W swoim raporcie „W obronie cyfrowych granic” wydanym w styczniu tego roku, stwierdzili Państwo, że cyberbezpieczeństwo jest absolutną koniecznością. Czy w Polsce, nawiązując do statystyk, które Państwo podali w swoim raporcie, panuje takie przekonanie, że ochrona przez zagrożeniami cybernetycznymi jest konieczna?
Patryk Gęborys: Nie ma prostej odpowiedzi na to pytanie. Na przykład w dużych organizacjach – Top 500 polskich firm, zatrudniających co najmniej kilkuset pracowników, to przekonanie rzeczywiście stale rośnie. Jednak w mniejszych organizacjach już nie jest to częstym zjawiskiem. Większe przedsiębiorstwa zatrudniają ekspertów i budują wyspecjalizowane komórki odpowiedzialne za bezpieczeństwo, w tym w szczególności za bezpieczeństwo teleinformatyczne. W małych i średnich firmach nie jest to zasadą. Muszę jednak przyznać, że w ciągu ostatnich dwóch lat świadomość znaczenia cyberbezpieczeństwa zaczyna być coraz bardziej powszechna. Jest to spowodowane coraz większą liczbą upublicznianych incydentów, np. takich jak oszustwa metodą „na fakturę”. Polega ona na tym, że mailem wysyłane są faktury do działu księgowości ze zmienionymi danymi kontrahenta. Polskie firmy wielokrotnie padały ofiarami tego typu nadużyć, co pozwalało innym uczyć się ich błędach.
Rozumiem, ale problem jest taki, że w Polsce gospodarka oparta jest na działalności małych i średnich przedsiębiorstw, a tak jak Pan powiedział – firmy te mają problem z cyberbezpieczeństwem. Czy to jest kwestia funduszy, czy może tego, że one uważają, że skoro nie są dużymi organizacjami, to nie staną się obiektem zainteresowania hakerów?
Roman Skrzypczyński: Myślę, że taki stan rzeczy jest efektem wielu czynników. Ważna jest zarówno wspomniana przez Pana kwestia finansowania, ale nie możemy też zapominać tu o czynniku ludzkim – o edukacji i świadomość pracowników oraz szefów firm. Czasami brakuje nawet świadomości na temat samego ataku, czy wiedzy na temat rozmiarów jego konsekwencji. Jednak ostatnio zaczął pojawiać się popularniejszy trend wśród hakerów, którzy włamują się do sieci informatycznych i tylko zbierają informacje, często potem sprzedawane konkurencji lub na czarnym rynku. Producenci, np. syfonów do wody, mogą nie traktować poważnie kwestii cyberbezpieczeństwa, ponieważ uważają, że to problem, który nie dotyczy profilu ich podstawowej działalności, co nie znaczy, że zagrożenie nie istnieje. Oprócz kradzieży danych patentowych, przestępcy mogą wykorzystać sieć firmową do stworzenia np. botneta, który będzie przesyłał spam lub instalował złośliwe oprogramowanie.
PG: Dokładnie tak to wygląda. Świadomość przedsiębiorców rośnie dopiero wtedy, gdy przydarza się incydent. Dopiero wtedy w budżecie firmy znajdują się odpowiednie fundusze na cyberbezpieczeństwo. Problem jest jednak znacznie poważniejszy w sektorze MŚP. Tu każdą złotówkę ogląda się dwa razy, mając do wyboru albo inwestycje w rozwój działalności albo zabezpieczenie i wzmocnienie systemów ochronnych już działającej infrastruktury.
Wymienione zostały tutaj dwa główne wyzwania: brak świadomości i brak funduszy w małych i średnich przedsiębiorstwach. Co powinno się zrobić w celu zwiększenia świadomości, przy czym, żeby nie odbywało się to zgodnie z powiedzeniem „mądry Polak po szkodzie”?
