Wicepremier Gawkowski mówił o wyjątkowym momencie, w jakim znalazła się Polska. – To jest próba wzbudzenia chaosu wśród obywateli, która kiedyś musi się skończyć – powiedział.
Najmocniejsze słowa padły jednak później. Wicepremier nie pozostawił złudzeń co do oceny sytuacji bezpieczeństwa państwa. – Polska nie uniknie dużego cyberataku. Prędzej czy później on się wydarzy – stwierdził.
Jak dodał, Polska była już „najbliżej kontaktu z czarnym scenariuszem” pod koniec ubiegłego roku, gdy – według jego relacji – ataki mogły sparaliżować energetykę kraju. – Gdyby spadła bomba na elektrociepłownię… to mielibyśmy wojnę czy nie? – pytał retorycznie. – A tutaj mieliśmy wojnę w postaci tego, że bomby (w cyberprzestrzeni – red.) leciały na 30 elektrowni… i my je powstrzymaliśmy – opowiadał.
Wicepremier konsekwentnie rozwijał tezę o wojnie hybrydowej, w której cyberataki, dezinformacja i sabotaż tworzą jeden spójny system nacisku. – Mamy połączenie wojny ofensywnej w cyberprzestrzeni na poziomie infrastruktury krytycznej i wojny o wpływy w „infosferze” – podkreślił. Według niego kluczowym problemem nie jest tylko technologia, ale świadomość społeczna. – My dzisiaj największy problem mamy z mentalnym i społecznym przekonaniem się, że jesteśmy na cyberwojnie – zaznaczył minister cyfryzacji.
Gawkowski wskazał również na ogromną dysproporcję między wydatkami militarnymi a cyberbezpieczeństwem cywilnym. – Na polską armię wydajemy 200 mld zł, a na cyberbezpieczeństwo około 5 mld zł – wyliczył.
Cyberprzestrzeń nie zna granic
Na debacie nie zabrakło także spostrzeżeń przedstawicieli środowiska wojskowego. Obecny na debacie gen. Mieczysław Bieniek, polski wojskowy w stanie spoczynku i ekspert ds. bezpieczeństwa i strategii NATO, zwrócił uwagę na fundamentalną zmianę charakteru pola walki. – Cyberprzestrzeń jest czymś, co należy do nas wszystkich. Cyberprzestrzeń nie zna granic – mówił.
Generał przypomniał przykłady globalnych operacji cybernetycznych, wskazując m.in. na ataki na infrastrukturę Iranu czy USA. – To jest pole bitwy, które może spowodować straty olbrzymie jeszcze bez wybuchu wojny – mówił.
Wskazał również na zależność współczesnych systemów militarnych od infrastruktury cyfrowej. – Gdyby nie było zasilania, nie byłoby radarów, nie byłoby systemów dowodzenia – wymieniał.
Inwestycja, nie koszt
Z uwagą sytuacji wokół cyberbezpieczeństwa państwa przygląda się branża ubezpieczeniowa. Jak podkreślał obecny na debacie prezes PZU Bogdan Benczak, bezpieczeństwo cyfrowe powinno być traktowane jako podstawowy element działalności firm, a nie dodatkowy wydatek. Jego zdaniem państwo powinno wyznaczać obowiązkowe standardy ochrony. – Państwo też może wyznaczać pewne standardy cyberbezpieczeństwa, gdzie ktoś będzie zobowiązany do ich przestrzegania – zaznaczył.
Szef PZU zwrócił uwagę na niską świadomość i ostrożność inwestycyjną przedsiębiorców z sektora MŚP i podkreślił znaczenie działań prewencyjnych. – Przedsiębiorcy, gdy mają wydać pieniądze, często odkładają cyberbezpieczeństwo na dalszy plan. Trzeba tłumaczyć, że telefon czy nawet samochód mogą być bronią – tłumaczył.
Edukacja kluczem do bezpieczeństwa
Dla przedstawicieli biznesu nie ulega wątpliwości, że fundamentem wzmacniania cyberbezpieczeństwa jest właściwe zrozumienie roli użytkownika.
