Cyberprzestępczość staje się coraz większym zagrożeniem dla przedsiębiorców. Zjawisko to dotyczy nie tylko międzynarodowych koncernów. Jak wynika z raportu KPMG pt. „Barometr Cyberbezpieczeństwa” 64 proc. polskich firm uczestniczących w badaniu* odnotowało w ubiegłym roku przynajmniej jeden cyberincydent. Skuteczny atak hakerski może sparaliżować pracę nie tylko dużej organizacji, ale także mniejszej firmy. Na poprawę bezpieczeństwa wpływa nie tylko dbałość o prawidłowe zabezpieczenie i ich stały monitoring, ale również zgłaszanie tego typu zdarzeń odpowiednim organom. Duże zmiany w tym obszarze, także z perspektywy przedsiębiorców, przyniesie unijna dyrektywa NIS2 zaprezentowana przez Komisję Europejską.
Firmy zdane na siebie i specjalistyczne usługi
Rząd zapowiada, że najpóźniej w 2025 roku ma rozpocząć działalność Centralne Biuro Zwalczania Cyberprzestepczości. W założeniach CBZC będzie jednostką policji odpowiedzialną za rozpoznawanie, zapobieganie i zwalczanie cyberprzestępczości. Jej kadrę ma tworzyć 1800 specjalistów posiadających odpowiedni poziom wiedzy informatycznej oraz kompetencje w zakresie nowoczesnych technologii teleinformatycznych. Nim jednak biuro rozpocznie działalność przedsiębiorcy są zdani głównie na siebie i wdrażane w organizacji rozwiązania z obszaru cyberbezpieczeństwa. W Polsce nie ma obecnie instytucji publicznej, która zajmuje się doradzaniem małym firmom w zakresie zabezpieczeń sieciowych. Od kilku lat w ramach krajowego systemu cyberbezpieczeństwa istnieją zespoły reagowania na incydenty bezpieczeństwa komputerowego (tzw. CSIRT). Ich podstawową rolą jest jednak koordynowanie reakcji dla jednostek samorządowych i rządowych, a także działania analityczne i edukacyjne. Wkraczają one do akcji na przykład w wypadku ataków na infrastrukturę krytyczną, instytucje samorządowe czy organy administracji rządowej.
– Gdy jesteśmy osobą prywatną lub mniejszym przedsiębiorcą to odpowiedzialność za dobre zabezpieczenie zasobów firmowych przed atakiem spoczywa przede wszystkim na nas samych. Niestety nie jest tak, jak w przypadku pożaru, kiedy w sytuacji kryzysowej możemy liczyć na pomoc strażaków. Jeśli chodzi o szukanie pomocy to przedsiębiorcy w większości polegają na doradztwie specjalistycznych firm zajmujących się bezpieczeństwem IT. Podmioty te blisko współpracują z globalnymi dostawcami, korzystając tym samym z ich wiedzy i potencjału badawczego w zakresie cyberbezpieczeństwa. Taka forma kooperacji umożliwia dostęp do informacji na temat nowych rodzajów zagrożeń ze strony przestępców oraz do specjalistycznego doradztwa i szkoleń z zakresu skutecznej ochrony przed cyberzagrożeniami.
– mówi Piotr Zielaskiewicz, Stormshield.
Z wiedzy i analiz sektora prywatnego, który dominuje w zapewnianiu cyberbezpieczeństwa, korzystają również rządy. Przykładem takiej współpracy jest atak na elektrownię na Ukrainie sprzed kilku lat. O pomoc w analizie powłamaniowej i identyfikacji sprawców ukraińskie służby bezpieczeństwa oficjalnie prosiły firmę ESET, jednego z dostawców rozwiązań zabezpieczających.
Dyrektywa NIS2 wiele zmieni
Eksperci zwracają uwagę na przyspieszenie w ostatnich latach prób uregulowania kwestii bezpieczeństwa w cyberprzestrzeni na poziomie państwowym i międzynarodowym. Dla polskiej rzeczywistości mocnym katalizatorem zmian są dyrektywy europejskie. W grudniu ubiegłego roku Komisja Europejska zaproponowała nowy pakiet regulacji w sprawie cyberbezpieczeństwa tzw. dyrektywę NIS 2. Zgodnie z założeniami efektem jej przyjęcia powinna być większa harmonizacja przepisów z zakresu cyberbezpieczeństwa w Unii Europejskiej.