RS: Ważną rolę w kwestii uświadamiania firm oraz społeczeństwa odgrywają organy państwa. Warto tu wspomnieć między innymi o raporcie NIK z czerwca 2015 r. Wskazano w nim słabe punkty stanu infrastruktury krytycznej państwa, a dzięki szerokiemu nagłośnieniu medialnemu – pokazał zarówno firmom, jak i zwykłym obywatelom, że cyberprzestępczość jest realnym zagrożeniem i że należy jej przeciwdziałać. Dużą rolę w zakresie podnoszenia świadomości społeczeństwa i pracowników administracji na temat cyberzagrożeń odgrywa obecnie także Ministerstwo Cyfryzacji, które prowadzi dedykowane kampanie informacyjne i przeprowadza zmiany podmiotowe i prawne.
Czy problemem nie jest w firmach postrzeganie cyberbezpieczeństwa wyłącznie jako zagadnienia technicznego, którym powinien zajmować się dział IT?
PG: Jest to jeden z problemów – faktycznie cyberbezpieczeństwo często jest postrzegane w taki sposób. Dotarcie z komunikatem, że nie jest to wyłącznie kwestia IT, a wręcz przeciwnie – że jest to problem biznesowy i istotny dla właścicieli, jest kluczowe.
RS: Incydent z zakresu cyberprzestępczości jest kryzysem i nie polega on tylko na tym, że pracownik działu IT powinien rozwiązać problem. Takim zdarzeniom coraz częściej towarzyszy też czarny PR dotyczące awarii w firmie, która została zaatakowana przez hakerów. Firma, tak samo jak w przypadku każdego innego kryzysu, powinna skorzystać z porad prawnika oraz osoby, która będzie w stanie przygotować komunikat dla rynku i interesariuszy, a także zabezpieczyć ślady wrogiej ingerencji. Firmy muszą się wcześniej przygotowywać na taką ewentualność, podjąć działania dużo wcześniej – stworzyć odpowiednie procedury oraz plan zarządzania kryzysowego na wypadek każdego rodzaju ataku, w tym cybernetycznego.
Czy Panowie uważają, że w firmach tak naprawdę każdy, nawet szeregowy pracownik, powinien mieć poczucie, że jest częścią systemu ochrony przed zagrożeniami cybernetycznymi? Czy znają Panowie jakiekolwiek statystki mówiące o tym, ile osób w firmach ma takie poczucie? Czy przeprowadzane są jakiekolwiek szkolenia lub kampanie edukacyjne?
RS: W sytuacji idealnej to właśnie pracownik powinien mieć poczucie odpowiedzialności za cyberbezpieczeństwo. Posłużę się w tym miejscu przykładem. Jedna z amerykańskich firm przeprowadziła badanie polegające na pozostawieniu kilku pendrive’ów USB na parkingu w pobliżu biura. Na tych nośnikach umieszczono wcześniej złośliwe oprogramowanie. Okazało się, że aż 51 proc. pracowników zatrzymało te pendrive’y i wpięło je do komputerów firmowych, zamiast wyrzucić do kosza lub zgłosić do biura bezpieczeństwa. Ten eksperyment pokazał, że świadomość na temat cyberzagrożeń i ich konsekwencji nie jest na takim poziomie, na jakim być powinna.
PG: To stwierdzenie może wydać się truizmem, ale świadomość pracowników jest faktycznie odpowiednikiem zapory sieciowej (firewall). Gdyby wszyscy pracownicy w firmie byli świadomi zagrożeń, to można by wyeliminować prawdopodobnie nawet do 99 proc. wszystkich incydentów związanych z kwestią bezpieczeństwa. Jednak przy obecnej formie przeprowadzanych szkoleń to jest niemożliwe – wyglądają one jak wyjęte z poprzedniej epoki. A bez zaangażowania pracowników w proces nauki nic się nie zmieni.
Czy szkolenia prowadzone w zakresie cyberbezpieczeństwa czy bezpieczeństwa informacji wyglądają tak jak szkolenia BHP, które nie są zbyt poważnie traktowane przez pracowników?
PG: Bardzo często tak właśnie jest, ponieważ takie działania wtłoczone w program przymusowych szkoleń i po prostu są jednym z wielu – szkolenie BHP, szkolenie z ochrony informacji, szkolenie przygotowujące do pracy. Zdarza się też, że nie wszystkie te szkolenia są obowiązkowe. Na przykład w niektórych firmach stwierdza się, że osoby pracujące przy linii produkcyjnej nie mają dostępu do e-maili, więc firma nie przeprowadza wśród nich odpowiednich działań edukacyjnych. Istotnym problemem są także zabezpieczenia techniczne oraz poziom ich implementacji i obsługi.
