Reklama

Biznes i Finanse

Ireneusz Piecuch: W zmaganiach z cyberzagrożeniami stawką może być dalsze istnienie firmy

Fot. Ireneusz Piecuch
Fot. Ireneusz Piecuch

O problemach z cyberbezpieczeństwem w przedsiębiorstwach, ustawie o krajowym systemie bezpieczeństwa oraz implementacji dyrektywy NIS mówi w rozmowie z Cyberdefence24.pl Ireneusz Piecuch partner w CMS Cameron McKenna.

Cyberdefence24: Na tegorocznym Europejskim Kongresie Gospodarczym (EKG) w Katowicach, prowadził pan dyskusję panelową poświęcona cyberzagrożenia. Jakie były najważniejsze poruszone zagadnienia?

Ireneusz Piecuch: Tak, mając na uwadze zbliżającą się w Polsce implementację Dyrektywy NIS, razem z organizatorami Kongresu postanowiliśmy, podyskutować na temat skali wyzwań związanych z ochroną cyberprzestrzeni a także tego, co czeka nas w tym obszarze w najbliżej przyszłości. Udało nam się skompletować świetny panel, który pozwolił na spojrzenie na tę problematykę z zupełnie różnych punktów widzenia. Sławomir Panasiuk wiceprezes KDPW a jednocześnie członek rady powołanej przy Europejskim Banku Centralnym, która ma zajmować się zagadnieniem zwiększenie odporności sektora bankowego na cyberzagrożenia, przekonująco uzasadniał potrzebę aktywnego włączania się członków zarządów firm w adresowanie tych wyzwań.

Uważa Pan, że ta potrzeba jest już faktycznie dostrzegana wśród polskich przedsiębiorców?

Obaj wiemy, że tak nie jest, ale ten stan już się zmienia a wprowadzenie RODO oraz zbliżająca się implementacja Dyrektywy NIS nie pozostawi nikomu wyboru. Tego typu „zachęty” regulacyjne, nie powinny być zresztą głównym motywatorem. Wystarczyłoby parę danych. Firma McAffy szacuje straty poniesione na skutek różnego rodzaju nielegalnych działań w cyberprzestrzeni na 440-600 milionów USD i są to bardzo zgrubne dane, mając na uwadze fakt, iż odsetek firm upubliczniających incydenty tego rodzaju oscyluje wokół 10-20%. Nortel Networks – kanadyjski gigant technologiczny, musiał ogłosić bankructwo po tym jak ponad dekadę, jego tajemnice handlowe były wykradane przez organizacje hackerskie pracujące dla konkurencji. Amerykańska sieć sprzedaży detalicznej Target, na skutek ataku hackerskiego straciła dane 40 milionów swoich klientów powodując straty liczone w setkach milionów dolarów. Ujawnienie masowej utraty danych klientów serwisu Yahoo, spowodowało obniżenie ceny zakupu tego serwisu przez Verizon o 350 milionów dolarów. 

Implementacja Dyrektywy NIS budzi sporo kontrowersji wśród specjalistów.

