Bezpieczeństwo cyfrowe – jak je zapewnić firmom i obywatelom

„Cyberbezpieczeństwo A.D. 2018″.

Publikacja: 16.04.2018 21:00

Uczestnicy debaty zgodzili się, że prawdziwe zagrożenia cyfrowe to te, które uderzą we wszystkich, a

Uczestnicy debaty zgodzili się, że prawdziwe zagrożenia cyfrowe to te, które uderzą we wszystkich, a nie pojedyncze jednostki.

Foto: materiały prasowe

Grzegorz Psujek

Jakie są największe zagrożenia w sieci? Eksperci Barracuda Networks, światowego lidera w dziedzinie zabezpieczania sieci firmowych, wskazują pięć najbardziej aktualnych. Na pierwszym miejscu znajdują się ataki typu ransomware i okupy w kryptowalutach, następnie ataki wielowektorowe, podszywanie się pod domeny internetowe i przywłaszczanie marek, zagrożenia związane z bezpieczeństwem wiadomości przesyłanych przez banki oraz ataki typu spear phishing, a jest to tylko wierzchołek góry lodowej. W dzisiejszym świecie, w którym nie wyobrażamy już sobie życia bez dobrodziejstwa globalnej sieci, każdy może stać się celem ataku. O tym, jak się bronić przed atakami, oraz o nowych wyzwaniach dla cyberbezpieczeństwa związanych z rozwojem sztucznej inteligencji, internetu rzeczy oraz projektem ogólnoeuropejskiej certyfikacji produktów i usług ICT rozmawiali uczestnicy debaty „Cyberbezpieczeństwo A.D. 2018″ podczas Międzynarodowego Kongresu ICT LIVE.

Infrastruktura krytyczna

Zwykle gdy mówimy o cyberzagrożeniach, mamy na myśli bezpieczeństwo użytkowników w sieci. Opierając się często na wiedzy wyniesionej z kultury masowej, wyobrażamy sobie włamującego się hakera wykradającego nasze dane. Jeśli jednak podejdziemy do tematu szerzej, to szybko przekonamy się, jak naiwne jest tego typu podejście. Prawdziwe zagrożenia to te, które uderzą we wszystkich, a nie pojedyncze jednostki. Chodzi więc o bezpieczeństwo narodowe.

– Z punktu widzenia użytkowników ww. zagrożenia są bardzo ważne. Na zagrożenia nie powinniśmy jednak patrzeć wyłącznie z tej perspektywy, szczególną uwagę zaś zwrócić na elementy, które służą tak bezpieczeństwu użytkowników, jak i całego kraju. Mówimy o zagrożeniach, które mają charakter długotrwały, intensywny, rozmyślny i nakierowany na uzyskanie jak największego efektu ekonomicznego – podkreślała dr Elżbieta Andrukiewicz z Instytutu Łączności, wskazując, które elementy systemu są szczególnie narażone. – Chodzi np. o systemy energetyczne, wodociągi oraz całą infrastrukturą krytyczną, która obecnie powoli przechodzi proces automatyzacji. Dlatego już dziś musimy się zastanowić, co stanowi największe zagrożenie oraz gdzie skierowany atak zaboli nas najbardziej, aby określić priorytety w budowaniu zabezpieczeń – podkreślała.

O tym, jak druzgocące mogą być skutki ataku, najlepiej wiedzą firmy ubezpieczeniowe, które po fakcie muszą pokrywać straty. – Sposób myślenia o zarządzaniu ryzykiem zmienił się diametralnie po kilku atakach cybernetycznych. By podać przykład, przypomnę tylko sytuację w jednej z niemieckich hut, gdzie w wyniku działań cyberprzestępców uszkodzony został piec, a cały zakład musiał wstrzymać pracę na wiele miesięcy. Straty były bardzo poważne – wskazywał Dariusz Gołębiewski, członek zarządu PZU Lab, wyjaśniając przy tym, że nie mówimy wyłącznie o stratach samej huty. – Żyjemy w społeczeństwie bardzo powiązanym, co należy rozumieć w ten sposób, że łańcuchy dostaw i odbiorców ze sobą ściśle współpracujące. Jeśli jeden z tych elementów ma awarię lub przestój, to konsekwencje odbijają się na wszystkich – mówił ekspert. Od ataków nie da się uciec. Pytanie, na ile można się przed nimi zabezpieczyć.

Cyberpark i certyfikaty

Każde nowe rozwiązanie podnoszące bezpieczeństwo sieci kiedyś zostanie złamane, a wykryte luki mogą zostać wykorzystane do przeprowadzenia ataku. Wiele z nowych wyzwań wykracza poza możliwości działania pojedynczych krajów. Potrzebne są systemowe rozwiązania tworzone międzynarodowo. Najważniejszą inicjatywą w tej kwestii jest przyjęta przez państwa Unii Europejskiej dyrektywa NIS. Przyjęta 6 lipca 2016 r. nakłada na państwa obowiązek powołania zespołów typu CSIRT (Computer Security Incident Response Team) oraz przyjęciu strategii cyberbezpieczeństwa.

– Dyrektywa niesie ze sobą wiele zmian. Po pierwsze, usystematyzuje i ujednolici – na podstawowym poziomie, ale od czegoś trzeba zacząć – działania państw członkowskich związane z organizacją obrony przed cyberatakami. Po drugie, wprowadza system CSIRT-ów. Dyrektywa NIS oraz projekt wprowadzającej ją ustawy definiuje obszary odpowiedzialności zespołów CSIRT poziomu krajowego. Zespół CSIRT GOV w Agencji Bezpieczeństwa Wewnętrznego ma odpowiadać za urzędy administracji centralnej i infrastrukturę krytyczną. Będzie też monitorować i minimalizować zagrożenia o charakterze terrorystycznym, niezależnie od tego, jakiego podmiotu owo zagrożenie dotyczy. Zespół CSIRT Ministerstwa Obrony Narodowej będzie odpowiedzialny za analizę incydentów i monitorowanie zagrożeń obserwowanych w ramach struktur tego resortu. Zespołowi CSIRT NASK projekt wyznacza odpowiedzialność za konkretne podmioty, wymienione w dokumencie. Jednak w praktyce jesteśmy gotowi do objęcia swoimi działaniami wszystkich podmiotów spoza obszarów odpowiedzialności pozostałych dwóch zespołów CSIRT – wyjaśniał Wojciech Kamieniecki.

Realizacja postanowień dyrektywy to niejedyne działania, nad którymi obecnie pracuje rząd. Równolegle realizowane są własne projekty. Do najważniejszych trzeba zaliczyć Cyberpark Enigma, którego celem jest rozwój kompetencji polskich firm i jednostek naukowo-badawczych w dziedzinie cyberbezpieczeństwa i analizy danych.

– Projekt Cyberpark Enigma polega na integrowaniu w jednej lokalizacji najbardziej innowacyjnych projektów związanych z cyberbezpieczeństwem naszego kraju. Całością zarządza obecnie Ministerstwo Przedsiębiorczości i Technologii – tłumaczył Kamieniecki. W ramach tej inicjatywy NASK, wraz z Instytutem Łączności, pracuje obecnie nad projektem certyfikacji bezpieczeństwa dla systemów i urządzeń.

System certyfikacji to kolejna ważna inicjatywa, która ma podnieść cyberbezpieczeństwo. Na czym ona polega? Dla obywateli wprowadzenie certyfikacji oznacza jasną informację na temat poziomu bezpieczeństwa danych usług czy produktów. Dla przedsiębiorców oznacza konieczność spełnienia określonych wymogów bezpieczeństwa. Przy tworzeniu systemu spotkamy się jednak z wieloma wyzwaniami.

– Wprowadzenie systemu certyfikacji niesie za sobą podstawowy skutek. Z miejsca dzieli rynek na tych, którzy certyfikat posiadają, i tych, którzy nie są w stanie się nim pochwalić. Może to doprowadzić do wykluczenia danych podmiotów z rynku, co jest sprzeczne np. z regulacjami o wolnym handlu – wyjaśniała Elżbieta Andrukiewicz.

Jednolity rynek cyfrowy a cyberbezpieczeństwo

W ramach budowy Jednolitego Rynku Cyfrowego Komisja Europejska podejmuje działania związane z cyberbezpieczeństwem.

– W 2013 r. opublikowano europejską strategię bezpieczeństwa cybernetycznego i przedstawiono projekt dyrektywy NIS

– 27 kwietnia 2016 r. przyjęto rozporządzenie ogólne o ochronie danych osobowych (General Data Protection Regulation – GDPR), które zacznie obowiązywać 25 maja br. Ma ono doprowadzić do jak największego ujednolicenia przepisów o ochronie danych pomiędzy poszczególnymi państwami członkowskimi.

– 6 lipca 2016 r. przyjęto dyrektywę NIS. Czas na jej wdrożenie mija 8 maja br. Dyrektywa nakłada obowiązki na państwa w zakresie powołania zespołów typu CSIRT i przyjęcia strategii cyberbezpieczeństwa oraz na operatorów usług kluczowych (sektory energetyczny, transportowy, bankowy, finansowy, zdrowia, zaopatrzenia w wodę pitną oraz infrastruktury cyfrowej), a także dostawców usług cyfrowych (serwisy zakupowe, wyszukiwarki internetowe, usługi chmury obliczeniowej). Podmioty te będą musiały szacować ryzyko teleinformatyczne oraz raportować incydenty do właściwego CSIRT.

– 13 września 2017 r. KE przedstawiła tzw.pakiet cybernetyczny, który zawiera m.in.: Cybersecurity Act – propozycje legislacyjne związane z odnowieniem mandatu Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz europejskimi ramami certyfikacji.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: cyfrowa.rp.pl

IT
Specjaliści przyznają, że nasza prywatność online nie jest na rękę big techom
IT
Uwaga na gumowe uszy big techów. Smartfon podsłuchuje rozmowy i podrzuca reklamę
Koszty leczenia w przypadku urazów na stoku potrafią poważnie zaskoczyć
Materiał Promocyjny
Koszty leczenia w przypadku urazów na stoku potrafią poważnie zaskoczyć
Wybory prezydenckie w Polsce mogą paść ofiarą hakerów i dezinformacji
IT
Rosja zakłóci wybory prezydenckie w Polsce? Ma nową broń
Jest potwierdzenie potężnego ataku hakerskiego na polską firmę. Czy dane są bezpieczne?
IT
Jest potwierdzenie potężnego ataku hakerskiego na polską firmę. Czy dane są bezpieczne?
Polska objęta restrykcjami. USA ograniczą eksport najnowszych chipów
IT
Polska objęta restrykcjami. USA ograniczą eksport najnowszych chipów
Zyskaj 6,7% na koncie oszczędnościowym do 200 000 zł. Oferta ważna do 25.02.2025
Materiał Promocyjny
Zyskaj 6,7% na koncie oszczędnościowym do 200000 zł. Oferta ważna do 25.02.2025
Advertisement
W sytuacji, gdy cyberbezpieczeństwo staje się priorytetem, rynek coraz wyżej wycenia kompetencje osó
IT
Powrót bonanzy informatyków? Tyle mogą zarobić pracownicy IT
Lexus RX. Odkryj największą przyjemność jazdy. Spektakularny finał wyprzedaży.
Materiał Promocyjny
Lexus RX. Odkryj największą przyjemność jazdy. Spektakularny finał wyprzedaży.
Advertisement
e-Wydanie