200 mln ataków rocznie i ciągle ich przybywa

200 milionów - tyle zgłoszeń trafiło w 2015 r. do zespołu CERT działającego przy Naukowej i Akademickiej Sieci Komputerowej (NASK). CERT to specjalny zespół, który zajmuje się badaniem i rozwiązywaniem cybernetycznych problemów w firmach i administracji publicznej. Tak gorącego roku jak ubiegły jeszcze w nim nie było. Nie tylko samych zgłoszeń (oczywiście nie zawsze równie poważnych) było rekordowo dużo, ale także po raz kolejny wzrosła liczba incydentów obsłużonych w sposób nieautomatyczny, czyli takich, gdzie trzeba już specjalnie uruchomić ludzi - a więc często tych najpoważniejszych. W 2015 r. było takich sytuacji aż 1456, czyli o blisko 200 więcej niż rok wcześniej.

A to i tak nie są pełne dane o realnej skali zagrożenia. Jeszcze nie ma opublikowanego raportu za ubiegły rok przygotowywanego przez inny CERT, działający przy Agencji Bezpieczeństwa Wewnętrznego. Ten jest wyspecjalizowany w walce z zagrożeniami właśnie w instytucjach rządowych. W 2014 r. raport mówił o tym, że zarejestrowano w stosunku do instytucji publicznych aż 12 017 zgłoszeń, z których 7498 zakwalifikowano jako konkretne incydenty. Dodatkowo ARAKIS-GOV, czyli system wczesnego ostrzegania działający przy ABW, zarejestrował kolejnych 28,3 tys. alarmów, z czego 1140 okazało się naprawdę poważnych .

Trzeba się przygotować

Eksperci są pewni: nie ma co się spodziewać, że ostatnie miesiące pod tym względem były spokojniejsze. - Cyberbezpieczeństwo? Dziś już nie ma co dzielić bezpieczeństwa na to tradycyjne i cyfrowe. Nie ma jednego bez drugiego - tłumaczy Michał Jarski, ekspert z firmy Trend Micro przygotowującej usługi dla bezpieczeństwa sieciowego. - I tu nawet nie chodzi o rosnącą skalę zagrożeń, tylko po prostu o to, że tak dużo naszych, także urzędniczych działań przeniosło się już w świat cyfrowy, że wpływając na nie, można wywołać bardzo negatywne skutki w świecie offline - dodaje Jarski.

- Jeszcze kilka lat temu walka z cyberzagrożeniami była skoncentrowana na tym, by do ataku nie dopuścić. Dziś już wiemy, że to mrzonka. Zasięg cyberataków jest tak duży, że naprawdę można założyć, że każda instytucja, organizacja czy urząd prędzej czy później padnie ich ofiarą. A więc choć nadal warto inwestować w ochronę, to równie ważne jest także, by zadbać o szybkie wykrywanie cyberataków, które już się udały - żeby nie dopuścić do nazbyt poważnych strat, a następnie w działania mające na celu posprzątanie i zminimalizowanie negatywnych skutków takiego incydentu - tłumaczy nam Michał Jarski.

Jednak to, co tak ładnie brzmi w ustach eksperta, w polskiej praktyce okazuje się bardzo trudne.

Brakuje kapitana

Nie chodzi wcale o jakieś dramatyczne zapóźnienia technologiczne, tylko o to, że latami nie zrobiono nic, by porządnie uregulować prawnie i organizacyjnie kwestie systemu cyberzabezpieczenia całego kraju. I to pomimo tego, że przedsiębiorcy, urzędnicy i samorządowcy coraz lepiej sobie z tego zagrożenia zdają sprawę. - Naszym zdaniem ogólna świadomość tematu rośnie, ale nie zawsze idzie to w parze ze zrozumieniem istoty problemu. Brakuje odpowiednich mechanizmów szacowania ryzyka i określenia priorytetów, przed czym chcemy się zabezpieczyć - ocenia Piotr Kijewski, kierownik CERT Polska, zespołu działającego w ramach NASK. W konsekwencji choćby samorządy mogą się stać atrakcyjnym celem dla cyberprzestępców, gdyż obracają dużymi pieniędzmi, a niekoniecznie mają wdrożone adekwatne zabezpieczenia - dodaje specjalista.

Jego opinię potwierdzają inni. - Nasze urzędy nie są dostatecznie przygotowane na cyberataki i z takim stanem mamy do czynienia od dawna. Potwierdzał go raport Najwyższej Izby Kontroli z czerwca 2015 r., który wykazał liczne zaniedbania w dziedzinie cyberbezpieczeństwa jednostek administracji centralnej - podkreśla Artur Józefiak, dyrektor Zespołu Bezpieczeństwa Accenture w Polsce. - Fundamentalną przeszkodą w rozwiązaniu tego problemu jest niewystarczający poziom wydatków na cyberbezpieczeństwo w naszej administracji: przede wszystkim na ludzi, ale też technologie.

Ponadto brak jest precyzyjnej strategii i standardów wdrożenia systemu cyberbezpieczeństwa dla całej administracji. Wydatki na zabezpieczenie powinny wynosić około 5-10 proc. budżetu informatycznego instytucji, które od lat inwestują w cyberbezpieczeństwo. Gdy tymczasem polska administracja ma do nadrobienia co najmniej 5-10-letnie zaniedbania w tym obszarze - podkreśla ekspert.

Takie same wnioski przyniosła wspomniana przez niego ubiegłoroczna kontrola NIK. "Podmioty państwowe nie prowadzą spójnych i systemowych działań związanych z ochroną cyberprzestrzeni RP. Jako działania pozytywne i wzory dobrych praktyk można wskazać jedynie »fragmentaryczne« działania poszczególnych instytucji, np. powołanie i utrzymywanie na wysokim poziomie Zespołów CERT przez ABW, MON oraz NASK" - stwierdzali inspektorzy NIK.

Okazało się m.in., że w ówczesnym Ministerstwie Administracji i Cyfryzacji do lutego 2014 r. doraźnie - na wypadek takich wydarzeń jak ataki podczas protestów przeciwko ACTA - cyberzagrożeniami zajmowała się tylko jedna osoba. Resort, który miał powołać specjalny zespół, by wdrażać politykę ochrony cyberprzestrzeni, zrobił to dopiero po informacji o kontroli NIK. Litania błędów, ale głównie po prostu braku działań, była tak długa, że NIK postanowiła badanie powtórzyć.

Właśnie ukazał się najnowszy raport pokazujący jak wybrane, przebadane instytucje są przygotowane na takie zagrożenia. Okazuje się, że "procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i - wobec braku procedur - intuicyjny". Choć przebadano sześć dużych instytucji - Ministerstwo Spraw Wewnętrznych, Ministerstwo Sprawiedliwości, Ministerstwo Skarbu Państwa, Komendę Główną Straży Granicznej, NFZ i KRUS - to tylko w tej ostatniej izba oceniała poziom prac i zabezpieczenia tamtejszego systemu FARMER za zadowalający.

Reszta instytucji? Jak piszą kontrolerzy, "w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych". Wszędzie ten sam grzech: wykonywały tylko niezbędne, wymagane przepisami minimum, nie podejmowały żadnych kroków, by realnie zminimalizować niebezpieczeństwo choćby przez chronienie informacji, które może nie są ustawowo wypisane, ale o których ochronę każda jednostka powinna zadbać samodzielnie. W żadnej ze skontrolowanych jednostek nie określono też precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. Istotnym problemem był jednak brak konsekwencji i zaangażowania kierownictw kontrolowanych jednostek w realizację zaleceń audytorów. Większość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa IT, utraciło początkowy impet, powołane zespoły specjalistyczne zbierały się nieregularnie, przygotowywanie nowych regulacji przebiegało opieszale, co przy ograniczonych zasobach wymuszało powrót do realizacji jedynie rutynowych zadań.

Najbardziej jednak alarmujące jest to, że najgorszą ocenę w tym raporcie izba wystawiła MSW. Resort zajmujący się bezpieczeństwem wewnętrznym w kwestii cyberbezpieczeństwa okazał się opierać na doraźnych działaniach. Przykładem tego może byc´ fakt, że z 55 incydento´w dotyczących MSW zarejestrowanych przez zespo´ł CERT.GOV.PL w ośmiu przypadkach ministerstwo nie było w stanie zidentyfikowac´ żadnych szczego´ło´w incydentu i podac´ sposobu reakcji.

Przed rokiem ostro skrytykowano zaś przede wszystkim to, że najważniejsze instytucje odpowiedzialne za bezpieczeństwo państwa słabo ze sobą współpracują. Widać to było choćby w pracy policji, która starała się informować o zagrożeniach, ale nie miała kompleksowego systemu reagowania na incydenty komputerowe, a jej rejestr incydentów informatycznych nie zawierał żadnego zapisu, mimo że w latach 2013-2015 zespół CERT działający w ABW zgłosił policjantom blisko 2 tys. alertów dotyczących systemów teleinformacyjnych tej formacji.

Taki brak współpracy prowadził do rozmycia kompetencyjnego oraz paraliżów decyzyjnych, jak w przypadku budowania potencjału cybernetycznego w Siłach Zbrojnych RP. Ponadto, zdaniem ekspertów, w ochronę cyberprzestrzeni w Polsce zaangażowanych jest zbyt wiele osób, nie do końca uświadomionych o swoich uprawnieniach.

Realne zagrożenie za miedzą...

Raport NIK był zimnym prysznicem dla rządu. Szczególnie że zbiegł się z pokazem tego, jak bardzo poważne może być zagrożenie z cyberstrony. Na przełomie 2015 i 2016 r. właśnie w  wyniku takiego ataku poważne straty poniosła Ukraina. Najpierw pod koniec grudnia zeszłego roku wirus o nazwie Black Energy zaatakował system komputerowy ukraińskiego przedsiębiorstwa energetycznego Prykarpattiaobłenerho. Efekt: w całym liczącym niemal półtora miliona mieszkańców obwodzie iwanofrankowskim wystąpiły problemy z dostarczeniem prądu. A ledwie kilkanaście dni później ten sam wirus znaleziono w systemie komputerowym stołecznego lotniska Boryspol. Dosyć szybko w sprawie pojawił się rosyjski trop - wirus wprowadzono z serwerów z tego kraju.

To nie jest jedyny przykład wykorzystania cybernetycznych środków w ramach walki różnych państw. Najsłynniejszym zaatakowanym w taki sposób krajem była Estonia w 2004 r. Banki, e-administracja, telekomy - całe państwo było sparaliżowane.

- Powszechny rozwój i dostęp do technologii teleinformatycznych oraz internetu powoduje, że aktywność cyberprzestępców rośnie wykładniczo, a sytuacja geopolityczna w regionie Europy Środkowo-Wschodniej dodatkowo jeszcze nasila działania grup specjalizujących się w cyberatakach - ostrzega w rozmowie z nami Daniel Grabski, chief cybersecurity officer w Microsoft Central and Eastern Europe. - Cyberprzestępcy są bardzo dobrze zorganizowani, wspierani finansowo przez różne instytucje oraz grupy interesów i niestety szybciej dostosowują swoje metody działania do najnowszych osiągnięć technologicznych niż klienci i użytkownicy broniący dostępu do swoich systemów i znajdujących się w nich danych - dodaje Grabski.

...i w kraju

Także w Polsce ostatnie lata to prawdziwy festiwal mniejszych i większych problemów związanych ze sferą cyberprzestrzeni. W sierpniu 2014 r. przestały działać serwisy internetowe warszawskiej Giełdy Papierów Wartościowych oraz Prezydenta RP. Do ataku przyznała się grupa Cyber-Berkut, która żądała, by Polska przestała wspierać ukraińskich "faszystów". Tuż po wyborach samorządowych, jesienią 2014 r. system PKW został dodatkowo zblokowany w efekcie cyber ataku. Wciąż nie do końca jasna jest też sytuacja sprzed roku, gdy być może właśnie działania hakerskie sparaliżowały lotnisko na Okęciu.

Najbardziej oczywiście narażone na takie problemy są przedsiębiorstwa, ale jak wskazuje raport Dell Security, ogólnie Polska jest obecnie jednym z najbardziej zagrożonych państw.

Najczęściej atakowane są firmy i internauci ze Stanów Zjednoczonych. W samym tylko listopadzie 2015 r. doszło tam według różnych szacunków od miliona do 10 mln infekcji złośliwym oprogramowaniem. W tym samym czasie podobnie było w Holandii. Francja doświadczyła w listopadzie od 500 tys. do miliona infekcji. A Wielka Brytania, Włochy i Polska od 100 do 500 tys. To pięć najwyższych wyników w Europie.

Wszystkie te alarmujące informacje oraz zmiana rządu doprowadziły do tego, że w ostatnich miesiącach zaczęły się wreszcie poważniejsze prace nad lepszym zabezpieczeniem naszej cyberprzestrzeni.

