Biznes i Finanse
Jak radzą sobie polskie firmy w świecie online? „Nie ma ciągłości działalności bez cyberbezpieczeństwa”
„Aby zapewnić ciągłość biznesu, należy posiadać świadomość, że cyberbezpieczeństwo to kluczowy element prowadzonej działalności” – podkreślił Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w KPRM, podczas prezentacji raportu „Cyberbezpieczeństwo polskich firm 2021”, opracowanego przez klaster #CyberMadeInPoland.
Raport „Cyberbezpieczeństwo polskich firm 2021”, opracowany przez klaster #CyberMadeInPoland, został stworzony na podstawie informacji pochodzących z grupy ponad 165 respondentów (CEO, COO, CSO, CIO, dyrektorów, specjalistów). W badanie zaangażowanych było 18 partnerów, a sam dokument zawiera 12 rozdziałów na temat cyberbezpieczeństwa firm i instytucji publicznych w naszym kraju.
Podczas specjalnego webinarium Rafał Kolorz, koordynator klastra #CyberMadeInPoland, przedstawił najważniejsze tezy przeprowadzonej analizy. Na samym wstępie podkreślił, że w ostatnim roku 33 proc. firm w Polsce padło ofiarą cyberataku. Mowa tu głównie o dużych podmiotach, a nie małych czy średnich przedsiębiorstwach. Jednak należy mieć na uwadze, że liczby te mogą być zaniżone, ponieważ nie wszyscy chętnie „chwalą się” incydentami.
Najczęściej w firmach dochodzi do włamań do wewnętrznych systemów. Równie popularnym zagrożeniem jest wykorzystanie złośliwego oprogramowania, takiego jak ransomware.
Jak wyglądają budżety na cyberbezpieczeństwo?
Wyniki raportu wskazują, że regularne tworzenie kopii zapasowych i stosowanie antywirusów jest ważne dla 85 proc. przedsiębiorstw w naszym kraju. W związku z tym firmy 88 proc. swojego budżetu na cyberbezpieczeństwo przeznaczają na backupy. Spore wydatki są również przewidywane na zakup oprogramowania antywirusowego. Przedstawione wyniki badania pokazują również, że szyfrowanie dysków jest istotnym elementem zabezpieczeń dla polskich przedsiębiorstw.
Patrząc w przyszłość, wiele firm zamierza zainwestować w szkolenie pracowników, co z pewnością przyczyni się do podniesienia ogólnego cyberbezpieczeństwa i pozwoli nabyć kompetencje cyfrowe. Przewiduje się także zatrudnienie specjalistów oraz zwiększenie nakładów na rozwiązania antywirusowe.
Kwestia procedur
Raport odnosi się nie tylko do zastosowania produktów (takich jak np. antywirusy, backupy, programy szyfrujące), ale także procedur oraz stosowanych standardów. W związku z tym należy podkreślić, że jedynie połowa firm w Polsce posiada opracowane procedury w zakresie ciągłości działania. Zdecydowanie lepiej wygląda sytuacja związana z udzieleniem dostępów (86 proc.) oraz wdrożeniem RODO (93 proc.). W przypadku ostatnich przepisów tak wysoki wskaźnik nie powinien dziwić. Wynika to z faktu, że w Polsce obowiązuje ustawa, która obliguje do wdrożenia unijnego rozporządzenia.
W przypadku standardów z raportu wynika, że najpopularniejszym jest ISO27001 (72 proc. firm go posiada). Na dalszym miejscu znajduje się ISO 223001 (56 proc.) oraz ISO 27031 (53 proc.). Niepokojący jest jednak fakt, że 37 proc. przedsiębiorstw nie wdrożyło żadnego ze standardów.
Co warto również odnotować, firmy decydują się na prowadzenie audytów bezpieczeństwa. Najwięcej testów penetracyjnych dotyczy sprawdzenia sieci (86 proc.), infrastruktury IT (83 proc.) oraz aplikacji webowych (60 proc.). Niestety, 41 proc. przedsiębiorstw nie korzysta z tej formy oceny swoich zabezpieczeń.
Jak działać?
Rafał Kolorz, koordynator klastra #CyberMadeInPoland, wskazał na istotną rolę edukacji jako elementu, który realnie może podnieść poziom cyberbezpieczeństwa nie tylko firm, ale także instytucji publicznych. Jego zdaniem inwestowanie w szkolenia dla pracowników przełoży się na poprawę sytuacji na rynku.
Równie ważną kwestią jest opracowanie, a następnie wdrożenie odpowiednich uregulowań pranych. Dobry przykład stanowi RODO, którego przepisy szeroko stosują przedsiębiorstwa. Nie byłoby to możliwe bez odpowiedniej ustawy, wymuszającej taki stan rzeczy.
Rafał Kolorz zwrócił także uwagę na rozsądne podejście do alokowania środków. „Zalecamy spokojne podejście, przemyślenie pewnych kwestii. Odpowiedzmy sobie najpierw na pytanie, który obszar w firmie najlepiej zabezpieczyć” – zasugerował ekspert.
