Rozmowa z Erykiem Brodnickim, EMBA, specjalistą w obszarze bezpieczeństwa informacji i ochrony danych osobowych, Prezesem Zarządu Centrum Audytu Bezpieczeństwa Sp. z o.o., certyfikowanym audytorem.
Żyjemy w toku ciągłych zmian prawnych w obszarze bezpieczeństwa informacji. Począwszy od RODO, ustawę o ochronie danych osobowych, po ustawę o krajowym systemie cyberbezpieczeństwa a skończywszy na czwartym już projekcie ustawy o ochronie sygnalistów (ma ona zostać wdrożona najprawdopodobniej jeszcze w tym roku do polskiego prawodawstwa z uwagi na dyrektywę unijną). Czy obecnie bezpieczeństwo informacji jest tematem wiodącym w globalnym ujęciu bezpieczeństwa?
Nie będzie to żadnym novum, jeśli odpowiem, że żyjemy w dobie społeczeństwa informacyjnego. Sama informacja jest obecnie kluczowym dobrem zarówno dla sektora publicznego jak i branży prywatnej. Zmiany prawne w tym zakresie, o których Pan/Pani wspomniał/a są tylko potwierdzeniem takiego stanu rzeczy. Ma to również kluczowy wpływ na zachowania społeczne. Coraz częściej zwracamy uwagę na to gdzie podajemy nasze dane osobowe, co zamieszczamy w mediach społecznościowych czy też informujemy starszych członków naszej rodziny o nowych metodach działań przestępców takich jak metoda na wnuczka czy policjanta.
W ostatnim czasie na znaczeniu zyskują kwestie związane bezpośrednio z cyberbezpieczeństwem. Mówimy wiele o atakach grup hakerskich na infrastrukturę w Ukrainie, różnego rodzaju fake newsach czy licznych incydentach dotyczących włamań cyberprzestępców do sieci urzędów czy atakach phishingowych, które dotykają nas każdego dnia. Czy w obecnym świecie możemy mówić, że cyberbezpieczeństwo nas nie dotyczy?
Cyberbezpieczeństwo dotyczy obecnie praktycznie każdego. Stale bowiem poruszamy się w świecie technologii. Korzystamy ze smartfonów, tabletów a poczta elektroniczna czy media społecznościowe stały się dla nas codziennością To tutaj upatrywałby się podstaw cyberbezpieczeństwa. Obecnie większość naszego życia spędzamy w Internecie, a co za tym idzie jesteśmy narażeni na różnego rodzaju ryzyka z tym związane. Mogą być to kradzieże tożsamości, wyłudzenia naszych danych osobowych czy chęć pozyskania danych do logowania do bankowości elektronicznej. Działania cyberprzestępców są obecnie prowadzone na bardzo szeroką skalę i co istotne mają one charakter niezwykle dynamiczny i podlegają ciągłemu procesowi zmian. Sam wielokrotnie prowadząc szkolenia w obszarze cyberbezpieczeństwa podkreślam, że to przestępca jest zawsze krok przed nami i sili się na takie metody, których nie znamy (albo o których już zapomnieliśmy vide scam nigeryjski), aby wyłudzić od nas jak najwięcej cennych informacji.
Dbanie o cyberbezpieczeństwo jest zatem w naszym wspólnym interesie.
Zdecydowanie tak i to w bardzo szerokim ujęciu. Zarówno w sferze prywatnej jak i biznesowej. Nowe technologie odcisnęły na nas zdecydowanie swoje piętno a ich rola w obecnym świecie jest nieoceniona. Do dawnych rozwiązań nie ma powrotu. Widzimy to obecnie w realizowanych projektach unijnych takich jak „Cyfrowa Gmina” czy „Cyfrowy Powiat” jak również możliwości finansowania działań w celu podniesienia poziomu bezpieczeństwa szpitali na podstawie zarządzenia prezesa Narodowego Funduszu Zdrowia, w których obligatoryjnym punktem jest przeprowadzenie diagnozy cyberbezpieczeństwa bądź też ankiety dojrzałości w obszarze cyberbezpieczeństwa.
Na czym polega taka diagnoza bądź ankieta?
