- WIADOMOŚCI
Polak mądry po (cyber)szkodzie. Jesteśmy mistrzami w „nie da się”
Autor. CyberDefence24 / Chat GPT
Atak ransomware, paraliż instytucji albo pierwsza kara – dopiero takie zdarzenia potrafią skłonić organizacje do poważnego potraktowania tematu cyberbezpieczeństwa. Inwestycje w ludzi, szkolenia i procedury często odkładane są do momentu, w którym jest już za późno, a jak wskazują autorzy raportu „Cyberodporni 2030”, nawet najbardziej zaawansowane zabezpieczenia mogą zostać złamane.
Nie ma organizacji całkowicie odpornej na ataki w cyberprzestrzeni, dlatego cyberodporność nie może być utożsamiana tylko z uzyskaniem odpowiedniego certyfikatu. To, co na papierze, powinno przekładać się rzeczywistość i stosowanie konkretnych mechanizmów obronnych, a z tymi – jak wskazują eksperci – bywa różnie.
W budowaniu odporności liczy się zdolność do wykrycia luk w systemie bezpieczeństwa na odpowiednim etapie, wprowadzanie mechanizmów ograniczających potencjalne straty, utrzymanie kluczowych usług, czy szybkie przywrócenie ich działania po ataku.
To tylko kilka z kluczowych wniosków, jakie niesie za sobą najnowszy raport „Cyberodporni 2030. Prognoza oraz plan budowy cyberodporności państwa, gospodarki i społeczeństwa”, do którego dostęp można pozyskać tutaj.
Dokument przygotowany m.in. przez ekspertów Defence Institute i dziennikarzy CyberDefence24 wskazuje także na nowe obowiązki, jakie na firmy i instytucje nakłada nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Zdaniem autorów raportu spełnienie podstawowych wymagań zawartych w regulacji nie jest równoznaczne z osiągnięciem cyberodporności. Ona wymaga m.in. monitorowania systemów, testowania planów ciągłości działania, odpowiedniej współpracy z dostawcami oraz połączenia cyberbezpieczeństwa ze strategicznym zarządzaniem organizacją.
I w tym eksperci widzą największe wyzwania.
„My jesteśmy w Polsce po prostu mistrzami w »nie da się«, do momentu, gdy coś się nie wydarzy” – stwierdził podczas prezentacji raportu prof. Dariusz Szostek, dyrektor Cyber Science Center i przewodniczący zespołu cyberbezpieczeństwa Konferencji Rektorów Akademickich Szkół Polskich.
Polak mądry po (cyber)szkodzie
Zdaniem prof. Szostka w Polsce wciąż dominuje reaktywne podejście do zagrożeń w przestrzeni cyfrowej. Wiele firm i instytycji odkłada inwestycje, szkolenia i zmiany procedur do momentu, w którym wydarzy się coś, czego nie da się już zignorować.
Podobny mechanizm, jego zdaniem, występuje nie tylko w biznesie, ale i w administracji publicznej, samorządach oraz szkolnictwie wyższym. Kierownictwo różnych podmiotów często traktuje cyberbezpieczeństwo jako koszt, który można odłożyć w czasie, a nie jako podstawowy element funkcjonowania instytucji.
„Dopóki ktoś nie zostanie zaatakowany, dopóki nie pojawi się realna odpowiedzialność, doputy osoby podejmujące kluczowe decyzje nie przejrzą na oczy” – ocenił prof. Szostek.
Co za tym idzie wydatki na cyberbezpieczeństwo pojawiają się często dopiero wtedy, gdy trzeba odtwarzać systemy, obsługiwać incydent, informować osoby poszkodowane albo mierzyć się z przestojem w funkcjonowaniu organizacji.
Zobacz też

Szkolenie za kilka czy specjalista za kilkadziesiąt tysięcy?
Zdaniem prof. Szostka problemem nie jest tylko dostępność specjalistów, czy ich koszt, ale myślenie kategoriami pozornych oszczędności i sprowadzania bezpieczeństwa do uzyskania wymaganego certyfikatu oraz „odhaczania kolejnych wymogów”, które na firmy i instytucje nakłada m.in. nowelizacja ustawy o KSC.
