Nie ma niezawodnych narzędzi gwarantujących cyberbezpieczeństwo. Dlatego potrzebna jest współpraca całych branż
Cyberochrona infrastruktury krytycznej staje się istotna już niemal w każdym aspekcie naszego życia codziennego, a co najważniejsze, wpływa na bezpieczeństwo i rozwój gospodarczy kraju. W tym przypadku nie wystarczy jednak stworzenie jednego systemu zabezpieczeń — trwa nieustanna walka z wiedzą i sprytem cyberprzestępców. Ochrona pojedynczych jednostek i firm to za mało, bo hakerzy na cel biorą całe sektory gospodarcze i państwa.
Wspólne działanie
O największych globalnych wyzwaniach w zakresie cyberbezpieczeństwa debatowali uczestnicy Europejskiego Kongresu Gospodarczego. Zdaniem Roberta Kośli, dyrektora ds. bezpieczeństwa publicznego i ochrony w Microsofcie na region Europy Środkowo-Wschodniej, trudność sprawia fakt, że nie zawsze jesteśmy w stanie przewidzieć, które elementy infrastruktury krytycznej mogą stanowić lukę w systemie.
— Sen z powiek spędza zwłaszcza brak świadomości po stronie dysponentów infrastruktury — zaznaczył Robert Kośla. Terminem „infrastruktura krytyczna” określa się zasoby istotne dla sprawnego funkcjonowania społeczeństwa i gospodarki, m.in. w zakresie produkcji, transportu, dystrybucji paliw, ropy naftowej, produkcji żywności i ochrony zdrowia, a także sektora finansowego.
— Wokół widzimy piękne hasła: big data, online marketing, technologie chmurowe. Większość ludzi postrzega je w kategorii elementów, które ułatwiają rozwój innowacji. Technologie te są jednak równie popularne wśród tych, przed którymi się chronimy — cyberprzestępców. W obrębie sektora bankowego przez lata pracowaliśmy nad uszczelnianiem infrastruktury… w rozproszeniu. Banki próbowały z zagrożeniem radzić sobie same. Dopiero w 2015 r. pojawił się pomysł utworzenia Bankowego Centrum Cyberbezpieczeństwa — przypomniał Robert Trętowski, wiceprezes Krajowej Izby Rozliczeniowej (KIR).
Luki w systemach
Przedstawiciel KIR twierdzi, że najsłabszym ogniwem w całym systemie zabezpieczeń pozostają klienci. — Myślę, że przedsiębiorstwa bankowe są dość dobrze zabezpieczone, dlatego atakowani są klienci. Banki pracują nad zaawansowanymi sposobami ochrony, ale jest to trudne, ponieważ w grę wchodzi już nie tylko ochrona jednego, konkretnego podmiotu, ale całego ekosystemu firm, które ze sobą współpracują. Dużą, dobrze zabezpieczoną instytucję można zaatakować, wykorzystując słabe punkty w systemach jej partnerów. A nie ma rozwiązań, które gwarantują całkowite bezpieczeństwo — potwierdził Mirosław Forystek, dyrektor pionu IT w ING Banku Śląskim.
Otrzeźwieniem dla sektora bankowego był nie tak dawno wykryty plan zmasowanego ataku hakerskiego na polskie banki. — Pojawiło się zagrożenie ataku na płynność i stabilność krajowego sektora bankowego. Koordynacja prac i współdziałanie wszystkich banków było możliwe właśnie dzięki Bankowemu Centrum Cyberbezpieczeństwa. Obecnie w KIR pracujemy nad uzbrojeniem technologicznym sektora finansowego, bo w tym zakresie liczą się nie tylko współpraca i dobre praktyki, ale także skuteczne narzędzia — powiedział Robert Trętowski.
Z pomocą prawa
Ewa Kurowska-Tober, partner w kancelarii DLA Piper, podczas debaty przypomniała o zmianach legislacyjnych, które mają podnieść poziom bezpieczeństwa użytkowników cyberprzestrzeni. Nawiązała do Ogólnego Rozporządzenia o Ochronie Danych Osobowych w UE (RODO) oraz dyrektywy Parlamentu i Rady UE w sprawie działań na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa NIS).
