Rzeczpospolita: Jakie trendy widać na światowym i polskim rynku cyberbezpieczeństwa?

Jest to jeden z najszybciej rozwijających się sektorów ICT. Nawet najbardziej ostrożne szacunki wskazują, że w roku 2017 wartość zakupionych produktów i usług dla cyberbezpieczeństwa wyniosła globalnie ponad 120 mld dolarów. W ostatnich latach jesteśmy świadkami 8–10-proc. wzrostu tej gałęzi rynku rocznie, a według prognozowanych scenariuszy w 2020 roku wydamy globalnie 230 mld dolarów na zabezpieczenie cyberprzestrzeni. Coraz większa część tych środków dotyczyć będzie bezpiecznego funkcjonowania internetu rzeczy (IoT), tylko w tym sektorze wydatki w latach 2015–2020 mają wynieść 120 mld dolarów.

A jak wypada sama Polska?

Robert Siudak: Struktura naszego rynku cyberbezpieczeństwa wpisuje się w szerszy wzorzec widoczny w Europie Środkowo-Wschodniej. Jego charakterystyką jest znaczny udział usług w rynku, szacowany na około 40–60 proc. Ostatnie regulacje europejskie zarówno RODO, jak i implementacja dyrektywy NIS w krajach członkowskich jeszcze bardziej zwiększyły popyt na specjalistyczne usługi w tym zakresie.

Czego można się spodziewać w przyszłości?

Wydaje się, że udział usług w stosunku do produktów będzie maleć. Automatyzacja zarówno ataków, jak i obrony przed nimi, w tym z wykorzystaniem sztucznej inteligencji, to globalny trend, który wpłynie także na polski rynek.

Czy w ostatnich latach liczba cyberataków rośnie?

Tak, z roku na rok. Organizacja Online Trust Alliance uznała rok 2017 za najgorszy w historii pod kątem liczby incydentów w cyberprzestrzeni. Warto odnotować, że jednocześnie wciąż zmieniają się techniki wykorzystywane przez cyberprzestępców. W ostatnich latach, szczególnie od roku 2016, popularne stały się ataki szyfrujące dane ofiar, a następnie żądające okupu w zamian za ich przywrócenie (tzw. ransomware). Przykładami takich działań były między innymi kampanie Petya czy WannaCry.

Jaki jest wpływ ekonomiczny cyberataków na globalną gospodarkę? Czy można tu mówić o konkretnych wartościach?

Szacuje się, że rocznie straty związane z cyberatakami na całym świecie mogą sięgać nawet 1 proc. globalnego produktu brutto.

O cyberatakach najczęściej mówi się w kontekście komputerów, ale coraz większym problemem są też ataki na urządzenia mobilne.

Należy pamiętać, że skomplikowane układy cyfrowe stanowią podstawę funkcjonowania coraz większej liczby urządzeń codziennego użytku, nie tylko komputerów. Komórki, ale też samochody, lodówki, pralki, szczoteczki elektryczne, ekspresy do kawy czy oczyszczacze powietrza – wszystkie one mogą stać się ofiarami ataków, jeśli zostały zaprojektowane bez odpowiednich mechanizmów zabezpieczających ich funkcjonowanie. Dzieje się tak, ponieważ ze względu na rozwój internetu rzeczy, coraz więcej sprzętów komputerowych niebędących laptopami czy stacjami roboczymi podłączonych jest bezpośrednio do internetu.

Dość przewrotnie można powiedzieć, iż w dobie ekspansji IoT współczesne społeczeństwa przestały wykorzystywać samochody, pralki czy smartfony, a zamiast tego użytkują komputery, które potrafią jeździć, czy komputery, które piorą, oraz komputery, które dzwonią.

Jak wygląda obecnie kwestia wydatków na inwestycje w cyberbezpieczeństwo w przedsiębiorstwach?

Niestety, w tym wypadku trudno o jednoznaczne dane. Dlatego też w ramach platformy CYBERSEC HUB wspierającej rozwój sektora cyberbezpieczeństwa w Polsce przeprowadziliśmy w ostatnich miesiącach badanie wśród 500 MŚP z regionu Europy Środkowo-Wschodniej, w tym wśród polskich firm. Wyniki, które zawarliśmy w rapor

cie „Cyber Threat Report CEE 2018″ były dla nas co najmniej zaskakujące. Polscy przedsiębiorcy deklarowali wydatki na cyberbezpieczeństwo średnio na poziomie 6369,61 euro rocznie, znacznie odróżniając się na tle firm ze Słowacji, Czech czy Węgier, gdzie kwoty te wahały się w granicach kilkuset do tysiąca euro. Jednocześnie jedynie 53 proc. polskich firm wykazało, że posiada jakąkolwiek strategię zabezpieczania danych swoich klientów, a ponad połowa respondentów z naszego kraju wskazała programy antywirusowe jako największy koszt w ramach budżetów cyberbezpieczeństwa.

