Podczas Forum Ekonomicznego w Krynicy odbył się panel „Cyberbezpieczeństwo dla firm – jak chronić dane”. Eksperci podkreślili, że bardzo ważna jest koordynacja sektorów prywatnego i publicznego, zaufanie oraz ciągłe poszerzanie wiedzy.
Obecnie na porządku dziennym jest przechowywanie oraz przesyłanie danych w formie elektronicznej. Z drugiej strony, wraz ze wzrostem popularności i dostępności internetu, rośnie liczba przestępstw popełnianych w sieci. Cyberbezpieczeństwo stało się więc zagadnieniem, które wymaga nowatorskich rozwiązań i szybkiego działania. Uczestnicy panelu starali się odpowiedzieć na pytanie, czy w dobie cyfryzacji i komputeryzacji możemy mówić o bezpiecznych bazach danych oraz jak firmy mogą wzmocnić bezpieczeństwo i ochronę informacji.
Nowe zagrożenia, nowe działania
Moderatorem panelu była Piret Pernik, ekspert z Międzynarodowego Centrum Badań nad Obronnością. Według niej wagę tematu pokazuje choćby niedawne wykradzenie danych 6 mln użytkowników portalu Instagram. Przypomniała, że UE widzi zagrożenia i podjęła już pewne działania w tej kwestii.
Axel Pireti, starszy wicedyrektor ds. bezpieczeństwa w Deutsche Telekom AG przypominał, że spółka jest obecna w 50 krajach, w tym także w Polsce. Podał on propozycje przeciwdziałań zawarte w dyrektywach UE z 2013 roku. Dodał jednak, że świat od tamtego czasu się zmienił, więc należy przyjąć nowe ustawodawstwo. Problemem wciąż jest oprogramowanie i sprzęt. Dodał, że potrzebne jest zaangażowanie sądów i policji oraz ich kontrola. Według Piretiego kontrola nad siecią musi być ograniczona do sytuacji, w których rzeczywiście jest niezbędna. – Nie można uchylać tylnych drzwi dla tego typu działań zbyt szeroko – stwierdził.
Powiedział także, że potrzebna jest certyfikacja działań oraz produktów, a także zobowiązanie dostawców do aktualizacji ich produktów. Apelował także o dialog ze społeczeństwem w sprawie cyberbezpieczeństwa i swobód obywatelskich. Przypomniał, że niedawno w Niemczech sądy uchyliły ustawę dotyczącą cyberbezpieczeństwa. Podkreślił jak ważne jest zaufanie społeczeństwa do nowych regulacji w tym zakresie. Niemiec dodał także, że należy współpracować pomiędzy wszystkimi podmiotami prywatnymi i publicznymi. – Współpraca pomiędzy Polską a Niemcami w sprawie ścigania cyberprzestępców jest trudna – powiedział.
Dane i bezpieczeństwo
Gunter Tchabusching, dyrektor ds. informatyki Centralnej Instytucji Meteorologii i Geodynamiki zwrócił uwagę na konieczność odpowiedniego poziomu ochrony danych meteorologicznych. – Instytut bada, czy gdzieś na świecie nie dokonano prób z bronią jądrową. Opracowywane są także prognozy pogody dla Fukushimy, biorące pod uwagę opady radioaktywne po katastrofie – powiedział. Dodał, że w Austrii funkcjonuje specjalna platforma współpracy różnych branż w ramach cyberbezpieczeństwa, norm i strategii oraz rozwoju infrastruktury. – Jest także platforma obejmująca wszystkie systemy rządowe, w tym także sektor bankowy. Bardzo ważne jest zaufanie. Półtora roku temu do spółki włamali się cyberprzestępcy, dzięki współpracy udało się ograniczyć skutki ataku oraz szybko odzyskać dane, co zaowocowało dodatkową nauką na przyszłość. Zaufanie, transparentność, współpraca: to trzy filary cyberbezpieczeństwa – zakończył Austriak.
