Biznes naszych czasów. Tak zbudujesz bezpieczną firmę

Materiał sponsorowany

Forum Ekonomiczne w Karpaczu obfitowało w szereg merytorycznych dyskusji. Jedna z nich dotyczyła cyberbezpieczeństwa w biznesie. Brali w niej udział Tomasz Chomicki, dyrektor ds. rozwoju biznesu w Samsung Electronics Polska), Jarosław Sordyl, wiceprezes CISO #Poland, Agnieszka Ulanowska, dyrektorka działu nadzoru wewnętrznego i bezpieczeństwa IT w Noble Funds TFI S.A. oraz Krystian Paszek, Cybersecurity Services Manager w DAGMA Bezpieczeństwo IT.

Trzeba być gotowym

W trakcie panelu specjaliści odnieśli się do m.in. wyzwań, z jakimi muszą obecnie mierzyć się przedsiębiorstwa.

Tu na pierwszy plan wysunęła się kwestia krajowych i unijnych regulacji. Mowa o m.in. NIS2, DORA, AI Act i przepisach wprowadzających te regulacje. Eksperci podkreślili, że firmy oraz inne organizacje, których prawo dotyczy, powinny być odpowiednio wcześnie gotowe do wdrożenia nowych zasad działania rynku.

Przykładem przedsiębiorstwa postępującego w ten właśnie sposób jest Samsung. „U nas przygotowania prowadzone są na dość wczesnym etapie. Prowadzimy monitoring legislacyjny” – zaznaczył w trakcie dyskusji Tomasz Chomicki. Dzięki temu różne działy firmy mogą ze sobą współpracować, prowadzić dyskusje i wcześnie zgłaszać ewentualne problemy. To pozwala na reakcję, zanim regulacja zacznie obowiązywać i np. mogą być nakładane kary. 

Trzeba położyć nacisk na identyfikację grup, które będą objęte regulacjami. Dotrzeć do nich, ich władz z komunikatem i powiedzieć wprost, jakie obowiązki i normy mają spełnić.
Tomasz Chomicki, dyrektor ds. rozwoju biznesu w Samsung Electronics Polska

Kary jako środek przymusu

W wielu przypadkach jest tak, że dopóki nie pojawi się system kar, organizacje próbują odkładać wdrożenie przepisów. Okazuje się zatem, że konsekwencje finansowe stanowią efektywny środek przymusu. Warto jednak zacząć działać wcześniej i nie mieć później przysłowiowego „bólu głowy”. 

„Firmy się spóźniają a trzeba planować działania z wyprzedzeniem. W naszym przypadku odpowiednio wcześniej czytamy regulacje. Z mojej perspektywy skupiam się na tym co i gdzie będziemy potrzebować; co wygeneruje koszty i jak wysokie, bo np. trzeba będzie kupić określony sprzęt” – podzieliła się swoimi doświadczeniami Agnieszka Ulanowska z Noble Funds TFI S.A.

Przepisy unijne muszą być. Fajne jest to, że w każdym przypadku jest tak samo. Takie ujednolicenie pomaga zarządzać całym procesem cyberbezpieczeństwa.
Agnieszka Ulanowska, Dyrektorka Działu Nadzoru Wewnętrznego i Bezpieczeństwa IT, Noble Funds TFI S.A.

Regulacje są potrzebne

Według Jarosława Sordyla, pojawianie się kolejnych przepisów obejmujących obszar nowoczesnych technologii i cyberbezpieczeństwa należy postrzegać pozytywnie, ponieważ dzięki nim rośnie świadomość nie tylko biznesu, ale ogółu społeczeństwa. 

Wiceprezes CISO #Poland odwołał się do przykładu unijnej dyrektywy NIS2, która rozszerza katalog podmiotów, które muszą spełniać normy cyberbezpieczeństwa. Nowe przepisy wejdą w życie już 17 października br. i w ocenie eksperta dają wyraźny sygnał, że należy budować program ochrony i rozwijać go w organizacjach, które do tej pory jeszcze o to nie dbały. 

Jeśli ktoś nie chce wydawać pieniędzy na ochronę swojej organizacji, to później może okazać się, że koszty ewentualnego skutecznego cyberataku będę wielokrotnie wyższe. Czy zatem warto inwestować w cyberbezpieczeństwo? Musimy to robić. Musimy wydawać pieniądze na ten cel i równocześnie wdrażać postanowienia regulacji niż potem np. płacić okup (w przypadku ataku ransomware – red.).
Jarosław Sordyl, wiceprezes CISO #Poland

Problemy firm. „Byle by było”

Problem jednak w tym, że mniejsze organizacje mają często problem z wdrażaniem regulacji, bo – jak stwierdziła Agnieszka Ulanowska – często nie wiedzą, że np. określone przepisy się pojawiły lub zaczęły obowiązywać z danym dniem.

Są również przypadki, gdzie zarządy celowo zwlekają do końca z przygotowaniami do wdrożenia regulacji, bo „może się uda i finalnie przepisy ich nie obejmą”. Gdy jednak okazuje się, że taki scenariusz się nie sprawdził, poszukują firm, które mają pomóc w podniesieniu poziomu cyberbezpieczeństwa i spełnieniu nałożonych obowiązków. 

Poza tym władze spółek zwykle nie są specjalistami z dziedziny cyber. Zwyczajnie nie znają się na tym obszarze, więc nie są w stanie samodzielnie zidentyfikować luk. W związku z tym poszukują podmiotów, które przeprowadzą audyt. 

