Foto: CyberDefence24/Marcin Ordon
W obszarze bezpieczeństwa cyfrowego wielu usług komercyjnych i publicznych, jak bankowość mobilna czy aplikacje typu mObywatel, Polska jest dziś stawiana w Europie za wzór, zajmując czołowe miejsca w międzynarodowych rankingach. Jednak szereg kwestii – od koordynacji działań wszystkich instytucji, przez edukację, po gotowość MŚP do inwestowania w cyberbezpieczeństwo – wciąż wymaga poprawy – przyznali uczestnicy debaty zorganizowanej przez Krajową Izbę Gospodarki Cyfrowej (KIGC).
Nie jest to wiedza powszechna – a naprawdę mamy się czym, jako obywatele Polski, pochwalić. Nasz kraj zajął właśnie historyczne, pierwsze miejsce w prestiżowym rankingu cyberbezpieczeństwa NCSI (National Cyber Security Index), mierzącym gotowość 32 krajów na całym świecie do zapobiegania zagrożeniom i zarządzania incydentami cybernetycznymi. Z kolei w rankingu The Cyber Defense Index 2022/23, opublikowanym przez magazyn „MIT Technology Review”, zajęliśmy szóstą lokatę, wyprzedzając m.in. Japonię, Szwajcarię czy Wielką Brytanię.
– „Wysoka pozycja Polski w międzynarodowych rankingach to efekt kompleksowych, długofalowych działań instytucji publicznych i współpracującego z nimi sektora prywatnego. Doskonałym przykładem jest sukces bezpłatnego narzędzia moje.cert.pl, umożliwiającego dowolnej osobie bądź firmie czy instytucji >>audyt<< swojej domeny pod kątem bezpieczeństwa. W ramach tego skanowania wykryto już ponad pół miliona podatności oraz 35 tys. poważnych zagrożeń” – powiedział Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, podczas debaty „Cyberbezpieczna Polska, bezpieczny obywatel”.
Spotkanie eksperckie w Centrum Prasowym PAP zostało zorganizowane w ramach cyklu „Polska 5.0 z perspektywy obywatela – priorytety polskiej cyfryzacji 2025-2028”. Rozmowa, do której zaproszono przedstawicieli administracji rządowej, instytucji naukowych i biznesu, odbyła się pod patronatem KIGC: izby gospodarczej zrzeszającej firmy oraz przedsiębiorców z rynku gospodarki cyfrowej we współpracy z portalem CyberDefence24, CISO Poland i programem „Liderzy Transformacji Cyfrowej Sektora Publicznego”.
WIDEO: KIGC: walka z cyberprzestępcami to niekończący się wyścig „cyfrowych zbrojeń”
– „Silna pozycja Polski i jej instytucji w kontekście cyberbezpieczeństwa i odporności cyfrowej wyraźnie zaznacza się w ostatnich latach na arenie międzynarodowej. Zarówno inne rządy, jak i międzynarodowe firmy, postrzegają dziś nasz kraj jako wiarygodnego partnera oraz poważnego gracza w dyskusji na temat skutecznej ochrony i uregulowania tak dynamicznie zmieniającej się cyfrowej przestrzeni” – argumentowała dr Joanna Pawełek-Mendez z Ministerstwa Spraw Zagranicznych.
Na poziomie krajowym w Polsce działają trzy Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Te role ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa przypisuje: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), NASK – PIB (CSIRT NASK) oraz resortowi obrony narodowej (CSIRT MON). To one odgrywają kluczową rolę w systemie cyberbezpieczeństwa Polski.
– „Szczególną uwagę poświęcamy edukacji dwóch najbardziej podatnych na zagrożenia grup: młodzieży oraz seniorów. W ramach cyberprofilaktyki i cyberhigieny docieramy do tysięcy uczniów w całej Polsce ze szkoleniami i narzędziami, pomagającymi uchronić ich przed cyberprzestępcami i dezinformacją. W przypadku osób starszych kładziemy nacisk na naukę tego, jak zbyt pochopnie nie dzielić się wrażliwymi danymi” – wyjaśniał Przemysław Kuna, zastępca dyrektora NASK, dyrektor ds. Ogólnopolskiej Sieci Edukacyjnej.
Budowa kompetencji cyfrowych to jednak zadanie kompleksowe i obejmujące całe społeczeństwo. Trzymając się przykładu edukacji: odpowiednich szkoleń oraz przygotowania potrzebują również nauczyciele, których wychowankowie, choćby z racji wieku, poruszają się w internecie znacznie sprawniej.
– „Niewątpliwie jesteśmy dziś liderami cyberbezpieczeństwa naszego regionu, ale i całej Europy, do czego przyczyniło się otwarcie sektora publicznego i naukowego na rozmowy oraz współpracę z biznesem. Najważniejszym zadaniem i ogromnym wyzwaniem jest obecnie próba wypełnienia tzw. luki kompetencyjnej. Żadna, nawet najlepsza technologia czy infrastruktura, nie będzie bowiem działać właściwie bez odpowiednio przygotowanych i wynagradzanych specjalistów w swoich dziedzinach” – podkreślał Grzegorz Latosiński, dyrektor generalny Palo Alto Networks Polska.
Stała poprawa odporności cyfrowej to również priorytety instytucji unijnych. W ciągu ostatnich lat przygotowały one szereg zmian w prawie, adresowanych czy to do całego rynku, czy jego poszczególnych sektorów, mających na celu wzmocnienie cyberbezpieczeństwa firm, a w rezultacie – wszystkich europejskich konsumentów. Mowa tu m.in. o dyrektywie NIS2, rozporządzeniu DORA czy akcie CRA.
