Złe scenariusze przed polskimi firmami. Trzeba szykować się na najgorsze

Złe scenariusze przed polskimi firmami. Trzeba szykować się na najgorsze
Cyberzagrożeń jest coraz więcej Fot. Shutterstock, Inc.
  • Ten tekst jest częścią STREFY PREMIUM WNP.PL
  • Paweł Szygulski
    Paweł Szygulski
  • Dodano: 14-09-2020 06:01

Dbałość o cyberbezpieczeństwo wymyka się klasycznym schematom myślenia biznesowego. W tej dziedzinie należy przede wszystkim zakładać złe scenariusze i brać poważnie pod uwagę nawet te, które wydają się wysoce nieprawdopodobne. Wielu firmom niełatwo przychodzi godzenie się z wydatkami na zagrożenia, które wyglądają na czysto teoretyczne.

Zapraszamy do Katowic na Międzynarodowe Targi Obrabiarek, Narzędzi i Technologii Obróbki TOOLEX. Targi pod patronatem WNP.PL odbędą się 4-6 października 2022 r. - w ich ramach zapraszamy na ciekawą konferencję Nowy Przemysł 4.0. Rejestracja trwa!

  • Polska niekorzystnie wyróżnia się w rankingach dotyczących bezpieczeństwa. Nasze firmy inwestują w nie wyraźnie mniej niż ich odpowiednicy na Zachodzie.
  • Wzrostowi cyfryzacji gospodarki towarzyszy wzrost ekspozycji na cyberzagrożenia, które szybko się rozwijają. Tymczasem złe scenariusze rozwoju sytuacji rozważamy zbyt rzadko, by zapewnić sobie bezpieczeństwo.
  • Artykuł powstał na podstawie debaty "Cyberbezpieczeństwo", którą zorganizowano na XII Europejskim Kongresie Gospodarczym oraz European Tech and Start-up Days.
Cyberatak wyłączający różne urządzenia w budynkach i uniemożliwiający sprawną komunikację to nie science fiction. Wraz ze wzrostem poziomu życia gospodarczego i prywatnego rośnie też ekspozycja na cyberzagrożenia.

- Jest to wizja bardzo realna zwłaszcza w kontekście galopującego rozwoju elektromobilności, automatyzacji sieci energetycznej, jak również wprowadzania na sieci bardzo wielu urządzeń do sterowania, szczególnie w przypadku odnawialnych źródeł energii - ocenia Artur Bratkowski, dyrektor ds. aparatury i systemów pomiarowych w firmie Apator, która dostarcza urządzenia pomiarowe oraz rozwiązania z zakresu automatyzacji dla energetyki.



Wśród cyberzagrożeń w jego branży wymienia też m.in. możliwość ataków na urządzenia sterownicze w zakładach produkcyjnych oraz ataki na dane osobowe, które przekazują choćby liczniki energii.

- Można by je wykorzystać w postaci danych, które mogą sugerować zachowanie się danego klienta, jak również trzeba zwrócić uwagę, że coraz więcej mamy konsumentów, którzy mają panele fotowoltaiczne, farmy wiatrowe i one też mogą zostać zaatakowane. Wchodzimy w energetykę odnawialną, wchodzimy w energetykę rozproszoną, to może spowodować, że będzie wiele więcej możliwości zaatakowania takiej sieci energetycznej - przestrzega Artur Bratkowski.

Tymczasem osoby działające w branży cyberbezpieczeństwa nie mają wątpliwości, że organizacje, by zabezpieczyć się przed cyberatakami, powinny rozważać nawet najmniej prawdopodobne scenariusze zagrożeń.

- Cyberbezpieczeństwo jest o tyle trudnym obszarem do zarządzania, że tutaj mamy realny i bardzo daleko idący w skutkach wpływ danych cyberataków, a z drugiej strony prawdopodobieństwo, tak realnie rzecz biorąc, jest relatywnie bardzo niskie. Gdyby to było bardzo częste zjawisko, byłoby dużo łatwiej zarządzać tym tematem. A tak musimy się troszeczkę przygotowywać na rzeczy niewiadome, trudne do przewidzenia, stąd jest to bardzo ciekawy obszar, bardzo ważny - zwraca uwagę Michał Kurek, partner w dziale doradztwa biznesowego i szef zespołu ds. cyberbezpieczeństwa w firmie doradczej KPMG.

