Edukacja wszystkich korzystających z nowoczesnych technologii informowanie o zmianach i zharmonizowane przepisy prawa wysuwają się na pierwszy plan w walce z cyberprzestępcami – niezależnie od dobrych mechanizmów zabezpieczeń
Podczas debaty „Nasze (cyber)bezpieczeństwo”, która odbyła się na SET Forum 10 października w Centralnym Domu Technologii w Warszawie, w centrum uwagi znalazły się działania, jakie podejmują firmy w Polsce, aby chronić zasoby cyfrowe. Wiele mówiono także o bezpieczeństwie osób prywatnych, obie kwestie mają wspólny mianownik. A są nim – ludzie.
Edukacja na różnych poziomach
Uczestnicy dyskusji stanęli na stanowisku, że potrzebne jest bardzo wiele pracy w dziedzinie edukacji i uświadamianie zwykłych użytkowników na temat różnych cyberniebezpieczeństw.
Arkadiusz Pączka, wiceprzewodniczący Federacji Przedsiębiorców Polskich, podkreślił, że bezpieczeństwo w internecie pozostaje przede wszystkim domeną dużych przedsiębiorstw, które powinny wspomagać mniejsze firmy i motywować je do angażowania się w tę kwestię.
– Cyberbezpieczeństwo to duże wyzwanie. Rolą dużych firm jest edukować mniejszych kooperantów – mówił Arkadiusz Pączka w debacie. – Mikro i małe przedsiębiorstwa patrzą na koszty, więc dla nich cyberbezpieczeństwo oznacza potencjalne wydatki. Często nie są zabezpieczone i działają do momentu, aż coś się wydarzy – podkreślał.
Łukasz Nowatkowski, Cybersecurity Advocate w Xopero Software, podkreślił, że 82 proc. udanych ataków jest z winy użytkownika, zatem najczęściej nie zawodzi technologia, ale człowiek.
– Jak użytkownik ma się tego nauczyć, skoro doświadcza przede wszystkim telefonów? Ataki socjotechniczne są najbardziej spektakularne. Kto z państwa, jak tu siedzicie, ma wyłączony bluetooth, kto ma wyłączone połączenie z Wi-Fi? Tymi kanałami najprościej zaatakować użytkowników – wskazywał Łukasz Nowatkowki. – Mamy do czynienia z atakami na korporacje, chociaż znowu – ofiarą staje się przede wszystkim użytkownik – zauważył.
Paneliści poruszyli temat świadomości zagrożeń i tego, jak Polacy, zarówno firmy, jak i obywatele, reagują na cyberataki. Starali się ocenić, czy wiedza teoretyczna przekłada się na praktykę. Jednym z głównych wniosków z debaty było stwierdzenie, że zarówno jako indywidualni użytkownicy, jak i biznesowi zaczynamy zwracać uwagę na cyberbezpieczeństwo dopiero wtedy, gdy staniemy się ofiarą ataku.
– Przyzwyczailiśmy się do zwykłych ataków phishingowych, dopiero doświadczenie behawioralne zmienia nasz światopogląd. Ważna jest zatem edukacja behawioralna, aby społeczeństwo nabyło odporność. Badania pokazują, że warto zacząć od szkół. Dzieci przenoszą je do swoich środowisk, do domów – mówił dr hab. Bogdan Księżopolski, kierownik katedry cyberbezpieczeństwa Akademii Leona Koźmińskiego.
O tym, jak ważna jest edukacja w tej dziedzinie, mówił również inspektor Michał Pudło, zastępca komendanta Centralnego Biura Zwalczania Cyberprzestępczości.
– Obywatel jest bombardowany ogromną ilością cyberataków. Mierzymy się z wielką liczbą ciemnych, czyli nieujawnionych przestępstw. Dane nie są adekwatne. Liczba oszustw kwalifikowanych jako internetowe, czyli takich, które zostały potwierdzone w wyniku postępowania przygotowawczego, to rocznie 60 tys. A to bez phishingu, oszustw inwestycyjnych, bez DDOS itd. Takie sytuacje nie są zgłaszane organom ścigania. Zatem zamiast leczyć, znacznie łatwiej jest zapobiegać. Należy uświadamiać, uczyć. Duży ciężar powinno przenieść się na szkołę. Teraz powinno się uczyć takich postaw przykładowo na informatyce. Zdecydowaną przyczyną ataków są błędy ludzkie, takie jak hasło ustawione z sześciu jedynek w podmiotach infrastruktury krytycznej. To zatrważa – mówił inspektor.
KSC: cyberbezpieczeństwo w każdym biznesie
Warto przypomnieć, że pod koniec kwietnia 2024 roku światło dzienne ujrzał projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz niektórych innych ustaw, które mają implementować do polskiego porządku prawnego dyrektywę NIS 2. Czas na jej wdrożenie mija 18 października 2024 r. Dyrektywa NIS 2 jest inicjatywą unijną, która wprowadza nowe zadania dla państw członkowskich, rozszerza zakres podmiotów objętych obowiązkami z zakresu cyberbezpieczeństwa oraz redefiniuje kompetencje organów UE. Propozycja nowelizacji ustawy obejmuje aż 18 sektorów polskiej gospodarki. Jak podkreślił podczas debaty Arkadiusz Pączka, wiele firm i podmiotów gospodarczych nie zdaje sobie sprawy, że nowe prawo obejmuje również ich.
– To jest wielka rola mediów, aby edukować i informować o zmianach. Wszystko wskazuje na to, że cyberbezpieczeństwo będzie kluczowym elementem każdego biznesu. Również status osób odpowiedzialnych za ten obszar będzie nieustannie rósł, niedługo w każdym zarządzie będzie siedział taki ekspert – dodał wiceprzewodniczący Federacji Przedsiębiorców Polskich.
