TYLKO U NAS
Cyberbezpieczeństwo w obliczu nowych wyzwań
W cyfrowym świecie szybko przybywa cyberzagrożeń. By przedsiębiorstwa i organizacje w Polsce mogły skuteczniej stawiać czoła nowym wyzwaniom, jak najszybciej trzeba wdrożyć konkretne działania, jak chociażby powołanie Narodowej Agencji Cyberbezpieczeństwa czy rozwijanie partnerstw publiczno-prywatnych. Jest to też dobry moment i szansa na to, by Polska wzmocniła swoją pozycję huba usług cyberbezpieczeństwa w skali globalnej – wskazuje Artur Józefiak Accenture Security Lead for Poland/CEE na łamach rocznika „Polski Kompas 2023”.
Na przestrzeni ostatnich 20 lat zależność społeczeństwa od technologii cyfrowych wzrosła tak bardzo, że dziś trudno wyobrazić sobie nasze funkcjonowanie bez internetu czy smartfonów.
Jak ogromne znaczenie mają te technologie dla globalnej gospodarki, pokazały chociażby problemy wielu sektorów, które odczuwały duże niedobory półprzewodników.
Jednocześnie trzeba pamiętać, że technologie te, a w szczególności oprogramowanie, nie są doskonałe pod względem odporności na próby przejęcia nad nimi kontroli, zaburzenia funkcjonowania czy kradzieży danych. Wynika to z ogromnego stopnia skomplikowania rozwiązań, szybkości ich tworzenia oraz faktu, że przez wiele lat cyberbezpieczeństwo nie było uważane za priorytet, a przez to było też niedoinwestowane. W efekcie gospodarka jest dziś wysoce zależna od technologii, które są podatne na cyberataki. Dlatego zarówno organizacje, jak i każdy z nas może być narażony na istotne konsekwencje, gdyby zrealizowały się negatywne scenariusze.
Hakerzy, inwigilacja i fake newsy
Inwazja Rosji na Ukrainę spowodowała znaczny wzrost znaczenia kwestii cyberbezpieczeństwa. Wojna i zaostrzające się w jej efekcie podziały geopolityczne uwidoczniły także pewne trendy, które wpływają na wagę tego obszaru.
Inwigilacja cyfrowa okazała się źródłem istotnych przewag militarnych i informacyjnych już w pierwszych tygodniach wojny. Jednym z trendów, który będzie się utrzymywał, jest wzrost skali inwigilacji cyfrowej, której celem jest uzyskanie nieupoważnionego dostępu do istotnych informacji (np. dotyczących bezpieczeństwa państwa czy wybranych organizacji, np. operatorów kluczowych usług).
Przypisanie autorstwa (tzw. atrybucja) cyberataków jest znacznie trudniejsza niż wskazanie sprawcy kinetycznych działań militarnych czy nawet działań wywiadowczych. To sprawia, że takie działania są prowadzone intensywnie i relatywnie bezkarnie, również w czasie pokoju, ale wówczas koncentrują się na inwigilacji i wywieraniu wpływu. Przegrana Rosji lub zawieszenie konfliktu mogą skutkować wzmożonymi cyberatakami oraz działaniami dezinformacyjnymi rosyjskich hakerów współpracujących z FSB.
Cyberataki są tzw. bronią ubogich, co oznacza, że nie wymagają dużych nakładów finansowych na infrastrukturę, lecz przede wszystkim zbudowania odpowiednich kompetencji. Zagrożenie cyberatakami może więc pochodzić nie tylko ze strony największych podmiotów geopolitycznych, ale też mniejszych państw, jak chociażby Korea Północna, organizacji przestępczych czy zwykłych osób.
Zarówno dezinformacja, jak i cyberatak coraz częściej są postrzegane jako narzędzia służące celom politycznym czy militarnym. Działają przez zaburzenie funkcjonowania istotnych podmiotów gospodarczych (np. systemów energetycznego, finansowego) czy procesów społecznych (np. wybory w USA, brexit).
Zwiększając cyberodporność
Polskie firmy i instytucje są mocno zależne od technologii cyfrowych, a to znaczy, że ich sukces zależy od cyberbezpieczeństwa. Wprowadzenie w życie kilku kluczowych rekomendacji w zakresie cyberbezpieczeństwa mogłoby skutecznie zwiększyć cyberodporność organizacji. Same rekomendacje mogłyby także stać się istotnymi narzędziami do rozwinięcia potencjału gospodarczego sektora usług cyberbezpieczeństwa.
