„Gdy nie ma presji, samorządy nie przeznaczają środków na cyberbezpieczeństwo”

Konferencję „Cyberzagrożenia 2021 r. i wyzwania na 2022 r.”, która wpisuje się w szerszy cykl spotkań „#CyfryzujemyPolskę”, otworzył prezes Związku Cyfrowa Polska (będącego organizatorem wydarzenia) Michał Kanownik. Podkreślił, że ostatnie dwa lata pandemii były okresem szczególnym, a rok 2021 wpisał się w krajobraz rewolucyjnych zmian.

„Technologia zaczęła rządzić naszym życiem. Z jednej strony pozwoliła utrzymać funkcjonowanie naszych organizacji, z drugiej jednak determinuje nasze zachowania zawodowe, społeczne, kulturalne” - zaznaczył. 

Z tego właśnie względu - zdaniem prezesa Związku - obecnie kwestie związane z cyberzagrożeniami i w ogóle cyberprzestrzenią powinny stać się numerem jeden. „To nie tylko temat dla rządów, globalnych relacji politycznych, ale również małych i średnich przedsiębiorstw oraz wszystkich konsumentów, bo często nasze dane, nasza prywatność są zagrożone” - ocenił Michał Kanownik. 

Na wstępie konferencji słowo do uczestników skierował także Hubert Nowak, prezes Urzędu Zamówień Publicznych. W ramach swojego wystąpienia podkreślił, że problematyka cyberbezpieczeństwa i cyberzagrożeń dotyczy nas wszystkich. Wskazał, że ostatnie dwa lata pandemii sprawiły, że Urząd przeniósł więcej obszarów działania do domeny cyber. „W 2021 roku przenieśliśmy wszystkie postepowania zamówieniowe do cyberprzestrzeni - blisko 200 mld rocznie jest kontraktowanych w sieci” - zaznaczył. Jak dodał, taki stan rzeczy przełożył się m.in. na bezpieczeństwo danych obywateli. 

Ponadto, Hubert Nowak podkreślił, że kolejne lata to dalsze zmiany i wyzwania. Jak poinformował, celem urzędu na najbliższe miesiące jest to, aby rozprawy przed Krajową Izbą Odwoławczą odbywały się elektronicznie.

Być mądrym przed szkodą

Podczas konferencji odbyła się również debata z udziałem przedstawicieli biznesu i sektora publicznego. Jako pierwszy głos zabrał Michał Kanownik, który został zapytany przez moderatora dr Jacka Raubo, analityka grupy Defence24, o to, czy idea cyberbezpieczeństwa jest wystarczająco dobrze rozumiana na poziomie samorządowym. 

„Świadomość i otwartość samorządów na inwestycje w cyberbezpieczeństwo rośnie wraz z nagłaśnianiem przypadków ataków cyfrowych i wycieków danych w jednostkach samorządu terytorialnego” - zaznaczył prezes Związku Cyfrowa Polska. Wyjaśnił, że im poważniejsze przypadki ataków (w tym m.in. włamań) dotyczą sektora publicznego, tym obserwowana jest większa jego chęć do poprawy cyberbezpieczeństwa. Zdaniem eksperta, samorządy żyją najczęściej w przeświadczeniu, że cyberzagrożenia ich nie dotyczą. Dopiero w momencie pojawienia się incydentu spada na nie kubeł zimnej wody, co powoduje, że zaczynają myśleć o zmianach. 

W części samorządów istnieje przeświadczenie, że skoro mamy informatyka, to wystarczy.
Michał Kanownik, prezes Związku Cyfrowa Polska

Równocześnie ekspert zwrócił uwagę, że sektor państwowy to nie tylko samorządy, ale także inne organizacje i instytucje, jak np. szkoły. Z tego względu incydenty na poziomie administracji to problem zarówno władz, jak i wszystkich obywateli, ponieważ tego typu sytuacja wiąże się często z utrudnieniami, a czasem wręcz naszym bezpieczeństwem (np. danych będących w dyspozycji urzędów). 

Kiedy cyfryzacja ma sens?

W nawiązaniu do słów prezesa ZCP Jan Maciej Czajkowski, współprzewodniczący Zespołu ds. Społeczeństwa Informacyjnego w Związku Miast Polskich, wskazał, że jeśli źle jest zaprojektowana struktura biznesowa, cała operacja związana z cyfryzacją mija się z celem. 

Zwrócił uwagę na fakt, że w ramach sektora państwowego przenikają się sfery samorządowe i rządowe. Z tego względu atak na mniejszą jednostkę administracyjną może mieć wpływ również na instytucje czy też organizacje na wyższym szczeblu. 

