Wiedza niezbędna...
Jeśli chodzi o poziom cyfryzacji, polski biznes jest w ogonie Europy.
– W rankingu DESI wśród 27 państw UE znajdujemy się zaledwie na 24. miejscu. Nic dziwnego, że słabo wygląda też wśród polskich firm, szczególnie tych z sektora MŚP, świadomość dotycząca zagrożenia cyberatakami – mówił Paweł Kostkiewicz, dyrektor ds. certyfikacji w NASK PIB, podczas panelu poświęconego cyberzagrożeniom dla biznesu, który odbył się w ramach Forum Ekonomicznego w Karpaczu.
Bez odpowiedniej ochrony przed cyfrowymi przestępcami będzie coraz trudniej prowadzić biznes.
– Z naszych analiz wynika, że tylko 30 proc. współpracujących z nami firm korzysta z zaawansowanych narzędzi cyberbezpieczeństwa. Jeśli nie poprawią się pod tym względem, będą tracić klientów, bo dla konsumenta bezpieczeństwo transakcji w e-commerce jest niezwykle ważne – ostrzegała Marta Mikliszańska reprezentująca Grupę Allegro.
Jak zmienić nastawienie polskiego biznesu do cyberzagrożeń? NASK PIB we współpracy z Ministerstwem Rozwoju i Technologii przygotował specjalny program certyfikacyjny „Firma Bezpieczna Cyfrowo”. W programie, którego pilotaż już się zaczął, powstał kwestionariusz, który pomaga zdiagnozować słabe i mocne strony firmy pod kątem bezpieczeństwa cyfrowego. Na jego podstawie firma otrzyma sprofilowaną pod swoje potrzeby ofertę działań, które uzupełnią braki i pozwolą na podniesienie poziomu cyberbezpieczeństwa.
W ofercie znajdą się także rekomendacje i sugestie co do dalszego pogłębiania wiedzy w zakresie bezpieczeństwa cyfrowego. Jeśli firma będzie gotowa i wdroży zmiany w zakresie cyberbezpieczeństwa, nastąpi audyt weryfikujący. Po nim firma będzie mogła uzyskać certyfikat świadczący o osiągniętym poziomie firmy bezpiecznej cyfrowo. Posiadanie certyfikatu potwierdzi, że firma bezpiecznie korzysta z narzędzi cyfrowych, potrafi prawidłowo korzystać z narzędzi cyfrowych i generalnie przywiązuje wagę do cyberbezpieczeństwa.
– To realnie przełoży się na biznes, bo firmy z certyfikatem będą pierwszym wyborem dla partnerów biznesowych – prognozował Adam Marczyński, zastępca dyrektora ds. cyberbezpieczeństwa i innowacji w NASK PIB. By tak się jednak stało, potrzebna jest większa świadomość cyberzagrożeń ze strony przedsiębiorców. A z tym nie jest najlepiej.
– Większość firm działa zgodnie z zasadą: „cyfryzuję się, bo muszę”. To błędny tok rozumowania. Prezesi czy właściciele firm powinni zdać sobie sprawę, że chcą ponieść koszt podniesienia kompetencji cyfrowych – mówiła Marianna Sidoroff, dyrektor Departamentu Gospodarki Cyfrowej w Ministerstwie Rozwoju i Technologii.
Z kolei zdaniem Jolanty Jaworskiej z IBM firmy na papierze mają procedury, ale w praktyce nie wygląda to tak różowo. Bardzo ważnym elementem firmy bezpiecznej pod względem cyfrowym jest edukacja.
– Nie trzeba wcale robić z pracowników firmy ekspertów od cyberbezpieczeństwa. Ale muszą oni rozumieć procesy i procedury, by np. kupić jakieś narzędzie – mówiła ekspertka informatycznej firmy.
...na wszystkich stanowiskach
Według Rafał Margysia, wiceprezesa zarządu Exatel, cyberbezpieczeństwo w firmie znajduje się najczęściej w kompetencjach szefów IT, a oni zwykle nie dostają zgody od zarządów na większe nakłady na bezpieczeństwo w sferze informatycznej. Ta praktyka powinna się skończyć. Uczestnicy dyskusji podkreślili, że podniesienie kompetencji polskich firm, jeśli chodzi o cyberzagrożenia, jest konieczne. Cyfrowi przestępcy stosują bowiem coraz bardziej wymyślne sposoby, by atakować przedsiębiorców. Wśród nich najpopularniejsze jest wyłudzanie danych czy atak na firmową pocztę.
– Coraz popularniejszy jest też tzw. atak ransomware, czyli zainfekowanie firmowych serwerów przez złośliwe oprogramowanie, a później żądanie przez przestępców okupu – ostrzegał Michał Pukaluk, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji.
Na razie program „Firma Bezpieczna Cyfrowo” jest na etapie pilotażowym. W pilotażu bierze udział 2 tys. firm. W tej chwili przedsiębiorcy otrzymują ofertę wypełnienia kwestionariusza, by zdiagnozować poziom cyberzabezpieczeń w ich organizacji.
Twórcy projektu podkreślają, że kwestionariusz jest całkowicie anonimowy i nie gromadzą żadnych danych. To istotne, bo w kwestionariuszu padają pytania o tzw. wrażliwe dane firmowe.
Pomysłodawcy są przekonani, że projekt się powiedzie. Podobnie jak w Wielkiej Brytanii, gdzie już kilka lat temu wdrożono podobne rozwiązanie, na którym zresztą wzorowali się polscy autorzy.
– Warto zaznaczyć, że w tej chwili w Wielkiej Brytanii certyfikaty cyberbezpieczeństwa są powszechne, a firmy, które ich nie posiadają, mają bardzo utrudnione funkcjonowanie na rynku lub wręcz z niego wypadły – podsumował Paweł Kostkiewicz.