- Większość cyberprzestępstw jest oparta na socjotechnice. Nawet osoby o rozbudowanych umiejętnościach technicznych padają ofiarami wyłudzeń - powiedział Witold Drożdż, członek zarządu Orange ds. strategii.

Czy waga tematu odporności biznesu na ryzyka, które są związane z cyberbezpieczeństwem i ich znaczenie dla Polski, ale również dla przedsiębiorców jest w dostateczny sposób dostrzegana zarówno przez liderów biznesu, czyli przez takie osoby jak Pan, ale również przez rząd i polityków?

ikona lupy />
Witold Drożdż, członek zarządu Orange ds. strategii / Materiały prasowe / fot. Materiały prasowe

Nie ma prostej odpowiedzi. Na pewno poziom świadomości, ocena wagi tematu odporności jest zróżnicowany w różnych firmach i instytucjach. Wpływ na to mają różne doświadczenia w tym zakresie.

Jakby Pan ocenił stopień przygotowania polskich firm na cyberataki?

Niestety najczęściej poziom świadomości ryzyk w tym zakresie gwałtownie rośnie dopiero po tym, jak firma staje się ofiarą cyberataku.

Czyli dopiero w momencie, kiedy już do ataku doszło?

Często niestety tak jest. Według badań prowadzonych przez jedną z dużych firm konsultingowych, ponad 60 proc. przedsiębiorców potwierdziło, że są świadome, iż stały się celem różnego rodzaju cyberataków czy też prób wyłudzeń danych z wykorzystaniem nowych technologii.

I zapewneta skala będzie rosła w przyszłości.

Nie tylko będzie rosła, ale zapewne jest nawet większa niż te 60 proc., o których wspomniałem. Oczywiście są firmy świadome takich zdarzeń, ale gros pozostałych dopiero po ataku dowiaduje się, że padło jego ofiarą i że doszło do rozszczelnienia systemu, a jakieś dane istotne z punktu widzenia firmy czy instytucji stały się łupem przestępców. To jest moment, kiedy świadomość problemu gwałtownie rośnie i bardzo często dopiero wtedy szuka się rozwiązań. W Orange pierwsze systemowe działania z dziedziny cyberbezpieczeństwa podjęliśmy ponad 25 lat temu, blisko 10 lat temu uruchomiliśmy w naszej sieci CyberTarczę, narzędzie, które wykorzystujemy do ochrony danych naszych klientów. Historia przeciwdziałania zagrożeniom w tym wymiarze i budowania odporności, zarówno klientów biznesowych, jak i indywidualnych jest dość długa. Na przestrzeni tych lat bardzo wielu klientów zdążyło się już uzbroić w narzędzia - własne, bądź korzystając z takich rozwiązań jak nasza CyberTarcza. Dzięki temu dziś są już na nieco innym poziomie ekspozycji na ryzyko.

Jednak zagrożenia nigdy nie uda się wyeliminować w 100 proc.

Takiej pewności nigdy mieć nie będziemy.

Hakerzy wymyślają coraz to nowe sposoby wyciągnięcia informacji.

Tak, podobnie jak z innymi różnego typu przestępstwami. Niestety pomysłowość przestępców często wyprzedza czujność tych, którzy próbują się chronić.

Jakie najczęściej informacje są na celowniku hakerów i oszustów?

