Reklama
Reklama
  • WIADOMOŚCI
  • WAŻNE

Polskie firmy chcą „papierka”, by tylko uniknąć kar z KSC. Cyberprzestępcy zacierają ręce

Hala zakładu produkcyjnego z napisem "hacked" i postać kobiety z zasłoniętą dłońmi twarzą.
Raport "Cyberodporni 2030" już jest dostępny: diagnoza, przypadki, prognoza. Jasny sygnał dla polskich firm.
Autor. CyberDefence24/Canva

Nowe przepisy KSC obejmą znacznie więcej firm, niż wielu się wydaje, a kary za ich niespełnienie będą dotkliwe. Eksperci ostrzegają jednak przed groźną pułapką: na rynku już pojawiają się „para-usługi”, które obiecują spełnienie wymogów za grosze. To prosta droga do katastrofy. Raport „Cyberodporni 2030” pokazuje prawdę o cyberbezpieczeństwie i odporności polskich firm w kontekście nowelizacji ustawy o KSC. 

Cyberbezpieczeństwo i cyberodporność stały się absolutnym fundamentem naszej codzienności. Wszyscy korzystamy ze smartfonów, laptopów, inteligentnych urządzeń, e-usług, bankowości elektronicznej, posiadamy konta na różnych platformach itp. Przykłady można mnożyć. 

Czy tego chcieliśmy, czy nie, weszliśmy do świata cyfrowego. Każdego dnia jesteśmy obecni w sieci, a to wirtualna obecność dotyczy również naszych organizacji: firm, administracji, wojska, służb. Wystarczy rozglądnąć się dookoła i zobaczyć, jak wiele urządzeń ma styczność z siecią: od drukarek, przez serwery, po zaawansowany sprzęt przemysłowy. 

Z jednej strony to znak czasu, z którego staramy się czerpać garściami. Nowoczesne technologie pozwalają nam pracować wydajniej. Procesy przyspieszają, działalność staje się mniej uciążliwa, wiele problemów staje się prostszych do rozwiązania. 

Reklama

Więcej urządzeń w sieci to więcej możliwości dla hakerów

Cyfryzacja niesie sobą wiele dobrego, lecz aby faktycznie zbierać jej owoce, konieczne jest zadbanie o cyberbezpieczeństwo i cyberodporność. Im więcej sprzętu podłączonego do sieci, tym więcej wektorów do potencjalnego cyberataku

A w przypadku Polski – kraju znajdującego na wschodniej flance NATO i poddawanego presji ze strony m.in. Rosji – mówimy o rosnącej fali wrogich cyberoperacji wymierzonych zarówno w sektor publiczny, jak i prywatny. 

Nie brakuje przypadków ataków incydentów w wodociągachszpitalachurzędachuczelniach czy przedsiębiorstwach. Musimy mieć świadomość, że np. manipulacja składnikami wody lub nadmiarowe dodatnie substancji podczas produkcji żywności może wiązać się poważnymi konsekwencjami, w tym wpływem na zdrowie i życie obywateli. 

Biorąc pod uwagę środowisko, w którym żyjemy, sytuację geopolityczną oraz cyfrowy skok, jaki wykonał nasz kraj, wspólnie z Defence Institute podjęliśmy przeanalizowania bieżących wydarzeń, aby zwrócić uwagę na potrzebę realnego, nie tylko teoretycznego, ale praktycznego zastosowania się do wymogów nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). 

Bolesna prawda o polskim biznesie. Najsłabsze ogniwo wielu firm

Premiera raportu „Cyberodporni 2030, która miała miejsce 9 lipca br. w Warszawie, była okazją do wywołania dyskusji na ten ważny temat. Nowelizacja KSC to nie tylko podmioty z sektorów wskazanych w regulacji. 

Panel dyskusyjny podczas premiery raportu "Cyberodporni 2030"
Premiera raportu "Cyberodporni 2030" z udziałem: prof. Dariusza Szostka (Cyber Science Center, UŚ), Tomasza Zdzikota (Rada Bezpieczeństwa i Obronności przy Prezydencie RP, Fundacja SET), płk Piotra Turka (CISI, DKWOC), Paweł Dąbrowski (NASK).
Autor. Izabela Białek/Defence24

W rzeczywistości przepisy dotyczą każdego przedsiębiorstwa, które chce wystartować w przetargu, organizowanym przez np. instytucję publiczną. Niespełnienie wymogów z miejsca stawia taką firmę w pozycji przegranego.

Prof. Dariusz Szostek, dyrektor Cyber Science Center oraz reprezentujący Uniwersytet Śląski, wprost stwierdził, że najmniej korzystnie sytuacja wygląda właśnie w przypadku małych i średnich przedsiębiorstw (MŚP), co wskazaliśmy w raporcie „Cyberodporni 2030”. A przecież to na MŚP stoi nasza gospodarka. 

Oczywiście nie brakuje przedsiębiorców, którzy są bardzo dobrze przygotowani (do wymogów nowelizacji KSC – red.). Najczęściej to duże podmioty. Natomiast w Polsce kłopot pojawia się w przypadku małego i średniego biznesu” – ocenił ekspert. 

Dyrektor Cyber Science Center zwrócił uwagę na m.in. brak świadomości oraz małe kompetencje dotyczących cyber i tech. Po prostu mniejsi przedsiębiorcy nie wiedzą o co, kogo i gdzie zapytać, nie mówiąc już o zrozumieniu obowiązków wymienionych w ustawie.