- Poprawiło się przede wszystkim podejście podmiotów centralnych. Ministerstwa, w szczególności cyfryzacji, traktują temat bardzo poważnie. Poprawia się też świadomość zagrożeń, ale wciąż nie ma idących za tym decyzji o źródłach finansowania zabezpieczeń, brakuje także rzetelnego oszacowania kosztów wdrożeń - ostrzega Artur Józefiak.

- W dużych, centralnych instytucjach państwowych, świadomość wagi problemu wzrasta, przy czym presja jest istotnym elementem motywacji. Jednak pamiętajmy, że nie możemy postrzegać całej Polski tylko pod kątem większych ośrodków miejskich. W mniejszych miastach świadomość tego zagrożenia jest często na niższym poziomie, a potrzeba budowania świadomości i narzędzi na równie wysokim. Wymagane jest, aby lokalne władze również identyfikowały ten problem i zadbały o efektywne wdrożenie spójnych zasad, oczywiście uwzględniając profil ich ryzyka - podkreśla Marcin Ludwiszewski, Lider działu cyberbezpieczeństwa w Deloitte w Polsce.

5-10 proc. powinny wynosić wydatki budżetu informatycznego instytucji, która od lat inwestuje w cyberbezpieczeństwo

Zasięg cyberataków jest tak duży, że można założyć, iż każda instytucja, organizacja czy urząd prędzej czy później padnie ich ofiarą. Choć więc nadal warto inwestować w ochronę, to równie ważne jest także, by zadbać o szybkie wykrywanie cyberataków, które już się udały. Tak by nie dopuścić do nazbyt poważnych strat

Michał Ferdyniok

kierownik laboratorium informatyki śledczej Mediarecovery

Cyberprzestępcy są bardzo dobrze zorganizowani, wspierani finansowo przez różne instytucje oraz grupy interesów i niestety szybciej dostosowują swoje metody działania do najnowszych osiągnięć technologicznych niż klienci i użytkownicy broniący dostępu do swoich systemów i znajdujących się w nich danych

Daniel Grabski

chief cybersecurity officer w Microsoft Central and Eastern Europe

Polska administracja ma do nadrobienia co najmniej 5-10-letnie zaniedbania w zakresie cyberbezpieczeństwa.

Jak uzbroić cybertarczę

Cała rządowa administracja ma znaleźć się w specjalnym "klastrze bezpieczeństwa". Specjalny państwowy zespół monitorowania sieci i szybkiego reagowania na incydenty ma działać 24 godziny na dobę przez cały rok, a nie tylko w sytuacjach, gdy coś złego już się wydarzyło. Dodatkowo na poziomie województw powstaną zespoły do spraw ochrony sieci samorządów. To kluczowe zapowiedzi zmian w zarządzaniu polską cybertarczą, co do których już zapadły decyzje w Ministerstwie Cyfryzacji. Przedstawił je generał Włodzimierz Nowak podczas branżowej konferencji Cybergov. Teoretycznie Nowak jest tylko społecznym doradcą ministra, w rzeczywistości jednak to właśnie on najprawdopodobniej zostanie pełnomocnikiem ds. cyberbezpieczeństwa w randze podsekretarza stanu w resorcie cyfryzacji.

Zarówno to, co przedstawił, jak i znane od kilku miesięcy założenia strategii ochrony cyberprzestrzeni można opisać jednym słowem: rewolucja.

Ministerstwo Cyfryzacji postawiło sobie za cel wreszcie jasno opisać: kto, za co i w jakim zakresie odpowiada w tej dziedzinie.

Eksperci właściwie jednogłośnie oceniają pozytywnie już to, że takie założenia się pojawiły. - Bardzo dobrze, że Ministerstwo Cyfryzacji pracuje nad strategią cyberbezpieczeństwa RP, która powinna być punktem odniesienia dla budowy systemu cyberochrony państwa. Liczne grono opiniodawców założeń do strategii - wpłynęło ponad 80 uwag - pokazuje, że temat jest ważny i jest nim zainteresowanych wiele podmiotów, także biznesowych - ocenia Artur Józefiak, dyrektor w firmie Accenture. - Pamiętajmy jednak, że opublikowanie nawet najlepszej strategii jedynie stawia fundamenty do budowy systemu zabezpieczeń. Równolegle trzeba bardzo pilnie podjąć działania zmierzające do natychmiastowego podniesienia bezpieczeństwa administracji publicznej. Z założeń strategii wciąż nie wynika jasny podział kompetencji instytucji i podmiotów biznesowych, które będą odpowiedzialne za realizacje zadań cyberochrony. Zważywszy na to, że będzie ona punktem odniesienia dla bardzo wielu podmiotów, powinna wskazywać ośrodki decyzyjne i wykonawcze oraz ich rolę. Mam nadzieję, że w wersji, która ma być przedstawiona przez Ministerstwo Cyfryzacji w czerwcu, zostanie to wyjaśnione, w przeciwnym wypadku istnieje ryzyko, że wszystko zostanie tylko na papierze - dodaje ekspert.

Przytakuje mu Marcin Ludwiszewski: - Opracowanie strategii to właściwy kierunek. Najważniejsze wnioski, które pojawiły się podczas konsultacji, dotyczyły, m.in. struktury systemu zarządzania. Według postulujących powinna być ona prosta, a powiązania informacyjne pomiędzy jej elementami jednoznacznie zdefiniowane. Dodatkowo, powinien zostać zwiększony nacisk na profilaktykę i edukację. Konieczne jest także wypracowanie jednolitych standardów dla rozwiązań technologicznych i zwiększenie bezpieczeństwa przy wyborze sprzętu i oprogramowania dla instytucji publicznych.

W konsultacjach najmocniej przebijały się zaś takie wnioski: struktura systemu zarządzania powinna być prosta, a powiązania informacyjne pomiędzy jej elementami jednoznacznie zdefiniowane, powinien zostać zwiększony nacisk na profilaktykę i edukację, konieczne jest wypracowanie jednolitych standardów dla rozwiązań technologicznych i zwiększenie bezpieczeństwa przy wyborze sprzętu i oprogramowania dla instytucji publicznych. Ale już co do zasadniczej kwestii, czyli jak powinno wyglądać zarządzanie systemem, pojawiały się dwie sprzeczne typy opinii. Jedne sugerują decentralizację, a drugie wręcz przeciwnie centralizację zarządzania.

