Poprawa standardów cyberbezpieczeństwa to nie tylko koszt dla firmy, to też szansa na zbudowanie przewagi nad konkurencją. O tym, dlaczego warto postawić na cyberodporność prowadząc biznes, mówili uczestnicy spotkania CISO Poland, które odbyło się w siedzibie NASK w Warszawie.
Spotkanie najwyższych rangą specjalistów ds. bezpieczeństwa informacji w organizacjach było okazją, by wymienić się doświadczeniami i refleksjami m.in. o tym, jak zbudować i rozwijać dobrze zarządzany system cyberbezpieczeństwa kraju. To istotne zwłaszcza wobec nadchodzących zmian legislacyjnych – ustawy o KSC i dyrektywy NIS2, a także zbliżającej się polskiej prezydencji w UE. W tej perspektywie podniesienie odporności przedsiębiorstw na cyberataki, uzyskanie certyfikatów, które to poświadczają, jawią się – mimo kosztów – jako najlepsza inwestycja w rozwój firm.
– Cyberbezpieczeństwo to jeden z kluczowych obszarów, na których skupia się państwo i jesteśmy z tego dumni. Owszem, mieliśmy do czynienia ze skutecznie przeprowadzonymi atakami, np. na PAP i POLADĘ, jednak w ostatnim czasie tych ataków są tysiące i my je powstrzymujemy. Prewencja jest dla nas najważniejsza. Jesteśmy dumni, że skróciliśmy zarządzanie cyberbezpieczeństwem z godzin do minut – mówił wicepremier Krzysztof Gawkowski, minister cyfryzacji.
Inwestycja w cyberbezpieczeństwo to koszt, ale i szansa dla firm
Jeszcze nie tak dawno na ataki cyberprzestępców były narażone głównie podmioty strategiczne dla funkcjonowania państwa. Obecnie każdy mieszkaniec kraju, każde przedsiębiorstwo, niezależnie od jego wielkości, może stać się celem ataku.
– Cyberbezpieczeństwo to nie tylko koszt dla firmy, ale też ogromna szansa na zbudowanie przewagi konkurencyjnej. Zmiany legislacyjne, które niebawem się pojawią, będą się skupiały na zabezpieczeniu łańcucha dostaw w sektorach kluczowych dla bezpieczeństwa kraju. Elementami tego łańcucha są także małe i średnie przedsiębiorstwa. O poziomie ich cyberbezpieczeństwa będą świadczyć certyfikaty. Taką wiarygodną certyfikacją zajmuje się w Polsce instytut NASK. Kiedy nowe przepisy zaczną obowiązywać, to bardziej zaawansowane rozwiązania w obszarze cyberbezpieczeństwa przestaną być kosztem, a pozwolą firmom, które je wdrożą, wzmocnić swoją pozycję na rynku – wyjaśniał Radosław Nielek, dyrektor instytutu NASK.
Gdy dochodzi do incydentu bezpieczeństwa, nie szukajmy winnego
NASK ma ogromny udział w budowaniu cyberbezpieczeństwa w Polsce. Działający w instytucie zespół CERT Polska jest miejscem, do którego można zgłaszać naruszenia i które jest zaangażowane w podnoszenie poziomu cyberochrony, poprzez m.in. wyszukiwanie podatności i informowanie o nich zagrożone podmioty. Dlatego pogłębianie współpracy miedzy instytucjami i biznesem, wzajemna otwartość są ważne, zarówno w kwestii wymiany wiedzy, jak i identyfikowania, co umożliwiło cyberprzestępcom zrealizowanie ataku, jaki był jego wektor.
– Incydenty zdarzają się nawet w najlepiej zabezpieczonych firmach. To kwestia pecha albo tego, ile atakujący zainwestował, żeby pokonać zabezpieczenia. Trzeba mieć otwarte podejście do komunikowania takich incydentów, do szukania rozwiązań. Kiedy mamy do czynienia z atakiem, należy odnaleźć jego skutki i zabezpieczyć infrastrukturę, a potem wprowadzać zmiany. To najlepsze podejście. Szukanie winnego, który „zawalił” nie sprzyja ani rozwiązywaniu sytuacji ani budowaniu otwartości i zaufania na przyszłość – przekonywał dyrektor NASK Radosław Nielek.
O tym, jak ważna jest współpraca między różnymi podmiotami, mówił też gen. dyw. Karol Molenda, dowódca Komponentu Wojsk Obrony Cyberprzestrzeni, który ma 20-letnie doświadczenie w pracy nad cyberbezpieczeństwem w Polsce. Jak zauważył, w poprzednich latach mieliśmy „wyspowe kompetencje” tzn. że poszczególne instytucje miały swoje zadania i realizowały je we własnym zakresie i w ramach własnych możliwości. Dziś te ośrodki ze sobą współpracują, siadają przy jednym stole, dzielą się wiedza i spostrzeżeniami, oferując sobie nawzajem pomoc i wsparcie.
Trzeba podnieść kompetencje cyfrowe Polaków
Instytut NASK wraz z zespołem CERT Polska równolegle do prac nad bezpieczeństwem sieci zajmuje się upowszechnianiem wiedzy na temat cyberbezpieczeństwa. I to właśnie ta edukacyjna część jest obecnie priorytetowa.
– W kompetencjach cyfrowych jako społeczeństwo wciąż nie mamy wystarczającej wiedzy. Polacy nie wiedzą, co im grozi i jak dbać o bezpieczeństwo swoich urządzeń. Trzeba to podnieść na wyższy poziom – zwracał uwagę wicepremier Krzysztof Gawkowski
Uczestnicy spotkania zwracali też uwagę na zmiany legislacyjne wprowadzane na poziomie unijnym i krajowym. Podkreślali, jak ważne jest, by przepisy „nie wylały dziecka z kąpielą” i nie zablokowały cyfrowego rozwoju w UE.
– To, jak będą się kształtowały przepisy unijne, ma ogromny wpływ na nas wszystkich. Musimy być czujni, zachować złoty środek, by nie przeregulować rynku, bo to go wyhamuje. Mówię tu o przepisach dotyczących np. AI i komputerach kwantowych. Jeśli prawo będzie zbyt restrykcyjne i będzie utrudniać pracę nad rozwojem technologii, to skończyć się to może tym, że będziemy kształcić specjalistów, a oni będą uciekać do pracy za granicę, do krajów, gdzie przepisy nie będą tak surowe – zauważył wicepremier Gawkowski.
Joanna Świątkowska z ESCO’s CISO Community zwróciła uwagę, że przedsiębiorcy stoją teraz przed ważnym zadaniem przekazywania legislatorom, jakie zmiany będą miały pozytywny wpływ na poprawę bezpieczeństwa ich firm i jednocześnie nie wyhamują rozwoju.