Bardzo różne, bo też w różny sposób konstruowane są pomysły na to, jak zmonetyzować takie działania. Czasem ataki nie mają zresztą wprost na celu uzyskanie jakiejś korzyści finansowej czy materialnej od podmiotu, który został napadnięty, a np. mówiąc kolokwialnie, pochwalenie się w środowisku hakerskim, że się udało. Warto pamiętać, że poza szeregiem rozwiązań o charakterze stricte technicznym, organizacyjnym, proceduralnym, kluczowa jest nasza świadomość, że do różnych cyberataków może dochodzić i jak im zapobiegać. Większość z tych przestępstw jest opartych na schematach o charakterze socjotechnicznym i często nawet osoby o rozbudowanych umiejętnościach technicznych, padają ofiarami wyłudzeń. Dochodzi do nich także dlatego, że przestępcy, znając sposób funkcjonowania ludzkiej psychiki, potrafią uruchamiać określone schematy naszego działania, które są w pewnym sensie automatyczne, instynktowne. Dlatego z jednej strony, uzbrajając się w rozwiązania o charakterze technicznym, niezbędnym jest budowanie świadomości użytkowników, pracowników i ciągła nauka tego, czego nie należy robić, na co uważać, jakie sytuacje są symptomami, że być może mamy do czynienia z atakiem hakerskim.

To jak takie mechanizmy wypracować?

Systematyczną pracą, szkoleniami, testami bezpieczeństwa. Z perspektywy indywidualnej, jeżeli w firmie jest osoba odpowiedzialna za cyberbezpieczeństwo, to warto być z nią w kontakcie. Nie bać się konsultować wszelkie nietypowe sytuacje, działać z rozwagą. Czasem lepiej nie kliknąć w jakiś link, nie odpowiedzieć na jakiegoś maila, czy nie podjąć jakieś rozmowy telefonicznej. Z jednej strony ekscytujemy się możliwościami, które daje sztuczna inteligencja, ale ona jest też narzędziem w rękach przestępców.

Dzięki sztucznej inteligencji jesteśmy w stanie udoskonalić procedury nie tylko w wymiarze cyberbezpieczeństwa, ale w ogóle w szeroko rozumianej działalności biznesowej. Potrafimy istotnie zwiększać efektywność działania, skracać czas reakcji na różne sytuacje itd. Ale z tych samych narzędzi korzystają przestępcy. Coraz częściej są wykorzystywane mechanizmy oparte na tak zwanych deepfake’ach np. podszywania się w czasie rozmowy telefonicznej pod inną osobę. Sklonowanie głosu innej osoby nie jest ani trudne, ani kosztowne..

MówiPan o sztucznej inteligencji, o deepfake'ach, Czy to są nowe trendy? Na co w tej chwili w obszarze odporności i cyfrowego bezpieczeństwa należy zwracać szczególnie uwagę?

Wykorzystanie deepfake'ów wydaje się być takim jednym z nowych trendów, który może znacząco wpłynąć na nasze postrzeganie bezpieczeństwa.

Bo my też dopiero się uczymy, jak rozpoznawać, co jest deepfake'em, a co nie.

Dokładnie. Tak, jak powiedziałem wcześniej - przestępcy odwołują się do pewnych mechanizmów psychologicznych. Jak słyszymy głos, który wydaje się być znajomy albo widzimy wiadomość od osoby bliskiej, utrzymaną w dramatycznym tonie, to odpowiadamy i działamy. Wyłącza się czujność i rozum, a zaczynają działać emocje. I to wystarcza już do podjęcia próby przeprowadzenia ataku.

Co jeszcze bardziej niepokojące, deepfake wkroczyły również do świata polityki.

Oczywiście i choć zapewne nikt nie jest w stanie z dużą dokładnością tego zmierzyć, to deepfake do pewnego stopnia są w stanie wpłynąć chociażby na wyniki wyborów. Na przykład na Słowacji, podczas ostatnich wyborów jeden z polityków ówczesnej opozycji padł ofiarą takiego działania. Dzięki sztucznej inteligencji zostało sfabrykowane nagranie z użyciem jego głosu. W jego trakcie polityk mówi o tym, jak rzekomo kupuje głosy wyborców.

Przed nami chociażby wybory w USA, tam też może dochodzić do takich sytuacji?

