KIGC: walka z cyberprzestępcami to niekończący się wyścig „cyfrowych zbrojeń”

Nie jest to wiedza powszechna - a naprawdę mamy się czym, jako obywatele Polski, pochwalić. Nasz kraj zajął właśnie historyczne, pierwsze miejsce w prestiżowym rankingu cyberbezpieczeństwa NCSI (National Cyber Security Index), mierzącym gotowość 32 krajów na całym świecie do zapobiegania zagrożeniom i zarządzania incydentami cybernetycznymi. Z kolei w rankingu The Cyber Defense Index 2022/23, opublikowanym przez magazyn „MIT Technology Review”, zajęliśmy szóstą lokatę, wyprzedzając m.in. Japonię, Szwajcarię czy Wielką Brytanię. 

„Wysoka pozycja Polski w międzynarodowych rankingach to efekt kompleksowych, długofalowych działań instytucji publicznych i współpracującego z nimi sektora prywatnego. Doskonałym przykładem jest sukces bezpłatnego narzędzia moje.cert.pl, umożliwiającego dowolnej osobie bądź firmie czy instytucji >>audyt<< swojej domeny pod kątem bezpieczeństwa. W ramach tego skanowania wykryto już ponad pół miliona podatności oraz 35 tys. poważnych zagrożeń” - powiedział Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, podczas debaty „Cyberbezpieczna Polska, bezpieczny obywatel”.

Spotkanie eksperckie w Centrum Prasowym PAP zostało zorganizowane w ramach cyklu „Polska 5.0 z perspektywy obywatela - priorytety polskiej cyfryzacji 2025-2028”. Rozmowa, do której zaproszono przedstawicieli administracji rządowej, instytucji naukowych i biznesu, odbyła się pod patronatem KIGC: izby gospodarczej zrzeszającej firmy oraz przedsiębiorców z rynku gospodarki cyfrowej we współpracy z portalem CyberDefence24, CISO Poland i programem „Liderzy Transformacji Cyfrowej Sektora Publicznego”. 

„Silna pozycja Polski i jej instytucji w kontekście cyberbezpieczeństwa i odporności cyfrowej wyraźnie zaznacza się w ostatnich latach na arenie międzynarodowej. Zarówno inne rządy, jak i międzynarodowe firmy, postrzegają dziś nasz kraj jako wiarygodnego partnera oraz poważnego gracza w dyskusji na temat skutecznej ochrony i uregulowania tak dynamicznie zmieniającej się cyfrowej przestrzeni” - argumentowała dr Joanna Pawełek-Mendez z Ministerstwa Spraw Zagranicznych. 

Na poziomie krajowym w Polsce działają trzy Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Te role ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa przypisuje: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), NASK - PIB (CSIRT NASK) oraz resortowi obrony narodowej (CSIRT MON). To one odgrywają kluczową rolę w systemie cyberbezpieczeństwa Polski. 

„Szczególną uwagę poświęcamy edukacji dwóch najbardziej podatnych na zagrożenia grup: młodzieży oraz seniorów. W ramach cyberprofilaktyki i cyberhigieny docieramy do tysięcy uczniów w całej Polsce ze szkoleniami i narzędziami, pomagającymi uchronić ich przed cyberprzestępcami i dezinformacją. W przypadku osób starszych kładziemy nacisk na naukę tego, jak zbyt pochopnie nie dzielić się wrażliwymi danymi” - wyjaśniał Przemysław Kuna, zastępca dyrektora NASK, dyrektor ds. Ogólnopolskiej Sieci Edukacyjnej.

Budowa kompetencji cyfrowych to jednak zadanie kompleksowe i obejmujące całe społeczeństwo. Trzymając się przykładu edukacji: odpowiednich szkoleń oraz przygotowania potrzebują również nauczyciele, których wychowankowie, choćby z racji wieku, poruszają się w internecie znacznie sprawniej. 

„Niewątpliwie jesteśmy dziś liderami cyberbezpieczeństwa naszego regionu, ale i całej Europy, do czego przyczyniło się otwarcie sektora publicznego i naukowego na rozmowy oraz współpracę z biznesem. Najważniejszym zadaniem i ogromnym wyzwaniem jest obecnie próba wypełnienia tzw. luki kompetencyjnej. Żadna, nawet najlepsza technologia czy infrastruktura, nie będzie bowiem działać właściwie bez odpowiednio przygotowanych i wynagradzanych specjalistów w swoich dziedzinach” - podkreślał Grzegorz Latosiński, dyrektor generalny Palo Alto Networks Polska. 

Stała poprawa odporności cyfrowej to również priorytety instytucji unijnych. W ciągu ostatnich lat przygotowały one szereg zmian w prawie, adresowanych czy to do całego rynku, czy jego poszczególnych sektorów, mających na celu wzmocnienie cyberbezpieczeństwa firm, a w rezultacie - wszystkich europejskich konsumentów. Mowa tu m.in. o dyrektywie NIS2, rozporządzeniu DORA czy akcie CRA. 

Nie bez przyczyny nowe regulacje dotyczą głównie biznesu: jego gotowość do inwestowania w cyberbezpieczeństwo (a raczej jej brak, zwłaszcza w segmencie MŚP) to pięta achillesowa całego systemu odporności cyfrowej: tak w Polsce, jak i w dużo bogatszych od niej krajach Wspólnoty. 

