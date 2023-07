Celem coraz liczniejszych cyberataków może być kradzież danych albo destabilizacja części świata. Jak biznes, instytucje i regulacje powinny budować naszą cyfrową odporność?

Szybkie postępy cyfryzacji otwierają pole do popisu dla cyberprzestępców, którzy zyskali zupełnie nowe, szerokie możliwości.

Wojna w Ukrainie i towarzyszące jej napięcia w świecie spowodowały nasilenie zorganizowanej cyfrowej agresji ukierunkowanej na destabilizację i dezinformację.

Inicjatywę regulacyjną w dziedzinie cyberbezpieczeństwa przejmuje Unia Europejska. W cyfrowym świecie ma być bezpiecznie. Na wiele firm spadną nowe obowiązki i koszty.

Wraz z cyfryzacyjnym przyspieszeniem przybyło okazji do działania dla cyberprzestępców. Agresja w cyfrowym świecie może mieć formę „indywidualnego” oszustwa, ale bywa też zmasowanym atakiem na stabilność instytucji, rządów, krajów.

Jak wygląda pod tym względem polski krajobraz? Oficjalnie nieźle, Najwyższa Izba Kontroli wskazuje jednak, że użytkownicy sieci nie wiedzą, co robić ani gdzie się zgłosić, gdy staną się ofiarami ataku cyberprzestępców.

Przyspieszenie procesów cyfryzacji i praca zdalna to tlen dla cyberprzestępców

- Wojna w Ukrainie nie przyniosła żadnego widocznego osłabienia w dziedzinie polskiego cyberbezpieczeństwa, możemy jednak potwierdzić wzrost liczby zagrożeń, które mają związek z sytuacją za naszą wschodnią granicą - mówił w marcu br. Paweł Lewandowski, podsekretarz stanu w Kancelarii Prezesa Rady Ministrów, odnosząc się zapewne do operacji wpływu i dezinformacji dokonywanych w przestrzeni cyfrowej dla realizacji celów politycznych.

Tymczasem nasilenie ataków o typowo kryminalnym charakterze wiąże się bezpośrednio z cyfryzacyjnym przyspieszeniem czasu pandemii oraz upowszechnieniem zdalnej pracy i przeniesieniem osobistych relacji czy wręcz części życia publicznego i biznesowego do sieci.

– Przyspieszenie procesów cyfryzacji oraz praca zdalna to tlen dla przestępców i tego, co robią od dziesięcioleci – ostrzegł Krzysztof Malesa, dyrektor ds. strategii bezpieczeństwa w Microsoft.

Widać ogromny wzrost liczby sygnałów związanych z cyberprzestępczością, które napływają do CERT Polska, czyli zespołu reagowania na incydenty na poziomie krajowym. W 2021 r. zgłoszono 116 tys. incydentów, w roku ubiegłym było ich prawie trzy razy więcej, bo 322 tys.

– Co tydzień dochodzi do 2300 cyberataków na instytucje i firmy w Polsce. Ta wojna już się toczy – zauważa Krzysztof Słotwiński, dyrektor zarządzający pionu bezpieczeństwa w BNP Paribas, uczestnik debaty o cyberzagrożeniach zorganizowanej w ramach tegorocznej edycji Europejskiego Kongresu Gospodarczego.

Chodzi m.in. o ataki DDOS, czyli celowe przeciążenia usługi, serwera lub połączenia sieciowego, co skutkuje ich niedostępnością oraz smishing i phishing – to znaczy wyłudzenia danych logowania do bankowości lub danych karty płatniczej poprzez SMS lub e-mail. To także ransomware – żądanie okupu za przywrócenie dostępu do systemu lub usługi.

Cyberbezpieczeństwo znalazło się na wiosnę br. na celowniku Najwyższej Izby Kontroli, która przeprowadziła kontrolę w Kancelarii Prezesa Rady Ministrów, a także w Komendzie Głównej Policji oraz w Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (NASK-PIB).

W podsumowaniu kontroli można przeczytać m.in.: „Nie napawają optymizmem również dane dotyczące skuteczności organów państwa w zwalczaniu przestępczości w internecie. Uczestnicy badania sondażowego zleconego przez NIK zadeklarowali, że 85 proc. cyberataków, które zgłosili, nie zostało wyjaśnionych; zakończyły się umorzeniem postępowania lub utratą środków finansowych i danych. Tylko w przypadku 2 proc. spraw doszło do wykrycia i skazania sprawcy lub odzyskania pieniędzy”.

