Pandemia znacząco przyspieszyła transformację cyfrową – digitalizacja dotyczy każdego, obywatela, przedsiębiorcy i państwa. Jak powinna wyglądać współpraca na rzecz cyberbezpieczeństwa w Polsce?
Łukasz Gawron
Prezes Polskiego Klastra Cyberbezpieczeństwa #CyberMadeInPoland
Dlaczego obecnie tak ważna jest suwerenność cyfrowa?
Jest ona tak samo ważna, jak suwerenność rozumiana w tradycyjny sposób. Budowanie krajowych zdolności w sferze cyfrowej jest wręcz strategiczne z punktu widzenia państwa, gdyż żyjemy w niepewnych czasach, gdzie m.in. przerwane są łańcuchy dostaw. Właśnie dlatego kluczowe jest, by nasz kraj był odporny na tę sytuację i budował krajowe zdolności w sferze cyfrowej, w tym również w kontekście cyberbezpieczeństwa. Dzięki suwerenności cyfrowej możemy uniknąć różnego rodzaju zagrożeń, w tym np. cyberataków na kluczowe sektory państwowe.
Należy jednak podkreślić, że cybersuwerenność powinna być postrzegana nie tylko przez pryzmat ochrony państwa, ale również ochrony obywateli w cyberprzestrzeni. Tym samym jest ona kluczowa zarówno dla bezpieczeństwa narodowego, ale jest też szansą dla wzmacniania pozycji krajowych dostawców, którzy mogą ją budować i wdrażać, prowadząc do wzrostu konkurencyjności krajowych przedsiębiorców na krajowym i globalnym rynku cyberbezpieczeństwa, a co za tym idzie wzrostu innowacyjności i podnoszenia poziomu bezpieczeństwa państwa.
W związku z digitalizacją na cyberataki narażone są zarówno osoby prywatne, jak i firmy oraz szeroko rozumiane państwo. Jakie zmiany należy wdrożyć i jakie wyzwania się z nimi wiążą w kontekście wspierania polskiego cyberbezpieczeństwa?
Kluczowym elementem jest budowanie świadomości użytkowników, gdyż z raportów jasno wynika, że nawet 98 proc. cyberataków możemy udaremnić wdrażając odpowiednią cyberhigienę. W mojej opinii to człowiek jest najsłabszym ogniwem systemu cyberbezpieczeństwa, dlatego też inwestycja np. w szkolenia i kampanie społeczne jest zawsze trafiona. Właśnie dlatego należy wyposażyć użytkowników cyberprzestrzeni w wiedzę na temat m.in. potencjalnych zagrożeń, stosowanych technologii i możliwości ochrony. Ponadto trzeba zdać sobie sprawę, że niezwykle istotne w tym kontekście jest inwestowanie w rodzime technologie, które mogą być konkurencyjne w stosunku do zagranicznych rozwiązań. Do tego dochodzą również regulacje, które powinny być aktualizowane i jak najszybciej wdrażane, aby systematycznie podnosić poziom krajowego cyberbezpieczeństwa. Tutaj jednak wyzwanie stanowi dialog między sektorem prywatnym i państwowym.
W 2021 r. aż 64 proc. polskich firm miało co najmniej jeden incydent dotyczący cyberbezpieczeństwa. Jak przedsiębiorstwa mogą chronić się przed cyberatakami?
To prawda, w okresie pandemii, gdy wiele osób pracowało zdalnie, cyberataki nasiliły się zarówno w firmach, jak i wśród osób prywatnych. Aby się przed nimi chronić, konieczne jest wdrożenie szkoleń dotyczących cyberbezpieczeństwa – dzięki temu niskim kosztem można zadbać w o kompetencje cyfrowe pracowników. Następnie warto zainwestować w konkretne rozwiązania technologiczne budujące silne IT firmy, jednak przed podjęciem decyzji warto wykonać analizę ryzyka, która pomoże wybrać zabezpieczenia dopasowane do potrzeb firmy. Według mnie zawsze warto też wprowadzić w organizacji rozwiązania takie jak: uwierzytelnienia dwuskładnikowe, systematyczne i automatyczne tworzenie kopii zapasowych, monitoring sieci firmowej, kontrola dostępu do konkretnych danych itp.
Czy konieczne jest również wprowadzenie kolejnych zmian legislacyjnych?
Uważam, że te które są, bądź też są planowane w niedalekiej przyszłości, są wystarczające i to zarówno na poziomie europejskim, jak i krajowym. Warto zauważyć, że aktualizacje obowiązujących przepisów są dosyć częste, tak samo nierzadko wprowadzane są zupełnie nowe dyrektywy. Praktyka pokazuje też, że te regulacje są korzystne i faktycznie realnie wpływają na poziom cyberbezpieczeństwa. I tak np. niedługo czeka nas nowelizacja ustawy, jednak według mnie nie będzie ona rewolucyjna – nowe zapisy będą raczej delikatną zmianą i aktualizacją, co według mnie jest też odpowiednim działaniem. Przed nami ogromne wyzwanie związane m.in z implementacją dyrektywy NIS2, Cyber Resilience Act czy nawet legislacji związanej z usługami zaufania i tożsamością cyfrową eIDAS2.
Jak powinna wyglądać ścisła współpraca na rzecz polskiego cyberbezpieczeństwa, zarówno w sektorze prywatnym, jak i państwowym?
W obecnej sytuacji, gdzie popyt na rozwiązania z zakresu cyberbezpieczeństwa jest na historycznie wysokim poziomie, jest to doskonała okazja do tego, by rynek cyberbezpieczeństwa rósł przy współudziale polskich firm. Aby tak jednak było, potrzebna jest ścisła współpraca pomiędzy państwem (podmiotami na szczeblu centralnym i lokalnym), przemysłem oraz sektorem prywatnym i akademickim. Konieczne jest zacieśnienie dialogu oraz stworzenie programów dedykowanych rozwojowi cyberbezpieczeństwa w Polsce. Według mnie właśnie taki sojusz może przyczynić się do tworzenia innowacyjnych rozwiązań, ale przede wszystkim do wdrażania ich w konkretnych sektorach, w tym prywatnym, publicznym czy wojskowym. Mam wrażenie, że na tym polu nadal mamy wiele do zrobienia. Ponadto potrzebna jest internacjonalizacja promocji polskich rozwiązań za granicą, abyśmy nie byli tylko biorcami, ale i również twórcą technologii, co przyczyni się do prężnego rozwoju sektora prywatnego. Istotne jest też, by współpracować z instytutami badawczymi i administracją publiczną nad certyfikacją polskich rozwiązań, co podniesie konkurencyjność polskich firm na rynku europejskim.