— RODO weszło już w życie, ale mamy jeszcze wymóg dopasowania przepisów do prawa krajowego do maja 2018 r. Rozporządzenie to jest bardziej konkretne niż dyrektywa NIS, która stanowi dopiero zapowiedź regulacji, jakie wejdą do naszego porządku prawnego, narzuca kierunki nowych rozwiązań prawnych. Obydwa akty prawne będą się jednak uzupełniać. Dodatkowo trwają prace nad rozporządzeniem o e-prywatności — pojawią się mocne ograniczenia i obowiązki dotyczące cyberbezpieczeństwa, monitorowania i zgłaszania naruszeń w tym obszarze — zapowiedziała Ewa Kurowska-Tober.
KOMENTARZ PARTNERA CYKLU CYBERBEZPIECZEŃSTWO W FIRMIE
Bezpieczeństwo zaczyna się od kompetencji i partnerstwa
JULIUSZ BRZOSTEK
dyrektor Narodowego Centrum Cyberbezpieczeństwa, uczestnik debaty o cyberbezpieczeństwie na IX EKG
Unijna dyrektywa NIS wskazuje, że instytucje i firmy działające w branżach kluczowych dla funkcjonowania kraju w ciągu dwóch najbliższych lat będą musiały zostać włączone do krajowego systemu raportowania o zagrożeniach i szacowania ryzyka. Zadania jednostki koordynującej wypełnia powołane blisko rok temu przez Ministerstwo Cyfryzacji Narodowe Centrum Cyberbezpieczeństwa, zlokalizowane w instytucie badawczym NASK. Dotychczasowe tempo nawiązywania współpracy pozwala nam sądzić, że do końca roku z NC Cyber będzie współpracowało około 70 firm. Docelowo będzie ich kilkaset. Każdy z tych podmiotów będzie zobowiązany, zgodnie z unijną dyrektywą, do raportowania przypadków naruszenia bezpieczeństwa. Bazując na tych informacjach, jesteśmy w stanie na bieżąco monitorować zagrożenia i ostrzegać przedsiębiorstwa oraz instytucje działające w kraju oraz partnerów z innych państw UE. Wyzwanie w tym obszarze stanowi wielość i niejednolity status współpracujących podmiotów. Usługi kluczowe są świadczone nie tylko przez przedsiębiorstwa należące do skarbu państwa i pod bezpośrednim nadzorem urzędów państwowych (np. ujęcia wody pitnej, szpitale), ale też przez wiele firm prywatnych, takich jak banki lub producenci żywności. Niekiedy podmioty te mają odmienneinteresy, a czasem wręcz stanowią dla siebie konkurencję. Z tego względu raportowanie incydentów bezpieczeństwa może być postrzegane jako działanie ryzykowne, ponieważ rozpowszechnienie informacji, że firma padła ofiarą ataku hakerskiego negatywnie wpływa na jej wizerunek i może być wykorzystane przez konkurencję do podważenia jej pozycji rynkowej. Naszą rolą jest więc zapewnienie poufności wrażliwych informacji i budowanie zaufania przedsiębiorców. To jednak tylko jeden z elementów systemu, służącego poprawie bezpieczeństwa. Równie ważnym jest eliminowanie z codziennej praktyki ryzykownych zachowań i wdrażanie procedur, pomagających uniknąć zagrożeń. Utworzenie NC Cyber nie może zwalniać zarządów i pracowników firm z obowiązku przestrzegania reguł i procedur. Z blisko rocznych doświadczeń NC Cyber, a także ponad 20-letnich doświadczeń NASK w tym obszarze, wynika, że centralna instytucja koordynująca cyberbezpieczeństwo na skalę krajową jest niezbędna. Nasze działania będą skuteczne, jeśli w aktywną współpracę zaangażują wszystkie zainteresowane podmioty. Należy przecież pamiętać, że rozwiązania systemowe, funkcjonujące w skali kraju i wdrażane przez Ministerstwo Cyfryzacji, dojrzewają stopniowo. Nasi partnerzy będą odgrywali kluczową rolę w tworzeniu systemu, który będzie udoskonalany dzięki naszym wspólnym doświadczeniom.
Podpis: Anna Bełcik