Nie bez przyczyny nowe regulacje dotyczą głównie biznesu: jego gotowość do inwestowania w cyberbezpieczeństwo (a raczej jej brak, zwłaszcza w segmencie MŚP) to pięta achillesowa całego systemu odporności cyfrowej: tak w Polsce, jak i w dużo bogatszych od niej krajach Wspólnoty.
– „Rodzime firmy powinny wręcz wyprzedzać w działaniach na rzecz cyfrowego bezpieczeństwa te francuskie czy niemieckie, bo nasza sytuacja geopolityczna jako kraju i rynku >>przyfrontowego<< jest całkowicie inna, a łańcuchy dostaw i wartości: znacznie bardziej narażone na ataki” – zaznaczył Dariusz Piotrowski, dyrektor generalny Dell Technologies Polska.
Jednak, jak wskazuje Dariusz Piotrowski, polskie firmy, zwłaszcza te średnie i małe, w obszarze cyberbezpieczeństwa nadal szukają przede wszystkim oszczędności. Szef Dell Technologies Polska podkreśla, że wszyscy powinniśmy zabiegać o to, aby instytucje i przedsiębiorstwa budowały swoją cyberodporność na wiarygodnych i sprawdzonych rozwiązaniach.
– „Nasze przedsiębiorstwa wciąż konkurują na globalnym rynku głównie ceną, co powoduje, że nie zawsze MŚP przeznaczają na swą cyfrową odporność adekwatne środki. Kupują one często najtańsze oprogramowania czy usługi, a przecież to logiczne, że audyt całego systemu za kilkaset złotych nie przyniesie oczekiwanych efektów” – powiedział dr inż. Andrzej Bartosiewicz, prezes Fundacji CISO #Poland.
Nie pomagają również, zdaniem ekspertów, praktyki i zapisy stosowane w organizowanych przetargach publicznych.
– „W naszym kraju niechlubnym standardem jest to, że decydującą rolę odgrywa jak najniższa cena oferty. Tymczasem już w Niemczech odrzucane są wszystkie >>skrajne<<, czyli najdroższe, ale i najtańsze zgłoszenia, co eliminuje wielu niepożądanych wykonawców. Dodajmy do tego, że nadal brak wdrażania wymaganych narzędzi w zakresie cyberbezpieczeństwa nie wiąże się z istotną sankcją dla przedsiębiorców, co z pewnością nie mobilizuje ich do podjęcia konkretnych, efektywnych działań” – ocenił Adam Paczuski, przedsiębiorca i pełnomocnik zarządu ds. sztucznej inteligencji w Krajowej Izbie Gospodarki Cyfrowej.
Taka praktyka może rodzić realne zagrożenia dla funkcjonowania tak poszczególnych firm, jak i całych branż oraz gospodarki. Na celowniku hakerów coraz częściej znajdują się podmioty z sektora MŚP, bo w przeciwieństwie do największych koncernów mogą okazać się nieprzygotowane do odparcia nawet najprostszego ataku.
– „Skoro >>tańsze<< wygrywa na rynku, to musimy mieć świadomość konsekwencji. Często oznacza to niższą jakość produktu lub, niestety, ukryte funkcje, które mogą prowadzić do utraty poufności danych, a w konsekwencji do dostępu do nich osób nieuprawnionych. Przykładów w świecie cyberbezpieczeństwa jest dość dużo, w których widać, że pochodzenie sprzętu, a także miejsce produkcji jego elementów może mieć bardzo duże znaczenie dla zachowania bezpieczeństwa środowiska IT i danych w nim przetwarzanych” – wskazywał Maciej Mróz z Sieci Badawczej Łukasiewicz, kierownik zespołu do spraw bezpieczeństwa IT w Instytucie Lotnictwa.
Nadal około 90 proc. incydentów hakerskich opiera się na tzw. phishingu i smishingu, czyli wykorzystywaniu wiadomości e-mail i SMS do wyłudzania danych oraz zakłócania prawidłowego funkcjonowania organizacji. Jednak w dobie AI co chwile pojawiają się nowe, coraz bardziej inteligentne i wysublimowane narzędzia, na które sektor publiczny i prywatny muszą szukać natychmiastowych odpowiedzi.
– „Obywatele czują się w tym wszystkim coraz bardziej zagubieni – ja sam jako specjalista mam problem z nadążeniem za tak dynamicznymi zmianami rzeczywistości technologicznej. Potrzebują więc oni wiarygodnego partnera oraz przewodnika i tak właśnie definiuję dzisiejszą rolę instytucji państwowych. Aby jednak wywiązać się z tego zadania, muszą istnieć w obecnym natłoku informacyjnym jednoznaczne i niezakłócalne zewnętrznie kanały skutecznej komunikacji państwo-obywatel” – podkreślił dr Tomasz Kruk, prezes zarządu EXATEL.
– „Dialog pomiędzy sektorem publicznym, technologicznym i naukowym, synergia działań, inwestycje w kadry i infrastrukturę oraz stały rozwój e-kompetencji to najważniejsze wnioski i rekomendacje płynące dziś ze strony ekspertów” – podsumował debatę Bartosz Loba, pełnomocnik zarządu KIGC ds. transformacji cyfrowej sektora publicznego, moderujący dyskusję wspólnie z red. Oskarem Klimczukiem z CyberDefence24.
Źródło informacji: PAP MediaRoom