RS: Pamiętam taki incydent ze swojej policyjnej kariery (Roman Skrzypczyński w latach 1997-2014 pracował w Komendzie Głównej Policji w charakterze eksperta ds. cyberprzestępczości, przez ostatnie 5 lat służby – twórca i Naczelnik Wydziału Wsparcia Zwalczania Cyberprzestępczości – przyp. red.) – dotyczył włamania do jednego z banków. Wówczas w instytucjach finansowych uważano, że jeśli podniesie się świadomość pracowników co do bezpieczeństwa i zapewni fizyczne zabezpieczenia, to będzie to wystarczające. Skoro wszystko funkcjonowało jak należy, to czym zajmował się administrator? Grał sobie w gry internetowe. Przy okazji jednak kompletnie zaniedbał kwestie bezpieczeństwa – nie sprawdzał logów połączeń, które wychodziły z jego banku. To pokazuje wyraźnie, że kadra, i to nie tylko użytkownicy końcowi w danej firmie, powinna być cyklicznie szkolona i uwrażliwiana na możliwe zagrożenia i ich konsekwencje.
Odnosząc się do tego tematu, w raporcie PwC można przeczytać, że zaledwie 46 proc. przedsiębiorstw kieruje się w Polsce jasno zdefiniowanymi regułami bezpieczeństwa w porównaniu do imponującego wskaźnika 91 proc. na świecie. Z czego może to wynikać?
PG: Niewiele firm, nawet spośród tych wiodących, ma sprecyzowaną strategię działania w zakresie cyberbezpieczeństwa. Na zachodzie jest to absolutny standard, ale u nas działamy punktowo, operacyjnie i reakcyjne. Wydaje się, że jest to jeden z głównych powodów takiej sytuacji. Nie ma długookresowego planu, np. na 3 lata, przedstawiającego, co chcemy osiągnąć i na jakim poziomie zamierzamy być.
RS: Niestety u wielu ludzi oraz przedsiębiorców takiej świadomości nie ma. Działania polegają na doraźnym gaszeniu pożarów oraz łataniu dziur. W CIA powstał specjalny departament ds. cyberprzestępczości, ale nie tylko żeby reagować po zdarzeniu, ale – co równie istotne – również do prowadzenia działalności prewencyjnej. W ramach działania tej struktury powstają narzędzia do badania podatności na cyberzagrożenia w systemach informatycznych. Jednym z efektów szczytu NATO jest to, że cyberprzestrzeń została wpisana jako pole do działań operacyjnych. Ma to też niebagatelne znaczenie w Polsce, ponieważ zostało to odpowiednio nagłośnione i ma przełożenie na decyzje liderów polskiego biznesu. Warto pamiętać, że w środowisku wirtualnym mamy do czynienia z permanentną wojną, w której biorą udział zarówno podmioty prywatne, jak i państwowe.
Czy w takim razie przedsiębiorcy nie obawiają się, że cyberprzestrzeń stanie się kolejnym, narzędziem konkurencji, tej nielegalnej?
PG: Cyberprzestrzeń już jest polem dla nielegalnej konkurencji i przedsiębiorcy są tego coraz bardziej świadomi. Szczególnie widać to po firmach współpracujących z firmami chińskimi. W Państwie Środka, z definicji cyberatak traktowany jest jako narzędzie walki z konkurencją. Czasami w celu zdobycia informacji handlowych, a czasami w celu przejęcia patentów.
RS: Odnosząc się do wojny – każda informacja, numer pesel, patent, opracowanie, technologia – mają swoją wartość, o którą toczy się walka. Firmom, posiadającym unikalny towar utrzymanie przewagi konkurencyjnej w dzisiejszych czasach staje się coraz trudniejsze.
Czytaj też: Raport ENISA: Ilość cyberataków wzrasta, ale realne koszty nadal są nieznane