Cyberataki na Polskę. Są bardziej „finezyjne”

Materiał sponsorowany

Cyberbezpieczeństwo – w przypadku trwających konfliktów zbrojnych – było jednym z tematów Panelu IV CyberGAZTERM. Wzięli w nim udział Karol Wróbel, Dyrektor Departamentu Cyberbezpieczeństwa w EXATEL S.A., Łukasz Pachocki, Architekt Rozwiązań Bezpieczeństwa w Atende S.A., Maciej Gospodarek, OT Systems Engineer w Fortinet Lnc., Jacek Zieliński, Zastępca Dyrektora Departamentu Bezpieczeństwa w Polskiej Spółce Gazownictwa oraz Justyna Wilczyńska-Baraniak, adwokat i Liderka Zespołu Prawa Własności Intelektualnej, Technologii i Danych Osobowych w EY Law. Dyskusję moderował Andrzej Bartosiewicz, prezes CISO w Polsce.

Wróbel: „Rzeczywistość wygląda inaczej”

Jedno z pierwszych pytań dotyczyło problemu instytucjonalizacji cyberprzestępczości. W zakresie tego, co hakerzy mogą „zaoferować”, Karol Wróbel odpowiedział, że ataki w cyberprzestrzeni nie będą przeprowadzane wyłącznie równolegle do konfliktu kinetycznego.

„Ta faza cyberbezpieczeństwa to jest tu i teraz. A nawet była już ileś miesięcy temu. Zdobywanie tego przyczółku, śledzenie informacji, szpiegostwo przemysłowe, wszelkiego rodzaju pozyskiwanie istotnych informacji, to jest już przewaga też w trakcie konfliktu ofensywnego” – wskazał.

„Z perspektywy ekspertów cyberbezpieczeństwa wątki związane z atakami denial-of-service są takie trochę jakby określone jako ataki gorszej kategorii. Rzeczywistość teraz wygląda trochę inaczej. Każdy z operatorów telekomunikacyjnych ma jakieś rozwiązanie anty-DDoS, w tym my jako Exatel, przy czym zdecydowaliśmy się na wytwarzanie swojego i w związku z tym śmiem twierdzić, że widzimy trochę więcej, a czego nie widzimy, to szybko sobie wyprodukujemy” - dodał Karol Wróbel, Dyrektor Departamentu Cyberbezpieczeństwa w EXATEL S.A.

Zdaniem Wróbla, ataki denial-of-service w polskiej cyberprzestrzeni w ostatnich latach stały się o wiele bardziej „finezyjne” – ochrona na poziomie wolumetrycznym zmusza bowiem cyberprzestępców do zmiany sposobu ataku.

„Atakujący na tyle byli konsekwentni w swoim dążeniu do osiągnięcia celu, że byliśmy zmuszeni do przebudowy architektury sieci wewnętrznej, bez zaburzania ruchu nie tylko dla tych podmiotów, które były atakowane, ale też dla pozostałych świadczenia tej usługi. To pokazuje, że te zaawansowane ataki, których nie widzimy, są najgroźniejsze” – dodał dyrektor z EXATEL.

Wdrażanie regulacji z kłopotami?

Zapytany o kwestię regulacji prawnych, obejmujących m.in. NIS-2, Piotr Zieliński odpowiedział, że jest bardzo mało, aby dyrektywa została wdrożona w krajowe ramy w bardzo dobry sposób.

„To jest 38 tysięcy podmiotów, z tego 27 tysięcy z administracji publicznej. To jest bardzo dużo. Z porównaniem do tego co jest na dzień dzisiejszy, gdzie operatorów usług kluczowych jest kilka tysięcy może. To jest duża różnica. Będzie spory problem, jeżeli chodzi o pozyskanie przynajmniej w administracji publicznej specjalistów, którzy zajmą się implementacją tej ustawy” – powiedział przedstawiciel Polskiej Spółki Gazownictwa.

Do sprawy wdrożenia CER-A, czyli aktu o cyberodporności, odniósł się Łukasz Pachocki. „Unia Europejska (za pomocą CER-A – red.) nakłada na producentów, dystrybutorów i importerów, obowiązek utrzymania odpowiedzialnego bezpieczeństwa na tych urządzeniach. To będzie wymagało minimum ok. 5 lat utrzymania software’u, update«ów, patchowania i ewentualnie nowego wersjonowania dla tych rozwiązań” – wyjaśnił przedstawiciel Atende S.A. Dodał również, że wdrożenie regulacji przyniesie więcej zysków producentom niż kosztów.

Z kolei Justyna Wilczyńska-Baraniak zauważyła, że czas konsultacji projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa wynoszący 30 dni był zdecydowanie za krótki przy 38 tysiącach podmiotów, których będzie dotyczył.

„Znowu zaczynamy mieć sytuację, którą mieliśmy kilka lat temu, gdzie próbowano znowelizować ustawę o krajowym systemie cyberbezpieczeństwa nieudolnie, ponieważ wycofano się z tej nowelizacji. W moim mniemaniu, patrząc na to, jak do tej implementacji podeszły inne kraje członkowskie, na 27 państw członkowskich Unii tylko 9 opublikowało projekt ustawy wdrażającej NIS-2 w swoich porządkach prawnych” – wyjaśniła.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].