia XVII Europejskiego Kongresu Gospodarczego. Eksperci są zgodni - skala zagrożenia w Polsce jest niedoceniana. Zmieniła się też natura ataków - dziś nie chodzi tylko o zyski finansowe, ale o przejęcie kontroli nad strategicznymi obszarami funkcjonowania państwa.

Ważne miejsce w drugim dniu XVII Europejskiego Kongresu Gospodarczego w Katowicach zajęła cyfryzacja i cyberbezpieczeństwo. Już pierwszego dnia EEC 2025 wicepremier i minister cyfryzacji Krzysztof Gawkowski wielokrotnie podkreślał w swoim wystąpieniu, że cyfrowa niezależność nie dotyczy wyłącznie struktur państwowych, lecz każdej osoby.

Podczas panelu dyskusyjnego "Cyberbezpieczeństwo w biznesie" m.in. o cyberzagrożeniu w polskich firmach, bezpieczeństwie infrastruktury IT i odporności cyfrowej biznesu rozmawiali:

  • Tomasz Dreslerski, enterprise executive, Microsoft,
  • Paweł Jurek, dyrektor rozwoju biznesu, Dagma Bezpieczeństwo IT,
  • Remigiusz Lewandowski, członek zarządu PWPW SA,
  • Agnieszka Okońska, wiceprezes PSE SA,
  • Michał Pukaluk, zastępca dyrektora, Departament Cyberbezpieczeństwa, Ministerstwo Cyfryzacji,
  • Jonatan Quesney, global threat managment & response director, PepsiCo,
  • Maciej Siciarek, dyrektor CSIRT, NASK PIB.

Dyskusję moderował Piotr Ciepiela, partner, lider zespołu ds. cyberbezpieczeństwa w regionie EMEIA, globalny lider bezpieczeństwa architektury i nowoczesnych technologii EY.

Cyberbezpieczeństwo na EEC 2025: UKSC będzie bardzo obszernym dokumentem

O regulacje, a konkretnie o wejście w życie ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) prowadzący debatę zapytał Michała Pakulaka z Ministerstwa Cyfryzacji.

Chcemy do końca drugiego kwartału skończyć prace rządowe (nad ustawą - przyp. red.) i pójść z nią do Sejmu. Ustawa jest bardzo szeroka, wprowadza nową kategoryzację podmiotów - powiedział Pakulak.

Przedstawiciel rządu przekazał, że ustawa będzie obszerniejsza niż wymogi dyrektywy NIS 2.

- Musimy wprowadzać nowe regulacje, np. 5G Toolbox czy podejście z dostarczaniem usług i procesów przez dostawców wysokiego ryzyka (HRV). Mamy system S46, który będzie służył temu, by podmioty mogły zgłaszać incydenty, dostarczymy usługi w zakresie cyber threat intelligence (CTI), anty-DDoS, system n6. Pracujemy nad portalem cyber.gov.pl - tam przedsiębiorstwa będą mogły albo znaleźć informacje, albo załatwić swoje sprawy, które wynikają z obowiązków narzuconych przez ustawę - powiedział Pakulak.

Chcemy do końca drugiego kwartału skończyć prace rządowe (nad ustawą - przyp. red.) i pójść z nią do Sejmu - powiedział Pakulak. Fot. PTWP Chcemy do końca drugiego kwartału skończyć prace rządowe (nad ustawą - przyp. red.) i pójść z nią do Sejmu - powiedział Pakulak. Fot. PTWP

Wiceprezes PSE: Jesteśmy na wojnie hybrydowej

O perspektywie zarządcy infrastruktury krytycznej w kontekście NIS 2 i UKSC opowiadała Agnieszka Okońska, wiceprezes Polskich Sieci Elektroenergetycznych. Jak stwierdziła, liczba cyberataków w Polsce bardzo się zwiększyła.

- Jak widzimy w przypadku wojny fizycznej, infrastruktura krytyczna jest drugim celem po wojskowej. Jeżeli nie jesteśmy w stanie wojny, ale jesteśmy w zagrożeniu, to metodą przeciwnika jest cyberatak. Obecne ataki są zaawansowane, finansowane przez obce kraje, ich służby - to nie są amatorskie ataki. Zmieniła się też intencja ataku - z czysto finansowej, by budować biznes na skradzionej bazie danych, do przejęcia operacyjności, np. kontroli ruchu statków. To jest wojna hybrydowa. PSE pełni obowiązki ochronne od dawna, a takie dyrektywy jak NIS2 traktujemy jako udoskonalenie tego, co stosujemy od zawsze - powiedziała Okońska.