Ukraina: poligon doświadczalny cyberbezpieczeństwa
Oleksii Yankovskyy, prezydent ISACA Kiev Chapter, odniósł się do cyberataków na sieci elektroenergetyczne na Ukrainie w ostatnich dwóch latach. W jego ocenie Ukraina jest poligonem doświadczalnym dla cyberprzestępców i cyberterroryzmu. Podkreślił, że w czasie ostatnich ataków próbowano wykraść z banków miliony dolarów, a użytkownicy zostali w ciągu zimy pozbawieni dostaw ciepła i energii. Powrót do normalnej sytuacji zabrał dwa tygodnie, co przełożyło się na wyższe koszty. Powiedział także, za wieloma z tych ataków stoją obce rządy. Wśród rekomendacji wymienił zbudowanie „fortec” w cyberprzestrzeni, gdzie będą trzymane najważniejsze dane, a ich wykradzenie będzie maksymalnie ograniczone.
Jeden wpis i giełda w dół
Krzysztof Gawkowski, wiceprzewodniczący Sojuszu Lewicy Demokratycznej, odniósł się do ryzyk związanych z atakami na organy polityczne oraz system wyborczy. Podkreślił, że należy uświadamiać sobie wagę cyberataków oraz wagę informacji. Podał przykład ataku na twitterowe konto agencji prasowej w USA w czasie rządów Baracka Obamy. W serwisie społecznościowym pojawiła się informacja, że był zamach na prezydenta. Po chwili to zdementowano, ale giełda w Nowym Jorku odnotowała spadki większe od tych z czasów ataków na World Trade Center. Podkreślił, że z raportu PwC wynika, że ponad 90 proc. firm zmagała się z różnymi formami ataków w cyberprzestrzeni. Z raportu Ernst&Young wynika, że 74 proc. ataków to efekt zainfekowania systemów firmy ze strony pracowników poprzez np. ich własne pendrive’y. Polityk apelował o stworzenie odpowiedniego prawa w tym zakresie. – Należy także zbudować koordynacje na poziomie UE, czego obecnie brakuje – powiedział.
Jakub Syta, dyrektor biura bezpieczeństwa Exatel, powiedział że ważny jest poziom organizacyjny w firmach. Jego zdaniem telekomunikacja do obecnie najważniejszych obszar w gospodarce, w którym należy zadbać o wysoki standard bezpieczeństwa usług dla klientów. – Ataki mogą być dotkliwe dla wszystkich użytkowników. Należy zastanowić się, co trzeba zrobić na poziomie wewnętrznym i poza daną organizacją we współpracy z innymi firmami – powiedział. Jego zdaniem można uchronić się przed cyberzagrożeniami w ponad 90 proc. – Zależy to od przejrzystości pracy organizacji, ułożenia planu działania i wyróżnienia obszarów ryzyka, które należy monitorować. Przykładem jest usługa SOK, która pozwala na stały, nieprzerwany monitoring i analizę danych – powiedział.
Współpraca w UE
Ratislav Janota, przewodniczący komitetu ds. cyberbezpieczeństwa Narodowego Urzędu Bezpieczeństwa Słowacji, powiedział, że mamy trzy istotne grupy: regulatorzy, operatorzy użytkownicy, którzy powinni być odpowiedzialni za własne dane. Dodał, że UE nakłania państwa członkowskie do koordynacji wspólnych działań oraz wdrażania czwartej dyrektywy UE do praw odstawa krajowego. Dotyczy ona telekomunikacji, ochrona danych osobowych, ochrona operacji bankowych, których forma w online dominuje, i stanowi trzy czwarte wszystkich operacji.
Grzegorz Bojar, szef działu IT z Polskich Sieci Elektroenergetycznych powiedział, że dla spółki podstawą są systemy kontrolne.
– Obserwujemy współpracę, reagujemy na działania i uczymy się. Każdy musi się ustawicznie uczyć i być ostrożnym – powiedział Bojar. Dodał, że potrzebne są regulacje i rekomendacje. W tym zakresie jego zdaniem jest jeszcze wiele do zrobienia. Dla przykładu w USA te normy są cały czas zaostrzane. Podkreślił wagę przestrzegania norm na poziomie UE. Przypomniał, że w Polsce trwają prace nad ustawą o cyberbezpieczeństwie. Jego zdaniem musi to być system hierarchiczny, gdzie przejrzysta jest odpowiedzialność i zakres działań, musi to być jednocześnie zgodne z dyrektywami UE. Ryzykowne są połączenia między danymi urządzeniami. – Pojawiają różne komplikacje, co należy wyprostować poprzez certyfikację norm – powiedział.