Podczas panelu dyskusyjnego „Bezpieczny biznes w epoce cyfrowej: rola suwerenności cyfrowej w budowaniu odporności” eksperci omówili najpoważniejsze zagrożenia, z jakimi mierzą się dziś firmy działające w świecie cyfrowym — od cyberprzestępczości po coraz bardziej agresywne działania realizowane przez państwa z wykorzystaniem narzędzi cyfrowych. Wskazywano, że kluczem do budowania odporności jest suwerenność technologiczna, rozumiana jako kontrola nad danymi, infrastrukturą i procesami IT.
Spotkanie odbyło się w ramach konferencji wieńczącej projekt „Strategie odporności”, realizowany przez Puls Biznesu wspólnie z Fundacją im. Kazimierza Pułaskiego. Celem inicjatywy jest wsparcie polskich przedsiębiorstw — zwłaszcza z sektora MŚP — w przygotowaniu się na współczesne wyzwania i zagrożenia. Debatę o cyberbezpieczeństwie poprowadził Eugeniusz Twaróg, zastępca redaktora naczelnego Pulsu Biznesu.
Skala zagrożeń
Polskie firmy coraz częściej stają się celem cyberataków — niemal co piąta miała ostatnio do czynienia z próbą naruszenia bezpieczeństwa. Wśród najczęstszych zagrożeń wskazywano phishing i fałszywe faktury. Świadomość pracowników wciąż pozostaje niska — wielu z nich nie wie, czym jest ransomware, a część nigdy nie uczestniczyła w żadnym szkoleniu z cyberbezpieczeństwa. Mimo rosnących wyzwań aż 36 proc. firm nadal polega głównie na zdrowym rozsądku zatrudnionych, a 6 proc. nie podejmuje w tym obszarze żadnych działań. Sytuację dodatkowo komplikuje napięta sytuacja geopolityczna, zwłaszcza w kontekście wojny w Ukrainie i nasilającej się aktywności cybernetycznej Rosji.
— Zagrożenie znacząco wzrosło wraz z agresją Rosji na Ukrainę. Te działania bardzo mocno nasiliły się, jeśli chodzi o wymiar informacyjny w sieci — od podważania zasad wolnorynkowych i demokratycznych, po osłabianie spójności społecznej. Jesteśmy państwem na styku wpływów, więc naturalnie stajemy się celem tych działań — przedstawił sytuację Mariusz Rukat, podpułkownik rezerwy Wojska Polskiego.
Choć ponad 70 proc. polskich przedsiębiorców z sektora MŚP deklaruje, że suwerenność cyfrowa ma dla nich duże znaczenie, rzeczywiste działania w tym obszarze są nadal ograniczone. Jak wynika z badania przeprowadzonego przez home.pl, inwestycje w cyberbezpieczeństwo wciąż przegrywają z rozbudową stron internetowych czy e-commerce, a świadomość zagrożeń pozostaje niewystarczająca.
— Polskie firmy potrzebują edukacji i zachęty, by zobaczyć w inwestycjach w cyberbezpieczeństwo nie tylko koszt, ale też korzyści. Świadome budowanie odporności powinno być elementem długofalowej strategii, a nie doraźną reakcją na incydent — podkreśla Anna Falkowska, PR & Communication Manager w home.pl.
Pomimo tych pesymistycznych głosów biznesu widać też pozytywne sygnały. Zarówno w sektorze publicznym, jak i prywatnym rośnie świadomość znaczenia cyberodporności. Większe podmioty — firmy oraz instytucje — coraz lepiej radzą sobie z wdrażaniem narzędzi ochrony, a wsparcie systemowe i finansowe trafia tam, gdzie zagrożenia są największe.
— Poziom naszego bezpieczeństwa na szczeblu rządowym jest dobry, a odporność cały czas się zwiększa. Budujemy sektorowe CSIRT-y, inwestujemy dziesiątki milionów złotych, ale też kierujemy wsparcie do samorządów. Ten proces już trwa i zmierzamy w dobrym kierunku — podkreślił Maciej Drabio, zastępca dyrektora projektów w CPPC.