To zrozumiałe. Rozmawialiśmy o tym z innym z panelistów Panem Dyrektorem Krzysztofem Silickim, obecnie zastępcą Dyrektora NASK ds. Cyberbezpieczeństwa a do niedawna podsekretarzem stanu w Ministerstwie Cyfryzacji odpowiedzialnym na przygotowanie projektu ustawy o krajowym systemie cyberbezpieczeństwa, przyjętego nie dawno przez Komitet Rady Ministrów. Zaczynamy od opóźnienia (termin na wdrożenie dyrektywy upływa z końcem miesiąca), co nie jest dobrym prognostykiem, ale też nie jest też największym problemem tej ustawy. Zacznijmy jednak od zalet, a największą jest niewątpliwie fakt, że ustawa ta w końcu powstała, co nie było takie oczywiste. Będziemy mieli zatem dokument definiujący kształt krajowego systemu cyberbezpieczeństwa, będziemy mieli bardzo szeroką grupę podmiotów podlegających tej ustawie (m.in., operatorów usług kluczowych, dostawców usług cyfrowych, szereg czy też podmioty świadczące usługi z zakresu cyberbzepieczeństwa). Wprowadzone zostaną obowiązki systematycznego szacowania ryzyka, wdrażania odpowiednich i proporcjonalnych rozwiązań technicznych i organizacyjnych, raportowania wykrytych incydentów a także przeprowadzania okresowych audytów w tym zakresie. Nie wchodząc w dalsze szczegóły, dwie zasadnicze wady proponowanej ustawy to brak nacisku na budowanie efektywnego partnerstwa publiczno-prywatnego w tym zakresie. Wydaje się, że twórcy ustawy wyszli z paradygmatu „my, Państwo”, trochę na przekór panującym w tej mierze tendencjom oraz dość oczywistej dysproporcji zasobów, którymi dysponuje w tym obszarze państwo oraz potencjału będącego do dyspozycji firm prywatnych. Drugim problemem może być zbyt rozbudowana konstrukcja podmiotów uczestniczących w nadzorowaniu krajowego systemu bezpieczeństwa, co może, a jak uczy historia, zapewne doprowadzi, do brak niezbędne elastyczności, problemów komunikacyjnych oraz zbytnie rozproszenia wątłych zasobów finansowych przeznaczonych na implementację nowej ustawy.

Wątłych?

W uzasadnieniu ustawy mówi się o 16 milionach złotych, co jest kroplą w morzu potrzeb. Oczywiście do tego dochodzą środki, którymi poszczególne ministerstwa, agencje i jednostki organizacyjne będą dysponować w ramach przyznanych im budżetów ogólnych, ale trudno mi sobie wyobrazić, żeby cyberzagrożenia uzyskały nagle rangę zagadnień kluczowych, dających realna szansę na skorzystanie z takich zasobów. Dla porównania. W tym roku Stany Zjednoczone przeznaczyły 14 miliardów dolarów na obronę swojej cyberprzestrzeni a projekt na przyszły rok zakłada wzrost o kolejne pół miliarda.

Ale zakładam, że w przedsiębiorstwach prywatnych, problem budżetu znajduje większe zrozumienie po stronie decydentów.

No cóż, jak wynika z rozmów przeprowadzonych przeze mnie tylko w trakcie trwania EKG, ale także z wypowiedzi dwóch kolejnych uczestników naszego panelu – Prezesa Tomasza Szadkowskiego z Softlab Technology oraz Prezesa Romana Szweda z Atende S.A. bywa z tym różnie. Szefowie IT świetnie rozumieją wzajemne korelacje pomiędzy koniecznością dostarczenia oczekiwanego wsparcia IT a zapewnieniem odpowiedniego bezpieczeństwa, ale już na poziomie dyskusji zarządów pytanie o zwrot z inwestycji nie należy do rzadkich. Często też brak jest zrozumienia, że to czego firma może oczekiwać to zapewnienia możliwie duże odporności wykorzystywanych systemów, ale nie ich całkowitego wyeliminowania. Pomimo, że wydaje się to oczywiste, członkowie zarządów nie do końca rozumieją złożona naturę systemu ochrony ich infrastruktury cyfrowej, utożsamiając ją wyłącznie z zabezpieczeniami technicznymi. W rzeczywistości eksperci są zgodni, że wykorzystanie wyłącznie tych środków pozwoli na nam na osiągnięcie jednej czwartej na drodze do celu, którym jest osiągnięcie właściwego poziomu ochrony. Do pokonania pozostałego dystansu konieczne jest współdziałanie trzech elementów – technologii – edukacji pracowników oraz właściwego ustawienia procesów w firmie (w tym procesu zarządzania dostawcami).

Zakładam jednak, że takie sektory jak sektor bankowy czy telekomunikacyjny doceniają znaczenie ochrony sowich systemów i danych ?

