Skomentuj 
Podziel się!
Udostępnij
Twittnij
Wyślij
Drukuj
Z bezpieczeństwem cybernetycznym w Polsce jest źle. Żeby to zmienić, potrzebne są zintegrowane działania sektorów publicznego, prywatnego i obywatelskiego. Służyć im ma ogłoszona w styczniu i podpisana przez prezydenta "Doktryna cyberbezpieczeństwa Rzeczpospolitej Polskiej". To główne wnioski z sesji poświęconej temu tematowi na VII Europejskim Kongresie Gospodarczym w Katowicach.
W Polsce ataki z sieci wymienia się wśród pięciu największych zagrożeń w prowadzaniu działalności biznesowej. PwC sprawdza, czy polskie firmy potrafią się przed nimi zabezpieczyć. Wnioski nie napawają optymizmem.
- Średni czas dotarcia do danych krytycznych to cztery godziny od otrzymania zlecenia - mówi Rafał Jaczyński - dyrektor, lider zespołu Cyber Security w PwC. - W ciągu trzech lat przeprowadziliśmy testy w 50 firmach. Wśród nich nie znalazła się żadna, do której nie dałoby się włamać. W dziewięciu na 10 przypadków w ogóle nie zorientowano się, że atak się odbywa. W jednym firma się przygotowała, ale i tak nie mogła nic zrobić.
Atak następuje zwykle w miejscu, w którym informatycy zagrożonej firmy się nie spodziewają, stawiając zabezpieczenia nie tam, gdzie trzeba. Regułą jest także, że działania informatyczne łączone są z tzw. atakiem fizycznym. To działania socjotechniczne polegające na wyłudzaniu danych dostępowych do sytemu od pracowników lub nawet bezpośrednie wejście do obiektów (serwerowni) firmy.
Dlaczego tak się dzieje?
Zdaniem Ewy Piłat, CSO T-Mobile Polska, wynika to z tego, że naszym kraju działania na rzecz podniesienia bezpieczeństwa informatycznego firmy są postrzegane jako tworzące koszty, a nie rentowność firmy.
- Mało kto stawia sprawę tak, że ochrona danych stanowi zabezpieczenie przychodów firmy - ocenia Marek Bugała - dyrektor handlowy Iron Mountain Polska.
Tymczasem wcale nie musi być to wyjątkowo drogie, bo od kupowania specjalistycznego oprogramowania ważniejsza jest zmiana zachowań ludzi. 70 proc. ataków wykorzystuje nieświadomość pracowników i ich komputery, w których, co paradoksalnie jest normą, trzymają np. pliki z hasłami.
- W naszej firmie bardzo dbamy o przestrzeganie standardów bezpieczeństwa przez ludzi - informuje Marek Bugała. - Do działu, który zajmuje się dygitalizacją dokumentów, pracownik nie może wejść z telefonem komórkowym. I to pod groźbą zwolnienia.
- W cyberprzestrzeni nie można zabezpieczyć się w stu procentach. Mimo podjęcia różnych działań, atak może okazać się skuteczny - ocenia Krzysztof Liedel - dyrektor Departamentu Prawa i Bezpieczeństwa Pozamilitarnego Biura Bezpieczeństwa Narodowego. - Trzeba opracować procedury na taką sytuację, umieć ograniczać szkody, nauczyć się odtwarzać dane. Trzeba także zdawać sobie sprawę, że więcej bezpieczeństwa w sieci, to mniej w niej wolności, i odwrotnie, im więcej wolności, tym mniej bezpieczeństwa.
Dlatego tak ważne jest, aby znaleźć przysłowiowy złoty środek między jednym i drugim. Gdzie należy go szukać, zastanawiali się m.in. autorzy "Doktryny cyberbezpieczeństwa Rzeczpospolitej Polskiej" podpisanej przez prezydenta Bronisława Komorowskiego w styczniu 2015 r. To dokument, który wyznacza kierunki wysiłków na rzecz zbudowania zintegrowanego systemu cyberbezpieczeństwa kraju. Został przygotowany został w wyniku analiz prowadzonych z udziałem przedstawicieli administracji publicznej, środowiska akademickiego, organizacji pozarządowych oraz sektora prywatnego. Jego założenia zostały rozpatrzone i zaakceptowane przez Radę Bezpieczeństwa Narodowego.
Zobacz dokument
Krzysztof Liedel z BBN w czasie debaty na Europejskim Kongresie Gospodarczym podkreślił, jak w sprawie bezpieczeństwa cybernetycznego ważne jest wzajemne zaufanie między sektorem publicznym, prywatnym i obywatelami.
- W sferze bezpieczeństwa firmy nie są wobec siebie konkurentami. Konkurencję zastępuje współpraca. Z Orange mamy wspólną infrastrukturę krytyczną - przypomina Ewa Piłat, CSO T-Mobile Polska.
W mediach najbardziej nagłaśniane są przypadki wycieków z baz danych. Ale cyberprzestrzeń, jak ujęto w "Doktrynie" jest także "polem konfliktu, na którym przychodzi nam zmierzyć się nie tylko z innymi państwami, ale także z wrogimi organizacjami, jak choćby z grupami ekstremistycznymi, terrorystycznymi, czy zorganizowanymi grupami przestępczymi."
Trolling to już standard w katalogu działań skonfliktowanych ze sobą państw. Podobnie jak szpiegostwo czy próby zdalnego wpływu na instalacje przemysłowe. Armie coraz częściej sięgają po uzdolnionych młodych ludzi, którzy niekoniecznie przyjmując stopień wojskowy, sieją spustoszenie po stronie przeciwnika. Państwa odpowiedzialne są także za to, że na "rynek" trafią różne "wynalazki", które w założeniu miały np. zatrzymywać wirówki w do wzbogacania uranu we wrogich krajach, a przejęte przez cyberprzestępców szkodzą zwykłym ludziom.
Dlatego tak istotne jest, żeby sfera wirtualna podlegała ścisłym uregulowaniom prawnym. W czasie kongresowej dyskusji zwróciła na to uwagę Katarzyna Szymielewicz - prezes, współzałożycielka Fundacji Panoptykon, zajmującej się ochroną ludzi przed zakusami firm, które chcą zbierać wrażliwe dane i niewłaściwie je pożytkować.
Z debaty na Europejskim Kongresie Gospodarczym wynika, że biznes jest zainteresowany proponowanym przez "Doktrynę" standardem bezpieczeństwa w sieci. Oczekuje w tej sprawie wytycznych i ustalenia, kto ma formalnie odpowiadać za wdrażanie dokumentu.
Krzysztof Liedel wskazuje, że rozpisana jest on na wiele ośrodków, nawiązując do analogii ze sposobem organizacji sieci. Pierwsze działania należą jednak administracji państwowej.
Adrian Ołdak
8