- Mimo że prawdopodobieństwo nie jest czasem wysokie, to zachęcam do prowadzenia analiz scenariuszowych i uwzględniania nawet tych scenariuszy, które wydają się mało prawdopodobne - wtóruje mu Rafał Jaczyński, regional cyber security officer w Huawei Technologies na Europę Środkowo-Wschodnią i kraje nordyckie.

Jak dodaje, gdyby nie takie analizy, to nawet taka firma jak Huawei, czyli 49. na świecie pod względem wielkości, zaskoczona tego rodzaju przypadkiem byłaby w niezwykle dużych kłopotach i mogłaby zakończyć swoją działalność nawet w przeciągu dwóch miesięcy.

Czytaj także: Cyberbezpieczeństwo po nowemu. Polska ma być kreatorem decyzji

Tymczasem w Polsce poziom wydatków biznesu na cyberbezpieczeństwo pozostaje stosunkowo niski. - Polskie przedsiębiorstwa wydają średnio 2 razy mniej niż analogiczne przedsiębiorstwa na Zachodzie - ocenia Jaczyński.

Wymienia tu dwa powody takiej sytuacji. - Po pierwsze nie jesteśmy bogatym krajem i dużym rynkiem, a bezpieczeństwo niestety w większości przypadków nie powoduje bezpośredniego wpływu albo na przychody, albo na spadek kosztów. W związku z tym prezesi nie traktują bezpieczeństwa jako tego, co pozwala zrealizować cele - mówi.

- Druga sprawa to prawo, które nie jest u nas kompletne. Nadal nie mobilizuje firm do tego, do czego zobowiązuje się je w USA - do transparentności, do ujawniania informacji o incydentach - konkluduje Rafał Jaczyński.

Tymczasem w dziedzinie cyberbezpieczeństwa nie ma miejsca na marnowanie danych oraz czasu na jakikolwiek zastój. Dobrze wiedzą o tym banki, które cały czas starają się nadążać za cyberprzestępcami.

Zobacz również: Tworzymy jedną strategię za drugą, ale bez pieniędzy wciąż będziemy w ogonie

- Jest to działka szalenie innowacyjna i wyścig zbrojeń trwa cały czas. Nawet gdybyśmy byli przygotowani na wszystkie cyberataki, to i tak właśnie gdzieś na świecie ktoś wymyśla kolejny - twierdzi Krzysztof Dąbrowski, wiceprezes mBanku ds. operacji i informatyki.

Podkreśla przy tym, że banki nie mogą sobie pozwolić na odizolowanie swoich systemów od świata zewnętrznego, ponieważ kwintesencją ich działalności jest kontakt z klientami. - Kontrola absolutna przez całkowite odcięcie jest bardzo dobrym zabezpieczeniem na ataki z zewnątrz, ale my w bankowości mamy tu mniej pola do popisu - mówi Krzysztof Dąbrowski.

Przestrzega przy tym, że cyberprzestępcy nie muszą dokonywać zmasowanego ataku, by na przykład sparaliżować całe państwo.

- Scenariusz, którego najbardziej się obawiam, to skoordynowany atak na państwo. Scenariusz, w którym atakujący wybierze sobie cele, za pomocą paraliżu których można doprowadzić do klęknięcia państwa. To nie musi być atak powszechny, ale dość wybiórczy, punktowy - powiedział wiceprezes mBanku.

- Pytanie, czy jesteśmy gotowi na taki atak, w którym ktoś wymyśli dziesięć punktów, w które jak się trafi, to Polska klęknie - konkluduje.

O tym, że z takim przygotowaniem może być nie najlepiej, świadczą niestety pozycje, na których plasuje się Polska w rankingach dotyczących cyberbezpieczeństwa.

- Ogólny poziom cyberbezpieczeństwa w Polsce jest oceniany bardzo nisko. Jesteśmy sklasyfikowani bodajże na 26. miejscu w Europie i wyprzedzają nas m.in. takie kraje jak Ukraina, Czechy czy Węgry. Trudno tu więc nie zgodzić się z opinią, że cyberbezpieczeństwo w naszym kraju nie ma odpowiedniej rangi, co można spointować tym, że dotyczy to ogólnie naszej gospodarki, a nie tylko niektórych podmiotów - zwraca uwagę Wojciech Kamieniecki, dyrektor Narodowego Centrum Badań i Rozwoju.

