KRYNICA: Cyberatak gorszy dziś od pożaru
Cyberbezpieczeństwo wymaga świadomości zagrożenia, współpracy pod kątem jego wykrywania i zwalczania oraz wykorzystywania dostępnych, aktualnych rozwiązań - mówili uczestnicy zorganizowanej przez PZU debaty na Forum Ekonomicznym w Krynicy-Zdroju.
Prezes PZU Życie Roman Pałac akcentował, że ryzyka związane z cyberbezpieczeństwem są o tyle skomplikowane, że wielowymiarowe. Możliwe skutki to bowiem nie tylko kradzież danych czy złamanie haseł, lecz w przypadku np. infrastruktury krytycznej - poważne zaburzenie procesów biznesowych, mogących w znaczny sposób wpływać na gospodarkę.
„Takie rzeczy da się ubezpieczyć, lecz to jest dużo szerszy temat, niż tylko ubezpieczeniowy” - zaznaczył Pałac. Prezes PERN Igor Wasilewski przytoczył dane niemieckiego urzędu federalnego dot. bezpieczeństwa cybernetycznego, z których wynika, że od stycznia do czerwca br. miały tam miejsce 154 ataki na infrastrukturę krytyczną.
Wasilewski wskazał, że w Polsce ok. 70 proc. firm przyznaje się, że miał u nich miejsce co najmniej jeden cyberincydent. „Moim zdaniem to te 70 proc. odważnych, którzy mówią, że wiedzą i nad tym pracują. I to jest clou, że jeżeli zdajemy sobie sprawę, nad tym pracujemy” - zaakcentował. „Tego nie da się jednak zabezpieczyć informatycznie i sprzętowo, bo na końcu jest człowiek” - dodał.
Prezes PZU SA Paweł Surówka zdiagnozował, że polski biznes ma świadomość zagrożenia ze strony cyberataków, jednak nie każdy podejmuje konkretne działania. „W porównaniu do innych krajów temat nie jest doinwestowany w polskich spółkach” - ocenił. Jego zdaniem problem stanie się głośny po najbliższym dużym ataku cybernetycznym w Polsce.
Z drugiej strony - mówił Surówka - nie istnieje mechanizm pozwalający spółkom na bezpieczne dzielenie się wiedzą o zagrożeniach i atakach. W grę wchodzi też aspekt reputacji - niesprzyjający upowszechnianiu informacji o atakach. Wobec zagrożenia masowością skutków cyberataków prezes PZU wyraził opinię, że ubezpieczenia nie są tu wystarczające, trzeba też zainwestować w obronę technologiczną.
Stefan Deutscher z Boston Consulting Group podkreślił w tym kontekście, że liczba odnotowywanych cyberincydentów znacząco wzrasta w krajach po wprowadzeniu obowiązku ich raportowania. Zastrzegł przy tym, że Polska ma mniej więcej o połowę mniejsze wydatki na cyberbezpieczeństwo niż reszta świata, także wzrost tych wydatków na poziomie 5 proc. rocznie jest niższy, niż średnia.
Deutscher akcentował, że żadna firma nie może zaradzić zagrożeniu cybernetycznemu w pojedynkę. „Doradzamy, że jedyną możliwością firm w zakresie cyberbezpieczeństwa nie jest konkurencja, lecz współpraca” - mówił przedstawiciel Boston Consulting Group.
Minister cyfryzacji Marek Zagórski przypomniał o stworzeniu w ub. roku podstaw instytucjonalnych - ustawa o krajowym systemie cyberbezpieczeństwa podzieliła kwestię na trzy obszary z organem koordynującym na poziomie Rady Ministrów. Ocenił, że pozwala to na rozwijanie kompetencji w instytucjach, ale też budowanie świadomości zagrożenia.
„Walka z zagrożeniami zaczyna się od każdego użytkownika. Musimy mieć świadomość, jakie są zagrożenia i że one rzeczywiście występują” - akcentował Zagórski wskazując jednocześnie na wagę budowania systemu na poziomie Unii Europejskiej i w strukturach NATO. „Nie jesteśmy w stanie - pojedyncze państwa - w sposób pełny samodzielnie się obronić” - wskazał minister.
