KRYNICA: Musimy pamiętać, że jesteśmy w stanie wojny

Czy polska infrastruktura krytyczna i przemysł są bezpieczne w cyberprzestrzeni? „Musimy pamiętać, że jesteśmy w stanie wojny”

O świadomości zagrożeń wynikających z cyberprzestępczości i konieczności współpracy firm, państw i instytucji – debatowali uczestnicy panelu zorganizowanego przez PZU na 29. Forum ekonomicznym w Krynicy-Zdroju.

Zdaniem prezesa PZU Życie Romana Pałaca, największy problemem zagrożeń związanych z cyberbezpieczeństwem jest wielowymiarowość zagrożeń. Skutkami ataków bywają nie tylko skradzione dane czy złamane hasła, ale także poważne zaburzenia procesów biznesowych, gdy zaburzona zostanie ciągłość procesów krytycznych.

• To jest wojna w wymiarze cyber – mówił Roman Pałac. – A wojny nie są objęte ubezpieczeniem – dodawał.

Igor Wasilewski, prezes zarządu PERN, przytaczał niemieckie badania nad zjawiskiem cyberprzestępczości:

Gdy popatrzymy na naszych sąsiadów, to rozumiemy, dlaczego wszyscy obawiają się cyberataku. Według niemieckiego urzędu federalnego, w ostatnim półroczu miały tam miejsce 154 ataki na infrastrukturę krytyczną – mówił Wasilewski i przyznawał, że niestety w Polsce podobnych badań jeszcze nie prowadzimy. Wiemy natomiast, że w 70% polskich firm wystąpił „cyberincydent”, czyli naruszenie normy cyberbezpieczeństwa.

• My podejmujemy działania od 2017 roku, powstają różne programy, bo nie da się zabezpieczyć wszystkiego od strony informatycznej to jedno, ale jest jeszcze czynnik ludzki. Musimy też pamiętać, że jesteśmy w stanie wojny – dodawał szef PERN.

Czy polski biznes jest przygotowany i ma świadomość cyberprzestępczości? – Do tej kwestii odnosił się Prezes PZU SA Paweł Surówka, który zauważał, że polski biznes ma świadomość zagrożenia ze strony cyberataków, jednak nie każdy podejmuje konkretne działania.

• W porównaniu do innych krajów cyber jako temat inwestycyjny jest niedoinwestowany w Polsce, jeden z największych problemów jest taki, że ludzie nie mówią, że zostali zaatakowani, dowiadujemy się o skali dość późno, bo firmy nie chcą mówić o tym, że padły ofiary ataku, dopóki to jest możliwe - ocenił. Jego zdaniem problem stanie się głośny po najbliższym dużym ataku cybernetycznym w Polsce.

Z drugiej strony - mówił Surówka - nie istnieje mechanizm pozwalający spółkom na bezpieczne dzielenie się wiedzą o zagrożeniach i atakach. W grę wchodzi też aspekt reputacji - niesprzyjający upowszechnianiu informacji o atakach. Wobec zagrożenia masowością skutków cyberataków prezes PZU wyraził opinię, że ubezpieczenia nie są tu wystarczające, trzeba też zainwestować w obronę technologiczną.

Przedstawiciel Boston Consulting Group Stefan Deutscher zauważał, że liczba odnotowywanych cyberincydentów znacząco wzrasta w krajach po wprowadzeniu obowiązku ich raportowania. Zastrzegł przy tym, że Polska ma mniej więcej o połowę mniejsze wydatki na cyberbezpieczeństwo niż reszta świata, także wzrost tych wydatków na poziomie 5 proc. rocznie jest niższy, niż średnia.

• Żadna firma nie może zaradzić zagrożeniu cybernetycznemu w pojedynkę. Doradzamy, że jedyną możliwością firm w zakresie cyberbezpieczeństwa nie jest konkurencja, lecz współpraca - mówił przedstawiciel Boston Consulting Group.

Do tej kwestii odniósł się przedstawiciel NASK, który przypomniał iż rolą NASKu jest „dzielić się wiedzą, zapobiegać i przeciwdziałać”.

• NASK bada nie tylko to, co się dzieje w Polsce. Sprawdzamy i monitorujemy za granicami Polski, aby uchronić społeczeństwo przed zagrożeniami i wyciekami danych – mówił. - Wydatki w firmach rzeczywiście są małe, duże firmy dzisiaj rozmawiają nie tylko o IT, ale o zabezpieczeniu automatyki informacyjnej – dodawał.