Wojciech Mach, wiceprezes i dyrektor finansowy Comarch, wskazał, że cyberbezpieczeństwo dotyczy milionów użytkowników systemów firmy i wymaga ciągłej aktualizacji oraz edukacji. – Nasze systemy muszą być bezpieczne, zawsze aktualizowane i projektowane z myślą o przyszłości – mówił.
Podkreślił on też konieczność obowiązkowych szkoleń i wskazał na duży potencjał polskich specjalistów z branży IT. – Pomysł obowiązkowego szkolenia, które uświadamia skalę zagrożeń, jest dziś bardzo mądry – zaznaczał.
W podobnym duchu wypowiadał się Mariusz Aksamit, Head of Cloud Delivery Domain w firmie Billenium, który wskazywał, że systemy IT są coraz lepiej zabezpieczone, ale problemem pozostaje użytkownik, a wiele danych wycieka nie wskutek ataków, lecz błędów ludzi. Zwracał on uwagę na niską świadomość w MŚP oraz traktowanie cyberbezpieczeństwa wyłącznie przez pryzmat kosztów i kar, podczas gdy kluczowa jest ich nieuchronność.
Adam Dubiel, Chief Product & Technology Officer w XTB, zwracał z kolei uwagę, że bezpieczeństwo musi być proste i niewidoczne dla użytkownika. Krytykował podejście oparte wyłącznie na zakazach. – Ludzie i tak to obejdą – mówił.
Wskazał także na problem deepfake’ów i fałszywych reklam inwestycyjnych oraz niewystarczającą reakcję platform społecznościowych.
W tym kontekście Radosław Nielek, dyrektor w NASK, zwrócił uwagę, że Meta czy Alphabet to przede wszystkim firmy reklamowe, i apelował o dialog między polityką a biznesem w tym zakresie.
Rosnąca liczba cyberataków i zagadnienia związane ze wzmacnianiem odporności w cyberprzestrzeni są jednym z głównych zagadnień dla firm z branży telekomunikacyjnej czy technologicznej.
Michał Ziółkowski, członek zarządu ds. technologii w Play, podkreślił, że operator codziennie mierzy się z ogromną skalą zagrożeń – nawet kilkunastoma tysiącami ataków na infrastrukturę. Zwrócił uwagę na rosnącą złożoność cyberataków, w tym ataków DDoS prowadzonych z wykorzystaniem ponad miliona adresów IP. Jak zaznaczył, kluczowym priorytetem operatorów jest zapewnienie ciągłości działania oraz jak najszybsze przywrócenie usług po skutecznym ataku.
O rosnącym zagrożeniu w cyberprzestrzeni mówił też Konrad Ślusarczyk, dyrektor w zespole Government Affairs w Visa, który ocenił, że sektor finansowy jest jednym z najlepiej przygotowanych na cyberzagrożenia. Jak opisał, w ciagu ostatnich pięciu lat Visa zainwestowała ok. 13 mld dol. w bezpieczeństwo sieci.
– Jesteśmy atakowani nieustannie, w każdej milisekundzie – mówił. Wskazał też rozwiązania na wypadek blackoutów, takie jak m.in. płatności offline i odroczona autoryzacja transakcji, z ograniczeniami kwotowymi i priorytetem dla podstawowych usług, które Visa wspiera budując na wielu rynkach europejskich wraz z innymi uczestnikami rozwiązania zabezpieczające infrastrukturę płatniczą.
Cyberbezpieczeństwo na poziomie firm
Zagrożenia w cyberprzestrzeni z niepokojem obserwują przedstawiciele małych i średnich firm. Anna Piechocka, dyrektor zarządzająca w firmie DAGMA, wskazała, że największą luką nie jest technologia, lecz zarządzanie i brak świadomości kadry kierowniczej, a w wielu instytucjach obszar IT jest niedoinwestowany lub traktowany formalnie. Podkreśliła ona również szczególne ryzyko dla lokalnych przedsiębiorstw infrastrukturalnych.
