Rozmowa z płk dr Piotrem Potejką, specjalistą w obszarze bezpieczeństwa, adiunktem Katedry Nauk o Bezpieczeństwie Instytutu Nauk Politycznych Uniwersytetu Warszawskiego, ekspertem Instytutu Staszica

Rośnie nasza wiedza, pojawiają się nowe metody ochrony, ale wraz z nimi nowe zagrożenia, m.in. cyberzagrożenia. Czy w związku z tym dzisiaj łatwiej czy trudniej jest dbać o to bezpieczeństwo ?

Budowanie bezpieczeństwa to budowanie wypadkowej różnych doświadczeń, które zbieramy, analizujemy i  to one pozwalają nam na wypracowanie szybkiej reakcji na to, co może nam zagrozić. Tak jest w  każdym przypadku, kiedy budujemy profesjonalny system zarządzania kryzysowego. Pytanie, czy kiedyś było łatwiej, czy teraz jest trudniej? Patrząc na liczbę zagrożeń, których zdecydowanie więcej pojawia się w obecnym świecie, to pod tym kątem jest trudniej. Natomiast spoglądając przez pryzmat nowych możliwości – nowoczesnych, technologii, szybkości komunikacji, to możemy powiedzieć, że budowanie bezpiecznej infrastruktury jest łatwiejsze niż wcześniej, gdy komunikacja była utrudniona, bo nie było takich możliwości, jakie są obecnie. Na pewno technologia działa dwukierunkowo: z jednej strony nam pomaga, a z drugiej nam szkodzi – chociażby już w tle przywołane elementy związane z cyberbezpieczeństwem. Jednak komunikacja, poprawiła szybkość działania, umożliwiła szybką reakcję na różnego rodzaju incydenty. Możliwości umiejętnego przeanalizowania ogromu informacji, które się wokół nas pojawiają, dają nam dobrą podstawę do podjęcia odpowiedniej decyzji. Do tego obserwacja wszystkiego, co dzieje się na świecie, zbieranie doświadczeń, powoduje, że możemy się znakomicie przygotować do ewentualnych zagrożeń, które już albo są u nas, albo gdzieś stoją na wirtualnej granicy naszego kraju. Zagrożenia cybernetyczne to ogromny problem dzisiejszego świata.

Cyberzagrożenia będą nam towarzyszyć, nie unikniemy tego. Ale mamy też problem pandemii. Czy oznacza nowe wyzwania w tym zakresie?

Pandemia spowodowała pewne ograniczenia i zmianę podejścia do realizacji niektórych zadań. Hasło, które regularnie się pojawia, to praca zdalna. Praca zdalna to ludzie, którzy są w domach i  muszą realizować swoje zadania służbowe. I  tu pojawia się pytanie: jak zabezpieczamy tę pracę? Wykorzystujemy tu np. swój sprzęt prywatny do celów służbowych. Jakie są wprowadzone polityki bezpieczeństwa, jakie przyjęto założenia pracy zdanej ? Na świecie wypracowano trzy modele: 1. sprzęt tylko służbowy, 2. rozwiązanie hybrydowe – sprzęt prywatny z  zabezpieczeniami służbowymi, 3. tylko sprzęt prywatny. Najbezpieczniejszy wydaje się model pierwszy, ale wiadomo, że są to olbrzymie koszty i też nie jesteśmy do tego do końca przygotowani. Myślę, że model hybrydowy, który pojawił się zarówno w administracji publicznej, jak i biznesie, jest najczęściej spotykanym obecnie. Wykorzystujemy sprzęt prywatny, ale mamy przygotowaną bezpieczną przestrzeń do pracy. To jedna strona takiego działania. Wraz z pandemią pojawił się dużo większy ruch sieciowy. Z badań firmy doradczej E&Y wynika, że w  ostatnim roku ponad 60% firm dotknęły różnego typu działania negatywne w przestrzeni. Wśród nich są też spółki wchodzące w  skład infrastruktury krytycznej naszego państwa. Skokowy wzrost ataków wynika m.in. właśnie ze zwiększonego ruchu sieciowego. Przestępcy zmienili miejsce działania i  przenieśli się do cyberprzestrzeni. Dlatego szybko uświadamiamy sobie, jak ważnym elementem w budowie bezpieczeństwa infrastruktury krytycznej jest cyberprzestrzeń. Niestety, tylko 20% zarządów ma świadomość konieczności przygotowania na cyberataki. Prawie 40% przedsiębiorstw w budowaniu planów działania, planów inwestycyjnych w ogóle nie uwzględnia cyberbezpieczeństwa. To jest przerażające, gdyż większość zdarzeń przestępczych przeniosła się do cyberprzestrzeni.

