Cyberbezpieczeństwo: Człowiek najsłabszym ogniwem

W czwartek odbyła się zorganizowana przez Związek Cyfrowa Polska konferencja #CyfryzujemyPolskę: Cyberzagrożenia 2021 r. i wyzwania na 2022 r. Jej partnerami były firmy Cisco i Samsung.

Organizatorzy przypomnieli, że 2021 był kolejnym szczególnym rokiem, w którym cyberbezpieczeństwo stało się jednym z wiodących tematów i istotnym wyzwaniem zarówno dla polskiej administracji na poziomie rządowym i samorządowym, jak i biznesu. Firmy i instytucje publiczne z uwagi na trwającą pandemię przeszły przyśpieszoną transformację cyfrową, która nierozłącznie z kolei związana jest z rosnącymi przy tym cyfrowymi zagrożeniami. Z tematami bezpieczeństwa cyfrowego coraz częściej stykają się także konsumenci, którzy z powodu nowych form pracy – w modelu zdalnym lub hybrydowym – bardziej niż kiedykolwiek wcześniej narażeni są na ataki hakerów.

Podczas konferencji w gronie ekspertów podsumowano to, co w zakresie cyberbezpieczeństwa udało się osiągnąć w 2021 roku zarówno na poziomie administracji państwowej i samorządowej, jak i biznesu oraz w odniesieniu do konsumentów. Prelegenci starali się opowiedzieć o tym, jak w postpandemicznym świecie lepiej chronić nasze urządzenia elektroniczne i sieci internetowe, by w nowych warunkach bezpieczniej pracować, uczyć się i korzystać z usług publicznych.

Polacy boją się, ale nie wiedzą, jak się bronić

Raport o cyberzagrożeniach (Cyberbezpieczeństwo 2021) przedstawił Michał Kanownik, prezes Związku Cyfrowa Polska. - Najsłabszymi elementami są dwa elementy: człowiek, który zawsze jest najsłabszym ogniwem całego systemu, a z drugiej strony końcowe urządzenie. O ile smartfon czy tablet kojarzą się nam z urządzeniami, które mogą służyć do włamania się i kradzieży danych, o tyle na przykład drukarka nie kojarzy się wielu z nas z furtką do drzwi naszej prywatności, źródłem potencjalnego zagrożenia włamania się do naszej czy firmowej bazy danych. A to urządzenia, które są najsłabszymi elementami całego systemu technologicznego w naszych domach, firmach czy administracji – podkreślił.

Według badania 41 proc. polskich obywateli wyraziło obawę przed zostaniem ofiarą cyberbezpieczeństwa – rok wcześniej było to 36 proc. - To najwyższy odsetek poczucia zagrożenia od pięciu lat. On rośnie szybko, ale dobrą wiadomością jest, że obywatele są w coraz większym stopniu świadomi zagrożenia. Jeśli jesteśmy świadomi, to jesteśmy otwarci, skłonni i chętni, by szukać rozwiązania, zabezpieczenia danych naszej firmy czy rodziny – mówił Kanownik.

Prezes Cyfrowej Polski zaznaczał, że temat bezpieczeństwa nie dotyczy tylko wielkiego świata, polityki, rządów czy relacji globalnych. - Jest kluczowy dla każdego elementu naszego życia: zarówno administracji publicznej na każdym poziomie, biznesu małego, średniego i największego, ale również każdego obywatela jako indywidualnej osoby – mówił.

Z raportu wynika, że prawie co piąta firma w 2021 roku zaobserwowała wzrost cyberataków, a 58 proc. z nich uważa, że pandemia spowodowała wzrost zagrożeń w sieci. Jednak jedynie 23 proc. firm zwiększyło budżet finansujący cyberbezpieczeństwo. - To absolutnie za mały odsetek, żeby zapewnić nam elementarny poziom bezpieczeństwa. Dlaczego tak się dzieje? Powody budżetowe, brak pieniędzy. Ale obawiam się, że to bardziej skomplikowane. W firmach nadal nie ma przekonania, że wydatek na cyberbezpieczeństwo to nie koszt, a inwestycja w normalne funkcjonowanie i rozwój firmy – podkreślał Kanownik.

I dodawał, że według danych, jedynie co dziesiąty Polak wie, jak nie dać się śledzić w internecie, a 9 proc. wie o istnieniu narządzi, które mogą zapobiec wykorzystywaniu ich danych osobowych w sieci. - To pokazuje, jak nonszalancko stosujemy internet, jak nonszalancko zachowujemy się w świecie wirtualnym, szczególnie w mediach społecznościowych – komentował prezes Cyfrowej Polski.

Kanownik powracał do tego, że to czynnik ludzki najczęściej zawodzi w kwestii cyberbezpieczeństwa. - Osiem razy częściej powodem wycieku danych jest pojedynczy człowiek niż zapory technologiczne i ochrona danych. Człowiek zawsze i wszędzie jest najsłabszym ogniwem, trzeba zwracać szczególną uwagę na nieustającą edukację każdego pracownika, obywatela, żeby maksymalizować poziom świadomości w tym zakresie – dodawał.