Bo rzeczywiście są tu dwie szkoły i dwa modele na których możemy się wzorować. W strategii węgierskiej powstała Narodowa Rada Koordynująca Cyberbezpieczeństwo, czyli taki centralny ośrodek zajmujący się informatyzacją. W drugim modelu brytyjskim założono rozproszenie zadań i tak zbudowano interfejsy, by każda instytucja posiadała pewną dozę samodzielności

A zgodnie z obietnicami Ministerstwa Cyfryzacji prace są rzeczywiście zaawansowane. - Wszystkie terminy przedstawione w założeniach są aktualne - zapewnia nas rzecznik resoru Karol Manys. Dodaje, że już w czerwcu pojawi się pełna wersja strategii.

Według zapowiedzi generała Nowaka ustawa wdrażająca nowe rozwiązania będzie gotowa do końca roku. Więcej czasu zajmie zbudowanie narodowego CERT na bazie NASK, bo do tego potrzebne jest zagwarantowanie odpowiednich środków i wspólne z operatorami zbudowanie systemu wczesnego ostrzegania.

Z założeń strategii wciąż nie wynika jasny podział kompetencji instytucji i podmiotów biznesowych, które będą odpowiedzialne za realizacje zadań cyberochrony.

940 tys. zł przelał na podstawiony przez cyberprzestępców numer konta urząd miasta. Samorządowy komputer został zainfekowany trojanem, który w momencie wykonywania przelewu podmienił numer konta odbiorcy.

RAMKA 1

Wzorem Estonia

Wiosną 2007 roku po raz pierwszy w historii doszło do zmasowanego cyberataku przeciw całemu państwu. Estonia, której funkcjonowanie w ten sposób zablokowano na kilka długich tygodni, odrobiła jednak lekcję i dziś ma prawdziwą cybertarczę.

Cyberwojna trwała trzy tygodnie. W tym czasie, po początkowym zaskoczeniu, utworzona szybko jednostka CERT (Estonian Computer Emergency Response Team) zorganizowała improwizowaną, ale naprawdę skuteczną obronę.

Cyberblokada całego kraju była szokiem nie tylko dla Estonii, lecz także dla całego świata. Nic dziwnego, że w 2008 roku właśnie Tallin stał się siedzibą nowej NATO-wskiej instytucji: Cooperative Cyber Defence Centre of Excellence, czyli ośrodka koordynującego obronę NATO-wskiej cyberprzestrzeni.

Estonia przebudowała całą swoją strukturę cyberochrony. Od 2011 roku działa EISA, czyli specjalna centralna instytucja pomagająca zarówno sektorowi prywatnemu, jak i publicznemu we wdrażaniu zasad bezpieczeństwa w systemach informatycznych. Departament Ochrony Infrastruktury Krytycznej zajmuje się zaś kontrolą bezpieczeństwa właśnie w tych krytycznych dla państwa miejscach. Estoński krajowy CERT (czyli zespół do reagowania na wypadek zagrożeń) odpowiada za wszelkie incydenty dotyczące stron i usług działających w domenie .ee, czyli należącej do Estonii.

Oczywiście wszystkie te instytucje bardzo silnie współdziałają z sektorem prywatnym. W efekcie powstała wyjątkowa inicjatywa: Cyfrowa Liga Obrony, czyli ochotnicza organizacja działająca pod nadzorem tamtejszego ministerstwa obrony. Liga ta złożona z ekspertów, praktyków, programistów, a także prawników pracujących dla czołowych banków, telekomów i firm IT, ma działać na wypadek kolejnego zmasowanego ataku na kraj i być pospolitym ruszeniem pomagającym siłom publicznym.

Wzmocnione zostały też estońska policja i straż graniczna, w których działają specjalne cyberoddziały zajmujące się zwalczaniem przestępstw sieciowych.

Jednak realny klucz do estońskiego systemu to nacisk położony na to, by wszystkie instytucje, cała e-administracja i infrastruktura IT stosowały najwyższej jakości zasady bezpieczeństwa. Co więcej, od kiedy powszechny stał się w tym kraju elektroniczny dowód osobisty, wszyscy obywatele są uczeni stosowania się do tych reguł.

@RY1@i02/2016/097/i02.2016.097.18300210c.807.jpg@RY2@

Jak ma eyglądać cybertarcza

Gmina się nie ukryje przed hakerem

Fałszywa informacja

"Witamy, Pragniemy poinformować, iż dnia dzisiejszego została udostępniona nowa aktualizacja do systemu BeSTi@ w wersji 3.02.012.07. Aktualizacja usuwa błędy związane z bezpieczeństwem bazy danych oraz poprawia problem z podpisem elektronicznym sprawozdań. Instalacja jest bardzo prosta i nie wymaga dodatkowej pomocy oraz czynności".

Tak zaczynał się e-mail rozsyłany na początku 2014 r. do setek samorządowych urzędów. Ale choć na pierwszy rzut oka wyglądał jak zwykłe zawiadomienie o aktualizacji oprogramowania jednego z systemów informatycznych - tym razem dotyczącego systemu do rozliczeń z Ministerstwem Finansów - to okazał się pułapką. E-maile te nakłaniały do zainstalowania fałszywej aktualizacji, która była zainfekowana złośliwym oprogramowaniem, a celem atakujących było przejęcie danych dostępowych do kont bankowych, jakimi zarządzają operatorzy oprogramowania BeSTi@.

Był to do tej pory najbardziej masowy proceder z ujawnionych prób ataków na samorządy. Ale takich cyberprób podejścia lokalnych urzędników jest coraz więcej i dosyć często bywają skuteczne. Głośna była choćby historia Urzędu Miasta Jaworzno, który przelał 940 tys. zł na podstawiony przez cyberprzestępców numer konta. Samorządowy komputer został zainfekowany trojanem, który w momencie wykonywania przelewu podmienił numer konta odbiorcy. W podobny sposób prawie pół miliona złotych straciła gmina Rząśnik w woj. łódzkim. Na początku tego roku prokuratura skończyła przygotowywać akt oskarżenia w sprawie, w której pięć śląskich gmin straciło w sumie ponad 2 mln zł. I tu hakerzy stworzyli specjalny program podmieniający numer rachunku, na który samorządy wysyłały przelewy.

Innego typu cyberataki zostały przeprowadzone na miejskie samorządy w Białej Podlaskiej i Kraśniku. W ich przypadku cyberprzestępcy dokonali ataku na serwer VoIP służący do nawiązywania połączeń telefonicznych z wykorzystaniem sieci internetowej. W przypadku Białej Podlaskiej hakerzy wykonali prawie 900 połączeń do Zimbabwe, co kosztowało miasto 49 tys. zł, a Kraśnik zapłacił 19,5 tys. zł za połączenia telefoniczne do sieci komórkowej w Austrii.