Jeżeli chodzi o obszar bezpieczeństwa, co w przyszłości będzie najważniejsze?

W przyszłości najważniejsze będą nowe technologie – to tendencja ujawniająca się we wszystkich branżach – w przemyśle i w administracji. Nowoczesne technologie dają nam przewagę konkurencyjną, rozwój. A skoro nowoczesne technologie, to nowe zagrożenia w  cyberprzestrzeni, gdyż rozwiązania te oparte są o  infrastrukturę teleinformatyczną, o cyberprzestrzeń. Priorytetem będzie też umiejętność pozyskiwania szerokiego spektrum danych i zdobywania tylko tych najistotniejszych i na ich podstawie budowanie wzorców bezpieczeństwa. Priorytet bezpieczeństwa to szeroka analiza danych.

Jak zagrożenia w cyberprzestrzeni mogą wpłynąć na funkcjonowanie firm/spółek ?

Firmy częściej myślą o cyberbezpieczeństwie Wraz z rozwojem pandemii zwiększyło się zainteresowanie przedsiębiorców tematem cyberbezpieczeństwa, przede wszystkim ze względu na większy odsetek osób pracujących zdalnie, a tym samym – wzrost zagrożenia atakiem hakerskim. Wpływ na to mają również wyzwania organizacyjne i zwiększony obieg dokumentacji online pomiędzy partnerami biznesowymi i klientami, wymuszony obostrzeniami i zmianą trendów. Narzędzia cyfrowe zapewniające bezpieczeństwo informacji wykorzystywane są szerzej zarówno w codziennej działalności, jak i w procesach strategicznych takich jak transakcje fuzji i przejęć, w których co raz częściej wykorzystuje się  takie narzędzia do przeprowadzenia takiego procesu.

Czy cyberataki mogą wpłynąć na obecną sytuację łączenia/fuzji firm?

Firmy cały czas narażone są na ataki ze strony cyberprzestępców, ale sprawa komplikuje się, gdy dochodzi do nich podczas procesu fuzji lub przejęcia przedsiębiorstw. Obecnie realizowany jest w Polsce wielki projekt fuzji firm. Dzięki połączeniu Orleniu, Lotosu i PGNiG, a także przejętej już wcześniej przez Orlen Energi, nowoutworzona firma będzie mogła stabilnie i szybko rozwijać się w kierunku wyznaczonym przez regulacje europejskie ale także aktywnie konkurować na rynkach światowych. Połączenie trzech dużych firm pozwoli utworzyć koncern bardziej stabilny pod względem finansowym, zdolny do szeroko zakrojonych działań inwestycyjnych.

Jednak organizacje przed dokonaniem transakcji powinny wziąć pod uwagę kwestie takie jak procedury bezpieczeństwa? Wśród przedstawicieli kadry kierowniczej cyberbezpieczeństwo jest kwestią zawsze budzącą poważne obawy – zarówno w trakcie, jak i po zakończeniu procesu łączenia i fuzji. W trakcie procesu odkrywają problemy z cybebezpieczeństwem, a po zakończeniu  znacznie więcej jest niezadowolonych z przeprowadzanych audytów bezpieczeństwa cybernetycznego. Problemy z cyberbezpieczeństwem często stają się głównym powodem odstąpienia od umowy.

