Rozmowa z płk dr Piotrem Potejko, doradcą zarządu do spraw bezpieczeństwa Deloitte w Polsce.
Jaki jest poziom świadomości polskich menadżerów w zakresie cyberzagrożeń?
Niestety, dość niski. Wiedzą, że coś takiego, jak zagrożenia związane z cyberprzestrzenią istnieją, wiedzą, że nie powinno się ich lekceważyć, lecz nie mają pojęcia, jak do tego podejść i jak przeciwdziałać. Zdarzają się i też osoby, które uznają, że to sztuczny problem, podtrzymywany przez informatyków, którzy chcą zarabiać na walce z tymi zagrożeniami. Trochę to przypomina to tezę, że problem z klimatem jest wymysłem organizacji ekologicznych lub korporacji, które chcą zarobić na „zielonej energii”.
Takie podejście przekłada się na politykę firm w naszym kraju?
Zwłaszcza małych i średnich przedsiębiorstw. W niewielu firmach zatrudnia się specjalistę w zakresie cyberbezpieczeństwa czy też organizuje systemy bezpieczeństwa. Owszem, są informatycy, lecz oni nie zawsze mają odpowiednie kompetencje do stawienia czoła zagrożeniom w cyberprzestrzeni. Lepiej jest w dużych firmach, zwłaszcza w międzynarodowych korporacjach, działających w myśl określonych standardów. Tam działają zespoły specjalistów w pionach ds. cyberbezpieczeństwa.
Po prostu większych na to stać…
Oczywiście, ale małe i średnie firmy, słusznie oglądające każdą złotówkę przed jej wydaniem, też powinny mieć świadomość, że zapewnienie należytego poziomu bezpieczeństwa przekłada się na funkcjonowanie takiej firmy. Z jednej strony mamy nieuniknione koszty, ale z drugiej – brak zabezpieczeń może pociągnąć za sobą o wiele większe koszty.
Może przykład powinien iść od dużych firm?
Częściowo tak się dzieje. Jeżeli duża firma współpracuje z kooperantami, to często dba, by przestrzegali oni standardy bezpieczeństwa, ale również dzieli się z nimi swoją wiedzą i doświadczeniem. Zdarza się, że zastrzegają sobie prawo do sprawdzenia, jak kooperant działa w tym zakresie. Za granicą poziom świadomości jest znacznie większy, przedsiębiorstwa lepiej się przygotowują i dużo lepiej reagują.
Jakie zagrożenia są najczęstsze?
Prognozy dotyczące zagrożeń zależą od wielu czynników i są trudne do bezpośredniego określenia. Według raportu Instytutu Kościuszki prognozy przewidują, że w 2030 r. straty związane z cyberzagrożeniami będą równe 0,9% światowego PKB. W cyberprzestrzeni powinniśmy się spodziewać tego co dotychczas tylko w większej skali. Więcej złośliwego oprogramowania, więcej przejmowania kont i więcej nakierowanych ataków phishingowych. Nadal jednak najczęstsze to problem używania haseł dostępu do zasobów, phishing, bezpieczeństwa urządzeń mobilnych i oszustw dla płatności za usługi w Internecie. Przestępcy wydobywają dane dotyczące funkcjonowania firmy, co jest współczesną formą szpiegostwa gospodarczego z jednoczesnym wykorzystywaniem infrastruktury przedsiębiorstwa do kopania kryptowalut. W najbliższych latach rosnącym będzie również zwiększona aktywność botów mediów społecznościowych czy też wykorzystanie cyberataków w konfliktach politycznych. Przedstawiciele zaatakowanych firm często nie wiedzą, co robić, do kogo się zgłosić, jak zawiadomić o przestępstwie. Nie mówiąc o tym, iż często nie mają świadomości, że zostali zaatakowani, gdyż ich poziom wiedzy jest zbyt niski. Na przykład do jednego worka wrzuca się włamania i dezinformację, chociaż są to przestępstwa z innych obszarów. Oczywiście, dezinformacja zeszła z poziomu globalnej polityki do poziomu biznesu i jest używana np. w celu manipulacji kursami czy strategią firm. To również poważny problem, ale innego rodzaju, niż włamania do sieci.
Czy w Polsce widać postęp?
Na rynku krajowym pozytywne zmiany przyniosło wejście w życie ustawy o Krajowym Systemie Cyberbezpieczeństwa. Zwiększyła się dynamiki rozwoju rynku usług SOC – Security Operations Centers a także, pojawiło się wiele innowacyjnych produktów z obszaru cyber. Należy docenić działalność Ministerstwa Cyfryzacji i NASK, który zbiera sygnały odnośnie cyberzagrożeń i podejmuje działania edukacyjne. Warto również wspomnieć o aktywności Deloitte Polska, które z jednej strony organizuje otwarte konferencje, szkolenia oraz spotkania dla przedsiębiorców i administracji dotyczące nowoczesnych technologii czy też warsztaty case study realnych cyberataków w Polsce i zagranicą. W Warszawie prowadzi również specjalne zajęcia dla dzieci pracowników i kontrahentów, podczas których uczy się pozytywnego i odpowiedzialnego podejścia do Internetu oraz świadomości, że informacje, które do sieci wkładamy, ktoś może wykorzystać na naszą szkodę.
Szkoda, że w polskich szkołach nie ma takich zajęć…
Szkoda, a są niezwykle potrzebne. Lekcje informatyki skupiają się na nauce obsługi sprzętu komputerowego, funkcjonowania Internetu i podstawowego programowania, natomiast powinno się od najmłodszych lat zwracać uwagę na różne formy sieciowych zagrożeń. Świadome korzystanie z Internetu naprawdę szalenie utrudnia przestępcom działanie.
Dziękuję za rozmowę
Rozmawiał Marcin Rosołowski