Jan Maciej Czajkowski podkreślił, że sfera publiczna jest zróżnicowana. Wynika to z faktu, że mamy poziom państwa, województwa, powiatu, miasta na prawach powiatu i gminy. To generuje całe spektrum uwarunkowań, przekładających się także na kwestię cyberbezpieczeństwa. „Każda z tych jednostek posiada własne spojrzenie na kwestie cyber na bazie m.in. swoich doświadczeń” - zaznaczył.  

Przedstawiciel Związku Miast Polskich wyjaśnił, że najbardziej zaawansowane pod względem cyfrowym są miasta na prawach powiatu i generalnie większe miejscowości. Posiadają one większe zasoby oraz dysponują zazwyczaj własnymi rozwiązaniami teleinformatycznymi. Z drugiej jednak strony są wystawione na większe ryzyko ataków w porównaniu do mniejszych jednostek, jak np. gminy. Dlaczego? Odpowiedź jest prosta: ich atrakcyjność w oczach cyberprzestępców jest większa. 

Sztywne schematy

Na jeszcze inny aspekt zwrócił uwagę Hubert Nowak, prezes Urzędu Zamówień Publicznych. Zaznaczył, że osoby pracujące w administracji - niezależnie czy samorządowej, czy centralnej - są przyzwyczajone do działania według sztywnych procedur. „Funkcjonujemy według schematów, a w przypadku cyberbezpieczeństwa i cyberzagrożeń takowych nie ma” - podkreślił. 

Incydent cyberbezpieczeństwa jest czymś nieoczekiwanym i musimy (administracja - przyp. red.) się z tym zderzyć. (...) Jesteśmy dwa kroki za zagrożeniem, gdy ono występuje.
Hubert Nowak, prezes Urzędu Zamówień Publicznych

Pomocna dłoń biznesu

W takim razie, co może zrobić biznes, aby pomóc nie tylko administracji, ale również innym podmiotom w dbaniu o cyberbezpieczeństwo? Nad tym zagadnieniem pochylił się Przemysław Kania, dyrektor generalny Cisco Polska. Jego zdaniem dostawcy, producenci oraz inne firmy z branży technologicznej powinny edukować swoich klientów i partnerów; rozmawiać z nimi, aby poznać, a także zrozumieć ich potrzeby. 

Ważne jest również to, aby tego typu przedsiębiorstwa brały na siebie kwestie wdrażania konkretnych rozwiązań i dbały o ich efektywną adopcję. „Samo zaimplementowanie systemu bezpieczeństwa jest niewystarczające. Bardzo ważna jest jego adopcja, obsługa i zarządzanie” - zaznaczył przedstawiciel biznesu. 

Należy propagować odpowiednią architekturę cyberbezpieczeństwa. Zagrożenia są zjawiskiem, które występują tu i teraz, dlatego system, który stworzymy musi działać na bieżąco.
Przemysław Kania, dyrektor generalny Cisco Polska

„Tylko wtedy dojdziemy do celu"

Dyrektor generalny Cisco Polska zwrócił także uwagę na znaczenie współpracy, również międzysektorowej. „Jesteśmy nastawieni na współpracę, aby wypracować konkretne rozwiązania” - zadeklarował. 

Dodał, że obserwując zmiany u partnerów jego firmy, można zauważyć, iż poziom świadomości na temat zagrożeń oraz możliwości w sferze cyber podnoszą się z roku na rok. Niestety druga strona medalu jest taka, że równocześnie lawinowo rośnie liczba ataków. 

W związku z tym Cisco Polska prowadzi szkolenia dla samorządów, dzięki współpracy z kancelarią premiera, aby przyczyniać się do podnoszenia cyberbezpieczeństwa w naszym kraju. „Jesteśmy także obecni tutaj, na konferencji organizowanej przez Związek Cyfrowa Polska, co także wpływa na poprawę świadomości” - mówił Przemysław Kania. 

Współpracy musi być bardzo dużo, bo tylko wtedy dojdziemy do celu.
Przemysław Kania, dyrektor generalny Cisco

Do znaczenia współpracy odniósł się także Hubert Nowak, reprezentujący administrację publiczną. Jak zaznaczył, zagrożenia występujące w biznesie przenoszone są również do sektora publicznego. Z tego względu współpraca z podmiotami prywatnymi jest bardzo wartościowa, np. w zakresie projektowania zakupów systemów. Wspomniał tu m.in. o konsultacjach, które są doskonałą możliwością na pozyskanie wiedzy. 

Im ciszej, tym lepiej

W trakcie dyskusji moderator dr Jacek Raubo z grupy Defence24 poruszył istotny wątek cyberbezpieczeństwa w kontekście infrastruktury krytycznej (IK). „Jest ona jednym z najważniejszych, o ile nie najważniejszym celem (wrogich aktorów - red.)” - zaznaczył Michał Kanownik.   

