Najpowszechniejszym rodzajem cyberataku jest w Polsce phishing. Jego celem są korzyści ekonomiczne dla cyfrowych przestępców. Na celowniku znajdują się największe państwowe spółki, przede wszystkim działające globalnie, jak KGHM czy Orlen, jak i tysiące innych firm. Phishing to zagrożenie dla gospodarki, wizerunku koncernów na świecie oraz strategicznych interesów państwa. Nad możliwymi scenariuszami cyberataków w Polsce, ich efektami oraz zapobieganiem zastanawiali się uczestnicy debaty „Cyberbezpieczeństwo w gospodarce”, zorganizowanej przez Instytut Jagielloński.

Trudny czas dla cyberbezpieczeństwa w Polsce

Cyberbezpieczeństwo to jeden z kluczowych obszarów rozwoju gospodarki w obecnych czasach. Nie bez przyczyny zatem wstęp do debaty poświęcono aktualnej sytuacji na granicy polsko-białoruskiej, związanymi z nią zagrożeniami oraz prowadzoną, także w obszarze cyfrowym, wojną hybrydową. Przekłada się to bezpośrednio na działanie firm, również przygranicznych.

Potrzebna jest nowelizacja Krajowego Systemu Cyberbezpieczeństwa, zabezpieczenia interesów państwa polskiego i definicji dostawcy wysokiego ryzyka. Zdaniem Jarosława Mojsiejuka, prawnika i managera w Hewlett Packard Enterprise Polska, procedura oceny dostawcy wysokiego ryzyka jest bardzo specyficzna i wymagająca. – Nie wiadomo, czy angażowanie takiego organu jak Komitet Cyberbezpieczeństwa z premierem i ministrami, który ma wydawać zaledwie opinie, jest właściwą drogą. Moim zdaniem państwo chce dołożyć maksymalnych starań i uniknąć zarzutów o polityczne decyzje w zakresie dostawcy wysokiego ryzyka. Pozostaje kwestia, czy w przypadku firm np. chińskich, ich przedstawiciele wypowiadają się w imieniu swoim i swojej korporacji, czy może w imieniu jakiegoś rządu – zaznaczył Mojsiejuk. Ekspert zauważył, że prace nad Krajowym Systemem Cyberbezpieczeństwa trwają, prowadzone są w bardzo trudnych warunkach, wobec sytuacji na granicy a wiele firm może być zainteresowanych określonym rozstrzygnięciem tych prac legislacyjnych.

Podstawowe zagrożenia i obszary działania

W ramach hybrydowych działań w cyberprzestrzeni można wyszczególnić dwa źródła zagrożeń, wewnętrzne i zewnętrzne. Dlatego Polska powinna podnosić odporność na zagrożenia cyfrowe w obu obszarach. Jest to także głównym celem Strategii Cyberbezpieczeństwa RP na lata 2019 -2024. A że nie da się chronić wszystkiego, konieczne było wyodrębnienie obszarów priorytetowych. – Powinniśmy się skupić przede wszystkim na tożsamości, jednym z głównych celów ataków phishingowych. Druga kwestia to dane, które powinniśmy chronić metodami kryptograficznymi. Trzeci obszar to aplikacje, który powinny podlegać testowaniu pod kątem bezpieczeństwa dla użytkowników. I ostatnia rzecz to infrastruktura, a w zasadzie jej odporność na ataki – zaznaczył Robert Kośla, były dyrektor Departamentu Cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów.

Kluczowym zostaje pytanie, kto i w jaki sposób nas atakuje. Tylko znając odpowiedź na nie będziemy mogli odpowiednio reagować. Niestety cyberataki w tym obszarze są bardzo złożone, trudno czasem zbadać, kto stoi za nimi. – Do końca nie wiemy, kiedy mamy do czynienia z przestępcami klasycznymi, a kiedy za cyberataki odpowiadają państwa. Najlepiej pokazuje to przykład ataku za pośrednictwem ransomware pod nazwą WannaCry. Został on dokonany przez Amerykanów, a potwierdzają to opublikowane dokumenty. Jednak najczęściej obserwowane w Polsce zagrożenia nadal mają charakter ataków nastawionych na zysk, realizowanych przez grupy przestępcze. Najważniejszym problemem jest oczywiści phishing – zauważyła dr hab. Inż. Agnieszka Gryszczyńska z działu ds. Cyberprzestępczości Prokuratury Krajowej. Ekspertka wskazała też na fasadowość obowiązujących dziś norm regulacyjnych. Zarówno handel danymi, jak i obchodzenie przepisów nie stanowią dziś większego problemu. Dlatego niezwykle ważne jest wprowadzenie takiego prawa, które skutecznie uniemożliwiałoby wykorzystywanie kradzionych danych tym samym pozbawiając sensu np. ataki phishingowe.

