Program certyfikacji cyberbezpieczeństwa dla biznesu. MŚP ma wiele do zrobienia?

Artykuł sponsorowany

W marcu br. ogłoszono nowy program edukacji i certyfikacji cyberbezpieczeństwa dla biznesu - "Firma Bezpieczna Cyfrowo". Jego celem jest podnoszenie kompetencji cyfrowych i cyberbezpieczeństwa w MŚP (w małych i średnich przedsiębiorstwach). To właśnie o tym dyskutowali eksperci w czasie Forum Ekonomicznego w Karpaczu w ramach jednego z paneli "Forum Cyberbezpieczeństwa", organizowanego przez NASK.

W debacie prowadzonej przez Pawła Kostkiewicza z NASK wzięli udział: Marta Mikliszańska z Allegro; Jolanta Jaworska, IBM; Rafał Magryś, EXATEL SA; Marianna Sidoroff, Ministerstwo Rozwoju i Technologii; Adam Marczyński, NASK oraz Michał Pukaluk z Departamentu Cyberbezpieczeństwa Ministerstwa Cyfryzacji.

Mały biznes nie taki cyfrowy?

Eksperci dyskutowali o tym, gdzie pod względem rozwoju cyfrowego jest dzisiaj sektor MŚP na tle Europy. Marianna Sidoroff z Ministerstwa Rozwoju i Technologii rozpoczęła: „Dlaczego Ministerstwo uważa cyberbezpieczeństwo dla małych przedsiębiorstw za tak istotne? Dlatego, że małe firmy są nie bardzo "ucyfrowione". Badania DESI pokazują, że polski przesiębiorca wciąż jest na 24. miejscu pod względem cyfryzacji biznesu. Jest grupa bardzo cyfrowa i średnio, ale większość ma podejście: >>cyfryzuję się, bo muszę<<. Pierwsza kluczowa kompetencja to cyberbezpieczeństwo. Zaczęliśmy szukać narzędzia, by to poprawić i zdziwiliśmy się, że go nie ma - takiego, który zachęci do cyfryzacji".

Zdaniem Marty Mikliszańskiej z Allegro kluczowa w tym programie jest "synergia między podmiotami prywatnymi, a publicznymi". "Takie projekty to jedyna szansa, kierunek, by ekosystem cyfrowy mógł się rozwijać i poprawiać. Jesteśmy w stałym kontakcie roboczym i pracujemy nad rozwiązaniami. MŚP nie są przygotowane, by powiedzieć, że są w pełni cyfrowe. Tylko około 30 proc. korzysta z zaawansowanych narzędzi cyfrowych, choć na tym polega ich biznes. Z naszej perspektywy to istotne, by korzystali z naszych narzędzi i robili to bezpiecznie" - zaznaczyła.

Natomiast Jolanta Jaworska z IBM przyznała, że pod względem cyfryzacji małych i średnich przedsiębiorstw Polska ma dobre przykłady z Anglii, USA czy Europy - np. Niemiec czy Danii. "Można wymienić wiele krajów z podobnym projektem. Możemy wypowiadać się w IBM jako producent rozwiązań, ale nie wystarczy kupić jakiegokolwiek rozwiązania. Dochodzą obowiązki dla firm, gospodarki, UE związane z bezpieczeństwem cyfrowym. Często jest tak, że firmy, które nie mają u siebie wysokiej klasy specjalistów, na papierze mają procedury, ale kiedy robimy wewnętrzny audyt - okazuje się, że nie wygląda to wszystko tak różowo. Chodzi też o to, by MŚP rozumiało też po co są procesy i procedury, i że nie powinny być tylko na papierze" - podkreśliła ekspertka.

Przedsiębiorcy muszą poznać korzyści

W czasie dyskusji pojawił się także aspekt edukacji, na którą powinno się stawiać, jeśli chce się rozwijać zależność między innowacyjnością a gospodarką. Adam Marczyński, wicedyrektor NASK wyraził opinię, że "powinniśmy też mówić o odpowiedzialności dużych podmiotów za cyfryzację mniejszych firm i cyberbezpieczeństwo".

