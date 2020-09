Niedoinwestowanie, brak wykwalifikowanych pracowników i niedoskonała legislacja to główne bolączki cyberbezpieczeństwa Polski — wynika z dyskusji ekspertów z tej dziedziny, która odbyła się podczas Europejskiego Kongresu Gospodarczego w Katowicach.

Z szeroko rozumianym bezpieczeństwem w sieci nie jest w Polsce najlepiej. Według ostatniego rankingu firmy Check Point pod względem poziomu cyberbezpieczeństwa nasz kraj znalazł się dopiero na 26. miejscu w Europie i na 51. miejscu na świecie. Z najbliższego nam otoczenia lepiej wypadły m.in. Węgry, Ukraina czy Czechy.

Zobacz więcej Rafał Jaczyński, ekspert ds. cyberbezpieczeństwa Huawei, pozytywnie ocenił wprowadzone rozwiązania prawne dotyczące tego obszaru. Jednocześnie podkreślił, że niezależnie od dobrych przepisów, przedsiębiorstwa same muszą dbać o zapewnienie bezpieczeństwa w cyfrowej przestrzeni. [fot. Rafał Klimkiewicz - Edytor]

Jednak diabeł jak zwykle tkwi w szczegółach. Jak bowiem zauważył Wojciech Kamieniecki, dyrektor Narodowego Centrum Badań i Rozwoju, choć ogólny poziom cyberbezpieczeństwa w Polsce faktycznie oceniany jest jako niski, to dotyczy to raczej gospodarki jako całości, nie zaś wszystkich zaangażowanych podmiotów.

— CERT Polska jest jedną z najlepszych tego typu organizacji w Europie. W organizowanych co dwa lata zawodach zawsze zajmuje czołowe miejsca. Nie mam zastrzeżeń do jego poziomu ani do poziomu dwóch pozostałych tego typu zespołów działających przy ABW i MON. Natomiast słabym punktem jest to, co dzieje się w poszczególnych firmach, urzędach czy instytucjach — przekonywał szef NCBiR.

CERT Polska (CSIRT NASK) oraz CSIRT GOV, prowadzony przez Agencję Bezpieczeństwa Wewnętrznego, i CSIRT MON, prowadzony przez Ministerstwo Obrony Narodowej, są zespołami reagowania na incydenty bezpieczeństwa komputerowego, których funkcjonowanie reguluje ustawa o krajowym systemie cyberbezpieczeństwa. Stanowią jądro Krajowego Systemu Cyberbezpieczeństwa (KSC). Żeby jednak system spełniał swoją funkcję, potrzebna jest sprawna komunikacja między wszystkimi jego elementami. Ma ją zapewnić uruchamiany właśnie dedykowany system teleinformatyczny.

— Przede wszystkim umożliwi on wszystkim podmiotom z sektorów, które są kluczowe z punktu widzenia funkcjonowania gospodarki, bieżące pozyskiwanie informacji na temat wszelkiego rodzaju zagrożeń, które mogą ich dotyczyć. A z drugiej strony będą mogły wykorzystać ten kanał komunikacyjny, niezależny od internetu, stworzony na dedykowanej, niezależnej infrastrukturze, do informowania o wszelkich zakłóceniach, dzięki czemu nie zostaną same z problemem. System ma ruszyć od stycznia przyszłego roku — poinformował Robert Kośla, dyrektor departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji.

Trening czyni mistrza

Zdaniem Michała Kurka, szefa zespołu ds. cyberbezpieczeństwa w KPMG, bezpieczeństwo systemów teleinformatycznych jest obszarem trudnym do zarządzania.

— Zagrożenie atakiem jest realne, a jego skutki mogą być bardzo daleko idące, jednak prawdopodobieństwo ich wystąpienia jest relatywnie bardzo niskie. Paradoksalnie, byłoby łatwiej, gdyby to były częste zjawiska. A tak musimy się przygotowywać na rzeczy niewiadome, trudne do przewidzenia. Niemniej, żeby jakikolwiek system dobrze działał, to komunikacja jest absolutnie krytyczna, więc cieszę się, że KSC powstaje. Najważniejsze są jednak ćwiczenia, czyli nieustanne testowanie systemu w symulowanych sytuacjach zagrożenia, w różnych, nawet najbardziej nieprawdopodobnych scenariuszach. Moim zdaniem zajmie jeszcze wiele czasu, zanim KSC będzie działał w pełni sprawnie — ocenił Michał Kurek.

Przedstawiciel Ministerstwa Cyfryzacji przyznał mu rację, zgadzając się, że ćwiczeń nigdy nie jest za dużo.

— Ich inicjowanie na poziomie krajowym będzie w kompetencjach pełnomocnika rządu ds. cyberbezpieczeństwa. Już od ponad sześciu miesięcy przygotowujemy różne scenariusze, zestawy zadań, które mają być zweryfikowane podczas pierwszej edycji ćwiczeń planowanej jeszcze w tym miesiącu — zapowiedział Robert Kośla.

Wojna bez końca

Jak zauważył Krzysztof Dąbrowski, wiceprezes ds. operacji i informatyki w mBanku, cyberbezpieczeństwo to dziedzina szalenie innowacyjna, w której wyścig zbrojeń trwa cały czas.