Faktycznie. W tym zakresie zarówno banki jak i firmy telekomunikacyjne są zdecydowanie w czołówce firm rozumiejących doskonale znaczenie konieczności zapewniania właściwego poziomu ochrony przed cyberzagrożeniami. Dyrektor Maciej Ogórkiewicz z ING Bank Śląski oraz Dyrektor Tomasz Matuła – z Orange – moi kolejni dwaj goście w panelu, pokazali nie tylko jak ważnym elementem działalności ich firm, jest dbanie o bezpieczeństwo danych klientów, ale także jak element ten stanowić może o przewadze konkurencyjnej oferowanych przez te podmioty usług i produktów. Przykładowo, CERT Orange działa już od 20 lata, zapewniając klientom tej firmy dodatkowe zabezpieczenie przed atakami hackerskim. Jak wynika z ostatniego raportu tej firmy, tylko w sieci Orange, odnotowuje się 90 tysięcy ataków miesięcznie.

Wszystko o czym Pan mówi to dzień dzisiejszy. A co z przyszłością?

Wspomniałem już o implementacji Dyrektywy NIS. Dyrektor Silicki wspomniał też o kolejnych pracach legislacyjnych poświęconych wprowadzaniu standardów i sytemu certyfikacji. Musimy mieć jednak świadomość, że regulacje od dawna nie nadążają już za rozwojem technologii. Dzisiejsze regulacje adresują głównie wczorajsze problemy. A co z miliardami urządzeń składających się na światową sieć Internetu Rzeczy ? Według firmy EY aż 70% tych urządzeń ma braki, umożliwiające łatwe przejęcie kontroli. A co z autonomicznymi samochodami ? Wedle różnych badań już w roku 2015 ponad 15% sprzedawanych samochodów dysponowało systemami umożliwiającymi zdalną kontrolę nad systemem hamulcowym. A urządzenia medyczne ? Systemy zdalnego dozowania leków nie są dzisiaj niczym rzadkim. Do niedawna, naruszenie cyberprzestrzeni mogło pozbawić nas danych, albo tak jak w przypadku centralnego Banku Bangladeszu, zmniejszyć kapitały tego banku o 80 milionów dolarów. Przyszłość do absolutnie realne zagrożenia natury fizycznej. To także wykorzystywanie sztucznej inteligencji oraz uczenia maszynowego to zwiększenia efektywności tradycyjnych metod ataków hackerskich (np. Spear phishing, lepsze profilowanie potencjalnych celów ataku etc.). To jednak także możliwość zmiany paradygmatu ochrony i przeniesienie go z infrastruktury na same dane. O tym mówił ostatni uczestnik panelu – Dyrektor Jacek Figuła – do niedawna w CISCO a obecnie w polskim dynamicznie rozwijającym się start-up-ie BILLON. Blockchain kojarzy się na ogół z kryptowalutami ale to tylko część możliwości tej technologii. Choć niewątpliwie wymaga ona dalszego rozwoju, może już teraz stanowić krok milowy w zwiększaniu poziomu ochrony przed niektórymi zagrożeniami i z pewnością.

Jakie są więc konkluzje?

W zmaganiach z cyberzagrożeniami, wraz z postępującą transformacją cyfrową naszych przedsiębiorstw, stawką już wkrótce nie będzie lepszy lub gorszy wynik finansowy. Stawką może być dalsze istnienie firmy. Aczkolwiek obecny system edukacji, nie przygotowuje nas, jako odbiorców technologii, do radzenia sobie z zagrożeniami z tym związanymi, wedle wszelkich dostępnych badań, poziom świadomości w tym zakresie nieustannie rośnie. Możemy to obserwować na przykładzie trwającej właśnie fiesty RODO, która wchodzi właśnie w fazę zderzenia z rzeczywistością i dla wielu przedsiębiorstw może okazać się bolesna. Myślę, że podobnie będzie z implementacją Dyrektywy NIS. Mam nadzieję, że szybkim krokiem zbliżamy się do momentu, w którym pytanie o ROI inwestycji związanej z ochroną cyberprzestrzeni będzie uznawane za objaw biznesowej ignorancji, nieakceptowalnej na pewnym poziomie rozwoju firmy, a sama tematyka stanie się przedmiotem regularnych dyskusji w gronie osób zarządzających firmą.

Reklama

Komentarze

    Reklama