Podobnego zdania był Adam Lizończyk, CEE Zone Power & Grid Segment Director w firmie Schneider Electric, który stwierdził, że cyberbezpieczeństwo dotyczy całej organizacji, nie tylko IT. Zwrócił uwagę na ryzyko wynikające z systemów IoT i infrastruktury energetycznej. Jak podał, badania firmy pokazały, że tylko 25 proc. firm wdrożyło podstawowe w tym zakresie działania na rzecz wzmocnienia bezpieczeństwa.
Ryzyko cyfrowego blackoutu
Brak prądu to dziś nie tylko problem energetyczny, ale początek efektu domina, który może sparaliżować państwa – od transportu, przez szpitale, po możliwość kupienia wody czy chleba. Na to zwrócił uwagę Witold Skomra, doradca i p.o. szefa Wydziału Ochrony Infrastruktury Krytycznej w Rządowym Centrum Bezpieczeństwa. Podczas debaty wskazywał na doświadczenia Hiszpanii jako ważne ostrzeżenie także dla Polski.
Jak podkreślał, hiszpański blackout pokazał trzyetapowy scenariusz kryzysu. Najpierw pojawił się problem z zasilaniem światłowodów, po kilku godzinach przestały działać systemy sterowania energetyką, a w konsekwencji doszło do realnej katastrofy humanitarnej: nie działały telekomunikacja, transport i usługi publiczne, a mieszkańcy nie mogli zdobyć podstawowych produktów. Jego zdaniem największym problemem nie był sam brak energii, lecz wzajemna zależność systemów. Jak dodał, RCB przygotowuje się na podobne scenariusze. Polska planuje własne stress testy, a równolegle procedowane są zmiany ustawowe związane z Krajowym Systemem Cyberbezpieczeństwa oraz odpornością podmiotów krytycznych.
Nowe przepisy mają wprowadzić m.in. obowiązkową ochronę informacji niejawnych przy przetargach związanych z bezpieczeństwem, certyfikację podwykonawców i większą kontrolę nad łańcuchem dostaw. Państwo chce też umożliwić obejmowanie dodatkowymi rygorami infrastruktury wskazywanej przez sam biznes jako krytyczna.
Biorąc pod uwagę ostrzeżenie doradcy RCB, Jarosław Helman, członek zarządu Emitel, podkreślał znaczenie tradycyjnych mediów w sytuacjach kryzysowych. Wskazał, że radio i telewizja działają nawet przy awarii internetu czy sieci komórkowych. – W Hiszpanii i Niemczech, mimo awarii systemów komunikacji jeden do jednego i problemów z internetem, radio i telewizja działały bez przerwy – wspominał. Jak dodał, Emitel rozwija systemy ostrzegania ludności oraz podkreśla znaczenie walki z dezinformacją. – Jest ona równie silnym narzędziem, jak atak wirusowy – mówił Helman.
Gotowość na moment krytyczny
W końcowym podsumowaniu głos zabrał ponownie wicepremier i minister Krzysztof Gawkowski. Odniósł się do przedstawionych analiz i podkreślił skalę nadchodzących zmian systemowych. – Zmiana samego systemu i tego, ile instytucji zostanie objętych nowym systemem, daje do myślenia – powiedział. Jak dodał, to jest olbrzymi efekt skali, przez który trzeba przejść.
Wicepremier podkreślił, że kluczowym wyzwaniem nie jest tylko technologia, ale zdolność koordynacji. – Musimy się widzieć wzajemnie i oddziaływać na siebie – dodał. Bez tego – jak ostrzegł – system może nie zadziałać w kryzysie.
Gawkowski wskazał, że fundamentem działań państwa jest Strategia Cyberbezpieczeństwa RP do 2029 r. – Szukamy odpowiedzi na to, jak dobrze się koordynować w czasach pokoju, ale i szykować się na sytuacje krytyczne. Najważniejsze pytanie pozostaje jednak otwarte: czy państwo będzie gotowe na reakcję w sytuacji krytycznej? – podsumował.
Spotkanie prowadził Paweł Czuryło, redaktor zarządzający Gremi Media
