Skala cyberzagrożeń rośnie, świadomość firm – szczególnie tych z sektora MSP – wciąż jest niewystarczająca, a nowe regulacje i rozwój AI niosą ze sobą poważne wyzwania – to najważniejsze wnioski z dyskusji na temat bieżących wyzwań cyberbezpieczeństwa dla polskiego biznesu. Między innymi o nich rozmawiali uczestnicy panelu „Cyberbezpieczeństwo”, odbywającego się w ramach tegorocznego Europejskiego Kongresu Gospodarczego w Katowicach. Widoczna, intensywna obecność tematyki bezpieczeństwa cyfrowego w programie największej imprezy biznesowej w Europie Centralnej to także znaczący sygnał – podkreślają eksperci.
Eskalacja cyberzagrożeń w polskich firmach
Wyzwania związane z cyberbezpieczeństwem są coraz bardziej złożone, stanowiąc poważny problem dla polskich przedsiębiorstw, niezależnie od ich wielkości – podkreślali zgodnie podczas tegorocznego Europejskiego Kongresu Gospodarczego przedstawiciele rządu i oraz eksperci ds. cyberbezpieczeństwa z dużych organizacji, takich jak: Accenture, Microsoft, EY, mBank, ESET i DAGMA Bezpieczeństwo IT.
W ostatnim czasie, szczególnie alarmujący okazał się wzrost liczby ataków typu ransomware oraz ataków odmowy usługi (DDoS). Dane opublikowane m.in. przez CERT Polska wskazują na dwukrotny wzrost incydentów w porównaniu do poprzedniego roku. Skala tych ataków, ich zaawansowanie oraz skutki dla działalności firm są coraz bardziej dotkliwe, co wymusza na organizacjach ciągłe przystosowywanie swoich strategii bezpieczeństwa.
Nowe regulacje i wpływ na firmową cyberstrategię
Nowe regulacje, takie jak NIS2, rysują przed firmami nowe wytyczne, które muszą wdrożyć, aby chronić się przed atakami i przestrzegać prawnych wymogów. Adaptacja do nowych regulacji to nie tylko kwestia zabezpieczeń, ale także zmiany w podejściu do prowadzenia biznesu w cyfrowym świecie. Regulacje te wymagają bowiem od firm zarówno wdrożenia odpowiednich technologii, jak i zrozumienia, jak technologia może wspierać przestrzeganie prawa i zwiększanie bezpieczeństwa.
Eksperci przestrzegają, iż wiele w tej kwestii pozostało jeszcze do zrobienia. Choć państwa członkowskie UE mają czas na wdrożenie dyrektywy NIS2 do 17 października 2024, wiele podmiotów, których ona dotyczy, przez cały czas aktywnie nie interesuje się nią, nie mając świadomości i odpowiednich zasobów, pozwalających na zmiany. To bardzo niepokojąca tendencja, która szczególnie uwydatnia się w sektorze MSP, choć jednocześnie wiele podmiotów z tego sektora planowane zmiany mogą dotyczyć.
Edukacja i świadomość kluczem do bezpieczeństwa
Równie ważnym jak regulacje aspektem zapewnienia cyberbezpieczeństwa jest odpowiednia świadomość i kultura organizacyjna w zakresie korzystania z zasobów cyfrowych. Nie można ignorować aspektu ludzkiego, który jest często najsłabszym ogniwem w łańcuchu bezpieczeństwa – zaznaczają eksperci.
Poprawa cyberhigieny w firmach, od dużych korporacji po małe przedsiębiorstwa, może znacząco zredukować ryzyko wystąpienia incydentów. Edukacja pracowników, regularne szkolenia i wdrożenie najlepszych praktyk są najważniejsze w budowaniu solidnych fundamentów bezpieczeństwa informacji, także w sektorze publicznym.
– Z badań wynika, iż na przykład na poziomie samorządów lokalnych, w dalszym ciągu bardzo wiele instytucji nie przywiązuje należytej wagi do tematyki cyberbezpieczeństwa, skutecznego zabezpieczenia danych, korzystania z odpowiednio zabezpieczonych zasobów i wykształcenia wśród pracowników odpowiednich zachowań. To co się dzieje regulacyjnie, legislacyjnie i technicznie jest oczywiście fundamentalne. Jednak najważniejsze, co mogą zrobić politycy, tacy jak ja, to edukować i pokazywać ludziom gdzie jest ta cienka czerwona linia, poza którą przestajemy być bezpieczni, poza którą nasze dane zaczynają stanowić dobro publiczne – podkreślał podczas Europejskiego Kongresu Gospodarczego Michał Gramatyka, wiceminister cyfryzacji.
Współpraca publiczno-prywatna – klucz do skutecznego cyberbezpieczeństwa
Rozwiązanie problemów cyberbezpieczeństwa w Polsce wymaga szerokiej współpracy między sektorem publicznym a prywatnym. Eksperci podkreślają, iż bez odpowiedniego partnerstwa i wymiany wiedzy pomiędzy sektorami, trudno jest skutecznie przeciwdziałać rozwijającym się zagrożeniom cyfrowym. Integracja sił pozwala na efektywniejsze zarządzanie ryzykiem i szybszą reakcję na incydenty, co jest najważniejsze w dynamicznie zmieniającym się środowisku cyberzagrożeń.
– Nie widzę sprzeczności między rolą państwa, a dbałością o cyberbezpieczeństwo przez samych przedsiębiorców. Dane CERT Polska, pokazujące podwojenie liczby incydentów, przez cały czas są moim zdaniem niedoszacowane. Realna perspektywa związana z cyberbezpieczeństwem dopiero się tworzy. Wojna w Ukrainie sprawiła, iż te kwestie zaczęły być analizowane na poważnie. Muszą być coraz bardziej dojrzale traktowane zarówno przez firmy, jak i przez państwo. Potrzebujemy przecież zarówno większej świadomości przedsiębiorców, jak i pomocy państwa w ściganiu zagrożeń, w odkrywaniu incydentów i ich prawdziwych, nierzadko geopolitycznych motywacji. Dobrze, iż w ostatnich latach zaczynamy ten problem dostrzegać i szukać rozwiązań – dodawał Paweł Jurek, dyrektor rozwoju biznesu w DAGMA Bezpieczeństwo IT.
Sztuczna inteligencja – nowe możliwości i nowe ryzyka
Sztuczna inteligencja (AI) staje się coraz ważniejszym narzędziem w arsenale rozwiązań cyberbezpieczeństwa, ale jednocześnie wprowadza nowe ryzyka. Specjaliści są zgodni – w Polsce wciąż kilka firm korzysta umiejętnie z AI, co pokazuje, jak wielkie są jeszcze możliwości i wyzwania w adaptacji tej nowoczesnej technologii.
Rozwój AI w kontekście cyberbezpieczeństwa wymaga zatem zarówno świadomości potencjalnych korzyści, jak i zrozumienia możliwych zagrożeń, a także umiejętnego wprowadzania regulacji. W tym kontekście ważne jest też rozpoznanie, iż istnieje także ryzyko związane z nadmierną regulacją prawem kwestii wykorzystywania AI. Ważne jest, aby pamiętać, iż każda technologia ma potencjał zarówno obronny, jak i ofensywny.
Cyberprzestępcy nie będą przestrzegać regulacji dotyczących użycia sztucznej inteligencji, którą mogą wykorzystywać do tworzenia nowych metod ataków. Tymczasem firmy zajmujące się cyberbezpieczeństwem będą zobligowane do stosowania tych przepisów. Ważne aby ten aspekt uwzględnić również przy tworzeniu przyszłych regulacji dotyczących sztucznej inteligencji i cyberbezpieczeństwa w Polsce.
Przedsiębiorstwa w Polsce stoją zatem w tej chwili przed szeregiem wyzwań związanych z cyberbezpieczeństwem. Tylko przez kompleksowe podejście, obejmujące technologię, edukację, regulacje prawne oraz współpracę międzysektorową, można efektywnie stawić czoła tym zagrożeniom i zapewnić bezpieczną przyszłość cyfrową dla polskiej gospodarki.
Konsekwencje Krajowego Systemu Cyberbezpieczeństwa – Czy rzeczywiście najnowszy projekt KSC jest “strzelaniem z armaty do komara”?