Jak należy interpretować te dane?

Pokazuje to pewien rozdźwięk, który może wynikać z faktu, że badanie było deklaratywne, a więc oparte o dane, jakie dostarczyli sami respondenci. Co ciekawe, niezależnie od kraju, przedsiębiorcy w przeważającej części (ok. 70 proc.) uważali, że ich firmy inwestują wystarczające środki w celu zabezpieczenia swoich systemów.

Jak wypada Polska? Czy nowa ustawa o cyberbezpieczeństwie spełni pokładane w niej oczekiwania, jak należy ją oceniać?

Ustawa o krajowym systemie cyberbezpieczeństwa nakłada na przedsiębiorców określone wymogi, których realizacja może wymusić inwestycje w cyberbezpieczeństwo. Mowa tu przede wszystkim o tych firmach, które zostaną sklasyfikowane jako operatorzy usług kluczowych lub dostawcy usług cyfrowych. Będą one musiały m.in. dokonywać szacowania ryzyka oraz stosować odpowiednie środki techniczne i organizacyjne w celu zarządzania ryzykiem. Operatorzy usług kluczowych będą także zobowiązani do prowadzenia szczegółowej dokumentacji, posiadania komórki odpowiedzialnej za cyberbezpieczeństwo oraz przeprowadzania audytów co minimum dwa lata. Jednocześnie, zwrócić należy uwagę, że większość z podmiotów, które stanowią grupę operatorów usług kluczowych już teraz stosuje restrykcyjne procedury ze względu na włączenie do wykazu tzw. infrastruktury krytycznej.

Co się stanie, jeśli przedsiębiorcy nie będą spełniać wymagań nakładanych przez ustawę?

Grożą im kary pieniężne. W wypadku operatora usługi kluczowej, za jedno określone uchybienie (na przykład za brak audytu) może to być nawet do 200 tys. zł, przy dostawcy usług cyfrowych – do 20 tys. zł. W ustawie wpisano także „opcję atomową”, która zakłada, że w wypadku kontroli stwierdzającej uporczywe naruszanie przepisów, powodujące m.in. bezpośrednie i poważne zagrożenie dla bezpieczeństwa państwa, porządku publicznego lub zagrożenie wywołania poważnej szkody majątkowej, podmiot może otrzymać karę w wysokości do 1 mln zł.

Cyfrowe bezpieczeństwo pod lupą

Instytut Kościuszki, organizator konferencji Cybert Sec, zbadał poziom cyfrowego bezpieczeństwa w polskich firmach. Z najnowszego raportu Cyber Threat 2018 wynika, że średnia kwota wydawana rocznie przez europejskie firmy na prewencję w tym zakresie wynosi 1966 euro. Natomiast w Polsce jest to 6370 euro. Komisja Europejska we współpracy z Europejskim Stowarzyszeniem na rzecz Cyberbezpieczeństwa zainaugurowała partnerstwo publiczno-prywatne na rzecz walki z hakerami. Jego celem jest pobudzenie inwestycji w dziedzinie cyberbezpieczeństwa w UE. Za dwa lata mają one sięgnąć 1,8 mld euro. Ataki hakerów mają duży wpływ na rachunek ekonomiczny. W zeszłym roku europejskie firmy straciły w ich efekcie średnio 1,1 tys. euro. Najniższe straty, czyli około 143,9 euro, zanotowały podmioty rumuńskie. Z kolei w Polsce było to około 4991 euro. Ponad 68 proc. ankietowanych firm twierdzi, że nie straciło żadnych pieniędzy ani danych w wyniku cyberataków w ciągu ostatnich 12 miesięcy. Tylko 35 proc. wszystkich europejskich firm stosuje strategię cyberbezpieczeństwa w zakresie ochrony danych klientów. Najlepsza sytuacja jest w Polsce, gdzie ponad połowa firm twierdzi, że ma taką strategię. Dla porównania w Czechach czy na Słowacji ten odsetek wynosi tylko 23 proc. Rynek cyberbezpieczeństwa będzie rósł w najbliższych latach w tempie geometrycznym. Teraz dominują na nim firmy z Izraela, Wielkiej Brytanii i Stanów Zjednoczonych. – Polska w obliczu wymagań ze strony UE i NATO, obligujących nas m.in. do inwestycji w cyberobronność, mogłaby do nich dołączyć – uważają eksperci z Instytutu Kościuszki.