7 października Ministerstwo Cyfryzacji przedstawiło zmieniony projekt ustawy po przeprowadzeniu konsultacji publicznych i uzgodnień międzyresortowych. Eksperci wskazują, że polskie przepisy wykraczają poza regulacje Dyrektywy NIS 2 i mogą pogorszyć pozycję konkurencyjną firm w naszym kraju oraz narazić je na niepotrzebne koszty.
O tym, że bezpieczeństwo się opłaca, mówiła Bogna Niklasiewicz, dyrektor ds. bezpieczeństwa w Allegro.
– Z puntu widzenia polskiego e-commerce z roku na rok nasze KPI (key performance indicators, kluczowe wskaźniki efektywności – red.) związane z oszustwami się poprawiają, mamy coraz mniej udanych przestępstw. Stosujemy zaawansowane systemy monitorujące transakcje po stronie kont sprzedających i z punktu widzenia wszystkich wydarzeń, które napotykają kupującego – relacjonowała dyrektor jednej z największych polskich firm internetowych.
Dodała także, że klasyczne oszustwa są czymś, z czym polski e-commerce już sobie świetnie radzi.
– Największym wyzwaniem dla naszego sektora jest wyprowadzanie przez strony transakcji komunikacji poza sklep. Wtedy nie jesteśmy w stanie zapewnić im bezpieczeństwa, a klient jest najbardziej narażony na oszustwo. Będziemy szukać metod, aby zatrzymać obie strony transakcji na naszym portalu – podkreśliła dyrektor.
Współpraca międzynarodowa wymaga ram prawnych
Moderator debaty, Łukasz Gołąbiowski, redaktor prowadzący Android.com.pl, prosił o przyjrzenie się obecnym wyzwaniom związanym z tworzeniem zabezpieczeń zarówno dla podmiotów korporacyjnych, państwowych, jak i indywidualnych. Według uczestników debaty narzędzia, które są dziś do dyspozycji, ułatwiają przewidywanie ataków, technologia zawodzi jedynie w niewielkim procencie, największym wyzwaniem wciąż pozostaje wyszkolenie użytkowników. Oszuści mają dopracowane do perfekcji metody socjotechniczne.
– Technologicznie jesteśmy przygotowani, aby chronić się przed scenariuszem zagrożeń. Jesteśmy w stanie zabezpieczyć się przed sytuacją stracenia konta, nie jesteśmy jednak w stanie zabezpieczyć przed manipulacją. Przed tym, że sami użytkownicy dokonują transferów pieniężnych czy transakcji kartą – tłumaczył Łukasz Krzykwa, Director, Products & Solutions, C&I w polskim oddziale Mastercard Europe.
– W darknecie można kupić za dwa dolary dane 5 tys. aktywnych kart. Social-engineering przybiera taką formę, że trudno się przed tym bronić. Mogą już do nas zadzwonić fałszywe telefony, które mówią głosem bliskiej nam osoby. Poziom uważności, aby nie dać się złapać, staje się powoli absurdalny – tłumaczył. Dodał także, że phinishing wzrósł o 1200 proc. od czasu opublikowania czata GPT. Łukasz Krzykwa podkreślił jednak, że sektor bankowości w Polsce pozostaje wyjątkowo dobrze zabezpieczony, niemniej jednak jest to ciągły wyścig.
– My mamy ręce związane regulacjami, a oni nie. W dodatku cyberbezpieczeństwo to nie jest kwestia jednej branży ani jednego kraju. Wciąż nie ma ram prawnych, aby pracować wspólnie na arenie międzynarodowej. Prawo nie nadąża za oszustwami. Przez to cały czas jesteśmy trochę z tyłu – wskazywał.
Każdy staje się po części informatykiem
W podsumowaniu eksperci wrócili do tego, że najważniejszą kwestią pozostaje edukacja użytkownika. Powinna ona zaczynać się już od uczniów klas średnich, którzy będą dzielili się swoją wiedzą w środowiskach oraz w domach.
– Trzeba kształcić ludzi również na poziomie twardego IT – dodał Bogdan Księżopolski.
Według Łukasza Nowatkowskiego prawdziwą rewolucją w dziedzinie cyberbezpieczeństwa byłoby stworzenie wirtualnego asystenta, który obserwuje wszystkie ruchy użytkownika i wie, jak zapobiec atakom. Łukasz Krzykwa dodał, że wdrożenie biometryki behawioralnej do tego sektora będzie odstręczało przestępców.
– To jest niezbędne. Liczba danych, którą dostarcza taka biometryka, znacznie utrudnia ich podrobienie. Przestępcom chodzi o stopę zwrotu z inwestycji, więc im lepiej będziemy zabezpieczeni, tym będziemy mniej atrakcyjni. Oszustwo będzie wymagało zbyt wiele pracy. Jednak biometria behawioralna nie pomoże w sytuacjach deepfaków – ostrzegł ekspert.
Z wypowiedzi uczestników debaty „Nasze (cyber)bezpieczeństwo” wynika, że we współczesnym świecie wszyscy do pewnego stopnia musimy stać się informatykami i nieustannie pogłębiać nasze rozumienie działania technologii cyfrowych. Przestępcy bazują przede wszystkim na naiwności i niewiedzy użytkowników. Edukacja w dziedzinie bezpieczeństwa w internecie staje się jednym z najważniejszych elementów funkcjonowania niemal każdego współczesnego biznesu.
Materiał z serwisu partnerskiego Cyfrowa Gospodarka