Jest to w dużej mierze badanie stanu faktycznego w zakresie cyberbezpieczeństwa w gminie bądź szpitalu (Cyfrowy Powiat jest obecnie na etapie składania wniosków o dofinansowanie). Takowa diagnoza jest o tyle istotna, ponieważ stanowi papierek lakmusowy dla kierowników jednostek w obszarze wsparcia rozwoju cyfrowego instytucji samorządowych. Niestety w wielu gminach jest to dopiero pierwszy kontakt samorządów z zagadnieniami związanymi z cyberbezpieczeństwem. Brakuje przede wszystkim infrastruktury sieciowej takiej jak stosowne oprogramowanie czy sprzęt fizyczny ale także jasnych i precyzyjnych procedur w zakresie bezpieczeństwa informacji. Piętą Achillesową jest dodatkowo brak świadomości personelu w obszarze bezpieczeństwa cyfrowego, ponieważ brakuje specjalistycznych szkoleń w tym zakresie. Jest to o tyle istotne, że bez takiej świadomości dla przykładu w obszarze ataków phishingowych narażamy instytucję na utratę dostępu do serwera czy też dysku, poprzez pobranie złośliwego oprogramowania w formie załącznika do wiadomości mailowej.
Przecież ustawa o krajowym systemie cyberbezpieczeństwa obowiązuje już od blisko czterech lat…
To prawda, jednak sama ustawa zaczęła obowiązywać w bardzo intensywnym okresie prawnym w obszarze bezpieczeństwa informacji. Przypomnę, że jest to ustawa z lipca 2018 r. a kilka miesięcy przed nią mieliśmy prawdziwą rewolucję w obszarze ochrony danych osobowych poprzez konieczność implementacji RODO. Jeśli dodamy jeszcze do tego nową ustawę o ochronie danych osobowych, która zaczęła obowiązywać w podobnym okresie to możemy mówić o stosunkowo dużym zamieszaniu w obszarze bezpieczeństwa informacji. Należy jednocześnie pamiętać, że ustawa o krajowym systemie cyberbezpieczeństwa wprowadziła nowe pojęcia m.in. takie jak zarządzanie incydentem, kwestia świadczenia usług kluczowych czy incydentu krytycznego. Zobowiązała także wyznaczenie osoby do utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz zobligowała szereg instytucji publicznych do zapewnienia użytkownikowi usługi kluczowej dostępu do wiedzy pozwalają na zrozumienie zagrożeń cyberbezpieczeństwa i stosowania skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej. Jest to szereg ważnych obowiązków, które zostały niejako przykryte poprzez konieczność implementacji RODO, z uwagi na fakt, że było ono zdecydowanie bardziej medialnym aktem prawnym poprzez możliwość nakładania przez organ nadzorczy wielomilionowych kar na administratorów danych osobowych (organy, które dysponują naszymi danymi osobowymi).
Czym się to „zamieszanie” jak Pan zauważył charakteryzuje?
Niestety wiąże się ono w dużej mierze z mylnym rozumowaniem funkcjonowania bezpieczeństwa informacji. Wiele gmin stawia bowiem ochronę danych osobowych na piedestale nie budując jednocześnie systemu zarządzania bezpieczeństwem informacji, który jest jednym z wymogów Krajowych Ram Interoperacyjności. Przypomnę, że ochrona danych osobowych jest wyłącznie elementem systemu zarządzania bezpieczeństwem informacji takim jak tajemnica przedsiębiorstwa czy ochrona informacji niejawnych. Dodatkowo gminy i szpitale borykają się z problemami braku cyklicznych szkoleń, audytów bezpieczeństwa czy też testów podatności.