Ekspert jako przykład podał studia z zarządzania cyberbezpieczeństwem prowadzone na Politechnice Śląskiej przez Cyber Science Center, przygotowane we współpracy ze specjalistami Polskiego Towarzystwa Informatycznego. Program ma przygotowywać uczestników do egzaminu potwierdzającego ich kompetencje, a nie jedynie kończyć się wydaniem dyplomu ukończenia studiów.
Problem leży jednak w podejściu do tego rodzaju szkoleń. Zainteresowanie zwiększaniem kompetencji pracowników jest ze strony ich pracodawców dalekie od oczekiwań.
„Gminy mają problem, żeby wydać 6–8 tys. zł rocznie na wykształcenie swojego specjalisty w zakresie cyberbezpieczeństwa, ale jeśli będą musiały kupić czas specjalistów na rynku, zapłacą kilka razy więcej i to w skali miesiąca” – dodał.
Jako przykład podał rozmowę z władzami jednego z województw, którym proponowano przeszkolenie w ciągu pół roku około tysiąca osób, które potrafiłyby rozpoznać problem, zadać odpowiednie pytania i właściwie współpracować z dostawcami technologii.
„Po miłej rozmowie usłyszałem: »tak, tak, panie profesorze«, ale nic za tym nie poszło. W Polsce często kończymy na poziomie chciejstwa” – podsumował.
Według szacunku przedstawionego przez prof. Szostka w Polsce brakuje obecnie od 30 do 50 tys. specjalistów zajmujących się cyberbezpieczeństwem. Problem ten – jak opisuje Przewodniczący zespołu cyberbezpieczeństwa Konferencji Rektorów Akademickich Szkół Polskich – widoczny jest zwłaszcza w sektorze nauki.
Uczelnie nie są w stanie konkurować stawkami dla specjalistów z dużymi przedsiębiorstwami, sektorem finansowym czy firmami technologicznymi. Z drugiej strony muszą chronić bardzo zróżnicowaną infrastrukturę – od poczty elektronicznej i systemów dziekanatowych, przez laboratoria i specjalistyczną aparaturę, po rozwiązania wykorzystujące sztuczną inteligencję.
„W nauce są bardzo niskie wynagrodzenia i uczelnie nie są w stanie ściągnąć ludzi z rynku. Do tego dochodzi dług technologiczny i ogromna dywersyfikacja IT” – mówił.
Cyber Science Center miało w związku z tym przekonać ministerialnych urzędników do uruchomienia sektorowego programu kształcenia. Jak zapowiedział prof. Szostek, w pierwszym etapie ma powstać grupa około 300–400 specjalistów przygotowanych do pracy na potrzeby szkolnictwa wyższego.
Cyberhigiena jak BHP
Budowa odporności nie może jednak ograniczać się tylko do kształcenia wąskiej grupy ekspertów. Równie istotne jest podniesienie podstawowej świadomości studentów, pracowników i osób zarządzających.
Prof. Szostek opisał mechanizm zastosowany na śląskich uczelniach. Ponieważ nie istnieje powszechny obowiązek przechodzenia szkolenia z cyberbezpieczeństwa, temat został włączony do obowiązkowego szkolenia z bezpieczeństwa i higieny pracy.
Nie ma obowiązkowego szkolenia z cyberbezpieczeństwa, ale jest obowiązek szkolenia z BHP. Wobec tego do higieny cyfrowej dołączyliśmy cyberbezpieczeństwo. Studenci pierwszego roku musieli przejść testy i egzamin.
Prof. Dariusz Szostek, Dyrektor Cyber Science Center, Przewodniczący zespołu cyberbezpieczeństwa KRASP
W ten sposób w ciągu roku szkolono od 20 do 30 tys. osób. Kolejnym krokiem ma być przygotowanie jednolitego szkolenia dla studentów w całej Polsce, a także sektorowego programu dla pracowników uczelni.
„Łącznie w przyszłym roku to będzie dwa miliony osób, które zostaną uświadomione na tym pierwszym etapie” – zapowiedział.
Podobny model, zdaniem eksperta, powinien zostać zastosowany również w ochronie zdrowia, transporcie, administracji i innych sektorach. Szkolenia muszą uwzględniać specyfikę danego środowiska – inne ryzyka dotyczą uczelni, inne szpitala, zakładu przemysłowego czy jednostki wojskowej.


Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].