Ochrona przed cyberatakami

Skutkiem ataku cybernetycznego na przemysł czy infrastrukturę krytyczną są nie tylko straty finansowe czy reputacyjne. Może to być paraliż wielkich instytucji finansowych i całych sektorów gospodarki – przyznali zgodnie uczestnicy debaty „Cyberbezpieczeństwo przemysłu i infrastruktury krytycznej – czy jesteśmy przygotowani?", zorganizowanej przez PZU przy okazji Forum Ekonomicznego w Krynicy-Zdroju. Prezes PZU Paweł Surówka zaproponował budowę systemu ochrony i wzajemnego ostrzegania.

Świadomość zagrożeń związanych z cyberatakami nie idzie w parze z adekwatnymi działaniami.

– W porównaniu do innych krajów cyberbezpieczeństwo w polskich spółkach to dziedzina niedoinwestowana – diagnozował prezes Surówka. Ostrzegał, by z podjęciem działań nie czekać na potężny cyberatak.

Uczestnicy debaty byli zgodni, że na niebezpieczeństwo takiego ataku jesteśmy narażeni w każdej chwili. Ich liczba rośnie w całej Europie. W Niemczech, jak mówił Stefan Deutscher z Boston Consulting Group – w pierwszym półroczu tego roku odnotowano aż 154 ataki cybernetyczne na infrastrukturę krytyczną.

Deutscher powołał się na opinię wieloletniego szefa CISCO Johna Chambersa, według którego firmy dzielą się na dwie kategorie: te, które padły ofiarą cyberataków, i te, które padły ofiarą cyberataków, ale jeszcze o tym nie wiedzą. Według Deutschera straty wynikające z cyberprzestępczości przekraczają już na świecie 600 mld dol. rocznie.

Konieczne inwestycje

Według prezes PERN Igora Wasilewskiego ok. 70 proc. firm w Polsce przyznaje, że miał u nich miejsce co najmniej jeden cyberincydent.

– To są ci odważni, którzy mówią, że wiedzą i że nad tym pracują – podkreślał prezes PERN.

Zwrócił jednak uwagę, że cyberbezpieczeństwo to nie tylko kwestia odpowiedniej infrastruktury, ponieważ „najsłabszym ogniwem bywa często człowiek".

– Ludzka ciekawość, kliknięcie w jakiś link, powoduje, że otwieramy drzwi komuś, kogo nie chcemy – powiedział Igor Wasilewski.

Polska, według Stefana Deutschera z Boston Consulting Group, wydaje na cyberbezpieczeństwo o połowę mniej niż reszta świata, a wzrost tych nakładów na poziomie 5 proc. rocznie także jest niższy niż średnia dla innych krajów. Mimo to – jak zapewniał minister informatyzacji Marek Zagórski – jesteśmy przygotowani do walki z cyberzagrożeniami pod względem instytucjonalnym. Przyjęta dzięki jego resortowi ustawa o krajowym systemie cyberbezpieczeństwa wyraźnie określa kompetencje w tej dziedzinie.

Potrzebna współpraca

Minister Zagórski podkreślał jednocześnie, że walka z cyberprzestępczością wymaga działań ponadnarodowych.

– Dziś w Unii Europejskiej średni czas reakcji na incydent to 120 dni. To najlepszy dowód na to, że potrzebujemy ponadnarodowego, ogólnoeuropejskiego programu podnoszenia świadomości w zakresie cyberbezpieczeństwa. Nie jesteśmy w stanie, jako pojedyncze państwa, w pełny sposób samodzielnie się obronić – argumentował minister.

Stefan Deutscher dodał, że dotyczy to także pojedynczych firm.

– Żadna firma nie może zaradzić zagrożeniu cybernetycznemu w pojedynkę. Jedyną możliwością nie jest konkurencja, lecz współpraca – powiedział Stefan Deutscher.

Zwracał uwagę, że konsekwencje cyberataku to nie tylko kradzież danych czy złamanie haseł, ale również zaburzenie funkcjonowania gospodarki, gdy dojdzie do ataku na infrastrukturę krytyczną.

PZU proponuje wspólny system

– Czy takie zagrożenie cybernetyczne można ubezpieczyć? Tak. Czy to jedyne rozwiązanie? Nie – mówił prezes PZU Życie Roman Pałac. Takim nowym rozwiązaniem mógłby być „ekosystem ochrony" poszczególnych sektorów polskiej gospodarki przed cyberatakami.

– Brakuje mechanizmu, który pozwoliłby spółkom na bezpieczne dzielenie się wiedzą o zagrożeniach i atakach, a także skuteczną obronę i ograniczanie strat, jeśli dojdzie do ataku – zwrócił uwagę prezes PZU Paweł Surówka.