Odkrywamy fakty i obalamy mity dotyczące NIS2 cz. I: nowe prawo na niespokojne czasy

Według ostatniego Barometru Cyberbezpieczeństwa, aż 83 proc. firm zarejestrowało w zeszłym roku przynajmniej jeden incydent związany z cyberbezpieczeństwem, co oznacza wzrost o 16 p.p. względem poprzedniego badania. Całkowita liczba prób ataków rośnie niezależnie od wielkości firmy, choć największą intensyfikację odnotowują duże przedsiębiorstwa — 55 proc. z nich zauważyło wzrost lub znaczny wzrost aktywności cyberprzestępców. Czy polskie firmy są świadome stale rosnących zagrożeń i odpowiednio się przygotowują na ich ewentualność? Jakie są główne przyczyny ryzykownego odkładania w czasie przez wiele przedsiębiorstw inwestycji w swoje cyfrowe bezpieczeństwo? Czy perspektywa implementacji przepisów unijnej dyrektywy NIS2 działa na nasz rynek mobilizująco? O tych, kluczowe dla ciągłości działania biznesu, kwestiach mówi Artur Barankiewicz, Head of Security Business Development B2B Europe, Deutsche Telekom.

TM: Jakie czynniki spowodowały, że w Europie zaczęto w ogóle debatę na temat zaktualizowania przepisów dotyczących cyberbezpieczeństwa, której wynikiem jest wdrażana właśnie dyrektywa NIS2?

Artur Barankiewicz: Pierwszym impulsem była pandemia COVID-19, która całkowicie zmieniła paradygmat myślenia o tzw. infrastrukturze i podmiotach krytycznych. Na naszych oczach załamały się nie tylko łańcuchy dostaw, ale również samo pojęcie bezpieczeństwa społecznego. Okazało się, że nawet tak prozaiczne zadania, jak dostarczenie pieczywa bądź leków, jak i ich tradycyjne nabycie w piekarni czy aptece, mogą być bardzo problematyczne. Błyskawicznie więc wpierw handel, a następnie kolejne obszary życia gospodarczego, przeniosły się do sieci. Tempo tego procesu było bezprecedensowe, ale poza oczywistymi korzyściami zrodziło również szereg zagrożeń. Nikt bowiem nie był tak naprawdę przygotowany na skokowe przeniesienie całego swojego biznesu do sfery online.

Chwilę po tym, jak otrząsnęliśmy się po pandemicznym szoku, wybuchła wojna w Ukrainie. Czasowa zbieżność rozpoczęcia rosyjskiej inwazji ze wzrostem aktywności cyberprzestępców nie była przypadkowa — zwłaszcza w Polsce, czyli kraju bezpośrednio sąsiadującym z obszarem działań wojennych.

To właśnie te dwa, globalne czynniki skłoniły Unię Europejską do opracowania i wdrożenia regulacji dostosowanych do nowych, niespokojnych czasów, w których znalazły się jej społeczeństwa, państwa członkowskie oraz firmy w nich działające.

TM: Czyli nasza eskpozycja na cyberataki to efekt presji geopolitycznej oraz skokowej digitalizacji, która wiele podmiotów po prostu zaskoczyła?

Owszem, i generalnie musimy zrozumieć, że jako społeczeństwo jesteśmy obecnie celem nieustannych ataków — a w szczególności firmy, jako szczególny rodzaj podmiotów.

Motywacje cyberprzestępców możemy podzielić na dwie kategorie. Pierwsza z nich ma charakter polityczny: są państwa, i to w bezpośrednim sąsiedztwie Polski, które po prostu organizują bądź zlecają ataki na naszą infrastrukturę, instytucje, testują odporność oraz szczelność ich systemów bezpieczeństwa.

Druga kategoria wiąże się z kwestiami finansowymi: udany cyberatak to dla przestępców szansa na szybki i łatwy zarobek, któremu towarzyszy relatywnie niskie ryzyko poniesienia jakichkolwiek konsekwencji. Warto przy tym zauważyć, że atakujący zoptymalizowali swoje działania kosztowe. Kiedyś targetowali oni konkretną osobę, na przykład prezesa czy członka zarządu dużej korporacji. Aktualnie atakują oni w sposób masowy, skanują wszystko, co jest widoczne w sieci, identyfikują podatności i słabości przypadkowych podmiotów a dopiero potem zastanawiają się, jak to wykorzystać.

TM: Czyli żadna firma, niezależnie od wielkości czy branży, nie może czuć się dziś bezpiecznie?

