- Zbliża się koniec prac legislacyjnych nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa, która obejmie ponad 30 tys. polskich firm.
- W życie wchodzi rozporządzenie DORA zwiększające operacyjną odporność cyfrową podmiotów finansowych i regulujące świadczenie usług ICT na rynku finansowym.
Dynamika wydarzeń geopolitycznych sprawia, że możemy spodziewać się nasilenia presji na sferę cyfrową, w której funkcjonuje biznes. Sytuacja obserwowana na Bałtyku pozostaje częścią szerszej strategii hybrydowej, którą prowadzą niektóre państwa, w tym Rosja. Incydenty związane z uszkodzeniem podmorskich kabli i operowaniem statków w pobliżu infrastruktury krytycznej są oceniane jako próba testowania reakcji NATO, w tym krajów bałtyckich na zagrożenia. Jednak podobne wydarzenia już od lat mają miejsce w obszarze IT i technologii operacyjnych (OT), dotykając polskich przedsiębiorców i sektor publiczny.
– Intensyfikacja konwencjonalnych ataków na infrastrukturę krytyczną jest zapowiedzią dalszego wzmocnienia presji na systemy informatyczne przedsiębiorstw z różnych branż. Polska i Europa stoją przed wieloma wyzwaniami, dlatego z pewnością warto zwrócić większą uwagę na skuteczne zabezpieczenie swoich systemów. Pierwszym dobrym krokiem będzie audyt obecnego stanu zabezpieczeń – mówi Paweł Śmigielski, menadżer Stormshield w Polsce.
Duża zależność pomiędzy firmami i obszarem IT była widoczna, gdy na skutek ubiegłorocznej głośnej awarii CrowdStrike, problemów z dostępnością swoich usług doświadczyły m.in. banki, operatorzy lotniczy czy szpitale. Pozornie prosty błąd spowodował globalny chaos i straty liczone w miliardach dolarów, będąc przy okazji niezwykle cenną lekcją dla cyberprzestępców, którym dostarczył informacji o odporności i słabościach systemów informatycznych. Incydent choć nie był cyberatakiem, to uwypuklił znaczenie nieustannego doskonalenia procedur bezpieczeństwa i dbania o gotowość na potencjalne zagrożenia cybernetyczne.
Przestępcy w gotowości, by działać
Zbliża się koniec prac legislacyjnych nad Ustawą o Krajowym Systemie Cyberbezpieczeństwa, kluczowym z perspektywy biznesu aktem prawnym. Jego zapisy będą obowiązujące dla ok. 38 tys. tysięcy polskich firm z kilkunastu sektorów gospodarki. Eksperci oceniają, że przestępcy będą chcieli maksymalnie wykorzystać zaistniałą sytuację, a wielu podmiotom wciąż nie udało się wprowadzić rozwiązań zgodnych z nowymi obowiązkami. Zwłoka może prowadzić do poważnych strat.
– Głównym obszarem zainteresowania przestępców pozostanie niezabezpieczona infrastruktura krytyczna oraz przedsiębiorstwa i instytucje, które zgodnie z założeniami nowelizacji można zaliczyć do kategorii ważnych, czyli prowadzących działalność na przykład w branży produkcji i dystrybucji chemikaliów, żywności czy elektroniki. Dla nich aktualnie nie są przewidziane dodatkowe środki z UE na podniesienie cyberodporności, co może oznaczać, że część przedsiębiorstw nie będzie wystarczająco bezpieczna. Przestępcy z pewnością będą starać się wykorzystać tę słabość – wskazuje Piotr Zielaskiewicz, menedżer w DAGMA Bezpieczeństwo IT.
Od 17 stycznia obowiązuje rozporządzenie DORA obejmujące swym zakresem sektor finansowy i działających w nim dostawców usług cyfrowych. Wprowadza ono obowiązki m.in. dla banków, ubezpieczycieli, funduszy inwestycyjnych i firm obsługujących je od strony IT. Jego założeniem jest m.in. prowadzenie stałych, regularnych przeglądów, raportowanie i zgłoszenia incydentów. DORA nakłada także na instytucje finansowe konieczność monitorowania dostawców zewnętrznych. W Polsce podmioty z tej branży są forpocztą dbałości o wysoki poziom cyberbezpieczeństwa. Tym samym spełnianie wymogów rozporządzenia, nie powinno być problemem. Należy jednak podkreślić, że DORA to proces ciągły.
– Kluczowe wymogi dotyczą zarządzania ryzykiem operacyjnym i cyberbezpieczeństwem. Branża finansowa jest zobowiązana nie tylko do wdrożenia odpowiednich procedur w tych obszarach, lecz także do prowadzenia rejestru zewnętrznych dostawców usług ICT, zawierającego informacje o charakterystyce świadczonych przez nie usług i ocenie związanego z tym ryzyka. Dodatkowo, konieczne jest przeznaczenie odpowiednich zasobów budżetowych i kadrowych, a także regularne szkolenie personelu – wyjaśnia Piotr Zielaskiewicz z DAGMA Bezpieczeństwo IT. – Istotnym aspektem jest również stały monitoring podatności rozwiązań, które już wykorzystujemy. Jeśli ich dostawca często publikuje podatności, to warto rozważyć jego zmianę, by pozostawienie swoistego „konia trojańskiego” nie narażało instytucji na kompromitację i pociągnięcie do odpowiedzialności prawnej i finansowej – dodaje ekspert.
Właściwy czas, aby cyberbezpieczeństwo traktować jako jedną z kompetencji przyszłości
Z danych wynika, że do 2030 roku liczba pracowników wykwalifikowanych w dziedzinie cybersecurity ma w Unii Europejskiej wzrosnąć z 8 do 20 milionów. W Polsce luka kompetencyjna na rynku pracy szacowana jest obecnie na kilkanaście tysięcy specjalistów. To podkreśla znaczenie cyberbezpieczeństwa, a także wskazuje na potrzebę szkoleń wobec dynamicznie zmieniającego się krajobrazu technologicznego.
– Rozwój technologii sprawia, że liczba zagrożeń w cyberprzestrzeni nieustannie rośnie. Dodatkowo nowy front tej walki otwiera sztuczna inteligencja. Pamiętajmy przy tym, że nasze sieci i systemy teleinformatyczne są tak odporne, jak ich najsłabsze ogniwo, którym najczęściej jest człowiek. Od wielu lat, gdy mowa o kompetencjach cyfrowych przyszłości, wskazuje się przede wszystkim na umiejętności związane z programowaniem. Nadszedł czas, by również cyberbezpieczeństwo traktować w ten sposób, zarówno na poziomie administracji państwowej i samorządowej, jak i prywatnego biznesu – wskazuje Paweł Śmigielski, menadżer Stormshield, europejskiego producenta technologii bezpieczeństwa IT.