Jak widać, samorządy dziś regularnie stają się celem e-ataków. A ich skutki mogą być naprawdę bolesne. - Mamy wiele przykładów, gdzie trudno mówić o zachowaniu bezpieczeństwa, ponieważ podstawowe aspekty higieny w tym obszarze są zaniedbywane. Z przeprowadzonej przez portal Gmina.pl analizy (wnioski o dane składano w trybie informacji publicznej na jesieni 2015 r.) wynika, że odsetek gmin wciąż pracujących na systemie Windows XP jest bardzo wysoki, do tego przyznało się aż 40 proc. z nich. A przecież trzeba podkreślić, że praca na tym systemie to nieustanne wystawienie się na atak cyberprzestępców. - Wsparcie dla niego zakończyło się dwa lata temu - przypomina Daniel Grabski, szef działu bezpieczeństwa w Microsoft Central and Eastern Europe i tłumaczy, że środowiska oparte na systemach operacyjnych i produktach bez wsparcia technicznego i dostępnych poprawek są bardziej narażone i podatne na zagrożenia. - Może to ułatwiać atak, penetrację systemu urzędu, kradzież danych czy też nawet pełne przejęcie przez zorganizowane grupy cyberprzestępców. Systemy i aplikacje działające w sieciach administracji publicznej "cieszą się" szczególnym ich zainteresowaniem - dodaje Grabski.

Mimo to co trzeci urząd samorządowy nie ma na wyposażeniu nawet podstawowego zabezpieczenia przed cyberatakami, jakim jest firewall. Jeśli urzędnicy już sięgają po jakieś oprogramowanie tego rodzaju, to jest to zwyczajny antyspam. Takie wyniki przynosi badanie przeprowadzone przez PBS na zlecenie firmy Fortinet na 200 urzędnikach odpowiedzialnych za informatykę w mniejszych i większych urzędach samorządowych. Oficjalnie oczywiście zapewniają oni, że jest u nich bezpiecznie (tak twierdzi aż dwie trzecie z nich), ale już odpowiedź na pytanie o to, jak o to bezpieczeństwo urząd zadbał, niestety pokazuje smutną prawdę: lokalne urzędy na swoim cyberbezpieczeństwie niebezpiecznie oszczędzają.

RAMKA 2

Poprawa walki z cyberzagrożeniami w UE

Więcej obowiązków dla firm i lepsza współpraca między krajami Unii Europejskiej - to zadania nowej unijnej dyrektywy NIS (Network and Information Security) dotyczącej bezpieczeństwa sieci teleinformatycznych i przetwarzanych. Zgodnie z jej założeniami państwa członkowskie będą musiały stworzyć specjalne zespoły reagowania na incydenty komputerowe (Computer Security Incident Response Team, CSIRT), których zadaniem będzie nie tylko obrona danego kraju, lecz także stworzenie skoordynowanego mechanizmu odpowiedzi na ataki hakerów w całej UE.

Podczas negocjacji utworzono listę sektorów krytycznych, czyli takich, które najbardziej wymagają ochrony i jednocześnie są najbardziej podatne na działania cyberprzestępców. Należą do nich branże: energetyczna, bankowa, transportowa, finansowa, a także służba zdrowia, wodociągi oraz dostawcy usług cyfrowych, czyli platformy handlu elektronicznego, wyszukiwarki oraz dostawcy chmur obliczeniowych.

Jedną z nowych ważnych zasad ma być zobowiązanie także przedsiębiorców do zgłaszania zaistniałych incydentów. Przyjęcie dokumentu przewidywane jest na połowę 2016 roku. Następnie kraje będą mieć 21 miesięcy na wdrożenie dyrektywy do przepisów krajowych oraz 6 miesięcy na określenie dostawców kluczowych usług.

OPINIA EKSPERTA

@RY1@i02/2016/097/i02.2016.097.18300210c.808.jpg@RY2@

Mariusz Rzepka dyrektor Fortinet na Polskę, Ukrainę i Białoruś

Ocena poziomu cyberbezpieczeństwa rośnie wraz z wielkością danego urzędu. W urzędach, w których pracuje ponad 100 pracowników, na bardzo wysoki poziom wskazało 20 proc. ankietowanych. W mniejszych zaś na ten sam poziom wskazało już jedynie 5 proc. badanych. Mniejsze urzędy często borykają się z zaspokojeniem bardziej namacalnych potrzeb, takich jak jakość dróg czy pomoc społeczna. W związku z tym kwestie bezpieczeństwa informacji schodzą na dalszy plan. Problemem bywa też brak świadomości zagrożeń i tego, że ich ofiarą mogą paść nawet małe, kilku- lub kilkunastotysięczne gminy. A takie przypadki są znane.

Według pracowników urzędów samorządowych poczta elektroniczna jest elementem sieci najbardziej narażonym na niebezpieczeństwo (68 proc. wskazań). Na kolejnych miejscach znalazły się sieć bezprzewodowa (56 proc.) oraz urządzenia w sieci, takie jak komputery, tablety czy smartfony (54 proc.). Poczta elektroniczna jest nadal jednym z najczęstszych wektorów ataku hakerów - choć liczba kierunków, z których można dostać się do sieci, zwiększa się wraz z upowszechnianiem nowych technologii, takich jak trend mobilny czy cloud computing. Kierujący urzędami powinni więc stale edukować pracowników, by uczulić ich na podejrzanie wyglądające wiadomości i załączniki oraz pamiętać przy wdrażaniu nowych systemów i usług o ich zabezpieczeniu adekwatnymi rozwiązaniami.

Notował Paweł Sikora

OPINIA EKSPERT A

@RY1@i02/2016/097/i02.2016.097.18300210c.809.jpg@RY2@

Piotr Szczeciński prawnik w kancelarii DLA Piper Wiater sp.k.

Wyniki ostatniej kontroli przeprowadzonej przez NIK wskazują na brak zastosowania systemowych i kompleksowych rozwiązań z zakresu bezpieczeństwa cyberprzestrzeni w instytucjach realizujących ważne zadania publiczne. Warto zauważyć, że w ostatnich latach zaniedbania w zakresie zabezpieczeń portali administracji publicznej, w szczególności na poziomie administracji samorządowej, skutkowały realnymi stratami finansowymi. Jak wskazuje raport NIK, instytucje realizujące ważne zadania publiczne lepiej radzą sobie z zapewnieniem bezpieczeństwa poszczególnych systemów niż kompleksowym bezpieczeństwem całej organizacji.

