Materiał powstał we wspołpracy z ACCENTURE
Polska jest celem wojny cybernetycznej – minister cyfryzacji wskazuje, że codziennie dochodzi do ataków na infrastrukturę krytyczną na wielu różnych polach: transport, zdrowie, administracja elektrownie, wodociągi. Nie słyszymy jednak o skutkach takich ataków. Czy fakt, iż nie odczuliśmy jeszcze ich pełnej mocy oznacza, że jesteśmy dobrze zabezpieczeni, czy słabo poinformowani?
Dziś Polska jest krajem frontowym także w cyberprzestrzeni i skala cyberzagrożeń jest nieprzeciętna. Skuteczność odpierania ataków wymaga ogromnej pracy i kompetencji. Jednak nie mam złudzeń, że niektóre z tych ataków odnoszą skutek, bo nie istnieje stuprocentowe cyberbezpieczeństwo. Ważne, żebyśmy potrafili wykrywać ataki, ale informacja o tym nie powinna być publiczna. Podobnie jak obszar militarny, cyberbezpieczeństwo musi być nadzorowane, ale nie wszystko może być jawne, by nie ułatwiać życia cyberprzestępcom.
To na ile jesteśmy dziś cyberbezpieczni?
Na pewno pomagają nam ponadprzeciętne kompetencje polskich specjalistów od cyberbezpieczeństwa. Jednak tych kadr jest zbyt mało. Szacujemy, że w Polsce brakuje kilkudziesięciu tysięcy fachowców – szczególnie gdy wziąć pod uwagę nowe regulacje i potrzeby zagranicznych firm budujących tutaj swoje centra IT. Ratuje nas to, że jest to środowisko potrafiące doskonale współpracować ponad podziałami organizacyjnymi, w sytuacjach kryzysowych. Jesteśmy mistrzami pospolitego ruszenia, ale ten model nie jest skuteczny, gdy zagrożenie jest ciągłe. Według badań International Telecommunication Union (ITU), dotyczących poziomu dojrzałości cyberbezpieczeństwa w różnych krajach, Polska jest krajem wiodącym we wszystkich obszarach z wyjątkiem organizacyjnego, gdzie oceniane są mechanizmy zarządzania i koordynacji. To bardzo ważny obszar nie tylko dla naszej cyberodporności. Stanowi on fundament do gospodarczego wykorzystania potencjału polskiego know-how, kadry i szeroko rozumianego ekosystemu bezpieczeństwa IT na międzynarodowym rynku – do ekspansji polskich produktów i usług cyberbezpieczeństwa.
Jak możemy to poprawić?
Potrzebujemy dobrze naoliwionej maszyny – czyli dopracować kwestie organizacyjne i zarządcze. Zamiast opierać się wyłącznie na wyjątkowych talentach, lepiej opracować dobre procedury i praktyki postępowania. Rozwijać i ćwiczyć współpracę międzysektorową, w tym między biznesem a wojskiem i administracją. Być bardziej proaktywnym, przygotowując się do nowych ryzyk i zagrożeń.
I to wystarczy, by być cyberbezpiecznym?
To konieczne, ale niewystarczające. W cyberbezpieczeństwie nie stosujemy jeszcze czegoś, co jest już oczywiste w sektorze obronności. Mowa o sojuszach, które są koniecznością, bo nikt w pojedynkę nie podoła obecnym wyzwaniom. W Polsce wierzymy, że cyberbezpieczeństwo jest zbyt wrażliwą materią, żeby angażować do tych procesów partnerów z zewnątrz. Tymczasem koszty cyberbezpieczeństwa rosną nieustannie. Wiele organizacji już nie jest w stanie całościowo bronić się przed cyberzagrożeniami. Według raportu Global Cybersecurity Outlook 2024 opracowanego przez World Economic Forum i Accenture, 36% organizacji utrzymuje tylko konieczny poziom zabezpieczeń, a kolejne 25% organizacji nie spełnia już nawet minimalnych wymagań (w 2022 roku było ich 14%). W skali polskich organizacji to oznacza, że mniejsze podmioty muszą przekonać się do usług firm specjalizujących się w cyberbezpieczeństwie lub współpracować w ramach łańcucha dostaw albo sektorowo. Pojawiają się też tezy, że jedynie państwo jest zdolnym wziąć odpowiedzialność za cyberbezpieczeństwo MŚP i instytucji. Z kolei duże organizacje, przynajmniej na Zachodzie, zmierzają coraz częściej w kierunku partnerstw strategicznych z firmami, które w cyberbezpieczeństwie się specjalizują. Nad Wisłą ten koncept jest wciąż nieodkryty.
Na czym takie partnerstwo strategiczne polega?
Jest to podobne nieco do partnerstw w sferze militarnej – chodzi o to, żeby współpraca przyniosła dużo większe korzyści niż gdy organizacja robi to sama lub przy pomocy zbioru taktycznie dobranych dostawców. Taki partner musi być bardziej zaawansowany kompetencyjnie, przynosić wiedzę o cyberbezpieczeństwie z różnych sektorów czy rynków i być w stanie realizować cele nieosiągalne dla organizacji bez dużych inwestycji we własne kadry i narzędzia. Istotne jest też to, żeby taki partner potrafił brać odpowiedzialność za całe obszary, a efekty jego usług były mierzalne.
Czy takie partnerstwa przynoszą też oszczędności?
Zacznijmy od tego, że wyzwaniem jest nieustający wzrost kosztów cyberodporności. Szacowane wydatki na cyberbezpieczeństwo wynoszą 5-20 proc. kosztów ogólnych IT organizacji (z uwzględnieniem kosztów kadr). Obecnie szacunki te nieodwrotnie przesuwają się w stronę górnej granicy, co rodzi pytanie jak tym wzrostem zarządzić? Redukcja kosztów nie powinna być celem, tak jak nie jest obecnie w obszarze wydatków na obronność. Ale wspomniane partnerstwa będą spowalniać logarytmiczny wzrost kosztów cyberodporności, który wynika nie tylko z rosnącej liczby cyberataków, ale też rozwoju AI i komputerów kwantowych.
W jaki sposób rodzą one kolejne zagrożenia?
AI i komputery kwantowe są na etapie intensywnego rozwoju, co czyni możliwym realizację wielu negatywnych scenariuszy. Jednym z zagrożeń, które powstało z pomocą narzędzi AI jest deepfake. Część ataków obecnie polega na wykradaniu zaszyfrowanych baz danych. Atakujący liczą, że za kilka lat dostępność kwantowych komputerów pozwoli odszyfrować dane i je zmonetyzować. Dlatego niezwykle ważna jest identyfikacja przyszłych zagrożeń i znajdowanie rozwiązań już teraz. Między atakującymi i broniącymi się trwa wyścig zbrojeń. Stąd potrzebujemy sojuszy między organizacjami, jak i na poziomie administracji państwa.
Materiał powstał we wspołpracy z ACCENTURE