UE chce zmusić firmy do obrony przez cyberatakami. Będą kary

Co druga firma może upaść przez cyberatak. UE chce je więc przymusić do obrony w sieci. Ma też bat na maruderów.

Publikacja: 11.04.2023 03:00

UE chce zmusić firmy do obrony przez cyberatakami. Będą kary

Foto: Stock Adobe

Przy obecnym tempie wzrostu cyberprzestępczości szkody spowodowane takimi atakami do 2025 r. sięgną globalnie ponad 10 bln dol. rocznie. To o 300 proc. więcej niż dekadę temu – alarmują analitycy McKinsey.

Najbardziej zagrożone są małe firmy – dotyczy ich nawet 60 proc. ataków. A gdy do tego dodamy fakt, że ponad połowa europejskich małych biznesów upada w pół roku po poważnym włamaniu do systemów informatycznych, obraz pożogi się dopełnia.

Czytaj więcej

Polska bombardowana przez rosyjskich hakerów

Zaczną ginąć ludzie

– Firmy muszą chronić się przed cyberzagrożeniami, a nie spychać wydatki na zabezpieczenia na dół budżetowych tabelek. Wpisywałbym raczej kwoty potrzebne na ochronę cyfrowych zasobów w rubryce „inwestycje” – mówi Tomasz Dwornicki, prezes spółki Hostersi. I wskazuje, że rośnie liczba ataków ransomware, których ofiarami padają małe biznesy. – Na kontach mają więcej środków niż prywatny użytkownik i zdecydowanie więcej danych cyfrowych, a stopień zabezpieczeń w przypadku wielu firm nie jest nawet podstawowy – tłumaczy.

Potwierdza to Aleksander Kostuch, ekspert w firmie Stormshield. Jak twierdzi, na rynku pokutuje pogląd „mojego biznesu to nie dotyczy”. – O jego nieprawdziwości przekonujemy się dopiero wtedy, gdy sami doświadczymy ataku – dodaje.

Krzysztof Wójtowicz z ICsec jest bardziej dosadny: – To tak, jakby mieć pewność co do tego, że podczas najbliższej powodzi woda zaleje nasz dom, i jednocześnie przyznać, że nie jesteśmy gotowi na odparcie żywiołu. – Wojna cybernetyczna jest wojną totalną. Dzisiaj każda firma przemysłowa znajduje się na polu bitwy, a każde urządzenie produkcyjne podłączone do sieci może stać się celem – ostrzega.

Bruksela zamierza stawić jednak hakerom opór i przymusić maruderów do działania. Zobliguje firmy do wprowadzenia zabezpieczeń przed cyberatakami. Na dostosowanie systemów informatycznych przedsiębiorstwa mają nieco ponad rok. Jeśli tego nie zrobią, grożą im wysokie kary: do 10 mln euro lub równowartość 2 proc. rocznego obrotu.

Chodzi o dyrektywę NIS2, która przebudowuje europejski schemat infrastruktury krytycznej i cyfrowej – zwiększy wymagania w sferze cyberbezpieczeństwa i rozszerzy zakres podmiotów zobowiązanych do ich stosowania. NIS2 obejmie średnie i duże podmioty m.in. z branż energetycznej, transportowej, telekomunikacyjnej, dostawców danych, a także platformy mediów społecznościowych i instytucje ochrony zdrowia.

Szczególnym wyzwaniem jest ten ostatni sektor, który obecnie jest jednym z kluczowych celów hakerów. – Wiele organizacji opieki zdrowotnej dobrze zarządza ryzykiem, ale brakuje im kompleksowej polityki cyberbezpieczeństwa, która zapewniałaby odporność na zagrożenia – komentuje Wojciech Głażewski, dyrektor firmy Check Point w Polsce.

Jak wyjaśnia, poziom tych zagrożeń nieustannie rośnie, a konsekwencje mogą być coraz poważniejsze. Jakie? Z raportu „Global Security Outlook 2023” Światowego Forum Ekonomicznego wynika, że jeśli poziom zabezpieczeń przemysłu i infrastruktury krytycznej nie ulegnie poprawie, do 2025 r. przez hakerów zaczną ginąć ludzie.

Bolesny deficyt

To NIS2 ma zabezpieczyć czułe punkty UE na wypadek zagrożeń porządku publicznego. Wprowadza obowiązek tworzenia wewnętrznych centrów bezpieczeństwa, monitorujących incydenty i zagrożenia, odpowiedzialnych za zarządzanie kryzysami, obliguje do opracowania odpowiednich polityk oraz procedur testowania i audytów, a także implementację rozwiązań technologicznych adekwatnych do ryzyka. Wyzwaniem stanie się obowiązek posiadania najnowszych systemów zabezpieczeń „aktualnych do stanu wiedzy i proporcjonalnych do ryzyka związanego z konkretną działalnością”. Eksperci twierdzą, że kluczem będzie zastosowanie systemów nie tylko detekcji incydentów, ale też prewencji i szybkiego reagowania.

Nie będzie to jedyne wyzwanie – spełnienie wymogów dyrektywy wymaga odpowiedniej liczby specjalistów IT, a tych w kraju brakuje. Wedle Polskiego Instytutu Ekonomicznego deficyt sięga 150 tys. osób. Branżowa organizacja SoDa uważa, że jest ona nawet dwa razy większy. – Antidotum może być wejście do branży osób spoza niej. Część obowiązków związanych z implementacją NIS2 nie wymaga twardych umiejętności technicznych. Dokumentacja tworzona wokół ryzyk ze sfery cyfrowego obszaru działania firm czy raportowanie incydentów to domeny, które takie osoby mogą realizować – przekonuje Aleksander Kostuch.

Przy obecnym tempie wzrostu cyberprzestępczości szkody spowodowane takimi atakami do 2025 r. sięgną globalnie ponad 10 bln dol. rocznie. To o 300 proc. więcej niż dekadę temu – alarmują analitycy McKinsey.

Najbardziej zagrożone są małe firmy – dotyczy ich nawet 60 proc. ataków. A gdy do tego dodamy fakt, że ponad połowa europejskich małych biznesów upada w pół roku po poważnym włamaniu do systemów informatycznych, obraz pożogi się dopełnia.

Pozostało 89% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Biznes
Rewolucyjny lek na odchudzenie Ozempic może być tańszy i kosztować nawet 20 zł
Biznes
Igor Lewenberg, właściciel Makrochemu: Niesłusznie objęto nas sankcjami
Biznes
Wojna rozpędziła zbrojeniówkę
Biznes
Standaryzacja raportowania pozafinansowego, czyli duże wyzwanie dla firm
Biznes
Lego mówi kalifornijskiej policji „dość”. Poszło o zdjęcia przestępców