Zaniedbania w zakresie zabezpieczeń portali administracji samorządowej skutkowały w ostatnich latach realnymi stratami finansowymi ponoszonymi przez JST. Pozytywnym przykładem jednostkowego skutecznego zabezpieczenia portalu przed cyberatakami było zainicjowanie rządowego programu "Rodzina 500 Plus". Uruchomienie dla tego programu Centrum Operacyjnego Wsparcia Technicznego, pozwalającego na odpieranie bieżących naruszeń portalu, okazało się istotnym czynnikiem wpływającym na efektywne wdrożenie programu. Wysoka podatność na cyberataki kluczowych stron internetowych organów administracji publicznej może skutkować nie tylko istotnymi stratami wizerunkowymi państwa, ale także prowadzić do utraty wrażliwych danych. W obliczu stale wzrastającej liczby cyberataków na strony rządowe oraz strony administracji publicznej na świecie nasze rodzime portale nie będą w stanie uniknąć wszystkich potencjalnych naruszeń. W przypadku jednak zmaterializowania się takich naruszeń bardzo istotne znaczenie mają polityki bezpieczeństwa oraz plany reagowania kryzysowego umożliwiające podjęcie szybkich działań w celu zminimalizowania strat oraz przeciwdziałania kolejnym naruszeniom. Z zadowoleniem należy przyjąć deklaracje Minister Cyfryzacji Anny Streżyńskiej o postawieniu kwestii cyberbezpieczeństwa jako jednego z rządowych priorytetów.

Notował Paweł Sikora

Ministerstwa krytycznie ważne, ale czy najważniejsze

- Urzędy i instytucje publiczne są bardzo istotnym elementem krajowego systemu bezpieczeństwa, ale nie kluczowym. Znacznie ważniejsze są sektory stanowiące infrastrukturę krytyczną, jak sektor energetyczny, finansowy, telekomunikacyjny czy transportowy - podkreśla Michał Kurek, dyrektor w dziale zarządzania ryzykiem IT, EY. - Dziś skutkiem cyberataku może być całkowity brak prądu, łączności czy dostępu do pieniędzy. Można sobie wyobrazić, jaki wpływ mogą mieć takie zdarzenia na obywateli oraz gospodarkę kraju. Co więcej, choć jest to kontrowersyjne, w uchwalanej obecnie przez Parlament Europejski dyrektywie NIS (Network Information Security) na liście obszarów infrastruktury krytycznej nie znalazły się w ogóle urzędy i instytucje publiczne - dodaje ekspert.

Dokładnie w ten sposób coraz częściej postrzegane jest cyberbezpieczeństwo całego kraju. Dlatego też ataki na instytucje prywatne: dwa lata temu na sieci energetyczne dokonany przez grupę Dragonfly, rok temu na Plus Bank czy duża akcja sprzed kilku tygodni, gdy zaatakowano u nas 17 banków komercyjnych oraz 230 banków spółdzielczych, to wydarzenia równie ważne jak próby zhakowania choćby i największych instytucji rządowych.

Świadomość takiego właśnie rozkładania akcentów jest coraz powszechniejsza. - Aczkolwiek nie jest wcale idealnie - studzi Marcin Ludwiszewski, lider działu cyberbezpieczeństwa w Deloitte. - Wciąż nie wszyscy do końca zdają sobie sprawę, że to jest po prostu zadanie biznesowe i strategiczne dla całego państwa. Bezpieczeństwo sieciowe jest traktowane jak zadanie tylko dla działów IT, ostatecznie complience, czyli zarządzających bezpieczeństwem przepływów finansowych w instytucjach. Z perspektywy państwa znowuż wydaje się, że to tylko sprawa resortu cyfryzacji, MSW, policji, wojska. A to przecież element niezbędny dla każdej firmy i każdej instytucji państwowej - dodaje ekspert.

Na drodze do tego stają w Polsce obok braku świadomości zagrożenia bardzo przyziemne problemy: pieniądze i kadry. Bezpieczeństwem zajmują się ludzie o naprawdę najwyższych kompetencjach, a takich jest naprawdę o wiele za mało w stosunku do potrzeb. - Już dziś luka w zatrudnieniu to kilkaset tysięcy specjalistów w Europie i skoro firmy z sektora prywatnego mają problem z zatrudnieniem takich ekspertów, to tym bardziej i sektor publiczny musi mieć z tym kłopot. Szczególnie że przecież nie może zaoferować nawet zbliżonych warunków finansowych - podkreśla Ludwiszewski.

- Dużym wyzwaniem będzie zaangażowanie wysokiej klasy specjalistów ds. bezpieczeństwa, których chronicznie brakuje na polskim i międzynarodowym rynku pracy - przytakuje mu Michał Kurek i dodaje, że w związku z tym bardzo ważnym elementem będzie wdrożenie skutecznych mechanizmów partnerstwa publiczno-prywatnego.

Ale nie wszystko może rozwiązać współpracą z biznesem. W przypadku infrastruktury krytycznej oraz najważniejszych instytucji państwowych na pewno niezbędne jest posiadanie własnych ekspertów. Stąd w założeniach do strategii ochrony cyberprzestrzeni pojawił się pomysł nazwany "złota setka". To plan wyłonienia i dodatkowego wynagradzania stu specjalistów od internetowych zabezpieczeń. Mogliby oni liczyć na specjalny dodatek do podstawowej urzędniczej pensji. Biorąc pod uwagę budżet przedsięwzięcia (6 mln zł rocznie), wychodzi, że średnio po 5 tys. zł miesięcznie plus oczywiście podstawowe wynagrodzenie.

Tyle że prywatne firmy specjalistom od bezpieczeństwa sieci płacą 10-40 tys. zł miesięcznie netto na kontrakcie. Oferta publiczna, nawet jeżeli ten pomysł się ziści, będzie wciąż sporo słabsza. - Prowadzi to do sytuacji, w której w jednej z placówek państwowych na 20 potrzebnych osób pracuje tylko jedna - podkreśla Mikołaj Makowski, ekspert z agencji rekrutacyjnej Hays Poland. Jak wynika z wyliczenia przygotowanego dla nas przez Pracuj.pl, w ciągu ostatnich dwóch lat liczba poszukiwanych ekspertów w tej branży wzrosła aż o 88 proc.

Jak poważny jest problem z kadrami widać najlepiej na przykładzie samego Ministerstwa Cyfryzacji. Resort ten od kilku miesięcy szuka wiceministra odpowiedzialnego za cyberbezpieczeństwo. Szybko okazało się, że na eksperta z rynku nie ma szans, po prostu pieniędzy rzędu wspomnianych 40 tys. zł. ministerstwo nie może zaoferować.