Teraz i w przyszłości
W ramach wydarzenia poświęconego publikacji raportu „Cyberbezpieczeństwo polskich firm 2021” odbyła się także dyskusja z udziałem specjalistów i przedstawicieli polskiego biznesu oraz administracji publicznej. Uczestniczył w niej m.in. Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w KPRM. Podczas swojego przemówienia podkreślił, że przedsiębiorstwa dbają o utrzymanie swojego biznesu, a właśnie cyberbezpieczeństwo jest jednym z tych kluczowych warunków, który zapewnia przetrwanie firmy. Jak dodał, powinniśmy skupić się przede wszystkim na tym, co chcemy chronić. „To kluczowe pytanie” – stwierdził.
W związku z tym podmioty na rynku powinny inwestować w wielowarstwowy system zabezpieczeń, a zmiany regulacyjne powinny systematyzować podejmowane inwestycje w tym zakresie. „(Przepisy – przyp. red.) mają wspomagać osiągnięcie minimalnego poziomu ryzyka przedsiębiorstw, które nie funkcjonują w oderwaniu od innych na rynku” – zaznaczył Robert Kośla.
Jak wskazał przedstawiciel KRPM, w najbliższym czasie firmy powinny spodziewać się pewnych zmian regulacyjnych. Dotyczyć one będą m.in. powstania europejskiej bazy o podatnościach, wzmocnienia struktury reagowania czy odpowiedzialności usług cyfrowych.
„Przydatne wskazówki dotyczące cyberbezpieczeństwa przedsiębiorstw można znaleźć na portalu >gov.pl<” – przypomniał Robert Kośla.
Wszystko zaczyna się od świadomości
W dyskusji uczestniczył także Michał Kanownik, prezes Związku Cyfrowa Polska, który zgodził się z tezą postawioną przez Roberta Koślę. Jak podkreślił, aby zapewnić ciągłość biznesu należy posiadać świadomość, że cyberbezpieczeństwo to kluczowy element prowadzonej działalności.
„Część firm nie ma świadomości, że cyberbezpieczeństwo również ich dotyczy. Pojawiają się tłumaczenia, że to przecież sprawa dużych przedsiębiorstw. Inni wskazują, że ich zwyczajnie nie stać na odpowiednie zabezpieczenia. Jednak najgorsza jest ostatnia grupa podmiotów, które posiadają budżet i świadomość, lecz brakuje im wiedzy jak przeprowadzić proces od strony merytorycznej i technicznej. Cały ten mechanizm możemy także przełożyć na administrację publiczną” – wyjaśnił Michał Kanownik.
Nie wydatki, a inwestycje
Prezes Związku Cyfrowa Polska zwrócił również uwagę na konieczność podnoszenia wspomnianej wcześniej świadomości i edukację na temat cyberbezpieczeństwa. „Pandemia mocno przyspieszyła ten proces oraz zwiększyła wydatki. Równocześnie jednak pojawiło się poczucie, że koszty związane z cyberbezpieczeństwem nie są jedynie pustymi wydatkami, lecz inwestycją” – zaznaczył.
Szukajmy rozwiązań lokalnych. Chodzi o to, aby polskie firmy nie bały się kupować polskich rozwiązań, które nie są absolutnie gorsze od produktów globalnych koncernów, a często nawet lepsze.
Jego zdaniem ważnym czynnikiem, który może pomóc polskim firmom jest ich stymulowanie do przeznaczania środków na rozwiązania z zakresu cyberbezpieczeństwa. „Im więcej inwestujemy, tym bardziej zwiększamy swój potencjał nie tylko w kraju, ale i za granicą” – wyjaśnił Michał Kanownik. W związku z tym, w jego opinii, należy tworzyć programy wsparcia i rozwiązania okołopodatkowe, zwłaszcza z myślą o małych i średnich przedsiębiorstwach.
W ramach swojej wypowiedzi prezes Związku Cyfrowa Polska omówił także wyzwania dla gospodarki. Wśród nich wskazał na cyfryzację, ponieważ nowe technologie należy wprowadzić do wszystkich gałęzi, a nie tylko do określonej części. Kolejnym jest edukacja rozumiana jako budowanie kompetencji cyfrowych u młodzieży, aby przystosować młodych ludzi do wymogów przyszłego rynku pracy. Zdaniem Michała Kanownika jest również przygotowanie samych konsumentów do efektywnego korzystania z technologii.
„To jak było do tej pory?”
W czasie dyskusji Marek Ujejski z COIG odniósł się bezpośrednio do wyników przedstawionych w raporcie. Zwrócił szczególną uwagę na fakt, że regularne tworzenie kopii zapasowych oraz wykorzystanie oprogramowania antywirusowego jest kluczowe dla firm.
„To, na co przedsiębiorstwa wydają pieniądze, to jedno, a to, na co zamierzają je wydawać, to drugie. Jeśli zamierzamy w coś inwestować, to znaczy, że nam tego brakuje” – zaznaczył ekspert, dodając, że 63 proc. podmiotów „zamierza przeznaczać środki na antywirusy”. „W związku z tym pytam: to jak było do tej pory? Czyli mam rozumieć, że dotychczas tego brakowało?” – stwierdził.