Lewandowski uspokajał, że kontrola dotyczyła lat 2019-2021.

– W naszej ocenie publikacja raportu, który dotyczy zupełnie innej sytuacji, jest rodzajem manipulacji czy wprowadzaniem opinii publicznej w błąd – stwierdził wiceminister. – Dziś sytuacja jest zupełnie inna, jesteśmy po doświadczeniach covidu, jesteśmy po bardzo szybkiej ścieżce cyfryzowania całego społeczeństwa, cały czas na wysokim poziomie alertu w związku z sytuacją za naszą wschodnią granicą.

Jest tak dobrze czy tak źle? Niezależnie od oceny danych i zjawisk postawa czujności i aktywnej profilaktyki zagrożeń wydaje się bardziej adekwatna do sytuacji niż usypiająca wiara, że „wszystko jest pod kontrolą”.

– Skoro nasze życie przenosi się do cyberprzestrzeni, to ważne, właściwie kluczowe jest, żebyśmy mogli ufać temu, co tam się dzieje – uważa Joanna Karczewska, ekspertka i audytorka ze Stowarzyszenia ISACA Warszawa.

Jak się bronić? Technologia to za mało. Najważniejsze są działania organizacyjne

– Ataki są coraz bardziej pomysłowe – zauważyła Izabela Albrycht, dyrektor Centrum Cyberbezpieczeństwa w Akademii Górniczo-Hutniczej w Krakowie. – Polski sektor akademicki musi się bardziej zaangażować w tworzenie rozwiązań dla cyberbezpieczeństwa oraz kształcenie kadr i przewidywanie zagrożeń mogących być pochodną łączenia rożnych technologii.

– Jeśli chcemy się skutecznie bronić, musimy najpierw ustalić, jakie procesy są szczególnie zagrożone, gdzie przebiegają ścieżki ryzyka – zwrócił uwagę Wiesław Paluszyński, prezes Polskiego Towarzystwa Informatycznego.

Jego zdaniem najważniejsze są działania organizacyjne; technika jedynie je wspiera.

– Specjalista od cyberbezpieczeństwa musi być analitykiem, to z jego pracy „wynika” zastosowanie odpowiedniej technologii – argumentował Paluszyński. – Z każdego błędu powinniśmy wyciągać wnioski.

W krajowych realiach, szczególnie gdy chodzi o mniejsze firmy szukające zabezpieczeń, pytania dotyczą kosztów wdrożenia narzędzi czy szkoleń dla pracowników, a nie skutków (strat) wywołanych atakiem. Świadomość ryzyka wydaje się w biznesie i dużej części instytucji szczątkowa. Aż do momentu, gdy dojdzie do ataku…

Co gorsza, brakuje podstawowych regulacji dotyczących standardów ochrony infrastruktury krytycznej czy wymuszających stosowanie procedur minimalizujących ryzyko lub utrudniających życie przestępcom. Uchwalanie ustawy o cyberbezpieczeństwie trwa ponad 2,5 roku.

Teraz cyberbezpieczna Europa? Będą nowe obowiązki związane z cyberbezpieczeństwem

Tymczasem inicjatywę regulacyjną w dziedzinie cyberbezpieczeństwa przejmuje Unia Europejska. W cyfrowym świecie ma być bardzo bezpiecznie – to główne założenie nowej, obowiązującej od stycznia tego roku unijnej dyrektywy. Ale bez wątpienia dla wielu to będzie wstrząs. Dyrektywa NIS2 to regulacje dotyczące bezpieczeństwa sieci i systemów informacji, które nakładają na przedsiębiorstwa nowe obowiązki. I co ważne – dotyczą zupełnie nowych branż.

Przepisy wynikają z przeniesienia wielu procesów biznesowych do świata cyfrowego, co wiąże się z wieloma zagrożeniami: od błędów, awarii, niedostępności usług po wyciek danych i rosnącą cyberprzestępczość. Mają zapewnić wysoki poziom ochrony i minimalizować ryzyko cyberataków.

„Dyrektywę NIS 2 można postrzegać jako próbę uaktualnienia i dostosowania wymogów regulacyjnych w zakresie cyberbezpieczeństwa do dynamicznie zmieniającej się rzeczywistości oraz zbudowania zbliżonego standardu w zakresie cyberbezpieczeństwa w całej UE” – pisze w swoim raporcie Federacja Przedsiębiorców Polskich.

Dyrektywa dotyczy przede wszystkim średnich przedsiębiorstw, zatrudniających co najmniej 50 lub więcej pracowników, o rocznych przychodach w wysokości dziesięciu milionów euro albo rocznej sumie bilansowej do 43 milionów euro, a także przedsiębiorstw dużych, zatrudniających przynajmniej 250 osób, o rocznych przychodach w wysokości co najmniej 50 mln euro lub sumie bilansowej 43 mln euro.

Ale niektóre podmioty, takie jak dostawcy usług łączności elektronicznej czy administracja publiczna, będą podlegały dyrektywie NIS2 niezależnie od skali swej działalności. Nie bez powodu – Unia Europejska podzieliła przedsiębiorstwa i instytucje według ich znaczenia.

Nowe obowiązki związane z cyberbezpieczeństwem dotyczyć będą m.in. dostawców usług chmurowych; dostawców chemikaliów, producentów i dystrybutorów żywności, dostawców usług kurierskich, producentów wyrobów elektronicznych i urządzeń elektrycznych czy wreszcie – internetowych platform handlowych.

Ich podstawowym obowiązkiem stanie się podjęcie odpowiednich, czyli uwzględniających wszystkie zagrożenia, środków operacyjnych, technicznych i organizacyjnych, aby zarządzać ryzykiem, na jakie są narażone sieci i systemy informatyczne. Do tego dochodzi korzystanie z certyfikowanych produktów i usług przetwarzających, gromadzących i przesyłających informacje w formie elektronicznej, szkolenie kadry kierowniczej czy zgłaszanie incydentów.

Outsourcing wydaje się najprostszym sposobem spełnienia wymagań dotyczących cyberbezpieczeństwa

Tym wszystkim w poszczególnych przedsiębiorstwach zajmują się zespoły Security Operations Center (SOC), czyli wyspecjalizowane centra bezpieczeństwa. I w tym problem.

– Gdyby firma objęta zapisami dyrektywy zdecydowała o budowie zespołu Security Operations Centre, to pozostało jej naprawdę mało czasu. Trzeba przygotować procedury, kupić sprzęt, zatrudnić i wyszkolić ludzi. Musi też liczyć się z dużym wydatkiem, bo – oprócz kosztów bieżącego utrzymania zespołu – na początek trzeba wydać od pół do półtora miliona złotych – mówi Jarosław Sordyl, konsultant ds. cyberbezpieczeństwa w firmie doradczej NaviRisk.

Jeżeli firma nie posiada takich zdolności finansowych lub nie planuje budowy własnego zespołu, może zlecić świadczenie takiej usługi specjalistom. I to właśnie outsourcing wydaje się relatywnie najprostszym sposobem spełnienia wymagań.

Pamiętać trzeba jednak, że zegar tyka. Państwa członkowskie Unii Europejskiej mają czas na implementację przepisów do 18 października 2024 roku.

– Wprowadzenie w życie dyrektywy NIS2 jest dużym wyzwaniem technologicznym, jednocześnie odnoszącym się do zasobów ludzkich. Wymaga odpowiedniej liczby specjalistów wyposażonych w określone kompetencje. Dotyczy to praktycznie wszystkich podmiotów, które zostaną objęte obowiązkami wprowadzonymi na jej podstawie – komentuje Aleksander Kostuch, ekspert Stormshield, wytwórcy rozwiązań z dziedziny bezpieczeństwa IT.

Niestosowanie się do przepisów będzie oznaczało surowe kary – co najmniej 10 milionów euro lub do 2 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa.

– W tej sytuacji stosowanie już teraz adekwatnych do ryzyka mechanizmów ochronnych jest dobrym posunięciem. Oczywiście, wiąże się to z inwestycjami, zawsze jednak lepiej przeciwdziałać zagrożeniom niż odczuwać skutki udanego ataku lub kar za niedopełnienie obowiązków – mówi Aleksander Kostuch.

Tekst pochodzi z wydania 02/2023 magazynu gospodarczego Nowy Przemysł. Wykorzystano wypowiedzi uczestników Europejskiego Kongresu Gospodarczego 2023.