Wyzwania gospodarki cyfrowej. "Cyberzagrożenia rosną"

Artykuł sponsorowany

Podczas tegorocznej edycji konferencji Cyber24 Day - organizowanego przez naszą redakcję i Grupę Defence24 - odbył się panel: „Gospodarka cyfrowa a wyzwania płynące z KSC, NIS2, RODO”. Dyskusja moderowana przez redaktora Karola Tokarczyka („Polityka Insight”) rozpoczęła się od podsumowania ostatnich lat w zakresie wdrażania regulacji, których celem miała być poprawa poziomu cyberbezpieczeństwa. Czy w pełni wykorzystano szansę?

Zdaniem dr Aleksandry Musielak w ostatnich latach – zarówno na poziomie unijnym, jak i krajowym – nastąpiła intensyfikacja prac legislacyjnych nad wzmocnieniem bezpieczeństwa w sieci. Według przedstawicielki Konfederacji Lewiatan, bardzo istotnym elementem była ustawa o Krajowym Systemie Cyberbezpieczeństwa, która weszła w życie w 2018 roku. Od 2020 roku trwały prace nad nowelizacją tego prawa, ale – jak wiemy – zostały one wstrzymane. „Fakt, że prace się zatrzymały nie oznacza, że zmarnowaliśmy szansę. Dobrze się stało, że mamy moment pauzy, który daje pewien dystans” – stwierdziła dr Aleksandra Musielak, zaznaczając że projekt nie jest sprawą zamkniętą.

„Powrót do niego jest sprawą oczywistą, ale już w nowej odsłonie. Chodzi o projekt, który będzie uwzględniał nową rzeczywistość technologiczną, nowe ryzyka i wyzwania z zakresu cyber, w tym dyrektywę NIS2” – podkreśliła.

Inaczej na ten problem patrzy płk Łukasz Wojewoda. Zdaniem dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, brak nowelizacji ustawy o KSC sprawia, że Polska pozbawiła się procesu uczenia potrzebnego do wypełniania postanowień NIS2. „Lepiej mieć podjęte pewne decyzje, niż ich nie mieć” – stwierdził.

Cyberzagrożenia rosną?

A jak przez te ostatnie lata zmieniał się poziom naszego cyberbezpieczeństwa? Czy jest on wyższy niż jeszcze kilka lat temu, a może wprost przeciwnie? Złudzeń w tej sprawie nie ma Adam Marczyński, zastępca dyrektora NASK PIB oraz dyrektor ds. cyberbezpieczeństwa i innowacji. „Jesteśmy bardziej zagrożeni w świecie cyber” – stwierdził. „Mamy za sobą serię niespodziewanych wydarzeń. Z punktu widzenia odporności zobaczyliśmy, że dzieją się wydarzenia przynoszące poważne skutki, które do niedawna były uznawane za mało prawdopodobne” – dodał.

Zaznaczył przy tym, że pocieszające jest to, iż widać jak zmienia się podejście instytucji publicznych do kwestii cyberbezpieczeństwa. „Nie da się podnieść poziomu cyberbezpieczeństwa, bez zwiększania zaangażowania państwa” – odparł.

Bardziej optymistycznie patrzy na tę sprawę płk Łukasz Wojewoda. Jego zdaniem, wejście w życie poszczególnych rozwiązań, w tym m.in. ustawy o zwalczaniu nadużyć w komunikacji elektronicznej świadczy o tym, że sytuacja ulega poprawie.

Wspólny wysiłek

Z głosów ekspertów można wyciągnąć wniosek, że walka o cyberbezpieczeństwo musi być wspólnym wysiłkiem, a przerzucanie odpowiedzialności na inne podmioty nie jest dobrym rozwiązaniem.

Jak wskazał Wiesław Paluszyński, wiceprezes Zarządu PIIT, firmy same muszą dbać o rozwój odporności i nie mogą jedynie opierać się na regulacjach odgórnie im narzucanych. „Regulacje są ważne, ale nie zastąpią kultury korporacyjnej. Niestety, utrwaliło się, że jeśli rząd czegoś nie nakaże, to firma tego nie wykona” – stwierdził z ubolewaniem.

W podobnym duchu wypowiadał się płk Przemysław Przybylak, starszy doradca wojskowy ds. cyberbezpieczeństwa ze Stałego Przedstawicielstwa Rzeczypospolitej przy NATO. Jego zdaniem, dbałość o zapewnienie cyberbezpieczeństwa powinna być w gestii różnych instytucji i nie powinno być nią obarczane jedynie wojsko.

Z kolei zdaniem Michała Jaworskiego z firmy Microsoft, dbając o zapewnienie wyższego poziomu cyberbezpieczeństwa należy też pamiętać o strategii zero trust oraz o usługach chmurowych. „Krajobraz zagrożeń zmienia się, wektory ataków robią się bardzo różne. Chmura daje dodatkową linię obrony. Ona nie zwalnia z dbałości o zapewnienie cyberbezpieczeństwa, ale jest dodatkowym klockiem w budowaniu polityki” – podkreślił National Tech Officer w firmie Microsoft.

Co zrobić, aby było lepiej?

Pod koniec panelu osoby w nim uczestniczące dokonały podsumowań, w których podały przykłady rozwiązań, które można by wdrożyć, aby ulepszyć ogólny poziom cyberbezpieczeństwa. „Jeśli będziemy w stanie mierzyć efektywność wdrożenia poszczególnych procesów to będziemy wiedzieli, co możemy poprawić. (…) Zacząłbym też od analizy ryzyka, bo jest ona podstawą” – powiedział pułkownik Przybylak.

Według Adama Marczyńskiego, nie można zapominać o roli prawa w podnoszeniu poziomu bezpieczeństwa. „W cyberświecie są ludzie, którzy próbują nas oszukać i chcą zniszczyć to, co posiadamy. Jest oczywiste, że prawo musi regulować ten świat”.

Odnosząc się do kwestii prawnej Wiesław Paluszyński dodał też że „skuteczne prawo powinno być spójne w dziedzinie informacyjnej”. Przy okazji zwrócił uwagę na jeszcze inny, istotny aspekt: „Warto pamiętać, że środki techniczne w cyberbezpieczeństwie są tylko i wyłącznie ostatnim elementem zapewnienia bezpiecznego funkcjonowania danego przedsiębiorstwa. (…) Musimy wiedzieć, jakie mamy aktywa, co stanowi zagrożenie dla nich i co robimy” – podsumował.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:\*[email protected].\*