Jak się chronić
W dobie rosnącej aktywności grup przestępczych, sponsorowanych przez państwa grup APT (Advanced Persistent Threat), oraz różnorodnych form manipulacji informacyjnej cyberbezpieczeństwo staje się jednym z kluczowych elementów strategii zarządzania ryzykiem — również dla MŚP. Wielu właścicieli firm wciąż myli zgodność z przepisami (compliance) z realnym bezpieczeństwem. Tymczasem skuteczna ochrona nie musi być kosztowna ani wysoce zaawansowana — najczęściej wymaga odpowiedniej świadomości, dobrze skonfigurowanych systemów i gotowości do działania.
— Czas odejść od myślenia, że bezpieczeństwo to tylko wymogi compliance. Warto podejść do tego praktycznie — wiele działań można wdrożyć nawet we własnym dziale IT. Ale trzeba przestać traktować cyberochronę jako niewygodny obowiązek, który załatwia się jedną tabelką w Excelu — podkreśla Piotr Borkowski, prezes Cyber Arms i ekspert Fundacji im. Kazimierza Pułaskiego.
Współczesny rynek często podąża za modami — firmy inwestują w szkolenia „na czasie”, nie zawsze weryfikując jakość źródeł i realne potrzeby. Eksperci ostrzegają przed pochopnym wyborem dostawców usług czy narzędzi i przypominają o istnieniu rzetelnych, darmowych programów wspierających sektor MŚP.
— Rynek jest okrutny i podąża za modami: była moda na antyterroryzm, potem na cyber, teraz na ochronę ludności. Wraz z modami pojawiają się nierzetelne grupy ekspertów. Tymczasem są narzędzia — rzetelne i darmowe. Program rządowy „Firma Bezpieczna Cyfrowo” to szansa dla MŚP na autodiagnozę, zdobycie wiedzy i konkretne kompetencje, które naprawdę mogą zwiększyć poziom bezpieczeństwa — mówi Aleksandra Gasztold, redaktorka naczelna ACIG, NASK-PIB.
Kluczowe znaczenie mają też codzienne, świadome decyzje organizacyjne. Eksperci wskazują m.in. na konieczność dywersyfikacji zasobów cyfrowych oraz wybór zaufanych partnerów technologicznych, którzy zapewniają ciągłość usług i uwzględniają kwestie bezpieczeństwa na poziomie infrastruktury.
— Firmy powinny pamiętać o dywersyfikacji — nie polegać wyłącznie na jednym kanale obecności, ale budować własne zasoby, swoją stronę czy pocztę. Ważna jest też certyfikacja i renoma partnera, bo rzetelny dostawca to nie tylko usługa, ale realne wsparcie w zapewnieniu ciągłości działania — podkreśla Anna Falkowska.
Legislacja i przyszłość
Rosnące zagrożenia skłaniają Unię Europejską i Polskę do przyspieszenia prac legislacyjnych. Nowe regulacje, takie jak ustawa o Krajowym Systemie Cyberbezpieczeństwa czy akt o odporności cyfrowej, mają objąć znacznie szerszy krąg firm i instytucji — nawet do 40 tys. podmiotów w Polsce. Ma to być przełomowy moment, który z jednej strony wymusi wzrost inwestycji w cyber, z drugiej — może przynieść realną zmianę podejścia.
— Cyberatak w firmie, która ma słabe zabezpieczenia, to tylko kwestia czasu. Nowe regulacje mają to uświadomić i wywołać impuls popytowy na usługi w sieci. Chcemy, aby firmy zrozumiały, że bezpieczeństwo to nie koszt, lecz inwestycja, a odpowiedzialność za nie powinna leżeć również po stronie zarządów — zaznacza Michał Pukaluk, zastępca dyrektora w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji.
Wartością regulacji może być również ich rola w budowie cyfrowej suwerenności — poprzez wspieranie rozwoju krajowej branży cyber. Polska ma solidne zaplecze techniczne w obszarach takich jak szyfrowanie czy integracja rozwiązań IT, potrzeba jednak impulsu rozwojowego, który pozwoli polskim firmom dostarczać nie tylko usługi, ale też własne produkty.
— Luksus suwerenności trzeba wypracować, a wspiera to mądra legislacja, która buduje popyt na polskie rozwiązania cyber. Im więcej firm będzie objętych przepisami i będzie ich przestrzegać, tym większa szansa, że nasza branża zacznie rosnąć. Siła rozwiązań cyber leży w ich upowszechnieniu, a dzięki harmonizacji prawa w Unii Europejskiej jesteśmy na dobrej drodze, by osiągnąć ten cel — podsumowuje Michał Pukaluk.
Adam Łaba