Jednym z najważniejszych działań powinno być powstanie w Polsce Narodowej Agencji Cyberbezpieczeństwa – silnego podmiotu odpowiedzialnego za cyberbezpieczeństwo poza obszarem militarnym, który skupiłby się na cyberbezpieczeństwie podmiotów gospodarczych i organizacji nienależących do administracji publicznej. Tego typu podmioty działają w wielu krajach, np. Bundesamt für Sicherheit in der Informationstechnik w Niemczech czy włoska Agenzia per la Cybersicurezza Nazionale. Teoretycznie obszar działań, którym miałaby się zajmować agencja w Polsce, jest dziś w gestii ministra właściwego ds. informatyzacji i podległych mu podmiotów (np. NASK) i Rządowego Centrum Bezpieczeństwa, jednak te struktury mogą być niewystarczające do podejmowania szerokiego zakresu działań zgodnie z aktualnymi potrzebami.
Do tego typu działań na pewno można zaliczyć konieczność ustanawiania wytycznych dotyczących cyberbezpieczeństwa dla poszczególnych branż, jak również wspieranie ich wdrażania oraz sprawowanie realnej kontroli nad ich przestrzeganiem (urzędy nadzorujące poszczególne sektory nie posiadają takich kompetencji ani uprawnień, z wyjątkiem UKNF, który bardzo skutecznie realizuje taki zakres zadań względem bankowości, która jest uważana za dobrze przygotowaną na ewentualne cyberataki). Do zadań agencji mogłoby też należeć stałe monitorowanie na poziomie krajowym stanu bezpieczeństwa i zdolności do szybkiego reagowania w przypadku nowych lub szybko eskalujących zagrożeń (dostarczanie rozwiązań i niezbędnych kompetencji na wszystkich etapach cyberbezpieczeństwa – strategicznym, wdrożenia, monitorowania i reagowania kryzysowego). Agencja mogłaby także pełnić rolę koordynatora współpracy międzysektorowej oraz przekrojowego analizowania zagrożeń i reagowania z perspektywy całego łańcucha wartości. Dodatkowo ważnym zadaniem mogłaby być integracja podmiotów ekosystemu cyberbezpieczeństwa (wertykalnie i horyzontalnie) oraz stymulowanie ich dojrzałości w tym obszarze. Niemniej istotna byłaby zdolność agencji do podejmowania wielkoskalowych inwestycji związanych ze zwiększaniem potencjału cyberbezpieczeństwa (kadrowo i narzędziowo).
Agencja mogłaby realizować tego typu działania samodzielnie lub z podmiotami prywatnymi, które podobnie jak w obszarze militarnym często oferują kompetencje i rozwiązania przewyższające ofertę wewnętrzną sektora publicznego, szczególnie w obszarze najnowszych technologii.
Rozwój usług dzięki Klastrom Cyberbezpieczeństwa
Oprócz Agencji należałoby stworzyć Klastry Cyberbezpieczeństwa, zarówno horyzontalne (tzn. dla wybranego sektora), jak i wertykalne (tzn. zorganizowane według łańcucha dostarczania wartości lub cyklu życia usługi lub produktu cyberbezpieczeństwa). Mimo że w obszarze cyberbezpieczeństwa Polska jest znaczącym ośrodkiem o dużym potencjale kadrowym (duża liczba centrów usług cyberbezpieczeństwa globalnych organizacji – według ABSL ok. 120 SSC, czyli Shared Services Centers, posiada usługi cybersec w zakresie działalności), to nie przekłada się to na przychody polskich firm specjalizujących się w cyberbezpieczeństwie. Trudno również znaleźć oprogramowanie lub zaawansowaną usługę cybersec, będące produktem polskiej firmy. Tworzenie klastrów mogłoby wesprzeć rozwój rodzimych usług i produktów cyberbezpieczeństwa.
