W sejmie trwają prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wdrażającą dyrektywę NIS 2. Czy z perspektywy Asseco, jako dostawcy usług dla kluczowych sektorów, przepisy mające zwiększyć poziom cyberbezpieczeństwa to szansa czy zagrożenie?

Jako firma technologiczna, częściej patrzymy na regulacje dotyczące obszaru cyfrowego jako na szansę rozwoju. Zmieniające się wymogi generują nowe projekty, ponieważ klienci realizują wdrożenia mające przygotować ich do transformacji. W przypadku KSC efektem końcowym będzie wyższy poziom bezpieczeństwa organizacji.

Z podobną sytuacją mieliśmy do czynienia w przypadku Aktu w sprawie cyfrowej odporności operacyjnej (DORA), który objął naszych klientów z sektora bankowego. W takich przypadkach działamy dwutorowo – z jednej strony wdrażamy regulacje wewnętrznie, dostosowując procesy i wprowadzając niezbędne zmiany technologiczne w naszej chmurze. Z drugiej – współpracujemy z klientami, aby wesprzeć ich w spełnieniu nowych wymogów.

Istotnym segmentem naszych klientów są banki spółdzielcze, które często dysponują mniejszymi zasobami finansowymi i organizacyjnymi niż banki komercyjne. Tymczasem wymogi bezpieczeństwa bywają bardzo szczegółowe i obejmują również odpowiednią komunikację w trójkącie: „nadzorca–dostawca systemu–technologia wewnątrz organizacji”.

Zauważyliśmy, że banki spółdzielcze miewają trudności z dostosowaniem się do regulacji. Dlatego przygotowaliśmy narzędzia umożliwiające przeprowadzenie samooceny poziomu zgodności z wymogami dotyczącymi cyberbezpieczeństwa. Dzięki naszej aplikacji banki mogą – w oparciu o istniejącą dokumentację i procedury – zweryfikować stopień spełnienia nakładanych wymogów. W ten sposób pomagamy im w procesie dostosowania.

Grzegorz Paskudzki, dyrektor ds. konsultingu biznesowego w Asseco
ikona lupy />
Grzegorz Paskudzki, dyrektor ds. konsultingu biznesowego w Asseco / Materiały prasowe
Projekt ustawy o KSC wzbudził zastrzeżenia ze strony Huawei przez definicję „dostawcy wysokiego ryzyka”. Koncern stwierdził, że zapisy wydają się „dyskryminujące, niejasne i mogą nieproporcjonalnie dotknąć podmioty spoza UE lub NATO". Czy Asseco dostrzega zalety bycia europejską firmą w kontekście coraz większego zwracania uwagi chociażby na lokalizację serwerów?

To jeden z powodów, dla których powstało Asseco Cloud. Analizując umowy zawierane z Google czy Amazonem oraz przepisy prawa amerykańskiego, okazuje się, że w pewnych sytuacjach Stany Zjednoczone mogłyby uzyskać dostęp do danych przechowywanych w ich chmurach. Choć wymagałoby to spełnienia szeregu przesłanek, ryzyko istnieje. W przypadku tak wrażliwych informacji jak dane ZUS, dotyczące finansów całego społeczeństwa, warto zastanowić się, czy chcemy narażać się nawet na minimalne prawdopodobieństwo takiego scenariusza.

Wojna w Ukrainie pokazała również, że największe mocarstwa często kierują się interesem biznesowym, a nie dobrem społeczeństwa. Widać to także w obecnej rywalizacji gospodarczej USA–Chiny. Nic dziwnego, że Europa szuka sposobów na zabezpieczenie się przed ryzykiem uzależnienia od obcych technologii.

Wzrost znaczenia bezpieczeństwa jako szansa biznesowa

Czy przekłada się to na biznes Asseco?

Jako europejska firma, która dysponuje infrastrukturą pozwalającą na niezależność od zagranicznych dostawców, traktujemy rosnący nacisk na bezpieczeństwo jako szansę. Nasza działalność chmurowa może stać się silnym filarem biznesu i ważnym argumentem w konkurencji z innymi podmiotami.

Widzi pan wzrost znaczenia tej europejskości podczas rozmów z klientami?

Pracuję przede wszystkim z bankami. Bankowość jest szczególnie ostrożna wobec wychodzenia poza własną infrastrukturę, jest to wyraźnie widoczne. Klienci cenią też możliwość wyboru – hostowania aplikacji w naszej chmurze, we własnej infrastrukturze lub w chmurze publicznej. Elastyczność i dostosowanie do wymogów bezpieczeństwa są dla nich kluczowe.

A czy nasz poziom cyberbezpieczeństwa według pana rośnie? Z jednej strony słyszymy o rosnącej liczbie cyberataków, ale z drugiej – chyba jesteśmy ich też coraz bardziej świadomi.

Zagrożenia są coraz większe, bo atakujący mają coraz więcej narzędzi do dyspozycji. Z drugiej strony, najsłabszym ogniwem pozostaje człowiek, który pada ofiarą klasycznych socjotechnik i nabiera się na fałszywe SMS-y czy prośby o szybki przelew BLIK.

Cyberbezpieczeństwo a AI

W 2024. w DGP ujawniliśmy, że dane prawie 10 mln pacjentów były narażone na kradzież z aplikacji używanych w gabinetach lekarskich i aptekach. Jedna z tych aplikacji należy do Asseco. To nie był błąd systemu?

Trudno mi się szczegółowo odnieść do tego konkretnego przypadku, gdyż dotyczy on obszaru spoza moich kompetencji. Natomiast na podstawie informacji jakie posiadam, mogę potwierdzić, że nie był to błąd samego systemu. Problem dotyczył jego konfiguracji.

Czy sztuczna inteligencja może pomóc w wyszukiwaniu podatności?

Obecnie w dużym stopniu wykorzystujemy sztuczną inteligencję. Agent oparty na Open AI skanuje nasze oprogramowanie w poszukiwaniu bibliotek z lukami. Drugi agent sprawdza zgodność wyższych klas bibliotek z innymi fragmentami kodu, a trzeci – wybiera wersję o najmniejszym ryzyku destabilizacji aplikacji i sam dokonuje zmian w kodzie. Problem polega na tym, że osoby szukające luk korzystają z podobnych narzędzi. To nieustanny wyścig zbrojeń. Musimy więc zawsze starać się być krok do przodu, żeby nie dopuścić do tego, że dowiemy się o luce w systemie przez to, że ktoś inny dostał się do danych.

W takim razie ważniejsza jest edukacja w zakresie cyberbezpieczeństwa czy automatyzacja? Od czego powinniśmy zacząć?

Odpowiedzialność za oba te aspekty spoczywa na różnych podmiotach i powinny być realizowane równolegle. Przykładowo, mBank wykonuje świetną pracę w zakresie promowania bezpieczeństwa w sieci – kładzie duży nacisk na edukację swoich klientów, aby nie padli ofiarą socjotechniki. Uświadamianie i edukacja klientów to właśnie rola banków: chodzi o przygotowanie ich na różne rodzaje zagrożeń, pokazanie, jak mogą wyglądać i jak należy na nie reagować.

Z kolei naszą odpowiedzialnością jest dostarczanie i utrzymywanie systemów w taki sposób, aby zawierały jak najmniej luk możliwych do wykorzystania w ataku. Skala zagrożeń jest tu zupełnie inna. Na oszustwo może dać się nabrać 1 tys., 2 tys. czy nawet 10 tys. osób, ale jeśli pozostawimy lukę w całym systemie i umożliwimy przedostanie się przez nią i uzyskanie dostępu do wrażliwych danych, konsekwencje mogą dotknąć wszystkich użytkowników.

Wzmacnianie cyberbezpieczeństwa często oznacza eliminowanie ryzyka błędu ludzkiego

Czy w takim razie automatyzacja jest bezpieczna, czy może jeśli coś pójdzie nie tak, to może pociągnąć za sobą całą reakcję łańcuchową?

Porównałbym to do jazdy samochodem. Większość z nas korzysta z aut wyposażonych w kontrolę trakcji czy ABS. Kierowca rajdowy takich systemów nie potrzebuje – sam potrafi prowadzić dużo lepiej. Gdybym ja wsiadł do takiego samochodu, prawdopodobnie rozbiłbym się na pierwszym zakręcie. Podobnie jest z cyberbezpieczeństwem – większość z nas nie jest „rajdowcami” w tej dziedzinie, więc jeśli dostarczymy technologię eliminującą typowe błędy ludzkie, systemy będą bezpieczniejsze, a ryzyko operacyjne mniejsze.

Ryzyko operacyjne definiuje się jako zagrożenie wynikające ze złego działania systemów lub sytuacji, w których człowiek doprowadza do ich podatności na atak. Największe straty w sektorze bankowym, związane właśnie z ryzykiem operacyjnym, wynikają z błędów ludzkich. Dlatego eliminowanie człowieka z wielu procesów wydaje się być rozwiązaniem bezpieczniejszym.

Czyli system popełni mniej błędów niż człowiek?

Maszyna jest z reguły przewidywalna i łatwiej ją kontrolować niż człowieka – szczególnie po ograniczeniu możliwości „halucynacji” modeli opartych na sztucznej inteligencji. Maszyna się nie męczy, nie popełnia błędów z powodu emocji czy złej woli. Póki co nie próbuje też oszukać systemu, w którym działa.

W takim razie jakie technologie i zastosowania AI mogą pomóc w zwiększeniu cyberbezpieczeństwa?

W obszarze finansów, w którym mam największe doświadczenie, sztuczna inteligencja jest od lat szeroko wykorzystywana w wielu procesach, m.in.: w CRM, zarządzaniu ryzykiem czy przeciwdziałania praniu pieniędzy. Inteligentne algorytmy pozwalają wykrywać anomalie świadczące o tym, że może dochodzić do przestępstwa. Z kolei modele behawioralne umożliwiają tworzenie profili użytkowników na podstawie ich charakterystycznych zachowań. W przypadku gdy zostanie stwierdzona nietypowa aktywność wskazująca na przejęcie konta, jest ona blokowana. To tylko kilka przykładów.

Asseco słynie z modelu wzrostu opartego na dwóch nogach – wzroście organicznym i akwizycjach. Czy obecnie rozgląda się za firmami z konkretnego obszaru?

Działalność akwizycyjna to bardzo ważna część naszej strategii, którą konsekwentnie realizujemy. Nieustannie poszukujemy spółek, które pasują do naszego biznesu i uzupełniają nas produktowo lub kompetencyjnie. Wejście nowego inwestora na pewno pozwoli nam zyskać perspektywę w obszarze M&A. Asseco od 2004 r. przeprowadziło ponad 160 akwizycji, TSS tysiąc lub więcej. Know-how, który wnosi nowy inwestor stanowi dla nas istotną wartość dodaną.