Także w tej dużej polityce deepfake są i będą wykorzystywane. Na ile służby amerykańskie będą w stanie takie sytuacje wyłapać, tego nie wiemy. Dlatego, powtórzę, kluczowe jest budowanie świadomości, ciągłe odświeżanie sobie wiedzy o tym, jakie metody już dzisiaj stosują hakerzy i oszuści. Zalecam daleko posuniętą ostrożność i weryfikowanie każdej sytuacji, która jest anomalią. Warto poświęcić tych parę sekund, żeby zweryfikować wiarygodność informacji, upewnić się, czy faktycznie np. mail od przełożonego, żeby natychmiast wykonać np. przelew bankowy jest autentyczny.

Jakie oczekiwania ma biznes wobec polityków, ustawodawcy i rządów, jeżeli chodzi o ochronę przed cyberatakami?

Budowanie odporności w zakresie cyberbezpieczeństwa, wymaga zgodnej współpracy partnerów publicznych i prywatnych. Orange, dzięki wieloletniej tradycji walki z cyber zagrożeniami, dysponuje ogromną infrastrukturą przeciwdziałającą takim atakom, dzięki której jesteśmy w stanie chronić naszych klientów. Dysponujemy dziś w skali naszego kraju dość unikalną wiedzą i doświadczeniem. CERT Orange Polska, który zajmuje się reagowaniem na takie sytuacje, dysponuje unikalnymi kompetencjami i rozbudowanym zespołem specjalistów. Ale nie jesteśmy jedyni aktywni na tym polu. Podobne działania prowadzą też inne duże firmy oraz państwo. Wymiana wiedzy, doświadczeń i procedur są absolutnie niezbędne. Podam przykład. Na przełomie ubiegłego i tego roku doszło do bezprecedensowego ataku o charakterze DDoS, który dotyczył według mojej wiedzy infrastruktury 4 głównych operatorów telekomunikacyjnych. Atak był prowadzony przez kilka tygodni w tak intensywny sposób, że Polska stała się krajem numer jeden pod względem liczby takich zdarzeń. Nawet obecnie mieścimy się w pierwszej trójce krajów-celów cyberataków.

Tak zmasowane ataki na infrastrukturę krytyczną są związane z wojną w Ukrainie i agresywnymi działaniami Rosji w zakresie ataków hakerskich?

Bez wątpienia. Rola Polski w kontekście wojny w Ukrainie jest bardzo istotna i płacimy za to swoją cenę. To, że o tym dzisiaj rozmawiamy spokojnie, nie w tonie dramatycznym i nie w kontekście jakiegoś załamania funkcjonowania istotnego fragmentu infrastruktury państwa, jest najlepszym dowodem na wysoki poziom odporności naszych systemów. W wypadku, o którym mówiłem, wysokim poziomem odporności wykazali się operatorzy telekomunikacyjni i udało się zachować ciągłość świadczenia usług i chronić zasoby danych naszych klientów. Natomiast musimy mieć świadomość, tak jak pani słusznie zauważyła, że ta sytuacja na pewno się prędko nie zakończy. Co więcej, może przybierać na sile. Mamy do czynienia z celowanymi atakami w konkretne fragmenty naszej infrastruktury, czy w konkretnych naszych klientów. Widzimy też dywanowe ataki, które mają zmapować potencjalne luki w naszych zabezpieczeniach. To co z perspektywy takiej firmy, jaką reprezentuję, jest szalenie istotne, to dobra współpraca z rządem i instytucjami publicznymi, a co za tym idzie wymiana informacji, wspólne ćwiczenia i być może szukanie takich rozwiązań o charakterze biznesowym, które będą pozwalać z jednej strony podmiotom publicznym korzystać z rozwiązań dostępnych komercyjnie, a z drugiej w szerszym stopniu wykorzystywać różnego rodzaju fundusze publiczne do tego, żebyśmy zwiększali poziom odporności. Chroniąc infrastrukturę naszych klientów, chronimy infrastrukturę państwa. Bo przedmiotami ataków dzisiaj są takie firmy jak zakłady energetyczne, wodociągi czy banki. Bardzo trudno sobie wyobrazić nawet bardzo ograniczoną w czasie niedostępność usług bankowych czy możliwości korzystania z energii elektrycznej.

