Brakuje nam specjalistów od bezpieczeństwa

Zagrożenie atakami – Uczestnicy debaty „Cyberbezpieczeństwo wobec postępującej zależności od technologii” zastanawiali się jak walczyć z tym problemem

– To czas, kiedy powinniśmy przestać stosować półśrodki oraz uzmysłowić sobie skalę problemu. Bo jak na razie cyberbezpieczeństwo jest traktowane powierzchownie – stwierdził Artur Józefiak, dyrektor Obszaru Usług Cyberbezpieczeństwa, Accenture w Polsce i Europie Środkowo-Wschodniej.

Nowelizowana ustawa o krajowym systemie cybezbezpieczeństwa zakłada w związku z tym m.in. powstanie nowych sektorowych zespołów reagowania na incydenty – CSIRT we wszystkich kluczowych działach gospodarki, wprowadzenie do krajowego systemu operacyjnych centrów bezpieczeństwa, czyli SOC, czy nadanie Kolegium ds. Cyberbezpieczeństwa kompetencji do oceny ryzyka dostawców sprzętu lub oprogramowania.

– Celem zmian jest zwiększenie bezpieczeństwa na poziomie krajowym, poprzez podniesienie odporności na cyberataki, ale i zwiększenie ochrony informacji. Dlatego możliwe stanie się też tworzenie ISAC, czyli specjalistycznych organizacji, dzięki którym podmioty krajowego systemu cyberbezpieczeństwa będą miały możliwość bieżącej wymiany informacji o incydentach, zagrożeniach, podatnościach oraz dobrych praktykach – mówił Robert Kośla, dyrektor w Departamencie Cyberbezpieczeństwa Kancelarii Prezesa Rady Ministrów.

Eksperci biorący udział w debacie pozytywnie oceniali kierunek działań. – Każde rozwiązanie, które zwiększa bezpieczeństwo w cyfrowym świecie, jest dobre. Czas jednak pokaże, na ile te zaproponowane sprawdzą się w praktyce – mówi Izabela Błachnio – Wojnowska, dyrektorka biura ds. programu cyberbezpieczeństwa i zarządzania bezpieczeństwem, Bank BNP Paribas, podkreślając, że system bankowy, obok telekomunikacyjnego obecnie najlepiej radzą sobie pod względem cyberbezpieczeństwa. Ale są jeszcze inne sektory, które wymagają wsparcia w tym zakresie. – Dlatego wszystkie przedsiębiorstwa, które mają rozwinięte systemy cybersecurity, powinny dzielić się wiedzą i pomagać zdobywać ją innym firmom – zaznaczyła, dodając, że banki są na to otwarte. Wystarczy tylko stworzyć ku temu przestrzeń.

Kibicem KSC jest też Artur Józefiak. Dostrzega jednak pewne słabości, które w pewnym zakresie rozwiązuje nowelizacja ustawy. – Należy dookreślić, jakie pieniądze są potrzebne na stworzenie systemu bezpieczeństwa, kto je wyłoży, kto i za jakie działania będzie odpowiadał? – pytał dyrektor z Accenture. – Wszyscy powinniśmy zrozumieć, że to kosztuje – dodał. – Płacimy 2 proc. PKB za bezpieczeństwo militarne. A ile płacimy na bezpieczeństwo w cyfrowym świecie? – pytał. Jego zdaniem pewne oszczędności można uzyskać korzystając z doświadczenia branż, które inwestowały w ten obszar, jak telekomunikacja czy bankowość. – Sektor bankowy w ogóle robi więcej niż ktokolwiek inny w stosunku do tego, do czego jest statutowo powołany, dając też pewne wzorce – mówił Artur Józefiak.

Zdaniem ekspertów trzeba też uzmysłowić firmom, że straty wynikające z cyberataków są wyższe niż wydatki na cyfrowe bezpieczeństwo. Co więcej, wiedzę na ten temat musi mieć każdy, bo na system bezpieczeństwa nie składają się tylko banki, czy telekomunikacja, ale też inne sektory. – I choć banki zabezpieczają się od lat, to podczas cyberataku w innych obszarach gospodarki mogą stracić pośrednio – wyjaśnia Izabela Błachnio–Wojnowska.

Robert Kośla zaznaczył, że nie jest możliwe zabezpieczenie wszystkiego przed wszystkim. Dlatego dyrektywa NIS w zakresie cyberbezpieczeństwa wskazuje, jakie obszary powinny podlegać przede wszystkim ochronie. – Jak tu mówić o bezpieczeństwie skoro 63 proc. firm korzystających z rozwiązań chmurowych nie jest w stanie określić, w jakim modelu jest ono oferowane. A od tego zależy sprawa bezpieczeństwa przechowywanych danych – tłumaczył Michal Kurek, partner, szef Zespołu Cyberbezpieczeństwa, KPMG w Polsce i Europie Środkowo–Wschodniej. Zwracał uwagę na wyzwania, jakie wiązać się będą z budowaniem systemu ochrony sieci. – Z naszych badań wynika, że największą barierą, jaką dostrzegają przedsiębiorstwa jest pozyskanie specjalistów. Dopiero na drugim miejscu są pieniądze – informował. Podkreślił, że należy zadbać o kształcenie kadr i wzrost świadomości w zakresie cyberbezpieczeństwa. – Brakuje jej nie tylko wśród klientów, ale i firm. Z badań wynika, że tylko co dziesiąte przedsiębiorstwo ma w swoich kadrach specjalistę w tej dziedzinie. Tymczasem 64 proc. doświadczyło cyberataku – mówił Michal Kurek. Według niego trzeba mówić głośno o tych problemach, a wymiana informacji między podmiotami i sektorami, którą proponuje nowelizacja polskich przepisów jest najlepszą drogą do poprawy sytuacji.

Inni eksperci potwierdzają, że problem braku dostępu do kadr jest poważny, a rynek nie nadąża z „produkcją” specjalistów w zakresie IT i cyberbezpieczeństwa. Dlatego Izabela Błachnio–Wojnowska doradzała zmiany w systemie edukacji i kształcenia zawodowego, tak by możliwe stało się szybkie przekwalifikowywanie się i poszerzanie wiedzy w tej dziedzinie. Eksperci uważają również, że bez środków finansowych rozwiązanie tego problemu będzie trudne. Bo nawet, gdyby wszystkie uczelnie zostały nakierowane na cyberbezpieczeństwo, to wykształceni na nich specjaliści zostaną „zassani” przez globalny rynek.

PAO