„Sama miałam w ostatnim czasie ponad 20 takich zapytań. To spóźnione działanie, bo NIS2 wchodzi już 17 października” – przekazała przedstawicielka Noble Funds TFI S.A. w czasie dyskusji.

Krystian Paszek z DAGMA Bezpieczeństwo IT zwrócił uwagę na działalność podmiotów przedstawiających się jako rzekomo eksperckie w branży cyber. Część z nich w praktyce kieruje się zasadą „wziąć pieniądze i byle by było”, co potem odbija się na jakości cyberbezpieczeństwa danego przedsiębiorstwa oraz jego klientów i partnerów.

Zawsze przeczytajmy regulacje dokładnie, ze zrozumieniem, zwłaszcza punkty dotyczące wymagań i przeanalizujmy je z prawdziwymi profesjonalistami.
Krystian Paszek, Cybersecurity Services Manager, DAGMA Bezpieczeństwo IT

Łańcuch dostaw. Na co postawić?

Każdy z nas dobrze pamięta czasy lockdownu, będącego efektem pandemii COVID-19. Konsekwencje powszechnego kryzysu zdrowotnego okazały się dotkliwe w wielu obszarach. Mocno ucierpiał biznes ze względu na m.in. zakłócenia w łańcuchu dostaw. To pokazało, o jak ważnej „działce” mówimy. 

W trakcie Forum Ekonomicznego w Karpaczu nie mogło zabraknąć dyskusji na temat wspomnianego łańcucha dostaw.  Nie ma wątpliwości, że musi być w pełni cyberbezpieczny. Jak to zrobić?

Należy zacząć od analizy ryzyka przy wyborze dostawców. „Warto ocenić sytuację. Zobaczmy, gdzie kryją się zagrożenia” – rekomenduje Agnieszka Ulanowska. Jak dodała, np. korzystniej jest postawić na partnera posiadającego certyfikaty i spełniającego standardy. 

Wszystko dlatego, że podstawą jest zaufanie, które powinniśmy mieć do partnerów. „Musimy mieć pełną świadomość kim sami jesteśmy, co robimy, z kim współpracujemy” – stwierdził Jarosław Sordyl. Wiceprezes CISO #Poland uważa, że fundamentem jest transparentność i wymiana informacji między podmiotami. 

„Jeśli wystąpił incydent, nie ukrywam go. Wymieniamy się informacjami, współpracujemy ze sobą” – zaznaczył. 

Ponadto, jego zdaniem pomocna jest organizacja np. testów cyberbezpieczeństwa. Okresowo można prowadzić symulacje cyberataków czy innego rodzaju zagrożeń, aby zobaczyć na ile my i nasi partnerzy jesteśmy przygotowani do reagowania na sytuacje kryzysowe. Na bazie tego należy wyciągnąć lekcje, wdrożyć odpowiednie zmiany i udoskonalić procesy, aby zwiększyć odporność organizacji. 

Samsung dobrym przykładem

Bezpośrednio do okresu pandemii COVID-19 odniósł się Tomasz Chomicki z Samsung. W czasie Forum Ekonomicznego podzielił się doświadczeniami swojej firmy. „Ta sytuacja kryzysowa pokazała nam, co mamy pod kontrolą, a co nie. To była cenna lekcja” – ocenił. 

Przedstawiciel koreańskiego giganta podkreślił, że koncern bardzo dużo elementów produkuje sam, a jego rozwiązania można kupić w różny sposób: przez oficjalny sklep Samsung, w „sieciówkach” lub salonach operatorów komórkowych. 

„Dostarczamy nasze produkty bardzo szybko, bo większość procesów w ramach łańcucha dostaw jesteśmy w stanie kontrolować, dzięki m.in. analizie i ryzyka i posiadanemu doświadczeniu” – zaznaczył Tomasz Chomicki. 

Jak stworzyć bezpieczną firmę?

Cyberbezpieczna firma musi posiadać świadomych pracowników, którzy stosują zasady cyberhigieny, znają ryzyko i wiedzą, jak reagować w przypadku ewentualnego incydentu. Szkolenie personelu ma szczególne znaczenie, bo to człowiek jest najsłabszym ogniwem w łańcuchu cyberbezpieczeństwa. Można mieć najlepszej jakości zabezpieczenia, standardy, certyfikacje, sprzęt, ale jeśli zawiedzie czynnik ludzki, mogą okazać się zupełnie nieskuteczne. 

Samsung nie tylko szkoli swoich pracowników, ale również udziela się na zewnątrz. Tomasz Chomicki przypomniał podczas dyskusji na Forum Ekonomicznym w Karpaczu, że 5 lat temu jego firma dołączyła do programu PWCyber. Jak przekazał, zainteresowanie szkoleniami, w których brał udział Samsung było duże. 

„W trakcie jednego spotkania online obecnych było 1000 osób. Ludzie aktywnie uczestniczyli w inicjatywie. Przekazywaliśmy im podstawy cyberbezpieczeństwa” – zaznaczył przedstawiciel koreańskiego giganta. Jego zdaniem, m.in. dzięki takim programom rośnie świadomość przysłowiowego „Kowalskiego”, choć skuteczne oszustwa nadal się pojawiają.

Nawiązując do wypowiedzi przedstawiciela Samsung, Jarosław Sordyl zwrócił się do przedsiębiorców: „Jeśli w cyber chcecie od czegoś zacząć, to od edukacji swoich pracowników. Oni są pierwszą linią obrony waszej organizacji”.