„Rodzime firmy powinny wręcz wyprzedzać w działaniach na rzecz cyfrowego bezpieczeństwa te francuskie czy niemieckie, bo nasza sytuacja geopolityczna jako kraju i rynku >>przyfrontowego<< jest całkowicie inna, a łańcuchy dostaw i wartości: znacznie bardziej narażone na ataki” - zaznaczył Dariusz Piotrowski, dyrektor generalny Dell Technologies Polska. 

Jednak, jak wskazuje Dariusz Piotrowski, polskie firmy, zwłaszcza te średnie i małe, w obszarze cyberbezpieczeństwa nadal szukają przede wszystkim oszczędności. Szef Dell Technologies Polska podkreśla, że wszyscy powinniśmy zabiegać o to, aby instytucje i przedsiębiorstwa budowały swoją cyberodporność na wiarygodnych i sprawdzonych rozwiązaniach.

„Nasze przedsiębiorstwa wciąż konkurują na globalnym rynku głównie ceną, co powoduje, że nie zawsze MŚP przeznaczają na swą cyfrową odporność adekwatne środki. Kupują one często najtańsze oprogramowania czy usługi, a przecież to logiczne, że audyt całego systemu za kilkaset złotych nie przyniesie oczekiwanych efektów” - powiedział dr inż. Andrzej Bartosiewicz, prezes Fundacji CISO #Poland.

Nie pomagają również, zdaniem ekspertów, praktyki i zapisy stosowane w organizowanych przetargach publicznych. 

„W naszym kraju niechlubnym standardem jest to, że decydującą rolę odgrywa jak najniższa cena oferty. Tymczasem już w Niemczech odrzucane są wszystkie >>skrajne<<, czyli najdroższe, ale i najtańsze zgłoszenia, co eliminuje wielu niepożądanych wykonawców. Dodajmy do tego, że nadal brak wdrażania wymaganych narzędzi w zakresie cyberbezpieczeństwa nie wiąże się z istotną sankcją dla przedsiębiorców, co z pewnością nie mobilizuje ich do podjęcia konkretnych, efektywnych działań” - ocenił Adam Paczuski, przedsiębiorca i pełnomocnik zarządu ds. sztucznej inteligencji w Krajowej Izbie Gospodarki Cyfrowej. 

Taka praktyka może rodzić realne zagrożenia dla funkcjonowania tak poszczególnych firm, jak i całych branż oraz gospodarki. Na celowniku hakerów coraz częściej znajdują się podmioty z sektora MŚP, bo w przeciwieństwie do największych koncernów mogą okazać się nieprzygotowane do odparcia nawet najprostszego ataku.

„Skoro >>tańsze<< wygrywa na rynku, to musimy mieć świadomość konsekwencji. Często oznacza to niższą jakość produktu lub, niestety, ukryte funkcje, które mogą prowadzić do utraty poufności danych, a w konsekwencji do dostępu do nich osób nieuprawnionych. Przykładów w świecie cyberbezpieczeństwa jest dość dużo, w których widać, że pochodzenie sprzętu, a także miejsce produkcji jego elementów może mieć bardzo duże znaczenie dla zachowania bezpieczeństwa środowiska IT i danych w nim przetwarzanych” - wskazywał Maciej Mróz z Sieci Badawczej Łukasiewicz, kierownik zespołu do spraw bezpieczeństwa IT w Instytucie Lotnictwa.

Nadal około 90 proc. incydentów hakerskich opiera się na tzw. phishingu i smishingu, czyli wykorzystywaniu wiadomości e-mail i SMS do wyłudzania danych oraz zakłócania prawidłowego funkcjonowania organizacji. Jednak w dobie AI co chwile pojawiają się nowe, coraz bardziej inteligentne i wysublimowane narzędzia, na które sektor publiczny i prywatny muszą szukać natychmiastowych odpowiedzi. 

„Obywatele czują się w tym wszystkim coraz bardziej zagubieni - ja sam jako specjalista mam problem z nadążeniem za tak dynamicznymi zmianami rzeczywistości technologicznej. Potrzebują więc oni wiarygodnego partnera oraz przewodnika i tak właśnie definiuję dzisiejszą rolę instytucji państwowych. Aby jednak wywiązać się z tego zadania, muszą istnieć w obecnym natłoku informacyjnym jednoznaczne i niezakłócalne zewnętrznie kanały skutecznej komunikacji państwo-obywatel” - podkreślił dr Tomasz Kruk, prezes zarządu EXATEL. 

„Dialog pomiędzy sektorem publicznym, technologicznym i naukowym, synergia działań, inwestycje w kadry i infrastrukturę oraz stały rozwój e-kompetencji to najważniejsze wnioski i rekomendacje płynące dziś ze strony ekspertów” - podsumował debatę Bartosz Loba, pełnomocnik zarządu KIGC ds. transformacji cyfrowej sektora publicznego, moderujący dyskusję wspólnie z red. Oskarem Klimczukiem z CyberDefence24. 

Źródło informacji: PAP MediaRoom