Dokładnie! Dotychczasowy paradygmat myślenia wielu przedsiębiorców: że jestem za mały, za mało interesujący czy widoczny w sieci, aby stać się celem cyberataku, definitywnie stracił na aktualności. Na celowniku przestępców jest dziś każdy: lokalny sklep czy niewielka firma zlokalizowana daleko od metropolii, a nawet gospodarstwo rolne, bo przecież może posiadać olbrzymie pieniądze chociażby w postaci maszyn rolniczych.

TM: Czy jako społeczeństwo, biznes i państwo ponosimy część odpowiedzialności za ten znaczący wzrost liczby incydentów bezpieczeństwa?

Zaskoczeni tempem digitalizacji, popełniliśmy rzeczywiście szereg błędów — jak to zazwyczaj bywa, gdy musimy błyskawicznie wdrożyć całkowicie nowe rozwiązania czy systemy. Pracujemy nad jedną rzeczą, widzimy, że jakoś działa, przechodzimy dalej nieco zapominając o „odłożonych na później” niedoskonałościach czy defektach. Mówiąc obrazowo: pozostawiamy kolejne, nawet lekko uchylone furtki, przez które w dowolnym momencie mogą przejść cyfrowi przestępcy.

Dobra wiadomość jest taka, że groza, jaką wywołują statystyki związane z ilością incydentów bezpieczeństwa, wynika również ze wzrostu naszej świadomości i zainteresowania tą problematyką. Cyberataki przestają być po prostu tematem tabu. Swoją drogą, znajduje to również odzwierciedlenie w unijnej dyrektywie NIS2 – po o uwzględnia ona obowiązek raportowania o incydentach bezpieczeństwa, aby podnosić świadomość i czujność całego rynku.

TM: Ale czy wiedza idzie w parze z praktyką?

Szczęśliwie coraz częściej, bo w samym tylko T-Mobile nieustannie tłumaczymy naszym klientom i partnerom biznesowym, że być może faktycznie nie mieli oni dotychczas poważnego incydentu bezpieczeństwa, ale z całą pewnością będą go kiedyś mieli — i muszą się do tego solidnie przygotować. Inna sprawa, że znaczna część z nich go doświadczyła, ale nawet nie jest tego świadoma. Albo nie mieliśmy poważnego incydentu, ale na pewno będziemy go mieli.

Są też niestety firmy, które przyjmują taktykę „chowania głowy w piasek”, to znaczy udawania, że nic się nie stało, i komunikowania incydentu bezpieczeństwa jako na przykład przerwy technicznej. Tymczasem cyberatak jest kryzysem, którym musimy nauczyć się właściwie zarządzać, co obejmuje również transparentność, gotowość do przyznania się do pewnych słabości i ich zaraportowania, chęć wdrożenia zmian służących uniknięciu go w przyszłości.

TM: Ryzyko, jak już zostało to powiedziane, obejmuje wszystkich. Ale czy wszyscy, niezależnie od implementacji NIS2, inwestują we wzmacnianie swojej odporności cyfrowej?

Z pewnością poziom świadomości: tak zagrożeń, jak i konieczności wdrażania kolejnych środków cyberhigieny oraz cyberbezpieczeństwa, wciąż koreluje z branżą i wielkością danej firmy. Zdecydowanie bardziej przejmują się tym duże firmy — nie tylko ze względu na fakt przygotowywania się do implementacji przepisów dyrektywy, ale także codzienną praktykę. Być może bowiem menadżer czy kierownik z bliźniaczej organizacji nie poniesie konsekwencji samego ataku, ale już za jego efekty, na przykład zaburzenie łańcucha dostaw, zostanie zwolniony — a to działa z pewnością mobilizująco na inne, decyzyjne w kwestiach inwestycyjnych danej organizacji, osoby.

Problemem nadal jest najpoważniejszy w tak zwanym segmencie MŚP, gdzie często spotykamy się z takim „domorosłym robieniem biznesu”. Wydatek przykładowo stu tysięcy złotych na cyberbezpieczeństwo jest dla tych podmiotów znaczącym obciążeniem, a efekty nie są przecież namacalne czy widoczne gołym okiem. Mały przedsiębiorca chętniej zainwestuje te środki w na przykład nowy pojazd do przewożenia większej ilości paczek.

Naszym zadaniem jest skłonienie go do przemyślenia tej strategii: co bowiem stanie się, jeśli na skutek incydentu bezpieczeństwa przestanie dostawać zlecenia lub straci kontakt z klientami za pośrednictwem strony internetowej? To realne straty uświadamiają przedsiębiorcom, jak kluczowe były wcześniejsze inwestycje w cyberbezpieczeństwo. W dobie dzisiejszej zależności od świata cyfrowego, wzmacnianie odporności i bezpieczeństwa w sieci nabiera fundamentalnego znaczenia dla prowadzenia jakiejkolwiek działalności w świecie rzeczywistym.