Polityka i prawo
Zmiany prawne warunkiem skutecznego cyberbezpieczeństwa w Polsce
Zagwarantowanie bezpieczeństwa w systemach informatycznych wymaga działań horyzontalnych między sektorami - uważa nowy prezes Polskiego Towarzystwa Informatycznego Wiesław Paluszyński. Jak dodaje, konieczna jest nie tylko edukacja, ale również zmiany prawne.
Jak ocenił Paluszyński, który kieruje również Radą Sektorową ds. Kompetencji - Telekomunikacja i Cyberbezpieczeństwo, w Polsce brakuje jednoznacznej definicji kompetencji, które powinny mieć osoby zajmujące się cyberbezpieczeństwem.
Jak dodał, w ramach swoich prac Rada próbuje uporządkować pewien zestaw kompetencji, a PTI przygotowało wymagania dla trzech poziomów kwalifikacji takich specjalistów.
„To nie jest zawód typu informatyk, programista, to raczej umiejętności horyzontalne. Taki ktoś musi umieć analizować procesy, znać się na elementach socjotechniki, kryptografii, zabezpieczeniach warstwy technicznej” - wyjaśnił Paluszyński.
„Większość ataków stosuje metody socjotechniki, wyciągnięcia informacji od człowieka, ktoś kto projektuje systemy bezpieczeństwa, musi być zarówno dobrym inżynierem, jak i dobrym psychologiem” - wyjaśnił.
Zdaniem Paluszyńskiego największym problemem implementacji cyberbezpieczeństwa w Polsce jest organizacja firm. „Nie da się wdrożyć skutecznie mechanizmu ochrony, jeśli firma nie ma wydzielonych procesów informacyjnych. Trzeba wiedzieć, co chronimy, gdzie to jest przetwarzane, jaka jest tego wartość. Dopiero na podstawie tego można zaproponować rozwiązania techniczne” - podkreślił.
„Celem naszego działania jako Rady Sektorowej jest to m.in., by pokazać propozycje rozwiązań, edukować, przygotowywać specjalistów z właściwymi kompetencjami” - zaznaczył.
Prezes PTI wskazał również, że Rada chce stworzyć specjalny leksykon cyberbezpieczeństwa, by w dyskusjach o tym obszarze „posługiwać się wspólnym aparatem pojęciowym”. „Będziemy chcieli to wydać, żebyśmy mówili jednym językiem” - wyjaśnił Paluszyński. Jak podkreślił, w Polsce podstawowe pojęcia, związane z wdrażaniem dyrektywy NIS (ws. cyberbezpieczeństwa), są dopiero na etapie analizy legislacyjnej.
„Problemem w skutecznych działaniach jest też prawo, które np. zabrania wymiany informacji. Jeżeli pojawiają się zagrożenia dla sektora bankowego, który korzysta z łączności operatorów telekomunikacyjnych, to Prawo telekomunikacyjne zabrania udostępniać sektorowi bankowemu informacji telekomów, a Prawo bankowe zabrania tego samego w drugą stronę” - wskazał Paluszyński.
„Oba sektory mają swoje odpowiednie instytucje, ale prawo kompletnie blokuje możliwość ich współpracy” - ocenił.