Wed?ug danych CERT Polska, w 2018 roku odnotowano 17,5 proc. wzrost incydentów bezpiecze?stwa w cyberprzestrzeni w stosunku do roku poprzedniego. Ponadto wyniki badania PwC pt. „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzest?pcami licz? na szcz??cie” wskazuj?, ?e prawie dwie trzecie ankietowanych firm odnotowa?o zak?ócenia i przestoje funkcjonowania spowodowane aktywno?ci? cyberprzest?pców. Dla zobrazowania problemu, tylko 35 proc. przedsi?biorstw na polskim rynku posiada strategi? cyberbezpiecze?stwa. Niemal?e wszystkie statystki ?wiadcz? o rosn?cym zagro?eniu dla polskiej gospodarki wynikaj?cym ju? nie tylko z przest?pczej dzia?alno?ci hakerskiej, ale równie? z braku przygotowania przedsi?biorców na ewentualny atak.
Polskie firmy musz? jeszcze lepiej zrozumie?, jak du?e zagro?enie dla funkcjonowania ca?ej gospodarki stanowi? ataki w cyberprzestrzeni. ?wiadomo?? zagro?e? jest kluczowa. Jednak?e, aby si? przed nimi chroni?, niezb?dne jest tak?e podj?cie konkretnych dzia?a? przez podmioty publiczne, we wspó?pracy z prywatnymi, zarówno na poziomie krajowym, jak i mi?dzynarodowym – wskazuje Izabela Albrycht, prezes Instytutu Ko?ciuszki.
Raport Instytutu Ko?ciuszki pt.: „Wyzwania w cyberprzestrzeni. Przyk?ady rozwi?za?, zagro?enia, regulacje” wskazuje zagro?enia czyhaj?ce na chwil? s?abo?ci systemu bezpiecze?stwa firmy czy instytucji pa?stwowej – malware, phishing, DDoS i APT (Advanced Persistent Threat). Ju? co 13 e-mail zawiera z?o?liwe oprogramowanie, którego celem jest zainfekowanie komputera, systemów komputerowych, sieci czy urz?dze? mobilnych. Ponad 25 proc. internautów w Polsce pad?o w 2018 r. ofiar? phishingu polegaj?cego na podst?pnym wy?udzeniu od u?ytkowników ich danych osobistych, takich jak has?a, numery kart kredytowych czy dane kont bankowych. Mimo ?e ataki DDoS w wi?kszym stopniu dotykaj? USA i Chiny ni? Polsk?, to tendencja ich wyst?powania na rodzimym rynku, podobnie jak na rynku ?wiatowym, jest ca?y czas wzrostowa. Najbardziej zaawansowanym atakiem jest jednak APT. Najcz??ciej jest to starannie zaplanowany, cz?sto wyrafinowany i wymierzony w konkretny cel atak sieciowy na dan? organizacj?, którego celem jest cyberszpiegostwo. Jednym z najs?ynniejszych ataków APT jest odkryta w 2009 roku operacja GhostNet, która zd??y?a zinfiltrowa? sieci w 103 krajach, przy czym najd?u?sza infekcja utrzymywa?a si? przez 660 dni. Podobne ataki oznaczaj? realne straty finansowe nie tylko dla przedsi?biorców, ale i ca?ych gospodarek. Wed?ug danych McAfee i CSIS, tylko w 2017 r. gospodarka ?wiatowa straci?a ponad 600 miliardów dolarów, natomiast Zurich Insurance przewiduje, ?e w 2030 r. straty mog? si?gn?? nawet 1,2 biliona dolarów, co b?dzie si? równa? 0,9 proc. ?wiatowego PKB.
Firmy technologiczne odpowiedzia?y na zagro?enia m.in. poprzez podejmowanie dzia?a? samoregulacyjnych, takich jak Global Internet Forum to Counter Terrorism (GIFCT), którego celem jest przeciwdzia?anie szerzeniu si? w sieci propagandy produkowanej przez terrorystów czy inicjatywa The Cybersecurity Tech Accord (Tech Accord) – publiczne zobowi?zanie, podpisane przez ponad 80 firm, w ramach którego sygnatariusze deklaruj? podejmowanie dzia?a? zwi?kszaj?cych bezpiecze?stwo i stabilno?? w cyberprzestrzeni. Takie inicjatywy stanowi? wyra?enie potrzeby rozwijania tak zwanych norm odpowiedzialnego zachowania w cyberprzestrzeni. Do tego dochodz? regulacje prawne podejmowane przez Uni? Europejsk? i pa?stwa cz?onkowskie, których g?ównym przyk?adem jest Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. (Dyrektywa NIS). Wspomniany akt prawny nak?ada na wszystkie pa?stwa cz?onkowskie obowi?zek przyj?cia krajowej strategii w zakresie bezpiecze?stwa sieci i systemów informatycznych, ustanawia wymogi dotycz?ce bezpiecze?stwa i zg?aszania incydentów dla operatorów us?ug kluczowych i dostawców us?ug cyfrowych, a ponadto tworzy grup? wspó?pracy s?u??c? rozpowszechnianiu dobrych praktyk i do?wiadcze? w obszarze cyberbezpiecze?stwa oraz sie? zespo?ów reagowania na incydenty bezpiecze?stwa komputerowego (sie? CSIRT). Polska ustawa z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpiecze?stwa (UKSC) wdra?aj?ca unijn? dyrektyw?, wskazuje trzy zespo?y reagowania na incydenty bezpiecze?stwa komputerowego – CSIRT GOV prowadzony przez Szefa Agencji Bezpiecze?stwa Wewn?trznego, CSIRT MON prowadzony przez Ministra Obrony Narodowej oraz CSRIT NASK prowadzony przez Naukow? i Akademick? Sie? Komputerow? – Pa?stwowy Instytut Badawczy. Ustawa ta okre?la równie? organy w?a?ciwe do wyznaczenia operatorów us?ug kluczowych, zasady ich wyznaczania, a tak?e szczegó?owe obowi?zki operatorów, do których nale?? m.in.:
· Systematyczne szacowanie ryzyka wyst?pienia incydentu i zarz?dzanie ryzykiem,
· Wdro?enie odpowiednich i proporcjonalnych ?rodków technicznych i organizacyjnych,
· Zbieranie informacji o zagro?eniach i podatno?ci na incydenty systemu informacyjnego wykorzystywanego do ?wiadczenia us?ugi kluczowej,
· Zarz?dzanie incydentami,
· Stosowanie ?rodków zapobiegaj?cych i ograniczaj?cych wp?yw incydentów na bezpiecze?stwo systemu informacyjnego wykorzystywanego do ?wiadczenia us?ugi kluczowej,
· Stosowanie ?rodków ??czno?ci umo?liwiaj?cych prawid?ow? i bezpieczn? komunikacj? w ramach krajowego systemu cyberbezpiecze?stwa.
UKSC nak?ada na operatorów us?ug kluczowych obowi?zek prowadzenia dokumentacji dotycz?cej bezpiecze?stwa systemu informacyjnego oraz powo?ania wewn?trznej struktury odpowiedzialnej za cyberbezpiecze?stwo lub zlecenia takich us?ug podmiotom trzecim. Dodatkowo, operatorzy musz? co najmniej raz na dwa lata przeprowadza? audyt bezpiecze?stwa cybernetycznego.
Z ca?? pewno?ci? powy?sze rozwi?zania przyczyniaj? si? do zwi?kszenia poziomu bezpiecze?stwa cyberprzestrzeni. Jednak niezb?dne jest podejmowanie dalszych inicjatyw, a tak?e dbanie o bezpiecze?stwo rozwi?za? ju? na etapie ich projektowania w my?l zasady security by design i privacy by design. Jedn? z inicjatyw, która od przesz?o pi?ciu lat buduje ?wiadomo?? w zakresie cyberzagro?e? dla firm i instytucji publicznych jest Europejskie Forum Cyberbezpiecze?stwa CYBERSEC, podczas którego ju? w pa?dzierniku ?wiatowi eksperci zaproponuj? kolejny zestaw rekomendacji s?u??cych wzmocnieniu bezpiecze?stwa zarówno sektora prywatnego, jak i publicznego, obrazowo rzecz ujmuj?c: cyfrowego DNA ?wiata. W tym roku odb?d? si? te? praktyczne sesje warsztatowe dla firm, które przybli?? dobre praktyki wdra?ania zapisów ustawy o KSC – konkluduje Izabela Albrycht, prezes Instytutu Ko?ciuszki.