Reklama

Obudzą się dopiero po karze lub ataku. Groźna pułapka na przedsiębiorców

To problem, ponieważ wiele firm nie przywiązuje należytej wagi do cyberbezpieczeństwa. Sytuacja zwykle zmienia się w dwóch przypadkach: trafienia np. ransomware albo nałożeniem dotkliwej kary. A te mogą być naprawdę wysokie, o czym piszemy w naszej publikacji. 

Do tego dochodzi dług cyfrowy oraz skromniejszy budżet

Te wszystkie wymienione czynniki mogą pchać do groźną pułapkę. 

System za 5 tys. zł? „Jeśli ktoś tak twierdzi, po prostu kłamie”

W związku z wejściem w życie nowych przepisów pojawiła się potrzeba jedynie spełnienia wymogów, a nie realnego podniesienia cyberbezpieczeństwa i cyberodporności. Mówiąc wprost: papiery mają się zgadzać, aby nie dostać kary. Stąd nie brakuje organizacji, które zwietrzyły szansę w tym obszarze i świadczą odpłatne „para-usługi”. Najlepszym tego przykładem są tzw. „para-SOC-i”. 

Nie da się zrobić sytemu cyberbezpieczeństwa za 5 tys. zł” – podkreślił Tomasz Zdzikot, zastępca przewodniczącego Rady Bezpieczeństwa i Obronności (RBiO) przy Prezydencie RP oraz przewodniczący Rady Fundacji SET. 

Tomasz Zdzikot podczas premiery raportu "Cyberodporni 2030".
Tomasz Zdzikot (Rada Bezpieczeństwa i Obronności przy Prezydencie RP, Fundacja SET) podczas premiery raportu "Cyberodporni 2030".
Autor. Izabela Białek/Defence24

Ekspert zaznaczył, że choć mamy świetnych specjalistów, nie jesteśmy w stanie zbudować SOC-a w każdej organizacji, zwłaszcza tych podlegających noweli. 

Jeżeli ktoś twierdzi, że każda jednostka, od której wymagają tego przepisy, będzie budowała własny zespół cyberbezpieczeństwa, po prostu kłamie” – wprost stwierdził przedstawiciel RBiO przy prezydencie, z czym zgodził się prof. Dariusz Szostek.

Odpowiedzią jest zatem outsourcing. Kluczowe jest jednak powierzenie tak odpowiedzialnych zadań zaufanym podmiotom, które faktycznie dysponują wiedzą, doświadczeniem i odpowiednimi zasobami. W gonitwie za spełnieniem wymogów w celu uniknięcia kar łatwo wpaść w niebezpieczną pułapkę. 

Reklama

Nigdy nie będziesz bezpieczny w 100 procentach. Liczy się coś innego

Tematu wymaga szczególnej uwagi, bo wpływa na działalność i przyszłość organizacji. Zdaniem Paweł Dąbrowski, zastępcy dyrektora Pionu Transferu Technologii i Rozwoju Biznesu w NASKodporność cyfrowa staje się absolutnie kluczowa w dzisiejszych czasach. 

Przedstawiciel państwowego instytutu podkreślił, że nigdy nie możemy być pewni, iż jesteśmy w 100 proc. cyberbezpieczeni. Wynika to ze złożoności zjawiska, na które wpływ ma zarówno technologia, jak i człowiek. Do incydentu może dojść bowiem w wyniku przełamania zabezpieczeń, wykorzystania podatności lub błędu ludzkiego. 

W tej sytuacji trzeba budować zdolności w zakresie odporności, a więc sprawnej obsługi incydentu oraz szybkiego powrotu do normalności

Z cyberbezpieczeństwem jest trochę jak z powodzią. Możemy się zabezpieczać, tworzyć wały, ale jeśli wielka woda wyższa o 10 cm niż nasze wały, to i tak nas zaleje. Pytanie zatem, czy przygotowaliśmy się wcześniej, aby wszystko to, co zostało zniszczone, odtworzyć. Moim zdaniem tak rozumiana cyberodporność jest ważniejsza od samego cyberbezpieczeństwa” – zaznaczył ekspert NASK. 

Dobre, bo polskie

W trakcie premiery raportu „Cyberodporni 2030” Paweł Dąbrowski zwrócił uwagę, że „nasza cyberodporność to też zdolność tworzenia własnych rozwiązań, własnych narzędzi”. Nad takimi pracuje nie tylko NASK. 

Dowództwie Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC) powołano Centrum Implementacji Sztucznej Inteligencji (CISI). Jego zadaniem jest m.in. tworzenie i rozwijanie własnej technologii AI oraz wdrażanie jej w Siłach Zbrojnych RP. 

Tomasz Zdzikot, płk Piotr Turek, Paweł Dąbrowski podczas premiery raportu Cyberodporni 2030
Od lewej: Tomasz Zdzikot, płk Piotr Turek, Paweł Dąbrowski podczas premiery raportu "Cyberodporni 2030".
Autor. Izabela Białek/Defence24

Obecny na wydarzeniu płk Piotr Turek, szef CISI, przekazał, że jego jednostka pracuje nad suwerennymi rozwiązaniami w dziedzinie sztucznej inteligencji i są już pierwsze owoce tych wysiłków. Mowa o np. narzędziach, które wykorzystują już pracownicy resortu obrony. 

To ważne, ponieważ sytuacja zza Oceanem pokazała, że w jednej chwili dany model może zostać wyłączony i trzeba być gotowym na taką sytuację. Biorąc pod uwagę znaczenie niezależności, w DKWOC zaczęto projekt budowania własnych zdolności AI. 

Jesteś zainteresowany raportem? Prosimy o kontakt mailowy na adres: [email protected].

Reklama
CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama