Odporność firm na cyberzagrożenia jest w obecnych czasach kluczowa, bo liczba ataków rośnie i w Polsce zostało jeszcze wiele do zrobienia, żebyśmy mogli spać spokojnie. Skupienie się na zwiększaniu zabezpieczeń w przedsiębiorstwach kluczowych dla bezpieczeństwa jest oczywiste z punktu widzenia interesów państwa. Jednak cyberprzestępcy obierają na cel nie tylko gigantów gospodarki – atakują też mniejsze biznesy, narażając ich klientów i pracowników na straty.
Bezpieczeństwo takich sektorów jak transport, energetyka, gospodarka komunalna – w tym ciepłownictwo i zaopatrzenie w wodę, ochrona zdrowia, przemysł wydobywczy jest fundamentalne dla państwa i jego mieszkańców. W Polsce trwają przygotowania do wdrożenia unijnej dyrektywy NIS2, która ma podnieść poziom bezpieczeństwa w kluczowych sektorach, jednak te działania nie wystarczą.
„Z jednej strony zmiany legislacyjne zarówno te krajowe, jak i unijne, systematycznie zwiększają potencjał przechodzenia na wyższy poziom bezpieczeństwa infrastruktury krajowej. Jednocześnie dzieją się inne procesy, które przyspieszają transformacje zabezpieczeń przed atakami – impulsem była pełnoskalowa agresja na Ukrainę. Wywołała ona pytanie, na jakim etapie zmian jesteśmy i w jakim stopniu jesteśmy w tym momencie odporni na działania cyberprzestępców. Na podstawie analiz powstały rekomendacje UE, mówiące o tym, co trzeba zrobić natychmiast, nie czekając na wdrożenie np. NIS2” – mówi Krzysztof Silicki, dyrektor ds. Strategicznego Rozwoju Cyberbezpieczeństwa w NASK
W 2022 roku Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) została poproszona o przygotowanie modelowych scenariuszy cyberzagrożeń m. in. w sektorze energetyki i telekomunikacji. To pokazało, co tak naprawdę może nam zagrozić. Niestety sama świadomość zagrożeń automatycznie nie przekłada się na praktykę. Dopiero konkretne przypadki i scenariusze, które można przećwiczyć, budują cyberodporność.
Oprócz wyszukiwania podatności i wdrażania zmian w firmach kluczowych dla polskiej gospodarki ważne jest też, by potrzebę systematycznego i skutecznego zwiększania cyberbezpieczeństwa dostrzegali też samorządowcy, małe i średnie przedsiębiorstwa, a także zwykli mieszkańcy kraju, których dane przetwarzają i przechowują przedsiębiorcy.
Cyberbezpieczna Polska samorządowa
Wspierane przez NASK programy takie jak Cyberbezpieczny Samorząd, Cyfrowa Gmina i Cyfrowy Powiat sprawiły, że na poprawę cyberbezpieczeństwa samorządy otrzymały już ponad 1,3 mld złotych. Jednak mimo tego, że jest to potężny zastrzyk gotówki, to wciąż mamy do czynienia, ze skutecznie przeprowadzanymi atakami i wciąż jest przestrzeń do pracy.
„Kluczowa jest świadomość – nie ta prozaiczna z ulotki, jakie są typy zagrożeń. Ważna jest odpowiedzialność władz samorządowych i myślenie o tym, co realnie nam grozi i co to może oznaczać dla mieszkańców. Informatyka, cyberbezpieczeństwo w samorządach są wciąż traktowane po macoszemu, bo myślimy bardziej o budowie dróg, a nie np. ochronie danych osobowych mieszkańców. Potrzebne jest finansowanie i idące za tym częste ankiety np. ankieta cyfrowej dojrzałości samorządu, która pokaże, gdzie są braki” - mówi Grzegorz Nowak z Centrum Cyberbezpieczeństwa i Ochrony Danych we Władysławowie
Jednocześnie zwraca on uwagę, że przeszkodą w budowaniu cyfrowego bezpieczeństwa jest kwestia finansowania kadr w samorządzie. Lokalne władze nie mają odpowiednich środków, by zrównać płace ekspertów cyberbezpieczeństwa w samorządach z tymi, którzy pracują np. na poziomie rządowym.
Zaklinanie cyberzagrożeń
„Nam się to nie przytrafi” – zdają się mówić nie tylko samorządowcy, ale i szefowie małych i średnich przedsiębiorstw. Niestety polscy przedsiębiorcy mają tendencję do bagatelizowania kwestii bezpieczeństwa. Nie są chętni do inwestowania w zabezpieczenia, bo nie widzą w tym szybkiego zwrotu, korzyści rozkładają się bowiem w czasie i nie są łatwo policzalne.
„Z jednej strony boja się zagrożeń z cyberatakami, ale wola zapłacić okup cyberprzestępcom, niż nawet przyznać się, że są ofiarą ataku i zgłosić wymuszenie” – alarmuje Marianna Sidoroff z Ministerstwa Rozwoju i Technologii
MŚP nierzadko są częścią łańcucha dostaw dla przedstawicieli kluczowych sektorów gospodarki. Z potrzeby zadbania o jego jakość wykluł się program Firma Bezpieczna Cyfrowo. Jego celem jest rozwój kompetencji cyfrowych wśród polskich przedsiębiorców, podniesienie poziomu ochrony w sektorze MŚP i stabilności obrotu gospodarczego w kraju, a także upowszechnienie i wdrożenie nowych standardów cyberbezpieczeństwa w firmach.