Mówi Pan o korzyściach wynikających ze współpracy. Jak ważna jest współpraca biznesu ze stroną rządową? Orange Polska jako pierwsza firma. telekomunikacyjną dołączyła do grona partnerów w ramach programu z zakresu cyberbezpieczeństwa prowadzonego przez ministra cyfryzacji. Co chcecie jako firma, jako lider biznesu dzięki temu uzyskać? Jaka jest tutaj wartość dodana tej współpracy?

Liczymy na to, że może jeszcze sprawniej, niż do tej pory będziemy w stanie wspólnie analizować kluczowe i nowe zjawiska, które mogą stanowić potencjalne zagrożenia dla naszej infrastruktury. Liczę, że uda się również wypracowywać jeszcze bardziej efektywne metody wymiany informacji, a także że nasz głos, głos biznesu, będzie lepiej słyszalny w przypadku konsultowania różnego rodzaju projektów aktów prawnych wpływających na sferę związaną z bezpieczeństwem, w tym w obszarze cyberbezpieczeństwa. Taką ochronę trudno jest budować abstrahując od szerszego kontekstu. W trakcie tej rozmowy parokrotnie padło pojęcie odporności. Skupiamy się na jednym z jej wymiarów, czyli na cyberbezpieczeństwie. Ale tak naprawdę myśląc o odporności, myślimy w ogóle o zapewnieniu ciągłości działania biznesu w każdym wymiarze. A, żeby to osiągnąć dobra współpraca z partnerami rządowymi i z władzami publicznymi jest po prostu warunkiem koniecznym.

Orange jest dużą firmą, więc wasz głos jest słyszalny. Na ile również małe i średnie podmioty mogą liczyć na taki dialog ze stroną rządową? Bo być może one mają jeszcze większy problem z ustaleniem procedur tego, jak powinien wyglądać łańcuch zdarzeń zabezpieczający przed atakiem hakerskim?

Oczywiście, że nie można powiedzieć, że duże firmy, to duże problemy, a małe firmy małe problemy. Warto sięgać po pomoc wyspecjalizowanych podmiotów. Trudno oczekiwać, żeby niewielkie firmy były w stanie na własne potrzeby zatrudniać wysoko wykwalifikowanych specjalistów od cyberbezpieczeństwa.

Często wysoko wynagradzanych.

W dodatku takich, których na rynku pracy brakuje. Z tym też boryka się sektor publiczny, choć w ostatnim czasie wiele wysiłku jest wkładane w to, żeby był on w stanie konkurować z sektorem prywatnym o takich specjalistów. Co jest dobrą wiadomością dla nas jako obywateli. Natomiast musimy mieć świadomość, że ta przysłowiowa kołdra jest dosyć krótka i liczba ludzi, którzy w tym zakresie posiadają kompetencje, jest ograniczona. Chodzi więc o to, żeby dobrze zarządzać tymi zasobami, które mamy, a nie próbować za wszelką cenę mnożyć rozwiązania, które dla każdej odrębnej firmy będą budowane indywidualnie. Bez wątpienia taki efekt skali działania ma tutaj ogromne znaczenie, bo jeżeli jesteśmy w stanie odwołać się do setek tysięcy incydentów i do wieloletniego doświadczenia, to jest to kapitał, który trudno zbudować w warunkach mniejszej organizacji, zwłaszcza o krótszym stażu, jeżeli chodzi o funkcjonowanie na rynku. Ale też pewnie te potrzeby są bardzo różne i warto wtedy szukać wsparcia partnera, który potrafi dostosować zakres ochrony oraz jej intensywność do specyficznych potrzeb danego klienta.

A jakich oczekujecie wymiernych efektów współpracy z resortem cyfryzacji?

Przystępując do tej współpracy nie kierowała nami chęć uzyskania jakiś bardzo wymiernych korzyści. Raczej chodziło o pokazanie potencjału, którym dysponujemy, także po to, żeby nie duplikować tych rozwiązań, które już funkcjonują. Skupić się raczej na budowaniu kompetencji w tych obszarach, w których ich brakuje. Poszukać takich rozwiązań o charakterze prawnym, a także finansowym, które pozwolą zwiększać poziom naszego bezpieczeństwa cyfrowego.

Jednym z tematów naszej akcji „Nie ma Przyszłości bez Przedsiębiorczości” jest budowanie przestrzeni dialogu między biznesem, a strukturami państwa. Wiele razy podkreślał Pan, jak ważne jest to, żebyśmy mieli w tym zakresie więcej przejrzystości, jasności i stabilności. I pytanie, czy liderzy biznesu dokładają dostatecznie dużo wysiłku, żeby dojść do takiego stanu rzeczy?

Każdy powinien mówić za siebie. Musimy mieć jednak pewność, że to, co dzisiaj tworzymy, będzie miało szansę w jakimś racjonalnym horyzoncie czasowym przetrwać w tych ramach prawno-organizacyjnych, które dzisiaj znamy. Jeżeli te ramy będą się zmieniać zbyt często to pozbawia się nas, jako biznes, nie tylko motywacji do inwestycji, ale też wręcz nam to uniemożliwia. Decydenci muszą uwzględniać to, że jako przedsiębiorcy musimy się kierować rachunkiem ekonomicznym i interesem spółki, dla której pracujemy. Według niedawno opublikowanego raportu naukowców z SGH Orange jest największym prywatnym inwestorem zagranicznym w Polsce.W ostatnich 10 latach zainwestowaliśmy w infrastrukturę w Polsce ok. 20 miliardów zł. To są ogromne pieniądze, w dodatku zainwestowane w taką najcenniejszą infrastrukturę, bo taką, której nikt nie zwinie w kłębek i nie wywiezie do innego kraju, jeśli uzna, że warunki inwestycyjne w Polsce są niekorzystne. To są przede wszystkim światłowody i infrastruktura mobilna, ale też taka, na której opieramy nasze usługi w zakresie cyberbezpieczeństwa. Orange jest jedną z kilkunastu firm, która jest traktowana jako operator infrastruktury krytycznej. To wszystko powoduje, że podejmując tak poważne zobowiązania inwestycyjne i realizując je, musimy być pewni, że mamy do czynienia z racjonalnym ustawodawcą, że mamy do czynienia z partnerami, którzy chcą z nami współpracować i rozumieją nasze miejsce w tym ekosystemie publiczno-prywatnym. Współczesny świat pokazuje, że wyzwania, z którymi się przychodzi nam mierzyć, są tego typu, że ani same władze publiczne, ani biznes nie są w stanie im podołać.

UżyłPan sformułowania „racjonalny ustawodawca”. Na ile ten „racjonalny ustawodawca”, to również przewidywalne prawo i na ile to przewidywalne prawo wpływa na poprawę bezpieczeństwa w zakresie cyberbezpieczeństwa i stabilności systemu?

Nie mając tej przewidywalności i co za tym idzie stabilności, nie jesteśmy w stanie podejmować długofalowych decyzji. Nie jesteśmy też w stanie budować naszych kompetencji w długim horyzoncie czasowym, bo ciężko tworzyć coś o charakterze systemowym w ciągle zmieniającym się środowisku. I tu nie chodzi o to, żebyśmy mieli gwarancję, że raz zdefiniowane ramy pozostaną na 50 lat niezmienione. Mamy świadomość dynamiki rzeczywistości politycznej, gospodarczej i społecznej. Jeżeli zmiany są rzeczywiście uzasadnione, przedyskutowane i skonsultowane ze wszystkimi stronami, to nawet jeżeli czujemy niedosyt, to przynajmniej wiemy, czym dana modyfikacja legislacyjna jest podyktowana.

Rozmawiała Dominika Sikora