Cyberbezpieczeństwo. Gdzie jest najsłabsze ogniwo?

Dzisiaj nie ma dziedziny życia, w której nie byłyby obecne nowe technologie, internet, szeroko pojęta informatyka z rozmaitymi aplikacjami. Trudno sobie wyobrazić pracę, prywatne zajęcia bez tych narzędzi. Ale to niesie za sobą konsekwencje. Nie tylko te pozytywne. Jedną z nich jest cyberbezpieczeństwo.

Praktycznie każdy z nas miał w tej dziedzinie negatywne doświadczenia, albo chociażby o nich czytał. Wyłudzenia, ataki hakerskie na firmy, instytucje państwowe, ważne dla życia publicznego osoby. Awarie systemów informatycznych pomagających w zarządzaniu gospodarką, komplikacje w korzystaniu z usług finansowych, opieki zdrowotnej prowadzą do poważnych strat finansowych, a często także do zagrożenia zdrowia i życia.

Media informują o takich zjawiskach codzienne. Zwłaszcza obecnie, w okresie wojny Rosji z Ukrainą wrogie demokratycznym społeczeństwom i krajom grupy hakerskie nasiliły swoją działalność. A rodzimi cyberprzestępcy też nie próżnują.

Coraz większa częstotliwość takich zjawisk wymusiła wprowadzenie nowych, skuteczniejszych regulacji prawnych. Dzieje się tak na poziomie krajowym i globalnym. Niedawno Unia Europejska wprowadziła nowe regulacje dotyczące cyberbezpieczeństwa. Celem dyrektywy NIS 2 jest zwiększenie odporności i zdolności reagowania podmiotów z sektora publicznego i prywatnego, a także UE jako całości na cyfrowe zagrożenia dla gospodarki. NIS 2 definiuje dwa rodzaje podmiotów objętych nowymi regulacjami – podmioty kluczowe i ważne. Działają one m. in. w następujących sektorach gospodarki: publiczni dostawcy sieci łączności i świadczący usługi łączności elektronicznej, podmioty administracji publicznej, usług cyfrowych świadczonych przez platformy sieci społecznościowych, energetyka, transport, bankowość, opieka zdrowotna.

Do grupy kluczowych zaliczają się podmioty działające w wymienionych w dyrektywie obszarach, w których zatrudnienie przekracza 250 pracowników, a roczny obrót wynosi powyżej 10 mln euro. Pozostałe podmioty, niespełniające kryterium wielkości, kwalifikowane są jako podmioty ważne.

W Polsce obowiązuje ustawa o krajowym systemie cyberbezpieczeństwa. Najważniejsze obowiązki związane z jej realizacją spoczywają na NASK – PIB, instytucie badawczym nadzorowanym przez Kancelarię Prezesa Rady Ministrów. To właśnie zgodnie z ustawą ta instytucja została wskazana jako jeden z Zespołów Reagowania na Incydenty Komputerowe tzw. CSIRT (Computer Security Incident Response Team), który koordynuje obsługę incydentów zgłaszanych przez operatorów usług kluczowych, dostawców usług cyfrowych, samorząd terytorialny. Do CSIRT NASK incydenty mogą także zgłaszać wszyscy użytkownicy. NASK współtworzy zaplecze analityczne oraz badawczo-rozwoje dla krajowego systemu cyberbezpieczeństwa.

Oczywiście regulacje prawne są bardzo ważne, istotna jest także działalność wszystkich instytucji, na których spoczywa obowiązek zapewnienia bezpieczeństwa informatycznego, ale nie można zapominać, że wszystkie struktury i obowiązujące zasady są tak mocne jak najsłabsze ogniwo. A tym ogniwem jest najczęściej człowiek. Nie możemy o tym zapominać, zarówno w pracy, jak przy codziennym wykonywaniu obowiązków prywatnych.

Robert Olesiński

CZYTAJ TEŻ: Cyberbezpieczeństwo najważniejszym ryzykiem dla banków