Incydenty cyberbezpieczeństwa awansują w globalnych rankingach krytycznych zagrożeń dla świata, a liczba zgłaszanych każdego roku ataków cyfrowych i wycieków danych stale rośnie. W efekcie już prawie co ósmy Europejczyk uważa, że jest coraz bardziej narażony na zostanie ofiarą cyberprzestępczości, a kwestią bezpieczeństwa cyfrowego pochyla się cały świat. Wyścig cyfrowych zbrojeń trwa. Jak wyglądają przygotowania w Polsce?

Powszechna cyfryzacja, powszechne zagrożenia

Ostatnie lata upłynęły pod znakiem nabierającej tempa transformacji cyfrowej. Proces ten przyspieszył w niespotykany wcześniej sposób w związku z pandemią COVID-19, która zmusiła świat do przeniesienia do świata cyfrowego aktywności gospodarczej, usług administracji państwowej i życia społecznego. Edukacja, praca, zakupy, ochrona zdrowia, rozrywka czy działalność przedsiębiorstw i urzędów, w znacznym stopniu realizowane są dziś zdalnie. Według „Barometru cyberbezpieczeństwa” przygotowanego przez KPMG w ubiegłym roku w Polsce aż 83% firm wdrożyło w swojej działalności pracę zdalną. Przemiany te i gwałtownie rosnąca liczba urządzeń i użytkowników podłączonych do sieci wiązały się niestety z odpowiedzią ze strony cyberprzestępców, których aktywność wzrosła w równie imponującym tempie. Wg. Check Point liczba incydentów na świecie wzrosła w 2021 r. o 50% względem poprzednich 12 miesięcy, a styczeń 2022 r. w Polsce przyniósł ok. 650 ataków hakerskich na instytucje rządowe i wojskowe, w porównaniu z 533 takimi przypadkami w analogicznym okresie 2021 r. Rośnie też cena jaką ponosimy w związku z atakami. Zdaniem Agencji UE ds. Cyberbezpieczeństwa (ENISA) globalne koszty spowodowane przez same ataki typu ransomware do 2021 r. osiągnęły nawet 18 mld euro – 57 razy więcej niż jeszcze zaledwie 7 lat temu.

“Wg. ENISA już 76% Europejczyków uważa, że są coraz bardziej narażeni na stanie się ofiarą cyberprzestępczości. Choć w Polsce odsetek ten zdaniem CBOS wynosił w 2021 r. 41%, to wciąż był on najwyższy od pięciu lat.”

Co istotne, zjawisko rosnącej skali cyberzagrożeń ma charakter równie przekrojowy, co transformacja cyfrowa i dotyka całego społeczeństwa na wszystkich stopniach organizacji. Wg. ENISA już 76% Europejczyków uważa, że są coraz bardziej narażeni na stanie się ofiarą cyberprzestępczości. Choć w Polsce odsetek ten zdaniem CBOS wynosił w 2021 r. 41%, to wciąż był on najwyższy od pięciu lat. Uzasadnione obawy rosną również wśród przedsiębiorców. Wspomniany raport KPMG wskazuje 64% z nich zanotowało w 2021 roku co najmniej jeden incydent dotyczący cyberbezpieczeństwa, 58% firm uważa, że pandemia COVID-19 spowodowała wzmożone ryzyko ataków w sieci. Znaczenie problemu m dobrze obrazuje fakt, że według raportu The Global Risks Report 2021 autorstwa World Economic Forum incydenty cyberbezpieczeństwa wskazywane są jako wyraźny i aktualny czynnik ryzyka, który stanie się krytycznym zagrożeniem dla świata w ciągu najbliższych dwóch lata przez 39% respondentów. Mogłoby się wydawać, że stopień ryzyka i jego skuteczna identyfikacja nieść będą ze sobą adekwatną odpowiedź i gotowość obronną.