„Polska jest nisko w rankingach ucyfrowienia przedsiębiorstw. Ministerstwo Cyfryzacji działa wspólnie z NASK by wypracować pilotaż programu, który będzie skierowany do standardowego polskiego przedsiębiorcy – takie firmy wypracowują ponad 40% PKB Polski. Chcemy rozpowszechnić dbałość o wysoki poziom cyberbezpieczeństwa w MŚP” – mówi Marianna Sidoroff z Ministerstwa Rozwoju i Technologii
W ramach programu Firma Bezpieczna Cyfrowo do polskich przedsiębiorców została rozesłana ankieta. Z odpowiedzi wynika, że polskie firmy dbają o oprogramowanie antywirusowe i bezpieczne hasła, ale z szyfrowania korzysta już jednie 20% zapytanych. Marianna Sidoroff z Ministerstwa Rozwoju i Technologii zwraca uwagę na to, że deklarowane zabezpieczenia nie zawsze idą w parze z tym, co realnie jest stosowane podczas codziennej pracy firmy.
„Firmy nie wiedzą, że powinno im zależeć na bezpieczeństwie. Klientom, konsumentom powinno zależeć na bezpieczeństwie MŚP – to dane klientów trafia do bazy wykradzionych danych.” – podkreśla Zuzanna Polak, kierująca Zespołem Zarządzania Wiedzą w Obszarze Cyberbezpieczeństwa w NASK.
Jak podkreśla ekspertka z NASK budowanie świadomości wśród przedsiębiorców, że warto dbać o cyberbezpieczeństwo, jest istotne. Klienci firm powinni oczekiwać, że ich dane będą bezpieczne, bo liczba ataków będzie sukcesywnie wzrastać i w ramach wycieków będą ujawniane dane także użytkowników serwisów, z których niekoniecznie chcemy się chwalić, że korzystamy.
Certyfikat cyberbezpieczeństwa buduje zaufanie konsumentów i kontrahentów
Udział w programie Firma Bezpieczna Cyfrowo daje przedsiębiorcom jasne wskazówki jak poprawić stan cyberbepieczeństwa w firmie. Po wprowadzeniu zmian można zwrócić się do Jednostki Certyfikującej NASK, a po weryfikacji, uzyskać certyfikat Firmy Bezpiecznej Cyfrowo. Poświadcza on, że posiadające go przedsiębiorstwo w odpowiedzialny sposób dba o bezpieczeństwo własnego biznesu, a także swoich partnerów i klientów.
Jednak to nie jedyny certyfikat, który może poświadczyć o bezpieczeństwie zarówno firmy, jak i dostarczanych przez nią usług i produktów. Jednostka Certyfikująca NASK jako jedyna ma w Polsce uprawnienia do przyznawania certyfikatów Common Criteria w obszarze cyberbezpieczeństwa.
Standard CC wykorzystywany jest na całym świecie zarówno przez rządy, jak i firmy prywatne do oceny bezpieczeństwa systemów i urządzeń IT. Certyfikaty CC są uznawane w 32 krajach, w tym m.in. Stanach Zjednoczonych, Japonii, Korei Południowej i większości państw europejskich. W swoich procedurach stosuje je też NATO. Posiadanie certyfikatu CC zapewnia lepszą pozycję rynkową w stosunku do oferty konkurencji.
Dotychczas takie certyfikaty dla swoich produktów otrzymała m. in. polska firma Asseco.
Od czego zacząć cyberporządki na firmowym podwórku?
W każdej organizacji – zarówno małej, średniej, jak i dużej – występują pewne słabe punkty, które są wykorzystywane przez cyberprzestępców. Warto działać, bo często sama świadomość wprowadzenia przez firmę restrykcyjnych procedur poprawiających cyberbezpieczeństwo, może zniechęcić hakerów do podejmowania cyberataków na daną organizację.
„Chcieliśmy, żeby firmy miały świadomość, dlaczego powinny pilnować bezpieczeństwa – stworzyliśmy poradnik, żeby prostym językiem napisać o potrzebach. Dla małych rodzinnych firm i do średnich przedsiębiorstw” – mówi Zuzanna Polak, kierująca Zespołem Zarządzania Wiedzą w Obszarze Cyberbezpieczeństwa w NASK.
Pierwszym krokiem, by zadbać o bezpieczeństwo biznesu, jest na pewno przyjrzenie się odporności firmy na ataki, zapoznanie się z poradnikiem przygotowanym przez ekspertów NASK i rozpoczęcie wprowadzania zmian.
Liczba ataków będzie rosnąć, dlatego warto zadbać o zabezpieczenie danych firmy. Inwestycja w cyberbezpieczeństwo to szansa na zachęcenie nowych partnerów do współpracy i zwiększenie zaufania klientów.