Wiceprezes PSE zauważyła, że cyberataki na infrastrukturę krytyczną na świecie często są powodowane "bardzo analogowymi zachowaniami pracowników". Chodzi tu o podstawowe obowiązki jak niekorzystanie z tego samego hasła, by nie stosować tego samego klucza dostępu w jakimś sklepie internetowym i pełniąc obowiązki służbowe, pracując np. w energetyce.

Obecne ataki są zaawansowane, finansowane przez obce kraje, ich służby - to nie są amatorskie ataki - mówiła podczas EEC wiceprezes PSE. Fot. PTWP Obecne ataki są zaawansowane, finansowane przez obce kraje, ich służby - to nie są amatorskie ataki - mówiła podczas EEC wiceprezes PSE. Fot. PTWP

- Drugim podstawowym zadaniem oprócz ochrony haseł to rozdzielenie infrastruktury IT i OT (systemów do sterowania czy monitorowania fizycznych procesów, np. do zarządzania siecią typu SCADA - przyp. red.). Trzecim zadaniem jest phishing (próba wyłudzenia informacji przez oszustwo lub podszywanie się pod inny podmiot). Pracowników i klientów stale trzeba uświadamiać i edukować. Kluczowa jest też świadomość kadry zarządzającej, że inwestycje w cybersecurity to absolutny must-have w dzisiejszych czasach - wymieniła Okońska z PSE.

Remigiusz Lewandowski, członek zarządu Polskiej Wytwórni Papierów Wartościowych, podkreślił, że wyjątkowość PWPW jako producenta dokumentów identyfikacyjnych, jak dowody osobiste, wynika z tego, że jej produkty ma każdy z nas. Z tego wynika także najwyższy priorytet dla kwestii bezpieczeństwa. - Musimy mieć pewność, że za usługą identyfikacji kryje się prawdziwa tożsamość. To są produkty czy usługi zapewniające bezpieczeństwo obrotu prawnego, gospodarczego czy finansowego - powiedział Lewandowski.

- Szalenie wiele podmiotów gospodarczych i instytucji żyje w przeświadczeniu, że są świetnie przygotowani, jeśli chodzi o bezpieczeństwo cyfrowe - niedawne badanie wykazało wynik 80 proc. W tym samym badaniu wyszło, że połowa tych przedsiębiorców nie stosuje nawet tak podstawowych technik jak back-upowanie danych. Schowaliśmy się za fasadą - zaznaczył prelegent.

Szalenie wiele podmiotów gospodarczych i instytucji żyje w przeświadczeniu, że są świetnie przygotowani, jeśli chodzi o bezpieczeństwo cyfrowe - powiedział członek zarządu PWPW. Fot. PTWP Szalenie wiele podmiotów gospodarczych i instytucji żyje w przeświadczeniu, że są świetnie przygotowani, jeśli chodzi o bezpieczeństwo cyfrowe - powiedział członek zarządu PWPW. Fot. PTWP

- Jak ja się dowiaduję, że firmy korzystają ze środków identyfikacji elektronicznej na poziomie średnim, to trafia mnie szlag, bo średnio to może być wysmażony stek. Jeśli mówimy o bezpieczeństwie, to mówimy o kategorii najwyższej, co nie jest normą - wyznał Lewandowski.

Jonatan Quesney, global threat managment & response director z  PepsiCo zaznaczył, że globalne firmy co do zasady mają ogólną politykę dotyczącą wszystkich regulacji w kontekście bezpieczeństwa, ale każdy kraj ma nieco inne przepisy. Dlatego tak ważne jest weryfikowanie zgodności zasad firmowych z regulacjami krajowymi. 

- Trudno czasami jest pojąć, co zawarte jest w przepisach. W Indiach np. mamy 6 godzin na raportowanie ataku - ale nie doprecyzowano od kiedy, czy od samego zdarzenia, czy od wykrycia - zauważył Quesney.

Jonatan Quesney, global threat managment & response director z PepsiCo zaznaczył, że bardzo ważne jest weryfikowanie zgodności zasad firmowych z regulacjami krajowymi. Fot. PTWP Jonatan Quesney, global threat managment & response director z PepsiCo zaznaczył, że bardzo ważne jest weryfikowanie zgodności zasad firmowych z regulacjami krajowymi. Fot. PTWP

Konieczna jest większa świadomość wśród zarządów firm

Tomasz Dreslerski, enterprise executive z Microsoftu, zauważył, że zarządy firm nie są za bardzo zainteresowane wnikaniem w szczegóły tematu cybersecurity. 

