Różne oblicza cyberbezpieczeństwa

Debatę otworzył Robert Grabowski, szef CERT Orange Polska, który zwrócił uwagę na psychologiczny aspekt cyberzagrożeń. Ekspert podkreślił, że kluczem do powstrzymania ataku jest umiejętność opanowania reakcji.

– Aby się uchronić przed cyberprzestępczością, musimy chłodzić emocje. Jeśli utrwalimy sobie wiedzę przekazywaną przez osoby, które zajmują się edukowaniem o zagrożeniach czyhających na nas w sieci, będziemy mogli powstrzymać atak – wskazywał.

Zaznaczył też, że w sprawach dotyczących danych i finansów pośpiech jest najgorszym doradcą.

– Warto nie reagować impulsywnie i poczekać na opinię drugiej osoby. Warto się konsultować, dzwonić i być ostrożnym – zalecał.

Robert Grabowski wskazał również na szeroką ofertę edukacyjną oraz biznesową Orange, z której mogą korzystać w kontekście cyberzagrożeń osoby prywatne i firmy.

– Można powiedzieć, że cyberbezpieczeństwo jest wyścigiem bez końca. Bezustannie uczymy się nowych schematów ataków, nowych technologii – zaznaczył.

Szczególną uwagę szef CERT Orange poświęcił najmłodszym użytkownikom sieci.

– W dalszym ciągu brakuje edukacji społecznej i świadomości rodziców, by uczulać dzieci, które spędzają dużo czasu w internecie, często rozmawiając ze starszymi osobami wykorzystującymi ich naiwność i nieznajomość technologii. Sami, jako dorośli, powinniśmy uczyć się o cyberbezpieczeństwie, żebyśmy mogli przekazywać tę wiedzę dalej – apelował.

Przytoczył przy tym alarmujące dane: miliony osób rocznie trafiają na strony phishingowe, a dziesiątki tysięcy padają ofiarą fałszywych platform inwestycyjnych.

Asymetria w obronie i w ataku

Maciej Jan Broniarz, ekspert w dziedzinie bezpieczeństwa ETC oraz architektury systemów sieciowych, odniósł się do kwestii regulacyjnych. Zauważył, że choć firmy starają się dopełniać obowiązków wynikających z RODO czy ustawy o Krajowym Systemie Cyberbezpieczeństwa, to często działania te mają charakter jedynie formalny.

– Bardzo często regulacje pozostają na papierze. Na szczęście coraz częściej kwestia ta jest weryfikowana przez firmy. Analizują one cyberataki, które dotknęły inne podmioty, i sprawdzają, czy w poszczególnych aspektach wdrożyły odpowiednie działania – zaznaczył.

Ekspert sformułował również ważną przestrogę dotyczącą asymetrii w walce z przestępcami.

– Budując zabezpieczenia, musimy pokryć wszelkie możliwe pola eksploatacji, ale przestępca wykorzysta jeden słaby punkt, który pozostawiliśmy, i to mu wystarczy, żeby osiągnąć swój cel – punktował Maciej Jan Broniarz. Jednocześnie polemizował z popularnym stwierdzeniem, że to człowiek jest najsłabszym ogniwem. Według niego systemy powinny być projektowane tak, by chronić użytkownika końcowego przed błędem.

– Warto edukować ludzi, że jeśli otrzymają podejrzany e-mail od „pracownika banku”, to nie powinni ufać niesprawdzonym wiadomościom. Trzeba jednak podkreślić, że taki e-mail w ogóle nie powinien do nas trafić – argumentował.

Maciej Jan Broniarz podkreślił także, że bezpieczeństwo nie jest stanem danym raz na zawsze.

– Nikt nigdy nie wystawi nam certyfikatu, który zagwarantuje, że jesteśmy bezpieczni. Robiąc audyt, możemy uznać, że w systemie cyberbezpieczeństwa nie ma luk, ale to nie oznacza, że nie pojawią się one później – wyjaśnił.

Jako pozytywny impuls wskazał jednak nowe zmiany legislacyjne, które wprowadzają osobistą odpowiedzialność członków zarządu.

– Motywuje to, by zająć się tą kwestią. Oczywiście kadra menedżerska nie musi być ekspertem od cyberbezpieczeństwa, ale może za to skorzystać z usług fachowców – podsumował.

Czujność pracowników

Perspektywę akademicką przedstawił w dyskusji prof. Piotr Wachowiak, rektor Szkoły Głównej Handlowej w Warszawie. W jego ocenie cyberbezpieczeństwo jest tematem strategicznym dla każdej organizacji. Podobnie jak poprzednicy, położył on nacisk na racjonalizm.

– Musimy znać zagrożenia i wiedzieć, jak sobie z nimi radzić. Musimy wykazywać się myśleniem racjonalnym i nie dawać się ponosić emocjom, choć w takich sytuacjach nie jest to łatwe – zaznaczył.

SGH prowadzi szkolenia dla pracowników, by nauczyć ich reagowania w konkretnych sytuacjach kryzysowych.

Profesor Wachowiak podkreślił, że standardy i przepisy są jedynie wsparciem dla ludzkiej czujności.

– Same regulacje nie zapewnią nam bezpieczeństwa. Zapewnią nam je wyłącznie czujność i wrażliwość pracowników na te kwestie – opisywał.

Wyjaśnił również, dlaczego SGH stawia na kształcenie kadr menedżerskich w tym zakresie, oferując studia z zarządzania cyberbezpieczeństwem oraz cyberbezpieczeństwa w przemyśle.

– Chcemy, aby ta kwestia nie była kojarzona tylko z informatyką czy przepisami, ale z umiejętnością ograniczania ryzyka, którego nigdy nie uda się całkowicie wyeliminować – tłumaczył, dodając, że ochrona musi obejmować nie tylko systemy IT, lecz także całą infrastrukturę przemysłową.

Rektor SGH zwrócił także uwagę na rolę uniwersytetów trzeciego wieku w edukowaniu seniorów, którzy są grupą szczególnie narażoną na ataki.

– Nie jesteśmy w stanie ostrzegać przed konkretnymi technikami, którymi posługują się oszuści, bo te się zmieniają i szybko dezaktualizują, ale możemy nauczyć czujności w stosunku do podejrzanych zdarzeń – powiedział.

Co narzuca prawo

Dyskusję zamknęły spostrzeżenia Roberta Mikulskiego, radcy prawnego i partnera zarządzającego w Brillaw. Ocenił on, że choć w kwestii cyberbezpieczeństwa polskie przedsiębiorstwa ogólnie radzą sobie nieźle, to wciąż widać luki wynikające z braków w infrastrukturze i przeszkoleniu. Zwrócił uwagę na interesujące zjawisko: to często sami pracownicy lub duzi kontrahenci wymuszają na firmach podnoszenie standardów cyfrowych.

– Duże firmy często wymagają od mniejszych kontrahentów cyfryzacji procesów, np. obrotu dokumentami – zauważył.

Mecenas Mikulski podkreślił ewolucję prawa, która przesuwa środek ciężkości na samodzielną analizę ryzyka.

– Dzisiejsze regulacje każą nam samodzielnie ocenić ryzyko i samemu zabezpieczyć się w odpowiedni sposób. Nie ma jednak takich zabezpieczeń, których nie da się przełamać. Musimy więc działać tak, żeby ewentualne szkody były dla nas jak najmniej dotkliwe – tłumaczył.

Zaznaczył, że walka z zagrożeniami trwa cały czas.

– To cykl, który nigdy się nie kończy. Dopiero powtarzając te działania, będziemy w stanie rzeczywiście odpowiadać na nowe pojawiające się zagrożenia – dodał.

W kontekście ochrony najmłodszych Robert Mikulski wyraził sceptycyzm wobec czysto prawnych zakazów.

– Nie jesteśmy w stanie regulacyjnie ochronić dzieci przed zagrożeniami. Można wprowadzić ograniczenie wiekowe na korzystanie z platform społecznościowych, ale pamiętajmy, że od technologii nie da się uciec – stwierdził.

Zamiast restrykcji zaproponował skupienie się na budowaniu wspólnej odporności poprzez wymianę informacji. Ostrzegł również przed długofalowymi skutkami społecznymi cyberataków.

– Skrajną sytuacją może być to, że przestaniemy ufać sobie nawzajem jako społeczeństwo – podsumował prawnik.

Michał Perzyński

Partnerzy projektu: