Potrzebna jest edukacja w kwestii cyberzagrożeń

Liczba zgłoszeń oraz incydentów z roku na rok wzrasta – mówi Krzysztof Silicki z p.o. dyrektora NASK PIB.

Publikacja: 17.09.2018 21:00

Potrzebna jest edukacja w kwestii cyberzagrożeń

Foto: cyfrowa.rp.pl

Rz: Od końca sierpnia obowiązuje nowa ustawa o cyberbezpieczeństwie. Co ona realnie zmienia w Polsce?

To pierwszy dokument legislacyjny, który prezentuje systemowe podejście do kwestii cyberbezpieczeństwa w Polsce. Szczególnie w tej dziedzinie jest to kluczowe, żeby nie było najsłabszych ogniw. Ustawa wyznacza trzy zespoły reagujące – w Ministerstwie Obrony Narodowej, w ABW i w NASK. Przyjmują one zgłoszenia o tzw. poważnych incydentach od zobowiązanych podmiotów, czyli od kluczowych operatorów. Następnie reagują na te zgłoszenia – uwzględniając wiedzę, którą mają również z innych źródeł – oraz podejmują właściwe działania.

To znaczy jakie?

Ostrzegają innych, pomagają zgłaszającym, jeśli jest taka potrzeba i, mówiąc generalnie – tworzą spójny obraz sytuacyjny cyberbezpieczeństwa na terenie całego kraju, który pozwala odpowiednio i skutecznie reagować.

Reasumując, ABW, MON i NASK tworzą jeden poziom dotyczący cyberbezpieczeństwa, ale ustawa nakłada też obowiązki na administrację. Pytanie, czy jej przedstawiciele są tego świadomi i jak generalnie można ocenić poziom świadomości tzw. użytkowników końcowych w Polsce? W niektórych segmentach, na przykład w finansach, banki od lat już edukują klientów, żeby nie udostępniali nikomu haseł, logowali się na bezpiecznych urządzeniach itd.

To celne spostrzeżenie – bez świadomości użytkowników końcowych będziemy mieć problemy z cyberbezpieczeństwem. Wspomniane banki bardzo dobrze edukują swoich klientów i tym tropem powinna pójść też administracja oraz inni dostawcy usług.

W kluczowych segmentach wymienionych w ustawie – czyli między innymi w finansach i bankowości, energetyce, transporcie i zdrowiu – podmioty zwane operatorami usługi kluczowej mają dwojakie obowiązki. Przede wszystkim mają przeprowadzać analizę ryzyka dla swoich usług i systemów oraz wyciągać wnioski – czyli muszą się niejako „uzbroić” technologicznie i organizacyjnie.

Drugi obowiązek polega natomiast na zgłaszaniu poważnych incydentów. Do tej pory takiego obowiązku nie było. Owszem, można było na przykład zgłaszać incydenty do CERT Polska, ale na zasadzie dobrowolności. Teraz natomiast jest to już uregulowane i wynika z przepisów. Rozumiemy, że dla podmiotów, które będą objęte nowymi regulacjami, będzie to dodatkowy obowiązek, a ponadto niechętnie mówi się o swoich problemach, co może rodzić obawy związane z ujawnianiem incydentów – ale trzeba mieć na uwadze, że te informacje nie będą przekazywane szeroko do publicznej wiedzy, lecz do wyspecjalizowanej jednostki, co będzie służyć ochronie wspólnej cyberprzestrzeni i wsparciu konkretnego podmiotu.

Jaka jest realna skala cyberzagrożeń – słyszymy na przykład, że atakowane są strony administracji publicznej.

Liczba zgłoszeń oraz incydentów z roku na rok wzrasta – pokazują to m.in. statystyki CERT Polska. To kilkadziesiąt tysięcy zgłoszeń rocznie, z tego kilka tysięcy jest identyfikowanych jako realne zagrożenia. Dotyczą one wielu sektorów – również administracji. My, w naszym kraju, implementując dyrektywę NIS, zdecydowaliśmy się włączyć w ustawie administrację do obszaru ważnych segmentów z punktu widzenia cyberbezpieczeństwa. Warto podkreślić, że unijne przepisy tego nie nakazywały, była to dobrowolna i słuszna decyzja, ponieważ administracje państwowa oraz samorządowa powinny być objęte możliwie szeroką ochroną.

Które obszary administracji wymagają największych zabezpieczeń i dodatkowych nakładów?

Nie chciałbym się wypowiadać o poszczególnych jednostkach, natomiast ważne jest to, o czym już mówiliśmy – chodzi tu w dużej mierze o świadomość. W urzędach, ministerstwach, gminach jest rzesza urzędników, których trzeba szkolić i ta edukacja powinna być kontynuowana w możliwie najszerszym zakresie.

Potrzebne są również ćwiczenia, czyli sprawdzian reakcji administracji na konkretne zagrożenia. Przeprowadzano już takie ćwiczenia (Ministerstwo Cyfryzacji przy wsparciu NASK), to właśnie w ten sposób można najlepiej podnosić kwalifikacje.

Praktyka pokazuje, że często za pomocą socjotechniki można przeprowadzić skuteczny atak na instytucję. Niby jesteśmy świadomi zagrożeń, ale albo ulegamy zmęczeniu, albo popadamy w rutynę i tracimy czujność – tymczasem pewne zachowania trzeba mieć po prostu we krwi. Nie należy na przykład otwierać nieznanych załączników czy też klikać w podejrzane linki.

Mamy wrzesień – nowy rok szkolny, czy nie myślicie, żeby w naukowych programach edukacyjnych uwzględniać też informacje o cyberzagrożeniach?

Tak właśnie robimy. Realizujemy m.in. program Ogólnopolskiej Sieci Edukacyjnej, który polega na udostępnieniu wszystkim szkołom w Polsce szybkiego i bezpłatnego internetu. Ten program ma też istotny komponent związany z cyberbezpieczeństwem, polegający na ochronie systemu i użytkowników nie tylko przed cyberatakami, ale także przed nielegalnymi i niebezpiecznymi treściami. To ostatnie leży w gestii dyrektorów poszczególnych placówek, w jakim stopniu będą z tego systemu ochrony korzystać. Mamy nadzieję, że w możliwie szerokim zakresie.

Jednocześnie prowadzimy szereg działań edukacyjnych w obszarze bezpieczeństwa użytkowników w sieci – od badań społecznych, warsztatów, konferencji i wielu innych inicjatyw, które mają pomagać dzieciom, rodzicom, nauczycielom oraz wielu innym grupom bezpiecznie i świadomie korzystać z dobrodziejstw nowoczesnych technologii i internetu. Uważamy, że uświadamianie użytkowników, zwłaszcza tych najmłodszych, w kwestii cyberzagrożeń jest niezwykle istotne. Jeśli na wczesnym etapie nauczymy ich, jak bezpiecznie korzystać z sieci, to dobre nawyki będą naturalne i trwałe.

CV

Krzysztof Silicki pracuje w Państwowym Instytucie Badawczym NASK od 1992 r. Obecnie na stanowisku p.o. dyrektora (zastąpił Wojciecha Kamienickiego). W latach 2017–2018 pełnił funkcję podsekretarza stanu w Ministerstwie Cyfryzacji odpowiedzialnego za obszar cyberbezpieczeństwa.

IT
IT
Lawinowo przybywa programistów na swoim. Mają bardzo niepewną przyszłość
IT
Szybki wzrost długów w firmach IT. Topią je... klienci
IT
Koniec eldorado w polskim IT. Niższe płace i zwolnienia pracowników
IT
Polska ruszyła w technologiczną pogoń za europejskimi liderami. Wielki potencjał IT
IT
Pod Warszawą powstanie gigantyczne centrum danych. Ma karmić sztuczną inteligencję