Jeśli mamy świadomość, że tworzenie kopii jest ważne, to pytanie, dlaczego blisko połowa firm nadal chce wydawać środki na zabezpieczenia backupowe. Czyli albo ich nie mają, albo ich jakość jest niezadowalająca.
Im niżej, tym gorzej
Marcin Marczewski z firmy Resilia wyjaśnił, że świadomość tego, czym jest utrzymanie ciągłości działania jest większa wśród dużych firm. „Im schodzimy niżej, tym bardziej jest to problematyczna kwestia” – zaznaczył. Jak dodał, mniejsze przedsiębiorstwa stawiają przede wszystkim na rozwiązania techniczne.
Dobre zarządzanie ciągłością działania pozwala przewidzieć niektóre zjawiska.
Brakować ma jednak podejścia, w którym firmy sprawnie odpowiadałyby sobie na pytanie, co muszą chronić, przed czym i z jakimi kosztami się to wiąże. „Brakuje więc podejścia kompleksowego, zwieńczonego testami bezpieczeństwa” – ocenił specjalista.
Dlaczego firmy wdrażają określone standardy?
Jak wskazał Maciej Wiśniewski, ekspert ds. BCM w PBSG, ISO27001 oraz ISO 223001 są obecnie dwoma najbardziej popularnymi standardami bezpieczeństwa informacji i ciągłości działania. To pokazuje, że cyberbezpieczeństwo to nie tylko kwestia ochrony danych, ale także zapewnienia nieprzerwanego funkcjonowania organizacji. W opinii specjalisty wynika to z faktu, że obecnie wartościowym pytaniem jest, nie nie "czy zostaniemy zaatakowani?", lecz "kiedy?".
Dlaczego firmy decydują się na wdrażanie standardów? Maciej Wiśniewski wskazał na uwarunkowania wewnętrzne i zewnętrzne. Pierwsza kategoria wiąże się z tym, że wprowadzenie określonych rozwiązań jest impulsem dla firmy, aby obszary związane z bezpieczeństwem stały się stałym elementem organizacji. Druga z kolei odnosi się do postrzegania przez rynek. „Posiadanie systemu certyfikacji jest wyróżnikiem na rynku. To wartość dodana dla naszych kontrahentów” – wyjaśnił specjalista.
„Nie możemy polegać na jednym czy dwóch dostawcach”
W trakcie debaty głos zabrał Sławomir Pietrzyk, prezes IS-Wireless, który skupił się na problematyce związanej z siecią 5G. Jak zaznaczył, jest to standard technologii mobilnej, posiadający własne mechanizmy bezpieczeństwa.
Odnosząc się do bardziej szczegółowych zagadnień, podkreślił, że sieć RAN jest najkosztowniejszym elementem i równocześnie najbardziej krytycznym. Warto jednak pamiętać, że jest ona podzielna – np. serwer jest bardziej podatny niż fizyczna antena umieszczona na dachu.
5G jako takie będzie tak bezpieczne, jak jego najsłabszy element. (…) Nie możemy polegać na jednym czy dwóch dostawcach w tak krytycznej części sieci (RAN – przyp. red.).
Pomimo wyzwań, zdaniem prezesa IS-Wireless należy korzystać z dobrodziejstw 5G, w tym m.in. jej otwartości, również w obszarach związanych z bezpieczeństwem. Oczywiście, technologia ta będzie wymagała zastosowania innych mechanizmów w wojsku niż np. w przemyśle 4.0.
Niekoniecznie skuteczne inwestycje
Z kolei Bartosz Leoszewski, CEO Famoc, zwrócił uwagę, że nie tylko bieżący, ale i poprzedni rok pokazał, że inwestycje, które firmy poczyniły w cyberbezpieczeństwo (m.in. hardware) niekoniecznie okazały się skutecznym zabezpieczeniem. „Zabezpieczenia WiFi w biurach nie miały większego znaczenia, ponieważ pracownicy korzystali, w ramach home office, z własnych urządzeń domowych” – wyjaśnił.
Każda inwestycja w cyberbezpieczeństwo powinna być poprzedzona analizą, którą należy cyklicznie powtarzać.
Przedstawiona przez CEO Famoc sytuacja rodzi poważne wątpliwości dotyczące m.in. dbałości o aktualizację sprzętu wykorzystywanego przez pracowników w trakcie pracy zdalnej. „Zadajmy sobie pytanie: jak wielu to robi?” – wskazał Bartosz Leoszewski.
Równocześnie zwrócił uwagę na problem przenikania się użycia prywatnego i służbowego sprzętu. „Jeśli wchodzimy do biura, korzystamy ze sprzętu na swoim miejscu pracy. Jednak wracając do domu, używamy np. firmowego laptopa niekoniecznie do pracy, ale m.in. użyczamy go swoim dzieciom” – zaznaczył. To rodzi poważne pytania o cyberbezpieczeństwo.
Dyskusję moderował Łukasz Gawron, wiceprezes Polskiego Klastra Cyberbezpieczeństwa #CyberMadeInPoland.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Haertle: Każdego da się zhakować
Materiał sponsorowany