Współcześnie większość sektorów gospodarki opiera się na cyfrowych rozwiązaniach, jednak poziom zabezpieczeń nie jest równomierny. Podczas, gdy firmy coraz lepiej chronią swoją strefę IT przed zagrożeniami takimi jak phishing, równocześnie nie poświęcają wystarczającej uwagi drugiemu z obszarów – OT. Odpowiada on za prawidłowe działanie nie tylko systemów przemysłowych, ale również kluczowych elementów infrastruktury, takich jak wodociągi, elektrownie czy instalacje chemiczne. W efekcie zaniechania w tym obszarze mogą prowadzić do daleko idących konsekwencji.
Tymczasem rosnące zagrożenie ze strony hakerów potwierdzają dane. W 2024 roku CSRIT-y poziomu krajowego rejestrowały łącznie 111 660 potwierdzonych incydentów bezpieczeństwa, co stanowi wzrost o 23%. Wiele z tych ataków nakierowanych jest właśnie w infrastrukturę krytyczną. Ministerstwo Cyfryzacji wskazało m.in. że w ciągu zaledwie kilku dni przeprowadzono 18 ataków na przedsiębiorstwa wodociągowe w całej Polsce. Co więcej według danych Eurostatu Polska znajduje się na 2. miejscu w UE pod względem liczby incydentów cyberbezpieczeństwa w firmach – doświadczyło ich aż 32% organizacji.
Koniec z zamiataniem incydentów pod dywan
W Polsce wciąż jesteśmy przed wdrożeniem nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, włączającą w lokalne prawodawstwo unijną dyrektywę NIS2. Przepisy te są reakcją na zwiększoną liczbę ataków i konieczność ochrony kluczowych gałęzi gospodarki. Widać to szczególnie w najnowszej wersji ustawy, zwiększającej – tylko nad Wisłą – liczbę podmiotów objętych nowym prawem z 400 do nawet 38 000. Nasz kraj nie jest jedynym, który w tej kwestii zwleka – do maja tego roku z 27 państw członkowskich UE, tylko 12 wdrożyło odpowiednie regulacje.
Ze względu na znaczne rozszerzenie liczby sektorów gospodarki uznawanych za krytyczne, wiele przedsiębiorstw może sobie nawet nie zdawać sobie sprawy, że obejmują je nowe regulacje. Tymczasem NIS2 nakłada na przedsiębiorstwa szereg obowiązków, obejmujących zgłaszanie incydentów w odpowiednim czasie, przeprowadzanie oceny ryzyka cybernetycznego i wdrożenie zabezpieczeń czy szkolenie pracowników. Za brak wymaganych zmian, oprócz zwiększonej podatności na ataki, przedsiębiorstwa będą musiały mierzyć się z karami finansowymi.
– Regulacja NIS2 jest kluczowym elementem zwiększenia odporności cyfrowej gospodarki UE. Jednym z głównych celów tej dyrektywy jest zmiana mentalności „zamiatania pod dywan” incydentów bezpieczeństwa, przez którą wciąż pełna skala zagrożenia nie jest naprawdę znana. Tym bardziej, że nowe regulacje obejmują nie tylko duże, ale też średnie firmy, które są zazwyczaj gorzej zabezpieczone. A pamiętajmy, że skoordynowany atak na wiele mniejszych podmiotów może być tak samo, a nawet znacznie bardziej dotkliwy w skutkach dla gospodarki, niż na jeden duży – mówi Patryk Gęborys, Partner EY w zespole Bezpieczeństwa Informacji i Technologii.
Przedsiębiorstwa często nie mają nawet wiedzy, co wchodzi w skład ich strefy OT
Jedną z kluczowych rekomendacji zawartych w raporcie EY „Trendy i wyzwania w cyberbezpieczeństwie 2025” jest balansu między poziomem cyberbezpieczeństwa a elastycznością w prowadzeniu biznesu. Niezbędnymi działaniami w tym wypadku jest identyfikacja najważniejszych zasobów, które trzeba skutecznie chronić, ponieważ są niezbędne do funkcjonowania firmy. W dalszym ciągu konieczne jest przeprowadzenie przeglądu otwartych podatności – umożliwi to zidentyfikowanie wad technicznych, luk w konfiguracjach oraz braków narzędziowych, procesowych i organizacyjnych. W tym celu możliwe jest wykorzystanie m.in. ogólnodostępnych, międzynarodowych standardów NIST oraz narzędzi CERT, pozwalających m.in. skanować domeny na obecność podatności.
Oprócz wdrożenia zasad cyberbezpieczeństwa przez same przedsiębiorstwa, ważną kwestią jest współpraca firm z producentami oraz integratorami w celu wymiany doświadczeń i wypracowaniu dobrych praktyk. Producentom sprzętu pozwala to tworzyć jeszcze lepsze produkty zgodnie z podejściem „security by design”, a integratorzy mają większe możliwości zapewnienia bezpiecznej konfiguracji i odpowiednich szkoleń dla personelu.
Włączyć pracowników w zarządzanie zmianą
Jednym z kluczowych działań jest włączenie pracowników w programy szkoleniowe dotyczące cyberbezpieczeństwa, szczególnie w kontekście postępowania w sytuacjach kryzysowych oraz umiejętność zarządzania zmianą. Dzięki temu z jednej strony minimalizuje się ryzyko błędów ludzkich mogących prowadzić do cyberataku, a z drugiej – nawet w razie jego wystąpienia firma ma szanse dalej funkcjonować dzięki odpowiednio przygotowanej kadrze.
Dobrą praktyką jest włączenie do przygotowania procesów i szkoleń osób, które nie są bezpośrednio związane z cyberbezpieczeństwem, ale posiadają ekspertyzę w obszarze prawa, zarządzania zasobami ludzkimi czy w dziedzinach pokrewnych, aby wprowadzane rozwiązania były skoncentrowane na człowieku i jego potrzebach, przez to mocniej angażowały odbiorców.