Deutscher zastrzegł, że opinia publiczna często uważa, że państwo powinno zabezpieczać bezpieczeństwo tak w sferze fizycznej, jak i cyberprzestrzeni. Zagórski odpowiedział, że niezależnie od prowadzonych - także przez jego resort - działań w tym zakresie, potrzebny jest wieloaspektowy program budowania świadomości - na różnych poziomach. „Podnoszenie kompetencji i świadomości to także świadomy konsument. (#) Świadomy konsument to bezpieczeństwo, a bezpieczeństwo to jednocześnie lepszy biznes” - zaakcentował szef MC..
Prezes PZU Życie przypomniał, że ubezpieczenia zaczęły się rozwijać po dużych doświadczeniach, najczęściej pożarach, w których płonęły całe miasta. Ludzie zaczęli wówczas organizować się i tworzyć zarówno towarzystwa ogniowe, będące protoplastą dzisiejszych towarzystw ubezpieczeniowych, ale też zaczątki straży pożarnych czy innych rozwiązań zapobiegania pożarom. „Uważam, że +cyber+ to się stał taki nowy ogień” - wskazał Pałac.
Szef PZU SA przyrównał sferę cyberbezpieczeństwa do ochrony zdrowia, gdzie należy nie tylko zwalczać chorobę, ale działać aktywnie na rzecz zdrowia. Jak zaznaczył, jeszcze niedawno uważano, że cyberbezpieczeństwo to ochrona przed wirusami, tymczasem należy budować aktywnie swoją odporność na ataki cybernetyczne, które „należy traktować, jak deszcz, który jest, jest częścią naszej rzeczywistości, a będzie coraz gorzej”.
Stefan Deutscher zwrócił uwagę, że firmy jeszcze do niedawna myślały w tym kontekście jedynie o sobie, teraz coraz częściej także o dostawcach; pojawia się także odpowiedzialność za klientów. „Banki w ostatnich latach mówiły swoim klientom elektronicznym, by instalowali ochronę antywirusową. Ale to wiele nie zmieniło; teraz mówią: jeśli chcecie korzystać z naszych rozwiązań, sprawdzimy wasze urządzenia pod względem zabezpieczeń antywirusowych” - zaznaczył.
„To odejście od samej świadomości, do wymuszenia zabezpieczeń. Wtedy możemy powiedzieć tak, teraz możemy założyć, że pozostałą część ryzyka możemy ubezpieczyć” - powiedział przedstawiciel Boston Consulting Group.
Odpowiadając na pytanie, co należy zrobić, aby mieć poczucie radzenia sobie z problemem minister Zagórski uznał, że pozytywna odpowiedź będzie świadczyła o nieprzygotowaniu. „Nigdy nie będziemy przygotowani w sposób wystarczający, bo zawsze będzie trzeba zrobić coś więcej. Pytanie bardziej powinno brzmieć, na jakim jesteśmy poziomie rozwoju technologicznego i czy zabezpieczenia, jakie mamy zarządzają za tymi wyzwaniami” - zaznaczył.
„Trzeba robić bardzo wiele rzeczy: od budowania świadomości, po stosowanie zwłaszcza w małych i średnich firmach rozwiązań chmurowych, gdzie są profesjonalni dostawcy, którzy muszą dbać o bezpieczeństwo” - wskazał szef MC. Prezes PZU Życie dodał, że należy zdać sobie sprawę, że jest problem, połączyć siły, wykorzystać posiadane atuty i kupić brakujące. „Przygotowani będziemy wtedy, kiedy koszt zaatakowania nas będzie wyższy, niż to, co można od nas wydobyć” - uznał.
Prezes PZU SA podał, że obecnie cyberpolisy są stosunkowo drogie - opiewają na ok. 7-10 proc. sumy ubezpieczenia.
Mateusz Babak (PAP), sek