"Żaden mały przedsiębiorca nie zbuduje swojego sklepu, skorzysta pewnie z Allegro i ma nadzieję, że te zakupy będą bezpieczne. To zadanie właśnie dla Allegro, by odpowiednio chronić biznes i jego prowadzenie. Nie możemy też ignorować dostawców chmury publicznej - to oznacza, że przedsiębiorca decydując się na chmurę od jakiegoś dużego dostawcy, wraz z jego usługami powinien otrzymać gwarancję bezpieczeństwa. Przedsiębiorcy także chcą przecież wykazać, że są zaufanym partnerem" - ocenił.

Rozmówcy wyrazili pogląd, że Wielka Brytania jest wzorem, jeśli chodzi o program taki jak "Biznes bezpieczny cyfrowo" - tego typu inicjatywa działa tam już od 9 lat. Paweł Kostkiewicz objaśnił słuchaczom, że według niego "stworzono system, który >>biznes kupił<< i teraz każda firma chce się upewnić, czy drugi podmiot posiada certyfikat bezpieczeństwa cyfrowego.

Oszczędności na cyberbezpieczeństwie

Rafał Magryś, wiceprezes EXATEL podkreślił, że jego firma obsługuje ponad 60-70 proc. firm z sektora MŚP. "Świadczymy im usługi dostępu do internetu. Jesteśmy w stanie wcześniej reagować, uświadamiać ich o zagrożeniu, możemy do nich na bieżąco docierać. Informatyka jest uważana za potrzebną rzecz, ale do jakiegoś momentu. Wciąż pokutuje tam myślenie, że >>można na tym oszczędzić<<. W jakimś momencie informatyk przychodzi do prezesa i mówi, że potrzebuje >>4 razy więcej środków na IT<< i nie dostaje na to zgody. Dopiero w momencie, kiedy szefowie firmy poczują potrzebę, że cyberbezpieczeństwo jest im niezbędne, ten temat powraca" - opowiedział.

Dodał, że kluczowe jest przekonanie przedsiębiorców, by chcieli skorzystać z usług cyfrowych i cyberbezpieczeństwa dla ich biznesu, dlatego - by mogli się o tym przekonać - EXATEL proponuje program "Test before you buy" (sprawdź, zanim kupisz - red.). W ten sposób mogą sami się przekonać, że warto korzystać z usług cyberbezpieczeństwa i że jest to potrzebne. "Być może jest tu konieczna nie swego rodzaju regulacja, a punktacja, zachęta, by przedsiębiorca poczuł, że konieczne w obecnych czasach jest otwarcie na cyberbezpieczeństwo. (...) Widzimy jednak wciąż, że przedsiębiorcy optymalizują koszty, więc wciąż trzeba ich przekonywać do wydatków na IT" - wyraził zdanie Rafał Magryś z Exatel SA.

Marta Mikliszańska dodała - w odniesieniu do tej wypowiedzi, że konieczne jest "zachęcanie i pokazywanie, że to się opłaca i mówienie językiem korzyści".

Michał Pukaluk opowiedział z kolei o praktykach unikania ataków ransomware oraz o tym, jak uczyć firmy, co mają robić i jak postępować, kiedy już dojdzie do ataku typu ransomware. Trwa właśnie realizacja projektu na ten temat, na podstawie kilkudziesięciu pytań w ankiecie do przedsiębiorców budowana jest "mapa" tego, jak można radzić sobie z ransomware. "Czy jest regulacja, czy nie; czy firma wie, gdzie zadzwonić, kiedy zostanie uderzona ransomware, chcemy to wiedzieć. Staramy się prezentując wyniki tego projektu, pokazywać, że np. w innym państwie było takie rozwiązanie prawne i że może powinniśmy iść tą lub inną drogą. Jak zrobić, by nie zostać uderzonym ransomware czy co zrobić, kiedy już dostałem" - objaśnił Michał Pukaluk.

Na koniec Rafał Magryś zadeklarował, że bardzo chętnie firma EXATEL włączy się w inicjatywy, których celem jest cyfryzacja biznesu. "Świadczymy usługi dla wszystkich panelistów, bardzo chętnie dzielimy się swoją wiedzą, więc zawsze deklarujemy wsparcie".

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].