Od DDoS do phishingu, czyli katalog cyberzagrożeń

Wszystkie metody i sposoby wykorzystywane w atakach na banki, wielkie firmy czy zwykłych użytkowników są też stosowane w stosunku do instytucji publicznych. Co najwyżej bywają inaczej zakamuflowane. Od lat najczęstszymi metodami działania są te wykorzystujące botnety, czyli sieci zarażonych komputerów (nazywanych także komputerami zombie albo botami), których celem jest wykonywanie rozkazów cyberprzestępców. Botnety najczęściej są wykorzystywane do tzw. ataków DDoS.

Ich nazwa pochodzi od angielskiego Distributed Denial of Service, co oznacza "rozproszoną blokadę usługi". Są to ataki, które polegają na wysyłaniu wielu zapytań do serwerów www, z bardzo dużą częstością. Serwery, przystosowane do obsługi znacznie mniejszego ruchu, zachowują się jak wąskie drzwi, przez które usiłuje jednocześnie wejść tłum i po prostu zawieszają się. Tak było choćby podczas protestów w sprawie ACTA, kiedy właśnie za pomocą DDoS zablokowano strony Sejmu, kancelarii premiera i kilku ministerstw. Ale botnety służą także do spamowania, kradzieży poufnych danych czy wyprowadzenia środków z kont bankowości elektronicznej. W 2014 r. według ABW zarejestrowano w Polsce 4681 takich przypadków; w 2013 r. było ich 4270.

Obok botnetów na coraz poważniejszy problem wyrasta inny typ ataków: ukierunkowany phishing i ataki socjotechniczne, czyli podszywanie się pod osobę lub instytucję w celu wyłudzania informacji. - Tego typu oszustwa stanowiły aż 34 proc. wszystkich incydentów obsłużonych ręcznie, czyli poważnych, w 2015 r. - Odnotowaliśmy na przestrzeni całego ubiegłego roku kilka poważnych kampanii phishingowych atakujących polskich użytkowników bankowości elektronicznej. Co niepokojące, w swoich atakach cyberprzestępcy nie ograniczali się jedynie do wyłudzenia loginu i hasła. Ich działania były również ukierunkowane na zdobycie kodów jednorazowych służących do autoryzacji transakcji bankowych - ostrzega Kijewski. Ale takie podszywania się to także problem urzędów. W 2014 r. zespół CERT.GOV.PL zarejestrował 119 incydentów tego typu, czyli aż o 350 proc. więcej niż rok wcześniej. Szczególnie duży wysyp phishingowych ataków nastąpił ostatnio wraz ze startem programu 500 +. Orange Polska podał nam, że tylko w momencie startu zablokowali 10 stron phishingowym udających oficjalne urzędowe witryny.

Najnowszym typem ataku, który zbiera coraz większe żniwa, są cyberszantaże, czyli ransomware. - Jest to złośliwe oprogramowanie szyfrujące zawartość dysków komputerowych w celu wymuszenia okupu - tłumaczy Kijowski.

Ransomware działają niezwykle perfidnie. Najpierw wykorzystując socjotechnikę - np. udając korespondencję od urzędu, kuriera czy banku instalują na komputerze złośliwe oprogramowanie, a następnie blokują całe urządzenie lub jego część np. dostęp do plików, a za odblokowanie, jak w szantażu, żądają okupu. Może to być kilkadziesiąt złotych, ale częściej raczej kilkaset czy nawet kilka tysięcy. I jest to coraz powszechniejszy problem. Przykładowo CERT działający przy Orange w pierwszym kwartale tego roku odnotował aż 75 proc. wzrost zdarzeń z takimi atakami w porównaniu z pierwszym kwartałem 2015 r.

Taka sytuacja ostatnio przydarzyła się choćby urzędowi miejskiemu w Urzędowie. Do sekretariatu trafił e-mail udający list z Poczty Polskiej informujący o nieodebraniu od jej kuriera przesyłki. Po kliknięciu w załącznik wirus zainfekował kilka komputerów i zaszyfrował będące na nich pliki. Sprawą już zajęła się prokuratura. Jak widać, nie była tu potrzebna bardzo zaawansowana technika. Wystarczyła znajomość psychologii.

Oczywiście najlepszą ochroną jest po prostu przeciwdziałanie, w tym szkolenia dla pracowników i to nie tylko działów IT tylko dla wszystkich urzędników, bo przecież to za pośrednictwem ich sprzętu może dojść do infekcji. Szkolenia te powinny być szerokie, od tego, na jakiego rodzaju ataki mogą się natknąć, poprzez zasady zachowania gdy zdarzy się ewentualny problem. To jest tańsze niż inwestowanie w drogie systemy bezpieczeństwa, a równie ważne.

Szczególnie duży wysyp phishingowych ataków nastąpił ostatnio wraz ze startem programu 500+.

OPINIA EKSPERTA

@RY1@i02/2016/097/i02.2016.097.18300210c.810.jpg@RY2@

Michał Ferdyniok kierownik laboratorium informatyki śledczej Mediarecovery

T ak naprawdę to cyberataki wciąż są takie same, chodzi w nich tylko o jedno: by oszukać użytkownika. Jedyne, co się zmienia, to formuły i modele tych oszustw.

Generalnie mamy do czynienia z dwoma typami ataków. Pierwszy to strzały masowe, ale trochę na oślep. Przeprowadzane są bardzo szeroko do jak największej liczby odbiorców, bez założenia konkretnej grupy odbiorców, czyli w ciemno. To są masowo rozsyłane e-maile, to pendrivy z podrzucanymi wirusami. W tej metodzie chodzi o maksymalizację powieleń i narażanie jak najszerszej grupy użytkowników. Oczywiste jest, że tu tylko wąską grupę uda się oszukać, ale przy atakach na miliony odbiorców nawet ten mały procent pozwala na zbudowanie sporych botnetów. Ten sposób nadal jest oczywiście praktykowany, ale jego waga spada. Za to rośnie zagrożenie atakami, w których wyodrębniane są konkretne cele. To może być grupa klientów danych usług albo jedna konkretna instytucja czy urząd.

W przypadku metod celowanych mamy różne sposoby dotarcia do celu. I właśnie te sposoby zmieniają się, ewoluują, stają się coraz bardziej wysublimowane, by przekonać użytkownika, że nic złego się nie dzieje, że nie ma zagrożenia.