Świadomość zagrożeń kluczowa dla firm

Technologia to tylko jeden z aspektów obszaru cyberbezpieczeństwa. Zagrożenie zazwyczaj przychodzi z zewnątrz, ale przyczyną jego skuteczności może być nieświadomość czy zbytnia nonszalancja w podejściu do kwestii ochrony danych czy tożsamości. - Nie da się mówić o cyberbezpieczeństwie w gospodarce, jeśli nie mamy przeprowadzonej analizy bezpieczeństwa w firmie. Największym problemem w hybrydowej walce z gospodarką jest kompletne zlekceważenie bądź nieświadomość, przejawiana bardzo często przez kierownictwo firm. Zdarzają się przypadki, że w firmach konsekwencje złej polityki ponoszą pracownicy, a nie osoby zarządzające – zaznaczył Wiesław Paluszyński, prezes Polskiego Towarzystwa Informatycznego.

O aspektach tej nieświadomości w organizacjach oraz różnicach pomiędzy firmami państwowymi a prywatnymi opowiedział kolejny uczestnik debaty, prezes firmy ComCERT. – Jeszcze kilka lat temu przepaść pomiędzy firmami z sektora prywatnego a tymi państwowymi w obszarze technologii czy bezpieczeństwa cyfrowego była ogromna. Dziś te różnice się zacierają. Dostrzegam bardzo duże braki w kwestii cyberbezpieczeństwa na rynku prywatnym. Oczywiści nie można generalizować. Są podmioty świetnie przygotowane i zabezpieczone. Z drugiej strony mamy podmioty o niewielkiej świadomości. Niezależnie czy są państwowe, czy prywatne – zauważył Krzysztof Dyki.

Nie jest też tak, że wielkie firmy wydają ogromne pieniądze na zabezpieczenia, a małe firmy tego nie robią. Wszystko zależy od wprowadzonej polityki cyberbezpieczeństwa i świadomości konsekwencji związanych z utratą danych czy ich zablokowanie. Niezależnie od poziomu zabezpieczeń zarówno rynek prywatny, jak i państwo polskie, mają dużo w tym obszarze do nadrobienia. Pojawiają się też jednak istotne różnice. – W podejściu firm prywatnych widzę o wiele większą refleksję i zrozumienie istoty problemu: na co i dlaczego jesteśmy narażeni. Ze strony państwa tego mi brakuje – wskazał Krzysztof Dyki.

Brak odpowiednich narzędzi od lat pogłębia problem

Prezes firmy ComCERT zauważył ponadto, że polskie państwo nie posiada zdolności i narzędzi do analizy bezpieczeństwa oprogramowania czy urządzeń, które w danych przedsiębiorstwach państwowych mogą być użytkowane. Powstaje zatem pytanie, dlaczego tej pory nie pojawiały się rozwiązania, które umożliwiałyby taką analizę. – Mowa tu o rozwiązaniach typu enterprise klasy przedsiębiorstwa. Nasze państwo nie ma zdolności do oceny takich rozwiązań. Rynek prywatny może wynająć dowolne podmioty, zlecać, szukać w Polsce, jak i za granicą. Niestety państwo takich możliwości nie ma – poinformował ekspert.

Dzięki posiadaniu odpowiednich narzędzi, założenia i rozwiązania zawarte w nowelizacji Krajowego Systemu Cyberbezpieczeństwa byłyby realizowane bardziej skuteczne i transparentne. Dostawca wysokiego ryzyka byłby definiowany na podstawie swoich działań i posiadanych rozwiązań, a nie z politycznego klucza. Pozostaje oczywiście pytanie, dlaczego nie posiadamy tych umiejętności. Być może kluczowym problemem jest kapitał intelektualny. Państwo powinno go poszukiwać, ale … – Tu się nic nie dzieje. Nie posiadamy tego kapitału, nie chronimy go i nie zarządzamy — podsumował Krzysztof Dyki.

