Reklama

Polityka i prawo

Fot. Polskie LNG S.A.

Ekspert Instytutu Kościuszki: Państwo powinno wzmocnić cyberochronę infrastruktury krytycznej

Za kilka lat Polska będzie musiała wprowadzić  w życie zapisy dyrektywy NIS. To oznacza poważne zwiększenie nakładów na ochronę infrastruktury krytycznej. Pytanie: kto za to zapłaci? Firmy mogą nie być chętne do ponoszenia dodatkowych kosztów. Cele prawodawcy i biznesu są w tym wypadku różne. Biznes chce zarobić, państwo zaś chce chronić swoje krytyczne zasoby - mówi dr Dominika Dziwisz, ekspert Instytutu Kościuszki.

Działania z zakresu ochrony infrastruktury krytycznej w Polsce są finansowane ze środków własnych właścicieli i operatorów infrastruktury. Takie wydatki powinny być zaplanowane w ich budżetach. Stąd to na biznesie spoczywa zadanie zabezpieczenia kluczowych elementów systemu. Za kilka lat Polska będzie musiała wprowadzić  w życie zapisy dyrektywy NIS. To oznacza poważne zwiększenie nakładów na ochronę infrastruktury krytycznej. Pytanie: kto za to zapłaci? Firmy mogą nie być chętne do ponoszenia dodatkowych kosztów. Cele prawodawcy i biznesu są w tym wypadku różne. Biznes chce zarobić, państwo zaś chce chronić swoje krytyczne zasoby.

Jeśli jedynym bodźcem do współpracy będą sankcje, to firmy będą realizować wymagania – ale w najprostszy sposób i jak najmniejszym kosztem. Sankcje działają gorzej, niż pozytywne bodźce.

dr Dominika Dziwisz, Instytut Kościuszki

Nowe nakłady na cyberochronę mogą nie mieścić się w budżecie przedsiębiorstw. To może oznaczać, że firmy będą minimalizować wydatki na cyberochronę licząc, że nic poważnego się nie stanie. Nie sądzę, byśmy chcieli opierać cyberbezpieczeństwo infrastruktury krytycznej na szczęściu. Dziś problem traktowany jest po macoszemu. Skutek może być taki, że zaczniemy poważnie traktować tę kwestię dopiero wtedy, jak coś już się wydarzy. Wtedy będzie oczywiście za późno. By uniknąć takiej sytuacji, potrzebna jest współpraca sektora prywatnego z publicznym – także przy finansowaniu cyberochrony.

Wysuwanie przez państwo argumentów etycznych i emocjonalnych, dotyczących obronności Polski, nie podziała na biznes. Można zmusić firmy do nakładów na cyberobronę grożąc konsekwencjami finansowymi. Tu jednak byłabym ostrożna. Jeśli jedynym bodźcem do współpracy będą sankcje, to firmy będą realizować wymagania – ale w najprostszy sposób i jak najmniejszym kosztem. Sankcje działają gorzej, niż pozytywne bodźce.

Lepszym sposobem wydaje się być system finansowych zachęt. Państwo ma narzędzia, by biznesowi po prostu opłacało się inwestowanie w cyberbezpieczeństwo. Można to osiągnąć np. wprowadzając ulgi podatkowe dla firm wdrażających systemy bezpieczeństwa. Innym sposobem jest system grantów i dotacji państwowych, a także pożyczek na preferencyjnych warunkach, które mogą być wydawane na cele związane z cyberochroną.

Istnieją też zachęty pozafinansowe, takie jak: dopuszczenie przedstawicieli biznesu do procesu decyzyjnego czy dzielenie się informacjami. Ważne jest budowanie wzajemnego zaufania między sektorem prywatnym i państwowym. Jak to jednak osiągnąć – nikt do końca nie wie. Wiadomo natomiast, że jest to punkt wyjścia do efektywnej współpracy.

Dobre przykłady takiej współpracy znajdziemy w USA. W Polsce i państwach grupy Wyszehradzkiej powtórzenie takiego modelu byłoby bardzo trudne. Mamy bowiem złe doświadczenia w tej materii wyniesione jeszcze z  PRL. „Kultura tajemnicy” i ugruntowana przez lata nieufność wobec dzielenia się informacjami stwarzają ryzyko impasu w wymianie informacji. Jedna z większych obaw wiąże się także z tym, że  niektóre wymieniane informacje mogą zostać wykorzystane w celach komercyjnych.  Oprócz wzajemnego zaufania, warunkiem bazowym współpracy jest świadomość obu stron o współdzieleniu odpowiedzialności za bezpieczeństwo państwa.

Jak zapewnić biznes, że wymiana informacji będzie bezpieczna? Dziś nie ma co do tego pewności, a proces budowania współpracy dopiero się zaczyna.

Dr Dominika Dziwisz: Asystent w Instytucie Nauk Politycznych i Stosunków Międzynarodowych Uniwersytetu Jagiellońskiego, ekspert Instytutu Kościuszki; autorka artykułów nt. bezpieczeństwa cybernetycznego i książki „Stany Zjednoczone a międzynarodowe bezpieczeństwo cybernetyczne”, współautorka raportu „Bezpieczeństwo infrastruktury krytycznej - wymiar teleinformatyczny”.

Reklama

Komentarze

    Reklama