Pojawia się również pytanie czy połączony, tak duży organizm jak w przypadku PKN Orlen,  będzie sprawny i skuteczny we wprowadzaniu innowacyjnych rozwiązań bądź inwestycji własnych. We współczesnym świecie właśnie nowoczesne technologie oparte o bezpieczną cyberprzestrzeń będą stanowiły podstawowy wyznacznik przewagi konkurencyjnej.

Czy Polskie przedsiębiorstwa są przygotowane na potencjalne ataki hakerskie ?

Fuzje i przejęcia to dla przedsiębiorstw jedne z najbardziej ryzykownych operacji. I nie tylko pod względem finansowym. Niosą ze sobą również ogromne ryzyko dla cyberbezpieczeństwa firmy. Wiele przedsiębiorstw dokonujących fuzji i przejęć lekceważy cyberryzyka i nie podejmuje żadnych działań. W przypadku fuzji cyberprzestępcy interesują się danymi finansowymi oraz własnością intelektualną firmy.

W trakcie procesu fuzji pojawiają się następujące problemy dotyczące bezpieczeństwa procesów w zakresie cyber:  niedostateczna kontrola dostępu, niedopasowanie polityki cyberbezpieczeństwa oraz niezdolność do wykrywania cyberincydentów.

Najbardziej prawdopodobnymi źródłami cyberataków mogą być pojedynczy hakerzy zainteresowani danymi wrażliwymi, konkurencyjne firmy czy podmioty zagraniczne.Niestety wiele naruszeń nadal wynika z błędów ludzkich lub złych intencji oraz braku dedykowanych specjalistów odpowiedzialnych za bezpieczeństwo. Brak jest również  regularnych szkoleń w zakresie cyberbezpieczeństwa.

Co budzi największe obawy?

Prowadząc procesy związane z fuzją sprawdzamy praktycznie całą firmę: audyt finansowy, podatkowy, IT, nieruchomości, korporacyjny w zależności od charakteru działalności przedsiębiorstwa. Powoduje to automatyczny dostęp do wszystkich wrażliwych dokumentów. Z uwagi na to, że fuzji dokonuje się nierzadko w obszarze przedsiębiorstw konkurencyjnych, ważną kwestią jest zachowanie szczególnej wrażliwości informacyjnej poufności.

Jak zadbać o cyberbezpieczeństwo firmy podczas fuzji lub przejęcia?

Wyzwanie dotyczące zabezpieczeń, przed którym stoją przedsiębiorstwa jest o tyle większe, że wciąż brakuje wykwalifikowanych ekspertów ds. bezpieczeństwa tak jak to wcześniej wskazano.
Firmy biorące pod uwagę tego typu transakcje powinny rozważyć kilka podstawowych przedsięwzięć, które pomogą rozwiązać zagrożenia.

W przypadku przejęcia, należy dokonać oceny polityk bezpieczeństwa obu przedsiębiorstw i naprawić wszystkie wykryte w zabezpieczeniach luki. Jeśli chodzi o fuzję, to każda z firm powinna sprawdzić i porównać swoje systemy bezpieczeństwa oraz wprowadzić niezbędne zmiany.

Kolejnym elementem będzie dokładne przeanalizowanie i zrozumieniu systemu zabezpieczeń organizacji. Chodzi tu m.in. o nierozwiązane kwestie bezpieczeństwa, zgłoszone naruszenia oraz jakiekolwiek inne nieprawidłowości w tym zakresie. Kluczowy jest gruntowny audyt wszystkich polityk i procedur bezpieczeństwa. Bieżące, cykliczne informowanie pracowników firmy o zagrożeniach takich jak złośliwe oprogramowanie, ransomware i phishing.

 Dobrą praktyką jest również skorzystanie z usług specjalistycznej firmy zewnętrznej, która przeprowadzi kwestionariusz wśród pracowników bezpieczeństwa IT docelowej firmy. Jest to sposób na zidentyfikowanie najbardziej strategicznych zasobów informacyjnych, jakie posiada firma, a także sprawdzenie, gdzie przechowywane są wrażliwe informacje oraz jak są one chronione.

Rozmawiał Radosław Konieczny