Globalizacja i wyścig zbrojeń

W podsumowaniu debaty znalazły się rekomendacje, jakie działania należy wprowadzić, by sytuacja w obszarze cyberbezpieczeństwa była lepsza. Dróg do tego celu jest wiele, nie wszystkie są proste i jednoznaczne. Nie da się spoglądać na cyberbezpieczeństwo jedynie przez pryzmat incydentów, ataków czy zdarzeń. Ważne są przyczyny.

- Sektor cyberprzestępczy ma dwa wymiary. Pierwszy, techniczny, który obejmuje zakres od prostych oszustw za pomocą telefonów komórkowych po bardzo zaawansowane rozwiązania. Niestety ani firma, ani obywatel, ani państwo nie są w stanie zapanować nad obszarem cyberbezpieczeństwa w pełni. Tu trwa wyścig zbrojeń, kto jest szybszy. Natomiast należy pamiętać, że cyberbezpieczeństwo to przecież skrzydło cyberinnowacyjności. Technika jest identyczna, tylko cel, kierunek, interes, stosunek do prawa, zaplecze mogą być zróżnicowane — zauważył Józef Orzeł, Przewodniczący Rady Cyfryzacji.

"Agencja Cyberbezpieczeństwa" ma pomóc Polsce

Świat poddawany globalizacji to ważny element całej układanki. Uczestniczy w niej wiele podmiotów, także chińskie, rosyjskie czy amerykańskie rządy i firmy, które zajmują się zarówno cyberbezpieczeństwem, jak i stoją za cyberatakami. Pomiędzy tymi podmiotami pojawiają się różnice, które wpływają na ich styl i sposoby działania. Jak zauważa Orzeł, Polska, jako z jednej strony państwo sprzymierzone z Zachodem, ale i utrzymujące stosunki z Chinami czy Rosją, powinna starać się być ważnym elementem zapewnienia bezpieczeństwa, także w wymiarze globalnym. Niestety brakuje do tego odpowiednich narzędzi. Pierwszą kwestią jest brak organu rządowego, zajmującego się cyberbezpieczeństwem, jak to ma miejsce w USA czy Wielkiej Brytanii. - Roboczo nazywamy ją „agencją cyberbezpieczeństwa” – wskazał Przewodniczący Rady Cyfryzacji.

Przyszłe wyzwania wobec cyberbezpieczeństwa

Zadaniem tego nowego organu będzie stworzenie podstaw m.in. w zakresie edukacji, zarówno obywateli, państwowych instytucji czy spółek, a także podmiotów prywatnych. Także odpłatnie. Ale to nie koniec, ponieważ agencja taka będzie mogła uczestniczyć w globalnej współpracy w sektorze cyberbezpieczeństwa, zarówno z obozem zachodnim, jak i Chinami, a może nawet Rosją.

Nowo powstały organ będzie mógł również zająć się organizacją wspominanego podczas debaty kapitału intelektualnego, odpowiednich kadr, pozyskiwaniem ekspertów, tworzeniem odpowiednich struktur i infrastruktury. Byłby tez możliwym graczem na arenie międzynarodowej, biorącym udział we współpracy w tym poddanym globalizacji, ale nadal podzielonym ze względu na interesy różnych państw świecie.

Na koniec debaty Przewodniczący Rady Cyfryzacji zauważył, że stoimy u progu pojawienia się nowego cyfrowego świata, w którym ludzie będą spędzać większość swojego czasu. Odniósł się tu do planów uruchomienia metaverse przez Facebooka. Dlatego już dziś należy na poziomie międzypaństwowym myśleć o takich kwestiach, jak bezpieczeństwo tego świata i jego użytkowników. Być może nawet powinna pojawić się odpowiednia policja, zarządzająca cyberbezpieczeństwem.

Podobnie jak w przypadku obecnego świata, największym zagrożeniem będzie kradzież danych. O ile w dzisiejszym świecie jest ona poważnym aspektem skutkującym wyłudzeniami i kradzieżą pieniędzy, o tyle w nowej cyfrowej rzeczywiści będzie kluczowa. Dlatego niezwykle ważna jest edukacja. Pozostaje jeszcze kwestia, czy tak jak w dzisiejszym świecie po te dane nie będą chcieli schylić się cyberprzestępcy, ale też państwa. Być może to Chiny, które mają większe możliwości, więcej obywateli oraz mniej zaawansowane prawo odnoście bezpieczeństwa danych, wygrają wyścig zbrojeń z Zachodem i z Rosją.

Debata odbyła się 9 listopada 2021 roku w Centrum Prasowym PAP.

Debatę „Cyberbezpieczeństwo w gospodarce” zorganizował Instytut Jagielloński