Prezes ZCP zwrócił także uwagę na kwestię definicji: „Wiele zależy też od tego, jak rozumiemy infrastrukturę krytyczną. Może to być np. sieć energetyczna, szpitale zwłaszcza w dobie pandemii, siec teleinformatyczna”. Zauważył jednak, że im ciszej o niej, tym lepiej, ponieważ taki stan rzeczy oznacza, że nie doszło do żadnych incydentów. Niemniej jednak, należy zachować nieustanną czujność. 

Tutaj ekspert podkreślił, że jeśli już dojdzie do ataku i zakłócenia działalności systemów, kluczowy jest czas reakcji, a więc sprawność instytucji odpowiedzialnych za reagowanie na incydenty. „Atakujący zawsze będzie pół kroku przed nami, a my będziemy go gonić, dlatego jesteśmy skazani na reakcyjne działanie” - stwierdził Michał Kanownik. 

Niewykonalne jest całkowite uniknięcie incydentu, z tego względu kluczowe jest reagowanie.
Michał Kanownik, prezes Związku Cyfrowa Polska

Przyszłość pod znakiem wyzwań

Moderujący dyskusję dr Jacek Raubo zapytał uczestników panelu o wyzwania, jakie czekają biznes i sektor publiczny w bieżącym roku oraz kolejnych latach. 

Jan Maciej Czajkowski zwrócił uwagę na cztery fundamentalne z perspektywy cyberbezpieczeństwa obszary: kompetencje, świadomość, kadry oraz środki. Szczególną uwagę poświęcił ostatniej kwestii. „Rok 2022 wiąże się z nowym mechanizmem funkcjonowania samorządów. (...) W tym roku będzie mniej środków na wydatki bieżące, a w kolejnym zostaną dodatkowo okrojone” - podkreślił. 

Z tego względu niezbędne jest udzielenie wsparcia samorządom poprzez na przykład audyty. Zdaniem przedstawiciela Związku Miast Polskich, warto także rozważyć wprowadzenie „podziałki budżetowej”, która uwzględniałaby wydatki na cyberbezpieczeństwo. Kwestia ta staje się coraz bardziej istotna, ponieważ w momencie, gdy nie wskazano, że określona pula środków musi być przekazana na sferę cyber, samorządy nie czują żadnej presji, aby same to robić. „Uważają, że są inne ważniejsze rzeczy. Dlatego trzeba im pokazać, jak ważną kwestią jest cyberbezpieczeństwo i odpowiednie wydawanie środków na ten cel” - zaznaczył Jan Maciej Czajkowski. 

Reprezentujący administrację publiczną Hubert Nowak dodał do tego jeszcze jeden ważny aspekt: „mamy relatywną trudność w przenoszeniu środków. W biznesie jest to bardziej elastyczne”. 

Musimy zmierzyć się z wyzwaniami finansowymi. To będą ambitne budżety, gdzie pojawią się małe kwoty a dużo zadań.

@ Hubert Nowak, prezes Urzędu Zamówień Publicznych. 

Z kolei jak zaznaczył Michał Kanownik, „pieniędzy zawsze będzie za mało. Nie ma kwoty, która sprawiłaby, że będziemy czuć się bezpiecznie”. „Cyberbezpieczenstwo wymaga nieustannych inwestycji w nowe technologie, by cyberprzestępcy nam nie uciekli” - stwierdził. Natomiast Przemysław Kania wskazał: „Jeśli chodzi o wydatki, jest dobrze, ale zawsze może być lepiej”. 

Według dyrektora generalnego Cisco Polska, istotnym wyzwaniem jest również to, aby w jednostkach administracji, np. gminach, pracował kompetentny pracownik. „Czyli kłania się temat kształcenia specjalistów ds. cyberbezpieczeństwa” - wskazał. 

Zwrócił także uwagę na pewne zjawisko, jakie można zaobserwować w naszym kraju. „W większości podmiotów istnieje przekonanie, że cyberbezpieczeństwo to coś, co musi znajdować się u mnie (w ramach organizacji i jej infrastruktury - red.). Obecnie technologia jednak umożliwia wyniesienie rozwiązań poza organizację, np. do chmury. To jest tak samo efektywne” - wyjaśnił przedstawiciel biznesu. 

W trakcie wydarzenia odbyła się również prezentacja wyników raportu „Cyberbezpieczeństwo w Polsce w 2021 r. cyberataki na urządzenia końcowe”, opracowanego przez Związek Cyfrowa Polska. Materiał na ten temat znajduje się pod linkiem .

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.