Mogą więc tu być wykorzystywane podatności, czyli jakieś niedopracowane dziury w aplikacjach, przez które można się dostać i zainstalować złośliwe oprogramowanie. Ale nie mniej popularne jest po prostu bazowanie na mechanizmach psychologicznych, bo pamiętajmy, to człowiek jest zawsze najsłabszym ogniwem w systemie bezpieczeństwa. Kiedyś popularne było podrzucanie złośliwego oprogramowania na pendrivach, dziś króluje rozsyłanie wiadomości tak spreparowanych, by wyglądały na ważne, interesujące, ze sprawdzonego źródła. Te e-maile często wyglądają tak profesjonalnie, że niewyspecjalizowany odbiorca naprawdę może się nabrać. I tak choćby w przypadku urzędów wystarczą proste chwyty socjotechniczne: załącznik zatytułowany "lista płac" albo e-mail wyglądający jak pismo urzędowe nakazujące jakieś zmiany. A od tego już tylko krok do zainfekowania sprzętu ransomware. Ponieważ na sprzęcie w urzędach są przecież często przechowywane bardzo ważne dokumenty, to takie instytucje są bardziej skłonne zapłacić okup niż zwykli użytkownicy.

Polisa na wypadek hakera

Na Zachodzie to już nie jest nowość. Straty ponoszone czy to w wyniku ataków, czy czasem też po prostu zaniedbań pracowników w sferze sieciowej bywają tak ogromne, że cyberubezpieczenia stają się codziennością. Według raportu PwC wartość takich polis w zeszłym roku wyniosła na świecie 2,5 mld dol., a w 2020 r. ma wynosić już 7,5 mld dol. To jeden z najszybciej rozwijających się segmentów na rynku ubezpieczeń. Ten sam raport mówi jednak, że w Polsce taką polisę wykupiło zaledwie 8 proc. firm, podczas gdy wynik światowy to 59 proc.

U nas choć takie zabezpieczenia oferuje już kilku ubezpieczycieli (dokładnie siedmiu, rok temu takie oferty miało w swoim portfolio tylko dwóch) - to ruch dopiero się rozkręca. - Zainteresowanie ubezpieczeniem od cyberprzestępstw jest coraz większe i wynika przede wszystkim z dwóch powodów. Liczba ataków cybernetycznych w ostatnich latach zdecydowanie wzrosła, co w konsekwencji spowodowało wzrost świadomości ryzyka - przekonuje Tomasz Dolata z Biura Ubezpieczeń Podmiotów Gospodarczych ERGO Hestii. - Od kilku miesięcy zapytania o takie ubezpieczenie otrzymujemy z różnych branż, m.in. od kancelarii prawnych, firm produkcyjnych czy firm z obszaru usług finansowych. Pierwsze polisy już zostały sprzedane, jednak obecnie jesteśmy w fazie budowania świadomości wśród naszych potencjalnych klientów i patrząc na rynek tego typu zabezpieczeń w krajach zachodnich, możemy przypuszczać, że niebawem także firmy w Polsce odważniej będą korzystać z tego typu ochrony. Dotychczasowe rozmowy z partnerami biznesowymi pokazują nam również, w jakim kierunku dalej rozwijać nasze ubezpieczenie - dodaje Dolata.

Firmy ubezpieczeniowe w Polsce próbują przekonywać przedsiębiorców, że pomogą realnie ograniczyć to ryzyko. Wśród największych firm takie polisy oprócz Ergo Hesti oferuje jeszcze AIG (usługa nazywa się CyberEdge) i Allianz. Firmy jednak nie chcą zdradzać dokładnych danych dotyczących sprzedaży takich polis.

Bo i jak oceniają eksperci nie są to jeszcze bardzo popularne instrumenty. Powodem oprócz braku świadomości jest także to, że nie są to polisy zabezpieczające od wszelkich możliwych sytuacji.

Firmy z zasady zastrzegają, że nie ubezpieczają od cyberterroryzmu, czyli ataków z pobudek ideologicznych, politycznych czy religijnych.

Inne ograniczenia to koszty, które są refinansowane. Ubezpieczenia zazwyczaj oferują tylko pokrycia kosztów naprawiania i sprzątania po szkodzie, np. przywrócenia danych, pomocy prawników, informatyków, ale już nie kar, jakie przychodzi zaatakowanym zapłacić np. za złamanie ustawy o ochronie danych osobowych. Czyli owszem jest to zabezpieczenie na wypadek sieciowych kłopotów, ale nie jest aż tak uniwersalne, by w każdej sytuacji opłacało się jego wykupienie. To jest też powód, dla którego nie jest jeszcze w ogóle popularne wśród urzędów. Ryzyko braku możliwości skorzystania z wypłaty polisy przerasta tu czasem ryzyko samego ataku.

Zapewne jednak, jak przewidują eksperci, takie ubezpieczenia będą stawać się coraz popularniejsze. Szczególnie, gdy firmy ubezpieczeniowe wprowadzą więcej bardziej szczegółowych ofert i rozwiązań. Wciąż chociażby nie ma polis dla zwykłych internautów.

- Wprowadzenie takiego ubezpieczenia dla klientów indywidualnych obecnie nie jest przez nas rozważane - przyznaje Tomasz Dolata z ERGO Hestii. - Oprócz bardzo dużego ryzyka w tym obszarze powinno się zacząć od pracy u podstaw w celu zwiększenia świadomości potencjalnych klientów oraz podniesienia jakości zabezpieczeń. Z naszego punktu widzenia jest to wieloletnia perspektywa.

Spełnienie co najmniej powyższych warunków pozwoli na rozwój dojrzałego rynku cyberubezpieczeń w Polsce. Obserwując skalę zagrożeń i incydentów, uważam, że jest to rozwój bardzo potrzebny, stanowić będzie bowiem dobre uzupełnienie krajowych zdolności technicznych i organizacyjnych w obliczu nawet zorganizowanych ataków. Można przewidywać, że cyberubezpieczenia będą miały szczególne znaczenie dla przedsiębiorców działających na rynku infrastruktury krytycznej, szczególnie w kontekście nowej dyrektywy o bezpieczeństwie sieci i informacji. Nie oznacza to jednak, że dla pozostałych przedsiębiorców czy nawet użytkowników internetu cyberubezpieczenia nie mają sensu.

Jeżeli ubezpieczenia zostaną odpowiednio dopasowane do ryzyk i ich ewentualnych skutków oraz będą oferowane na rozsądnym poziomie cenowym, to z pewnością mogą zyskać wielu zwolenników, szczególnie gdy będą składnikiem innych produktów, np. hostingu.

@RY1@i02/2016/097/i02.2016.097.18300210c.811.jpg@RY2@

Sylwia Czubkowska

sylwia.czubkowska@infor.pl

@RY1@i02/2016/097/i02.2016.097.18300210c.812.jpg@RY2@

Paweł Sikora

pawel.sikora4@infor.pl