Duże obawy, niewielka reakcja

A jednak wśród polskich firm na zwiększenie budżetu finansującego cyberbezpieczeństwo zdecydowało się tylko 23% przedsiębiorstw, a zaledwie co dziesiąty Polak wie, jak nie dać się śledzić w Internecie, czy zdaje sobie sprawę z istnienia narzędzi, które mogą zapobiec wykorzystywaniu jego danych osobowych w sieci. Przyczyn takiego stanu rzeczy jest wiele i obarczenie winą za nieprzygotowanie na realia zagrożeń w cyberprzestrzeni potencjalnych ofiar incydentów jest często krzywdzącym uproszczeniem. Na forum organizowanej w styczniu tego roku przez Związek Cyfrowa debaty dot. cyberbezpieczeństwa w Polsce, eksperci zwracali uwagę, że trudno obarczać odpowiedzialnością za swoje bezpieczeństwo wyłącznie konsumenta, który od niedawna uczy się korzystać z narzędzi cyfrowych i nie był na zagrożenia XXI w. przygotowany w toku edukacji i nie ma do dyspozycji prawie żadnych kompetencji i wiedzy w dziedzinie bezpieczeństwa cyfrowego. Przyglądając się sytuacji przedsiębiorstw dostrzeżemy, że inwestycje w cyberbezpieczeństwo poczyniły przede wszystkim duże organizacje, które dysponują większymi środkami finansowymi niż przedstawiciele sektora MŚP, którzy często nie są w stanie wygospodarować dedykowanych na ten cel zasobów, a również wśród nich aktualny jest problem niedostatecznych umiejętności cyfrowych pracowników. Coraz częściej atakowane jednostki administracji publicznej – które wg. badań ENISA od kwietnia 2020 r. do lipca 2021 r. były najbardziej dotkniętym atakami cyfrowymi sektorem – a szczególnie samorządy lokalne, borykają się również z kłopotem niedostatecznych środków na rozwój swojej infrastruktury cyberbezpieczeństwa, niskich kompetencji urzędników w tym zakresie, ale również istotnym problemem w postaci braku regulacji wskazujących na jasny standard implementowanych rozwiązań, czy unifikujących działania JST. Wyzwań na drodze budowy cyberbezpieczeństwa w Polsce nie brakuje. Jak sobie z nimi radzić?

Edukować, finansować, regulować

W opublikowanym w styczniu 2022 r. przez Związek Cyfrowa Polska raporcie “Cyberbezpieczeństwo w Polsce w 2021 r.: cyberataki na urządzenia końcowe” wskazaliśmy kilka obszarów, w których należy podjąć działanie, by kondycja bezpieczeństwa cyfrowego w Polsce mogła wzrastać. Absolutną podstawę stanowić powinna edukacja, z którą należy dotrzeć zarówno do konsumentów, jak i MŚP, wśród których musi wzrastać świadomość znaczenia rozwiązań z zakresu cyberbezpieczeństwa i zdolność ich wdrażania, a także w administracji publicznej. Wśród urzędników warto upowszechnić m.in. praktykę stosowania rekomendacji dot. cyberbezpieczeństwa sprzętu i systemów zamawianych w ramach przetargów publicznych oraz stosowania kryteriów pozacenowych.

Analizując sytuację w kraju, doszliśmy także do wniosku, że brakującym ogniwem w łańcuchu bezpieczeństwa cyfrowego jest ścisła współpraca sektora prywatnego i publicznego, która pozwoli na sprawną implementację najnowszych technologii. Wiele dobrego na rzecz cyberbezpieczeństwa w kraju może zdziałać w końcu unormowanie tego obszaru – wdrożenie mechanizmów usankcjonowanych prawnie, takich jak  np. program “bonów na cyberbezpieczeństwo”, który zapewniłby fundusze publiczne dostępne dla jednostek samorządowych na zakup usług lub rozwiązań́ z zakresu bezpieczeństwa, przygotowanych dla nich przez polskie firmy  i jednostki badawcze, czy umożliwienie przedsiębiorcom kwalifikowania wydatków na cyberbezpieczeństwo w zakresie ulgi na innowacyjność znacznie przyspieszyłby proces wdrażania niezbędnych narzędzi w sektorze publicznym i prywatnym.

“(…)doszliśmy także do wniosku, że brakującym ogniwem w łańcuchu bezpieczeństwa cyfrowego jest ścisła współpraca sektora prywatnego i publicznego, która pozwoli na sprawną implementację najnowszych technologii.”