Państwa członkowskie będą miały obowiązek opracowania narodowego planu reagowania na kryzysy i incydenty o dużej skali. Jednocześnie dyrektywa rozszerza grono podmiotów kluczowych i istotnych z perspektywy cyberbezpieczeństwa, nakładając na nie określone obowiązki. Zalicza do nich m.in. podmioty z sektora energetycznego, transportowego, bankowego, finansowego czy zdrowotnego, a także dostawców usług przetwarzania w chmurze obliczeniowej, usług zaufania czy serwisów społecznościowych i usług pocztowych, którzy wcześniej w ogóle nie podlegali tego rodzaju regulacjom. Przepisy dyrektywy wskazują minimum środków, które objęte przepisami podmioty będą musiały spełnić, zaliczając do tego katalogu m.in. prowadzenie analizy ryzyka, zapewnienie bieżącej obsługi incydentów czy korzystanie z kryptografii i szyfrowania. Wprowadzą również kary finansowe za nierealizowanie obowiązków, które będą wynosić co najmniej 10 milionów EUR lub do 2 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego która kwota jest wyższa.
– Wprowadzenie dyrektywy NIS2 uświadomi polskim przedsiębiorcom, że zagrożenie związane z cyberatakiem jest bardziej realne niż kiedykolwiek wcześniej. Naturalną rzeczą są przy tym obawy co do tego, jak skutecznie zabezpieczyć firmę przed zagrożeniami płynącymi z sieci. Niezależnie od daty wprowadzenia jej w życie już dziś trzeba zaznaczyć, że wdrożenie skutecznej ochrony sieci firmowej nie sprowadza się do zakupu dedykowanych do tego urządzeń. Stoi za tym także szereg innych działań – przyjęcie i przestrzeganie odpowiedniej polityki bezpieczeństwa, kwestie związane z zatrudnieniem specjalistów, którzy będą za tę dziedzinę odpowiedzialni czy ewentualna zmiana obecnej infrastruktury IT, jeśli dotychczasowa jest przestarzała czy też niewystarczająca. By wprowadzić to wszystko potrzeba czasu i odpowiedniego budżetu. To trochę jak z przygotowaniami do ślubu, wybieramy wszystko z największą starannością, uwagą, sprawdzamy każdy najmniejszy element, by wszystko tego dnia było idealne. Podobnie jest ze skuteczną ochroną przez cyberprzestępcami, wszystko musi być przemyślane, odpowiednio dobrane i nadzorowane.
– zaznacza Piotr Zielaskiewicz.
Zgłoszenie cyberataku na policję – czy warto?
– Osobiście uważam, że warto. Choćby po to, aby budować świadomość instytucji i wiedzę o problemie, co pozwala lepiej antycypować przyszłe zdarzenia. Niestety z naszych doświadczeń wynika, że większość ataków nie jest zgłaszana, choć nie dysponuję szczegółowymi statystykami na ten temat. Często przedsiębiorcy koncentrują się po prostu na minimalizowaniu szkód i poprawianiu swoich technologii zabezpieczających. Obawiają się, że ewentualne śledztwo, konieczność dostarczania wielu dodatkowych informacji z wewnętrznych systemów informatycznych będzie dla nich ciężarem i dodatkową komplikacją, która niekoniecznie przybliży śledczych do osiągnięcia celu – komentujeekspert Stormshield.
Zdaniem ekspertów w ostatnim latach w Policji wiele się zmienia – rosną kompetencje wydziałów ds. walki z cyberprzestępczością. Proste oszustwa związane z Internetem (jak wyłudzenia na serwisach transakcyjnych czy ogłoszeniowych), których statystycznie jest bardzo wiele to domena, w której policja coraz częściej może wykazać się skutecznością. Jednak w wypadku poważnych ataków, wymagających zaawansowanej analizy, często pozostaje ona bezradna. Również dlatego, że ataki te niejednokrotnie mają ponadpaństwowy charakter i bez międzynarodowej współpracy służb niewiele można osiągnąć.
– Odnoszę jednak wrażenie rozwój technologii jest jeszcze szybszy i luka w kompetencjach między cyberprzestępcą a ścigającym go policjantem niekoniecznie się zmniejsza. Nie zmienia to jednak faktu, że należy cały czas podnosić kompetencje, zarówno w firmach, jak i instytucjach .
– dodaje Piotr Zielaskiewicz.
Zgłoszenia takich zdarzeń, również sygnały od osób prywatnych, przyjmuje także CERT NASK (Naukowej i Akademickiej Sieci Komputerowej), który odpowiada między innymi za monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym W ten sposób ma możliwość gromadzenia informacji dających lepszy obraz zagrożeń, na które narażeni są przedsiębiorcy.