— Nawet jeśli bylibyśmy przygotowani na wszystkie obecnie istniejące formy ataków, o których wiemy, i nawet na te, o których nie wiemy, to właśnie teraz ktoś gdzieś na świecie wymyśla kolejny sposób, który zapewne będzie próbował gdzieś wykorzystać. Zatem co do zasady, ta walka nigdy się nie skończy. To, czego najbardziej się obawiam, to nie tyle pojedynczy atak hakerski na bank czy inną instytucję ani nawet wystąpienie jakiejś katastrofy naturalnej, ile sytuacja, gdy ktoś zechce przeprowadzić skoordynowany atak na państwo. Paraliżując skrupulatnie wybrane cele w jednym czasie, można by dosłownie powalić całe państwo na kolana. I tu rodzi się pytanie, czy wystarczy nam wyobraźni, aby sobie tak skrajne scenariusze wymyślić, żeby móc się potem zastanowić, jak im ewentualnie przeciwdziałać — zastanawiał się Krzysztof Dąbrowski.

Rafał Jaczyński, ekspert ds. cyberbezpieczeństwa Huawei, pozytywnie ocenił wprowadzone ramy prawne dotyczące obszaru cyberbezpieczeństwa w Polsce.

— Trzeba jednak mieć na uwadze, że one nie zastąpią tego, że przedsiębiorstwa, które bez względu na to, czy są, czy nie są dostawcami usług kluczowych, muszą sobie same poradzić z tym problemem. Muszą mieć na to pieniądze, muszą mieć odpowiednich ludzi i muszą ze sobą współpracować, niezależnie od istniejącego prawa — podkreślił Rafał Jaczyński.

Brakuje pieniędzy…

Przedstawiciel Huawei oszacował, że polskie firmy średnio wydają na cyberbezpieczeństwo mniej więcej połowę tego, co ich zagraniczni konkurenci, zwłaszcza ci na Zachodzie. Wskazał dwie przyczyny takiego stanu rzeczy.

— Po pierwsze, nie jesteśmy bogatym krajem ani dużym rynkiem, a co za tym idzie, również nasze firmy nie są bogate. Zwiększenie bezpieczeństwa w większości przypadków nie wpływa bezpośrednio na wzrost przychodów albo spadek kosztów. W związku z tym każdy rozsądnie myślący prezes realizujący cele biznesowe nie traktuje inwestycji w bezpieczeństwo jako tych, które mu w tym pomagają. Druga kwestia to prawo. Pomimo moich pozytywnych ocen tego, co się dzieje, np. w związku z ustawą o krajowym systemie cyberbezpieczeństwa, to prawo w Polsce nadal nie jest kompletne. Ono nadal nie mobilizuje naszych firm do tego, do czego mobilizuje prawo, np. w USA, do transparentności, czyli konieczności ujawniania informacji o wystąpieniu incydentu, jego skali i wpływie na działalność firmy — mówił Rafał Jaczyński.

— Mamy potencjał, nasze zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT Polska, CSIRT GOV i CSIRT MON) są na wysokim poziomie. Zgadzam się z oceną, że ten potencjał nie zawsze przekłada się na inwestycje na poziomie przedsiębiorstw. Zgadzam się też, że sama ustawa nikogo nie obroni, natomiast jej rolą jest danie podstawy prawnej i wskazanie kierunków. Za nią idzie strategia, która została przyjęta w zeszłym roku oraz opracowywany właśnie plan działań, który zawiera listę konkretnych projektów i związanych z nimi pieniędzy, które będą miały wpływ na administrację publiczną, ale również na sektor prywatny — zapewniał Robert Kośla z Ministerstwa Cyfryzacji.

…i rąk do pracy

Problemem podnoszonym niemal przez każdego uczestnika panelu był brak wykwalifikowanych pracowników.

— Niecały rok temu w ramach naszej współpracy z Fundacją Digital Poland próbowaliśmy ocenić, jaka jest dostępność na polskim rynku specjalistów od cyberbezpieczeństwa. Doszliśmy do wniosku, że nasze uczelnie są w stanie zaspokoić co najwyżej jedną trzecią tego, czego oczekuje rynek. Potwierdzają to rozmowy z moimi kolegami z branży, którzy deklarują, że mogą zatrudnić niemal każdą liczbę pracowników, pod warunkiem że będą to specjaliści w swoich dziedzinach, ale ich niestety brakuje. Bez nich nie będziemy mogli wykorzystać tego potencjału, o których mówili Wojciech Kamieniecki czy Robert Kośla i nasze firmy nie będą bezpieczne — stwierdził Rafał Jaczyński.

Dodał, że jego firma wraz z innymi partnerami podejmuje działania zmierzające do zapełnienia tej luki, uruchamiając studia podyplomowe z zakresu cyberbezpieczeństwa na Akademii im. Leona Koźmińskiego.

— Bez tego typu działań poziom bezpieczeństwa polskich firm, a co za tym idzie, poziom bezpieczeństwa polskiego państwa w przewidywalnej przyszłości się nie zwiększy — ocenił przedstawiciel Huawei.

Podejmowanie działań zmierzających do zwiększenia zasobów wykwalifikowanej kadry od cyberbezpieczeństwa deklarował także dyrektor NCBiR.

— Wspólnie z Politechniką Wrocławską przygotowujemy program studiów z bardzo nowoczesną metodą kształcenia, która poza solidną porcją wiedzy opiera się też na szerokiej praktyce i wymianie studenckiej pomiędzy różnymi instytucjami. Uważam, że w dłuższej perspektywie przysłuży się to naszemu cybernetycznemu bezpieczeństwu — podsumował Wojciech Kamieniecki.

Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem © ℗