Państwo podejmuje rękawicę i goni sektor prywatny

W obszarze kreowania środowiska regulacyjnego na potrzeby rozwoju cyberbezpieczeństwa w Polsce wiele się w ostatnim czasie dzieje, a władze odpowiedzialne w kraju za bezpieczeństwo cyfrowe aspirują do uczynienia z Polski lidera działań związanych z cyberbezpieczeństwem. W 2022 r. możemy przede wszystkim spodziewać się nowelizacji ustawy o Krajowym Systemie Bezpieczeństwa, która zapewni m.in. ramy techniczne na potrzeby budowy infrastruktury 5G i pozwoli stawiać kolejne kroki na rzecz bezpiecznego rozwoju tej technologii w kraju, ale również usprawni reagowanie na incydenty przez aparat państwowy. Znaczenie takich regulacji dostrzegamy szczególnie dziś, gdy w napięciom w relacjach międzynarodowych i ruchom wojsk towarzyszą działania cyberprzestrzeni, jak np. w przypadku ataków na systemy informatyczne kolei białoruskich, przeprowadzony przez grupę określającą się mianem “Białoruskich Cyberpartyzantów”. Pełnomocnik rządu ds. cyberbezpieczeństwa Janusz Cieszyński zapowiedział również regulacyjną reakcję na coraz częstsze przypadki “podszywania się” przez cyberprzestępców pod numery telefonów ofiar. Projekt stosownej ustawy ma pojawić się jeszcze w pierwszym kwartale tego roku.

“Polski sektor prywatny skupiony wokół usług cybersecurity ma się bowiem dobrze. W minionym roku wrócił na ścieżkę dwucyfrowego wzrostu i według prognoz PMR ma w tym roku przekroczyć wartość 2 mld zł.”

Bez wątpienia ogromnym atutem Polski, z którego sprawę zdaje sobie władza jest ogromny kapitał ludzki, jakim dysponujemy. W kraju nie brakuje światowej klasy ekspertów ds. cyberbezpieczeństwa. Rzecz w tym, że często decydują się oni wykorzystywać swoje umiejętności w sektorze prywatnym. Aparat państwa będący w głębokiej potrzebie wykwalifikowanej kadry specjalistów zdecydował się odpowiedzieć wprowadzając z początkiem 2022 r. przepisy, które umożliwią znacznie podnieść wynagrodzenia ekspertów cyberbezpieczeństwa w sektorze publicznym. Zgodnie z zapowiedziami przedstawiciela KPRM ds. cyberbezpieczeństwa środki na budowę bezpieczeństwa cyfrowego państwa mają płynąć w tym roku szerokim strumieniem i zwiększyć się nawet o 150-200 mln zł w skali roku. Sektor publiczny chcąc dotrzymać kroku prywatnej części gospodarki ma wysoko zawieszoną poprzeczkę. Polski sektor prywatny skupiony wokół usług cybersecurity ma się bowiem dobrze. W minionym roku wrócił na ścieżkę dwucyfrowego wzrostu i według prognoz PMR ma w tym roku przekroczyć wartość 2 mld zł.

Potrzeba ambitnych działań

Realizacja ambitnych planów władz w kraju jest konieczna i spójna z działaniami m.in. na arenie UE, gdzie również przygotowywane są przepisy, mające odpowiedzieć na wyzwanie cyberzagrożeń, m.in. w postaci dyrektywy NIS2, która ma zaktualizować obecne przepisy i pozwolić na większą harmonizację prawa z zakresu cyberbezpieczeństwa we wspólnocie.

Wszystko wskazuje na to, że znaczenie cyberbezpieczeństwa będzie stale rosnąć. Przed nami wiele pracy m.in. w obszarach edukacji, inwestycji i regulacji, lecz optymizm może budzić fakt, że potrzeby te dostrzega władza, a polski sektor mogący zapewnić naszej gospodarce i obywatelom narzędzia bezpieczeństwa rośnie w siłę. Nawet jeśli Polska nie osiągnie statusu europejskiego lidera cyberbezpieczeństwa, to warto aspirować do tego miana, bo wśród bezpiecznych, nie będzie przegranych.