Efektem funkcjonowania klastrów mogłoby być powstanie wspólnych centrów cyberbezpieczeństwa, które koordynowałyby lub nawet dostarczałyby scentralizowane usługi adekwatne do danego sektora, obniżając koszt ich realizacji i zwiększając potencjał innowacyjności. Takie klastry nie tylko wspierałyby realizację potrzeb polskich podmiotów (np. banków), lecz i wzmacniałyby pozycję polskich oddziałów w ramach globalnych grup kapitałowych czy wobec globalnych dostawców rozwiązań cyberbezpieczeństwa lub wręcz stymulowałyby powstawanie polskich usług i produktów, które miałyby szansę podbijać międzynarodowe rynki.
Powstawanie i działanie klastrów powinno zostać wsparte przez struktury państwowe, np. zachętami podatkowymi, finansowymi oraz odpowiednimi regulacjami, jak również nominowaniem wiodących firm – przykładowo w sektorach energetyki czy finansów – do działania w roli wiodącego podmiotu dla klastra sektorowego (przykładem może być powstanie polskiego standardu płatności czy dostarczanie tożsamości cyfrowej przez sektor bankowy).
Partnerstwa publiczno-prywatne i outsourcing
Technologie cyfrowe i rozwiązania w zakresie cyberbezpieczeństwa bardzo szybko ewoluują i wymagają dużych nakładów finansowych. Nawet największe i najnowocześniejsze jednostki sektora publicznego na świecie (np. amerykańska armia czy wywiady państw NATO) intensywnie współpracują z podmiotami prywatnymi przy realizacji kluczowych przedsięwzięć w obszarze cyberbezpieczeństwa. Nabywają one zaawansowane usługi lub wchodzą w umowy partnerstwa publiczno-prywatnego, w których podmiot komercyjny współtworzy z podmiotem publicznym dedykowaną usługę czy rozwiązanie w celu realizacji specyficznych potrzeb. Korzyścią podmiotu publicznego jest możliwość pozyskiwania trudno dostępnych i kosztownych kompetencji oraz innowacyjnych rozwiązań od podmiotów, które działają poza naturalnym obszarem funkcjonowania jednostki publicznej (np. inne kraje lub sektory).
W Polsce dominuje tendencja wewnętrznego utrzymywania większości funkcji cyberbezpieczeństwa, co nie jest optymalne z perspektywy szybkości reagowania na zmienność technologii i wysoką potrzebę innowacyjności. Taki model działania jest bardzo kosztowny i trudny do zrealizowania w sytuacji niedoboru wyspecjalizowanych pracowników na rynku. Największe instytucje publiczne i sektora prywatnego w Europie oraz USA intensywnie wykorzystują outsourcing zaawansowanych funkcji cyberbezpieczeństwa i model współpracy z podmiotami prywatnymi, mimo że dysponują dużo większymi budżetami. Robią to nie tylko w celu uzupełnienia braków kadrowych i optymalizacji kosztowej. Istotnym celem angażowania wiodących dostawców Managed Security Services (zaawansowany outsourcing bezpieczeństwa) jest szybkie i efektywne pozyskiwanie wiedzy, praktyk i narzędzi niezbędnych do reagowania na bardzo szybko zmieniające się zagrożenia.
Polska już teraz jest uznawana za kraj o dużym potencjale intelektualnym i kadrowym w dziedzinie cyberbezpieczeństwa. Wyżej wymienione koncepcje zarówno pomogłyby zwiększyć bezpieczeństwo narodowe, jak i pozytywnie przełożyć się na przychody polskich firm, które dziś w obszarze cyberbezpieczeństwa są znacznie niższe, niż wskazywałby na to potencjał kadrowy. Wymaga to działań wykraczających poza zakres celów pojedynczych firm czy instytucji, dlatego wsparcie i koordynacja na poziomie państwowym są niezbędne. Mając jednak tak istotny potencjał w postaci kadr i dotychczasowych inwestycji zagranicznych, warto skorzystać z możliwości, dodając konkretną strategię współdziałania, by Polska stała się globalnym liderem cyberbezpieczeństwa.
Artur Józefiak, Accenture Security Lead for Poland/CEE
Tekst został opublikowany w elektronicznym wydaniu „Polskiego Kompasu 2023” dostępnym bezpłatnie do pobrania na stronie www.gb.pl a także w aplikacji „Gazety Bankowej” na urządzenia mobilne
»» Pobierz teraz bezpłatnie PDF „Polskiego Kompasu 2023”:
APPLE APP STORE - KLIKNIJ TUTAJ
Polecamy i zachęcamy do lektury tego wyjątkowego rocznika