Wśród priorytetów na 2022 roku wymieniał unormowanie cyberbezpieczeństwa, choćby przez wprowadzenie funduszy publicznych dla samorządów na zakup usług i rozwiązań z zakresu bezpieczeństwa, ulgi na innowacyjność i promowanie polskich technologii.

Firewall nie wystarczy

Artur Czerwiński, CTO Cisco Poland, przekonywał, że urządzenie końcowe musi być zabezpieczone również przez otoczenie, w którym funkcjonuje. Ale nie wystarczy już, jak dawniej, firewall, antywirus i ochrona poczty. - Świat się zmienił. Ostatnie dwa czy trzy lata spowodowały, że zagadnienia są bardziej skomplikowane. Istnieją dwa trendy: pierwszy dotyczy rozwoju metod włamywania się i wrogiego oprogramowania, a drugi trend to COVID jako czynnik zewnętrzny wymuszający całkowitą zmianę paradygmatu działania wszystkich organizacji. Wszyscy zostaliśmy zmuszeni do tego, żeby przenieść naszą działalność do przestrzeni cyfrowej – mówił. Komunikacja po raz pierwszy wyszła poza ramy organizacji. - W tym momencie z faktu wyjścia pracownika z jego urządzeniem poza strefę bezpośredniej kontroli wynika szereg wyzwań – dodał Czerwiński.

Według prezentowanych danych, najczęściej działanie organizacji przerywają zagrożenia typu malware i ransomware, następnie spam, na trzecim miejscu zaś phishing. Formie działań phishingowych było poddane 86 proc. organizacji korzystających z komunikacji przez internet. - Chociaż raz w prawie każdej organizacji jakaś osoba kliknęła w link, który prowadził do kompromitacji urządzenia pracownika – mówił Czerwiński.

Jedną z odpowiedzi na zagrożenia jest uwierzytelnianie wieloskładnikowe (np. przez aplikacje na urządzeniu mobilnym) czy sieci VPN.

- Z jednej strony jesteśmy najsłabszym ogniwem, ale możemy być najistotniejszym elementem zabezpieczeń, jeśli świadomie kontrolujemy, jakie zasoby dopuszczamy do komunikacji z urządzeniem końcowym. Czy klikniemy w link, który przyjdzie pocztą? Proces zastanowienia jest kluczowy. Kliknięcie zajmuje pół sekundy, konsekwencje mogą wyłączyć całą organizację na kilka miesięcy. Zastanowienie, czy na pewno wiem, skąd pochodzi link, czy to potrzebne, czy pochodzi od osoby, która w tym wątku powinna się ze mną komunikować, jest istotnym elementem samoświadomości. Polecamy to jako punkt pierwszy, najtańszy i najważniejszy – mówił Czerwiński.

Przepisy i edukacja

Artur Miękina, ekspert Asseco Data Systems, opowiadał o rozwoju rynku cyfrowego, który wymusza odejście od papieru, również w systemie prawnym. Podpis elektroniczny również może mieć ciężar dowodowy, nie musimy już mieć dokumentu w fizycznej formie.

Dużą uwagę poświęcono cyberbezpieczeństwu samorządów, administracji lokalnej.

Jarosław Mojsiejuk, ekspert Polskiego Towarzystwa Informatycznego, mówił zaś o zagrożeniach ze strony dostawców wysokiego ryzyka. Jego zdaniem, to choćby chińscy producenci, jak Huawei, mające związki z partią i służbami specjalnymi tego kraju. Chiny, Rosja i Korea Północna – to z tych krajów, jak wymieniał Mojsiejuk, najczęściej przypuszczane są cyberataki na instytucje UE czy USA.

Nowe przepisy o cyberbezpieczeństwie mogą uderzyć w Huawei

Podczas konferencji odbyły się również dwa panele. Podczas drugiego eksperci zaznaczali, że w Polsce kuleje system edukacji. Państwo nie inwestuje w naukę cyberbezpieczeństwa na lekcjach informatyki w szkołach. Sytuacji nie poprawiają także niespójne przepisy, które nie gwarantują ochrony użytkowników. - Czy ktoś weryfikuje, kto rejestruje domenę? To dane z sufitu, z wycieków. Musimy stworzyć ekosystem spójnych przepisów – mówiła dr hab. inż. Agnieszka Gryszczyńska z Katedry Prawa Informatycznego WPiA UKSW.

- Bądźmy czujni, wróg nie śpi. Nikt nie zapewni nam bezpieczeństwa w sieci, jeśli nie zapewnimy go sobie sami – konkludował prowadzący panel Błażej Prośniewski z Redakcji Gospodarczej Polskiego Radia.

Zapis całej konferencji: