Od poziomu naszego cyberbezpieczeństwa zależy dzisiaj nasze życie, zdrowie i bezpieczeństwo ekonomiczne – to jedna z najważniejszych myśli debaty zorganizowanej przez Dziennik Gazetę Prawną w ramach cyklu Cyfrowa Gospodarka
„Najnowsze trendy w cyberatakach i obronie, w tym ransomware, phishing i ataki DDoS” – tak brzmiał tytuł debaty, podczas której eksperci dyskutowali o cyberbezpieczeństwie w Polsce, o tym, jak je zwiększyć, jak w związku z powyższym edukować dzieci i obywateli i jak zorganizować instytucje państwowe, by skutecznie walczyły z cyberzagrożeniami.
Kluczowa ochrona informacji
Na początku dyskusji płk Łukasz Jędrzejczak, zastępca dowódcy komponentu Wojsk Obrony Cyberprzestrzeni, szef CSIRT MON, przypomniał, co my właściwie chcemy chronić w kontekście cyberbezpieczeństwa.
– Najkrócej mówiąc, naszą prywatność i niezależność, co w praktyce przekłada się na wszystkie dane zapisane i przechowywane w internecie – od danych medycznych po bankowe. Od tego, jak je będziemy chronić, zależą nasze życie, zdrowie i nasze pieniądze – podkreślił.
– Z pewnością chronić powinniśmy to, co jest dla nas ważne – mówił Łukasz Wojewoda, dyrektor departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji. Jego zdaniem powinniśmy więc troszczyć się o informacje, które są dla nas istotne, takie, których nie powinniśmy upubliczniać.
– Jeżeli mamy takie, które podlegają szczególnej ochronie, to nie działajmy tak, żeby one zostały tej szczególnej ochrony pozbawione. Z pewnością powinniśmy też chronić naszą prywatność, ponieważ nie wiemy, jak dane o nas mogą być wykorzystane przeciwko nam. W to wpisują się już konkretne działania państwa – mamy np. ustawę o zwalczaniu nadużyć w komunikacji elektronicznej, która ma chronić obywateli m.in. przed phishingiem – zauważył w trakcie debaty Łukasz Wojewoda.
Inne wątki podniósł płk Łukasz Jędrzejczak.
– W CSIRT MON nasz przeciwnik jest szczególny, to grupy kierowane przez rządy – Rosji, Białorusi, czasem Chin, które próbują uzyskać dostęp do naszych danych wojskowych, w tym np. dotyczących transportów uzbrojenia wysyłanego na Ukrainę. Cyberszpiedzy szukają ważnych informacji zarówno w systemach wojskowych, jak i cywilnych – wskazał.
To dlatego też, jak powiedział, dane wojskowe chroni od czterech lat zespół pracujący przez całą dobę.
– Chronimy ok. 250 tys. urządzeń końcowych o różnych klauzulach tajności. Jednak o szczegółach naszych operacji nie mogę mówić – zastrzegł.
Nowy stopień alarmowy
29 lutego został obniżony obowiązujący od początku rosyjskiej agresji na Ukrainę stopień alarmowy CHARLIE-CRP wprowadzony w celu przeciwdziałania zagrożeniom w cyberprzestrzeni. Uczestnicy debaty skomentowali tę zmianę.
– Obniżenie stopnia alarmowego nie spowodowało obniżenia poziomu cyberbezpieczeństwa w kraju. Obniżamy stopień alarmowy do poziomu BRAVO – drugiego w czterostopniowej skali – mając świadomość, że cyberbezpieczeństwo jest nadal utrzymywane na bardzo wysokim poziomie, na takim, który sobie założyliśmy. Pamiętajmy, że stopnie alarmowe są interwencyjne. I jeżeli dzieje się coś złego, widzimy, że powinniśmy zareagować inaczej niż w sposób standardowy, to wprowadzamy odpowiedni stopień – tłumaczył Łukasz Wojewoda.
Co ważne, zmiany w poziomie stopni alarmowych nie mają większego wpływu na pracę firm i instytucji pełniących istotne funkcje w całym polskim systemie teleinformatycznym.
– Nasz zespół Security Operations Center, nasi administratorzy pracują non-stop, monitorując systemy związane z bezpieczeństwem naszych klientów w sposób ciągły. Podniesienie stopnia zagrożenia antyterrorystycznego do poziomu Charlie-CRP po agresji Rosji na Ukrainę nie zmieniło bardzo wiele w naszej pracy. Przez wojnę w Ukrainie ataków było i jest więcej, ale mając odpowiednie procedury, kadrę i architekturę cyberbezpieczeństwa, mogliśmy dalej prowadzić skuteczne działania ochronne – mówił Robert Przychodzień, szef cyberbezpieczeństwa w OChK.
Zagrożenia i odpowiednia edukacja
Podczas debaty mówiono też o tym, jakie cyberzagrożenia wydają się teraz szczególnie groźne.
– W naszej pracy w cybersecurity najbardziej boimy się podatności (w uproszczeniu: luk bezpieczeństwa w oprogramowaniu – red.). Jeśli chodzi o dostawców oprogramowania do cyberbezpieczeństwa, w ostatnim czasie obserwowaliśmy dużo podatności krytycznych, łatwych do wykorzystania. W niektórych przypadkach oprogramowanie jest tak skonstruowane, że nie da się tych podatności załatać, nie konfigurując od nowa systemu. To w łatwy sposób daje szansę cyberprzestępcom na dostanie się do infrastruktury i jej zinfiltrowanie – mówił Robert Przychodzień. – Natomiast z perspektywy pracy z klientami bardzo poważnym zagrożeniem, o dużym natężeniu, są ataki phishingowe – dodał.
– Cyberbezpieczeństwo dotyczy każdego obywatela – podkreślał Michał Matuszczyk, specjalista w dziedzinie IT i cyberbezpieczeństwa, kierownik studiów podyplomowych „Zarządzanie cyberbezpieczeństwem z elementami cyberpsychologii” na Uniwersytecie SWPS. – To od nas jako obywateli zależy to, czy klikniemy w jakiś link, czy uwierzymy w spreparowane fake’owe informacje. Tymczasem dzisiaj nie jesteśmy szkoleni do tego, by prawidłowo rozpoznawać cybezagrożenia, nie wiemy, jak się zachować w świecie, gdzie mnóstwo aktorów zewnętrznych próbuje od nas wyciągnąć przeróżne informacje. Powszechna edukacja w Polsce nigdy nie uczyła nas, czym jest cyberbezpieczeństwo – wskazywał na istotny problem.
Jego zdaniem powinniśmy więc edukację z zakresu cyberbezpieczeństwa zacząć jak najwcześniej.
– Chodzi o to, by nasi obywatele byli w stanie zadbać o swoje bezpieczeństwo, ale również o bezpieczeństwo państwa – tlumaczył Michał Matuszczyk.
– Mówimy dzisiaj o cyberbezpieczeństwie jak o czymś nowym – i tak już od 20 lat – mówił płk Łukasz Jędrzejczak. – Zapomnieliśmy, że Polska została podłączona do internetu już w poprzednim tysiącleciu i nawet dzisiejsi 40- i 50-latkowie są wychowani w cyfrowym świecie – a ciągle nie uczymy powszechnie naszych dzieci bezpiecznych zachowań w cyberprzestrzeni – zauważył i sugerował, by edukację dotyczącą cyberbezpieczeństwa wprowadzić już do przedszkoli.
Robert Przychodzień uważa, że to w pełni możliwe.
– Zdecydowanie warto jest uczyć już małe dzieci, że w naszych telefonach jest wszystko – nasze pieniądze, prywatne zdjęcia, wszystko, co jest potrzebne do codziennego życia. Taką edukację można i nawet należy prowadzić od wczesnego etapu – powiedział Robert Przychodzień.
Na ważny aspekt zwrócił uwagę Patryk Gęborys, partner EY Polska, z zespołu bezpieczeństwa informacji i technologii.
– Brakuje mi tutaj jasnej deklaracji włączenia edukacji z zakresu cyberbezpieczeństwa do innych przedmiotów. To powinno być kluczowe – podkreślił.
Paneliści mówili też o różnych działających już inicjatywach edukacyjnych.
– Pojawiamy się na uczelniach, opowiadamy o naszej pracy, edukujemy, szukamy pasjonatów cyberbezpieczeństwa, którzy mogliby dołączyć do naszego zespołu. Ale to kropla w morzu potrzeb – mówił Robert Grabowski, szef CERT Orange Polska.
Ciągłość działania
W trakcie debaty pojawił się też wątek znaczenia cyberbezpieczeństwa dla przedsiębiorstw.
– Największym problemem dla firm jest bez wątpienia przerwanie ich działalności. Nie może więc dziwić, że każda firma stara się tego uniknąć, inwestując coraz większe środki w swoją cyfrową ochronę. Spektrum negatywnych skutków skutecznych ataków hakerskich jest szerokie. Obejmuje m.in. próby wyłudzenia okupu za odszyfrowanie danych, publiczne ujawienie informacji finansowych lub przerwy w działalności linii produkcyjnych – wymieniał Patryk Gęborys.
W kontekście cyberzagrożeń dla działalności biznesowej zastanawiano się też w trakcie debaty, jak powinna wyglądać implementacja do polskiego prawa regulacji dyrektywy NIS 2.
– Nowe przepisy dotkną firmy, w których dotąd cyberbezpieczeństwo i IT nie były postrzegane jako priorytet. Przykładem może być sektor spożywczy – mówił Patryk Gęborys. Jego zdaniem nowe regulacje powinny więc być przede wszystkim jasne i przejrzyste, państwo powinno stanowić wsparcie dla firm.
I to na koniec deklarował Łukasz Wojewoda. Jak wskazał, nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa, która ma wdrożyć przepisy NIS 2, powstaje z uwzględnieniem możliwości i potrzeb polskich przedsiębiorstw.
– My również uczestniczyliśmy w tworzeniu dyrektywy NIS 2. To nie jest prawo nam narzucone. Ma nieść korzyści również naszym przedsiębiorcom – zaznaczył.
Ćwiczenia, ćwiczenia i jeszcze raz ćwiczenia
Do świata o wysokim ryzyku związanym z cyberbezpieczeństwem powinniśmy się przyzwyczaić i w związku z tym wdrożyć w firmach odpowiednie rozwiązania i procedury – mówi Łukasz Bromirski, dyrektor ds. rozwiązań bezpieczeństwa w Cisco.
Jak duże jest teraz ryzyko cyberataków? Czy rośnie w tym roku z powodu konfliktu w Ukrainie i nadchodzących wyborów w wielu krajach?
Do świata o wysokim ryzyku związanym z cyberbezpieczeństwem powinniśmy się już przyzwyczaić. Wojna w Ukrainie, a nawet wcześniejsze wydarzenia, jak np. rosyjski cyberatak na Estonię w 2007 r., wiele zmieniły w krajobrazie globalnego i polskiego cyberbezpieczeństwa. Zwiększyła się liczba cyberataków – po agresji Rosji na Ukrainę liczba rejestrowanych dziennie incydentów dotyczących cyberbezpieczeństwa wzrosła o rząd wielkości. Dzisiaj są ich – dosłownie – tysiące. W Cisco obserwujemy to na bieżąco. Od lat pracujemy nad rozwiązaniami, które pozwalają monitorować przesyłanie informacji w firmach, a w przypadku wojny w Ukrainie nasza komórka związana z cyberbezpieczeństwem, Cisco Talos, jest zaangażowana w zasadzie od samego początku konfliktu i wspiera w sposób aktywny naszych przyjaciół Ukraińców.
Czego mogą się nauczyć polskie firmy, obserwując cyfrowy wymiar konfliktu w Ukrainie?
Mówiąc o tym, powinniśmy się cofnąć bardziej w przeszłość – nawet do wspomnianego ataku na Estonię. Tam Zachód otrzymał pierwszą lekcję tego, co może oznaczać atak w warstwie cyfrowej na w sumie dość niewielkie państwo z niedużą liczbą personelu IT. Wtedy okazało się np., że masowy atak DDoS jest w stanie sparaliżować całe państwo. Ataki DDoS zaczęły się chwilę później na dużą skalę pojawiać również w Polsce i firmy zaczęły się do tego przygotowywać, sięgając po odpowiednie rozwiązania. Biznes powinien również zwiększyć swoją odporność na phishingowe ataki w celu wyłudzenia – tych też jest coraz więcej, podobnie jak działań związanych z dezinformacją. W tym aspekcie powinno pomóc państwo – niezbędne są działania edukacyjne. Nie warto się też opierać na jednym, rzekomo idealnym rozwiązaniu. Estonia szybko przeniosła swoje usługi cyfrowe do chmury. Dzisiaj już wiemy, że takie postawienie na jedną technologię jest ryzykowne.
Jak rozwijać cyfrową odporność w firmach?
Z pewnością warto mieć plan B na wypadek poważnych ataków lub katastrof. Duże firmy podejmują takie działania, tworząc kopie zapasowe, awaryjne centra danych itd. Ważne jest jednak, by tutaj też przestrzegać procedur, czyli np. regularnie tworzyć kopie zapasowe, przestrzegać zasad zerowego zaufania w projektowaniu architektury IT i dostępu do zasobów cyfrowych. Poza tym ćwiczenia, ćwiczenia i jeszcze raz ćwiczenia, by być gotowym nawet na najgorsze scenariusze, jak masowe odcięcie zasilania, utrata dostępu do konkretnych zasobów, nawet na dłużej, itd.
Jak walczyć z cyfrowymi oszustami?
Cyberataków jest coraz więcej, ale nie jesteśmy bezbronni. Można się przygotować na atak cyberprzestępców – podkreśla Robert Grabowski, szef CERT Orange Polska.
Dlaczego dajemy się oszukać cyberprzestępcom?
Jesteśmy ludźmi, a nie sztuczną inteligencją. Kierują nami często emocje, czujemy empatię do pokrzywdzonych, bywa, że napędza nas chęć szybkiego zysku. To właśnie te emocje powodują, że jesteśmy czasem w stanie uwierzyć nigeryjskiemu księciu lub w dużą wygraną w loterii, w której nawet wcześniej nie wystartowaliśmy.
Czy cyberoszustw przez cały czas przybywa, czy też możemy mówić o pewnej stabilizacji ich liczby?
Cyberataków jest podobna lub nawet większa liczba niż powiedzmy dwa lata temu, zaraz po ataku Rosji na Ukrainę, kiedy mówiono o wyraźnym wzroście aktywności cyberprzestępców. Precyzyjne oszacowanie liczby cyberataków jest bardzo trudne – ciągle istnieje spora część takich, o których po prostu nie wiemy.
Czy macie nowe narzędzia do walki z cyberzagrożeniami? Kto wygrywa wyścig technologiczny – cyberprzestępcy czy eksperci od zabezpieczeń?
Przez cały czas rozwijamy nasze narzędzia do walki z cyberzagrożeniami, korzystając również z rozwiązań AI. Wierzę, że to my jesteśmy górą w starciu z cyberprzestępcami. Miliony osób, których w ciągu roku skutecznie chroni nasza CyberTarcza, są dowodem na to, że nasze rozwiązania działają, podobnie jak np. liczba blokowanych przez nas serwerów ze złośliwym oprogramowaniem. Ale cyberprzestępcy też rozwijają swoje narzędzia – zaczynają np. klonować głosy osób znanych temu, kogo atakują, podszywają się pod numery telefonów.
Kto jest dzisiaj najbardziej narażony na cyberataki?
Porównałbym to do sklepów – są różne, by trafić w gusta klientów. Z cyberatakami jest podobnie. Niektóre są wycelowane np. w seniorów, to cyfrowe wersje oszustw na wnuczka. Inne w dzieci i młodzież – często wykorzystują ich duże zainteresowanie konkretnymi grami lub serwisami. A jeszcze inne np. w entuzjastów zakupów internetowych zachęcające do dopłaty za paczkę rzekomo czekającą do odbioru u kuriera.
Jak bronić się przed atakami cyberprzestępców?
Z jednej strony niezbędne są rozwiązania techniczne – firewalle w firmach, oprogramowanie chroniące przez zagrożeniami zainstalowane na naszych komputerach. Z drugiej strony trzeba być mentalnie przygotowanym na atak cyberprzestępców. Powinniśmy zbudować nasz własny firewall w głowie i kontrolować nasze emocje. Kiedy dojdzie do niespodziewanego kontaktu ze strony członka naszej rodziny, doradcy inwestycyjnego, banku – spróbujmy to jak najszybciej zweryfikować, np. dzwoniąc do nich. Nie bagatelizujmy też zagrożeń i ostrzeżeń. Jeżeli czegoś nie wiemy, spytajmy eksperta, poczytajmy o tym np. na stronie Cert.orange.pl.
ROZMOWY I DEBATY MOŻNA OBEJRZEĆ NA CYFROWA-GOSPODARKA.GAZETAPRAWNA.PL
Partnerzy:
Organizator