Sytuację ma pomóc zmienić na lepsze obowiązująca od 28 sierpnia 2018 roku ustawa o krajowym systemie cyberbezpieczeństwa. System ten ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności: niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcia odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.

Uformowano już odpowiednie zespoły, które mają reagować na wydarzenia i zjawiska związane z cyberbezpieczeństwem. - Zespoły są zobligowane do współpracy. Co więcej, również w tym celu będzie uruchamiany system teleinformatyczny na podstawie artykułu 46. ustawy, który umożliwi przede wszystkim przystąpienie podmiotom, które są kluczowe z punktu widzenia funkcjonowania gospodarki - tłumaczy Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji.

Dzięki temu choćby firmy energetyczne zyskają dostęp do informacji o zagrożeniach i metodach obrony. - System będzie niezależny od internetu, bo mówimy o dedykowanej infrastrukturze, która będzie wykorzystywana w sytuacjach krytycznych, do tego, żeby informować o wszelkich zakłóceniach i do tego, żeby nie zostać samemu z problemem - wyjaśnia Robert Kośla. - System ma ruszyć od początku stycznia przyszłego roku.

Budowa systemu ma jednak mały wpływ na podejście polskiego biznesu do zagadnień związanych z cyberbezpieczeństwem. A te cechuje spora doza akcyjności, czyli poświęcania uwagi tej dziedzinie, gdy dzieją się w niej spektakularne wydarzenia oraz odpuszczania tego tematu w innych sytuacjach.

- Podejście do bezpieczeństwa widzę zawsze jako sinusoidę. Są momenty, w których coś się wydarza i wtedy firmy są przekonane, że coś trzeba zrobić. W momencie gdy uspokaja się sytuacja, to już zmienia się podejście biznesowe - zwraca uwagę Sylwia Wystub, dyrektor usług doradczych w obszarze cyberbezpieczeństwa w firmie Resilia.

Toteż jej zdaniem należy inwestować w rozwój kadr, nie tylko tych zajmujących się stricte cyberbezpieczeństwem, ale także zwykłych pracowników firm, by mieli dostateczną świadomość wagi tego zagadnienia i możliwych do zaimplementowania rozwiązań.

- Aby mówić o cyberbezpieczeństwie, musimy mieć wyobraźnię i inteligencję. Jeżeli nawet jesteśmy wystarczająco inteligentni czy rozmawiamy z osobami, które wiedzą, jak funkcjonuje biznes, to wyobraźnia czasem jest zbyt mała albo nie dopuszcza się pewnych zdarzeń jako możliwych, nawet jeżeli są trochę prawdopodobne - tłumaczy.

- Absolutnie nie wierzymy w złe scenariusze i łatwo jest nam rozwiązać pewne rzeczy, przekonać zarządzających do spraw, które są oczywiste tu i teraz, a bardzo trudno jest przebić się przez barierę wyobraźni. Oczywiście mamy wyobraźnię, że coś się może zdarzyć, ale nie mamy wyczucia, że najbardziej nieprawdopodobne, acz możliwe rzeczy mogą się zdarzyć - konkluduje Sylwia Wystub.

 

×

DALSZA CZĘŚĆ ARTYKUŁU JEST DOSTĘPNA DLA SUBSKRYBENTÓW STREFY PREMIUM PORTALU WNP.PL

lub poznaj nasze plany abonamentowe i wybierz odpowiedni dla siebie. Nie masz konta? Kliknij i załóż konto!

KOMENTARZE (0)

Do artykułu: Złe scenariusze przed polskimi firmami. Trzeba szykować się na najgorsze

PISZESZ DO NAS Z ADRESU IP: 44.201.95.84
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum

Logowanie

Dla subskrybentów naszych usług (Strefa Premium, newslettery) oraz uczestników konferencji ogranizowanych przez Grupę PTWP

Nie pamiętasz hasła?

Nie masz jeszcze konta? Kliknij i zarejestruj się teraz!