Do kwestii stworzenia instytucjonalnych podstaw krajowego systemu bezpieczeństwa odniósł się szef resortu cyfryzacji Marek Zagórski, który przypomniał, że ustawa o krajowym systemie cyberbezpieczeństwa podzieliła kwestię na trzy obszary z organem koordynującym na poziomie Rady Ministrów. Ocenił, że pozwala to na rozwijanie kompetencji w instytucjach, ale też budowanie świadomości zagrożenia.

• Walka z zagrożeniami zaczyna się od każdego użytkownika. Musimy mieć świadomość, jakie są zagrożenia i że one rzeczywiście występują” - akcentował Zagórski wskazując jednocześnie na wagę budowania systemu na poziomie Unii Europejskiej i w strukturach NATO. „Nie jesteśmy w stanie - pojedyncze państwa - w sposób pełny samodzielnie się obronić - wskazał minister.

Zagórski dodawał, że potrzebujemy wieloaspektowego programu budowania świadomości - na różnych poziomach. „Podnoszenie kompetencji i świadomości to także świadomy konsument. (#) Świadomy konsument to bezpieczeństwo, a bezpieczeństwo to jednocześnie lepszy biznes” - zaakcentował szef resortu cyfryzacji.

Prezes PZU Życie odwołał się do historii i początków systemu ubezpieczeń, które zaczęły się rozwijać wówczas, gdy po katastrofach i innych doświadczeniach ludzie doświadczali materialnych strat:

• Ubezpieczenia zaczęły się rozwijać po dużych doświadczeniach, najczęściej pożarach, w których płonęły całe miasta. Ludzie zaczęli wówczas organizować się i tworzyć zarówno towarzystwa ogniowe, będące protoplastą dzisiejszych towarzystw ubezpieczeniowych, ale też zaczątki straży pożarnych czy innych rozwiązań zapobiegania pożarom. Uważam, że temat „cyber” to nowy ogień - mówił Pałac.

Podobną analogię do systemu ubezpieczeń zastosował szef PZU SA, który przypomniał, że zagrożenia cyberbezpieczeństwa są jak choroba. Aby je zwalczać, potrzebujemy nie tylko dobrych lekarzy, ale też skutecznego działania na rzecz zdrowia.

• Jeszcze niedawno uważano, że cyberbezpieczeństwo to ochrona przed wirusami, tymczasem należy budować aktywnie swoją odporność na ataki cybernetyczne, które należy traktować, jak deszcz, który jest, jest częścią naszej rzeczywistości, a będzie coraz gorzej – mówił Paweł Surówka.

Stefan Deutscher dodawał, że firmy jeszcze do niedawna myślały w tym kontekście jedynie o sobie, teraz coraz częściej także o dostawcach; pojawia się także odpowiedzialność za klientów.

• Banki w ostatnich latach mówiły swoim klientom elektronicznym, by instalowali ochronę antywirusową. Ale to wiele nie zmieniło; teraz mówią: jeśli chcecie korzystać z naszych rozwiązań, sprawdzimy wasze urządzenia pod względem zabezpieczeń antywirusowych - zaznaczył.

• Odejście od samej świadomości, do wymuszenia zabezpieczeń. Wtedy możemy powiedzieć tak, teraz możemy założyć, że pozostałą część ryzyka możemy ubezpieczyć - powiedział przedstawiciel Boston Consulting Group.

Minister Zagórski przyznawał jednocześnie, że moment, w którym osiągamy poczucie radzenia sobie z problemem często świadczy o naszym braku odpowiedniej wiedzy i nie dość dostatecznym przygotowaniu do ewentualnego ataku.

• Nigdy nie będziemy przygotowani w sposób wystarczający, bo zawsze będzie trzeba zrobić coś więcej. Pytanie bardziej powinno brzmieć, na jakim jesteśmy poziomie rozwoju technologicznego i czy zabezpieczenia, jakie mamy zarządzają za tymi wyzwaniami - zaznaczył. - Trzeba robić bardzo wiele rzeczy: od budowania świadomości, po stosowanie zwłaszcza w małych i średnich firmach rozwiązań chmurowych, gdzie są profesjonalni dostawcy, którzy muszą dbać o bezpieczeństwo” - wskazał szef MC.

Prezes PZU Życie dodał, że należy zdać sobie sprawę, że jest problem, połączyć siły, wykorzystać posiadane atuty i kupić brakujące.

• Przygotowani będziemy wtedy, kiedy koszt zaatakowania nas będzie wyższy, niż to, co można od nas wydobyć – mówił i przyznawał, że obecnie cyberpolisy są stosunkowo drogie - opiewają na ok. 7-10 proc. sumy ubezpieczenia.