- Brakuje inkorporowania tematów cyberbezpieczeństwa do strategii firm, a to przecież jest to jej immanentna rzecz. Wiele podmiotów ma wielu dostawców - ktoś się zajmuje antywirusem, ktoś firewallem i na koniec dnia potrzeba dużej ekspertyzy technologicznej, by zrozumieć, czy owe technologie nas zabezpieczają - powiedział Dreslerski.

Przedstawiciel firmy Microsoft także podkreślił wagę czynnika ludzkiego w kontekście cyberbezpieczeństwa - szczególnie wobec ataków w oparciu o sztuczną inteligencję. Dreslerski podniósł także temat myślenia długofalowego w kontekście bezpieczeństwa dla kluczowych instytucji operujących w Polsce, np. banków czy firm energetycznych w związku z wojną w Ukrainie.

Dreslerski podniósł także temat myślenia długofalowego w kontekście bezpieczeństwa dla kluczowych instytucji operujących w Polsce. Fot. PTWP Dreslerski podniósł także temat myślenia długofalowego w kontekście bezpieczeństwa dla kluczowych instytucji operujących w Polsce. Fot. PTWP

Paweł Jurek z Dagma Bezpieczeństwo IT uważa, że pozytywnym zjawiskiem jest przyjmowanie przez Polskę kolejnych regulacji dotyczących bezpieczeństwa cyfrowego - np. NIS 2, i że faktycznie istnieje problem wśród zarządzających polskimi firmami co do priorytetyzacji tego segmentu działalności.

- Żeby regulacje miały sens, potrzebujemy bardziej szczegółowego doradztwa - szczególnie dla firm na niższym poziomie, będących często dostawcą dla tych najważniejszych, które są uzbrojone po zęby. W Polsce lokalnej nie ma tych kompetencji. Boję się, że wdrożenie UKSC zakończy się na takich panelach, a lokalni dostawcy nie będą w stanie tego zaimplementować. Ministerstwo powinno wydawać rekomendacje branżowe - zaapaleował Jurek.

Paweł Jurek z Dagma Bezpieczeństwo IT uważa, że pozytywnym zjawiskiem jest przyjmowanie przez Polskę kolejnych regulacji dotyczących bezpieczeństwa cyfrowego. Fot. PTWP Paweł Jurek z Dagma Bezpieczeństwo IT uważa, że pozytywnym zjawiskiem jest przyjmowanie przez Polskę kolejnych regulacji dotyczących bezpieczeństwa cyfrowego. Fot. PTWP

Maciej Siciarek, dyrektor CSIRT, NASK PIB, podkreślił, że społeczna świadomość o bezpieczeństwie cyfrowym jest jeszcze dość wczesna i stąd wynika wiele problemów z nią związanych.

- Widzimy, jak trudno - także w biznesie - dojść do odpowiednich osób, które przyjmą te informacje, właściwie je zrozumieją i doprowadza do aktualizacji systemów - powiedział.

Dyrektor CSIRT, NASK PIB, podkreślił, że społeczna świadomość o bezpieczeństwie cyfrowym jest jeszcze dość wczesna. Fot. PTWP Dyrektor CSIRT, NASK PIB, podkreślił, że społeczna świadomość o bezpieczeństwie cyfrowym jest jeszcze dość wczesna. Fot. PTWP

Europejski Kongres Gospodarczy (European Economic Congress - EEC) w Katowicach to trzydniowy cykl debat, spotkań i wydarzeń towarzyszących z udziałem gości z Polski, Europy, świata, wśród których wymienić można: unijnych komisarzy, premierów i przedstawicieli rządów państw europejskich, prezesów największych firm, naukowców i praktyków, decydentów mających realny wpływ na życie gospodarcze i społeczne. W opiniotwórczym gronie, w formie otwartej debaty publicznej, prowadzone są rozmowy o kwestiach najistotniejszych dla rozwoju Europy. 

Organizatorem Europejskiego Kongresu Gospodarczego, od pierwszej jego edycji w 2009 r., jest Grupa PTWP.  

Szanowny Użytkowniku!

Oglądasz archiwalną wersję strony Europejskiego Kongresu Gospodarczego.

Co możesz zrobić:

Przejdź do strony bieżącej edycji lub Kontynuuj przeglądanie
Google Play
Pobierz aplikację Europejskiego Kongresu Gospodarczego na swój telefon
App Store
Pobierz aplikację Europejskiego Kongresu Gospodarczego na swój telefon
App

Aplikacja mobilna EEC

Pobierz oficjalną aplikację mobilna Europejskiego Kongresu Gospodarczego. Aplikacja zapewnia kompleksową obsługę uczestników kongresu oferując wygodny dostęp do wszystkich najważniejszych informacji i funkcji.

AppStore Google Play