Brakuje świadomości…
I szczerze mówiąc nie ma co się dziwić. W wielu samorządach i szpitalach spotkaliśmy się (Centrum Audytu Bezpieczeństwa realizuje diagnozy cyberbezpieczeństwa we współpracy z płk dr Piotrem Potejko, EMBA – ekspertem Instytutu Staszica) z brakiem jakichkolwiek procedur z zakresu cyberbezpieczeństwa. W mojej opinii dzieje się to z bardzo prostego powodu – RODO przebiło się do naszej świadomości poprzez możliwość nakładania wysokich kar przez organ centralny – Prezesa Urzędu Ochrony Danych Osobowych. Ustawa o krajowym systemie cyberbezpieczeństwa nie była już tak medialna, a co za tym idzie mało urzędów i szpitali wdrożyło jej założenia. Osobnym problem jest także brak specjalistycznych szkoleń dla urzędników w obszarze cyberbezpieczeństwa. Należy pamiętać, że najsłabszym ogniwem bezpieczeństwa informacji jest zawsze człowiek, dlatego też pracownicy urzędów (i nie tylko rzecz jasna) powinni mieć zapewniony stały dostęp do wiedzy w obliczu ciągłej zmiany metod działań cyberprzestępców.
Zagrożeń z pewnością nie brakuje, chociażby z uwagi na konflikt na Ukrainie.
To prawda. Bezpieczeństwo informacji jest niezwykle dynamicznym obszarem. Metody działań przestępców także podlegają stosownej ewolucji. Proszę zauważyć, jeszcze do niedawna mówiliśmy i ostrzegaliśmy swoich seniorów o metodzie na wnuczka a dziś już mamy lustrzane metody działań przestępców w postaci metody na policjanta czy prokuratora. Dodatkowo jesteśmy stale narażeni na ataki phishingowe zarówno drogą mailową czy też poprzez smsy. Bez odpowiedniej świadomości w tym obszarze narażamy się na skuteczny atak ze strony cyberprzestępców – a co za tym idzie w skrajnych przypadkach możemy stracić nawet oszczędności całego życia.
Programy unijne mogą przyczynić się do wzrostu świadomości w obszarze cyberbezpieczeństwa?
Takie jest ich założenie. Z pewnością skłaniają one do dyskusji na temat cyberbezpieczeństwa. A to już stanowi o olbrzymiej wartości dodanej programów unijnych. Co istotne, szereg gmin decyduje się nie tylko na zakup lepszego sprzętu ale też i na specjalistyczne szkolenia dla personelu czy utworzenie odpowiednich procedur. Jest to niezwykle ważne, chociażby z uwagi na rosnącą liczbę ataków hakerskich. W mojej opinii każdy pracownik czy to sektora finansów publicznych czy też firmy prywatnej powinien mieć dostęp do tego rodzaju dedykowanych szkoleń. Wzrost świadomości pracowników minimalizuje bowiem możliwość zjawisk niepożądanych zarówno w bezpieczeństwie informacji jak i w sposób szczególny w obszarze cyberbezpieczeństwa. Na cyberbezpieczeństwie po prostu nie warto oszczędzać.
Na co powinniśmy więc zwrócić szczególną uwagę dbając o aspekt cyberbezpieczeństwa?
Przede wszystkim na świadomość, o której tak wiele już dziś mówiłem ale jednocześnie warto pamiętać o audytach bezpieczeństwa, które stanowią o olbrzymiej wartości dodanej w obszarze cyberbezpieczeństwa, budując jednocześnie odporność na zagrożenia w instytucji. Obecnie dobrą praktyką jest również korzystanie z programów unijnych i rządowych takich jak: „Cyfrowa Gmina”, „Cyfrowy Powiat” czy też finansowania działań w celu podniesienia poziomu bezpieczeństwa na podstawie Zarządzenia nr 68/2022 Prezesa Narodowego Funduszu Zdrowia z dnia 20 maja 2022 r. dla szpitali, rehabilitacji leczniczych czy też lecznictw uzdrowiskowych. Istotną rolę odgrywają także odpowiednie wewnętrzne procedury, które pisane prostym i nieskomplikowanych językiem mogą przyczynić się do minimalizacji ryzyk związanych z incydentami bezpieczeństwa. Dopiero połączenie tych trzech komponentów jakimi są: świadomość, wewnętrzne procedury i odpowiedni sprzęt może zapewnić odpowiedni poziom cyberbezpieczeństwa w jednostce.
Dziękuję za rozmowę.
Rozmawiał Marcin Rosołowski
Zainteresowanych bibliografią dotyczącą tego tematu, zachęcamy do kontaktu z redakcją DWU.TYGODNIKA – kontakt@instytutstaszica.org