Cyberbezpieczeństwo, suwerenność technologiczna, wsparcie rodzimych przedsiębiorców, krajowego przemysłu zbrojeniowego i służb, partnerstwo publiczno-prywatne i potrzeba budowania odporności na poziomie państwa i społeczeństwa – to główne tematy dyskusji spotkania Komitetu CISOs i CSOs w Warszawie, którzy wskazali kierunki zmian i obszary nadchodzących debat w ramach Kongresu KBP Total Security.
Główne wnioski spotkania:
- Polska potrzebuje pilnych inwestycji w cyberbezpieczeństwo i suwerenne technologie, oraz wyznaczenia koordynatora polityki cyberzagrożeń.
- Niezbędne jest usprawnienie i ćwiczenie spójnej komunikacji kryzysowej na wszystkich szczeblach administracji i służb.
- Sztuczna inteligencja wymaga odpowiednich regulacji i edukacji, aby przeciwdziałać jej wykorzystaniu przez cyberprzestępców.
Wdrażanie usług a cyberbezpieczeństwo
Spotkanie rozpoczął Krzysztof Dyki, przewodniczący Komitetu CSOs i CISOs; współprzewodniczący Kongresu Bezpieczeństwo Polski oraz były prezes zarządu ComCERT, który zaznaczył, że spotkanie jest właściwym miejscem do dyskusji o kierunkach zmian z jakimi musi zmierzyć się branża bezpieczeństwa i cyberbezpieczeństwa.
Agnieszka Szopa-Maziukiewicz, wiceprezes Biura Informacji Kredytowej podkreśliła, że nikogo z grona ekspertów nie trzeba przekonywać jak ważne jest dzisiaj cyberbezpieczeństwo, a nawet najważniejsze, co widać szczególnie po wtargnięciu rosyjskich dronów w polską przestrzeń powietrzną. Stąd także BIK podchodzi do ochrony cyfrowej bardzo poważnie. “Jako BIK w swojej strategii uwzględniamy obszar bezpieczeństwa całego sektora finansowego i konsumentów jako jeden z kluczowych punktów. Staramy się wdrażać nowe rozwiązania dla całego sektora – antyfraudowe, które obejmują także wymianę informacji. Widzimy, jak istotne jest, by odbywała się na bieżąco. Staramy się także cały czas rozszerzać usługi bezpieczeństwa dla konsumentów indywidualnych” – poinformowała zgromadzonych na sali. Natomiast Andrzej Karpiński, Dyrektor Departamentu Bezpieczeństwa BIK przedstawił, jak zmieniało się podejście sektorowe do kwestii bezpieczeństwa, a z biegiem czasu liczba usług w tym zakresie rosła. Obecnie klienci indywidualni mają okazję nie tylko sprawdzić historię zadłużenia czy spłaty, ale także otrzymać alert, kiedy osoba trzecia wniesie zapytanie o naszą historię kredytową. “Tu ważny jest czas, dzięki czemu uda się np. zabezpieczyć nagrania z kamer” – podkreślił Andrzej Karpiński. Jak dodał, dodatkowo BIK uruchomił usługę informowania klientów o zagrożeniu, dzięki czemu mają oni możliwość otrzymania alertu dotyczącego ich danych. “ComCERT wraz z BIK wdrożył usługę monitoringu danych, dzięki czemu mamy możliwość sprawdzenia informacji, jakie znajdują się o nas w wyciekach czy w darknecie. W momencie uruchomienia usługi dostajemy raport wstępny – jakie informacje o nas znajdują się w darknecie i jakie były tam gromadzone na przestrzeni lat. Raport zbiera je w jednym miejscu, a klienci są informowani o wyciekach i o tym, jakie dane są zagrożone” – objaśnił dyrektor Departamentu Bezpieczeństwa BIK S.A.
Łączność i infrastruktura cyfrowa
Goście spotkania omawiali poszczególne punkt agendy planowanego wydarzenia. Magdalena Gaj, prezes zarządu EXATEL S.A. zwróciła uwagę na system bezpiecznej łączności państwowej. “Ustawa o ochronie ludności i obronie cywilnej została uchwalona, za system łączności odpowiada minister spraw wewnętrznych. Natomiast w tej sprawie niewiele się dzieje, są prowadzone prace wewnętrzne w ministerstwie, a nikomu nie trzeba tłumaczyć w jakiej obecnie znajdujemy się sytuacji i jakie są zagrożenia dla bezpieczeństwa państwa. Jako Polska jesteśmy chyba jedynym krajem w UE, który takiego systemu nie ma” – stwierdziła. Natomiast Krzysztof Dyki postawił nacisk na suwerenne technologie, które Polska powinna posiadać w znacznie większym stopniu niż ma to miejsce obecnie. “Wobec kierunku, jaki wyznaczają dzisiaj USA – czy nam się to podoba czy nie – patrząc pro państwowo, zachodzą nieodwracalne zmiany, nie tylko w kraju, ale i na świecie. To powoduje znacznie większy nacisk, by posiadać system łączności państwowej, ale musimy mieć także zdolności produkcyjne. Stąd trzeba apelować do państwa wprost, a mój apel jest wręcz krzykiem, by państwo zaczęło inwestować. Obecnie to symboliczne, niegodne czasów, w jakich się znaleźliśmy. Trzeba to podejście zredefiniować, a nawet zdefiniować na nowo. Dziś trzeba zastanowić się czy chcemy być uzależnieni od dostępności obcych technologii” – podkreślił. Jako przykład podał cyberbroń – w tym zakresie państwa NATO nie współdzielą technologii, a Polska nie posiada żadnych rodzimych rozwiązań. “Jeżeli nie zaczniemy tej dyskusji, a tylko delikatnie sygnalizujemy temat, to nie damy znaku, że potrzebujemy programu inwestycji, również cyfrowych. Polska obecnie nie posiada cyberbroni, a czym to skutkuje? Wiemy to wszyscy na tej sali. Trzeba położyć stały nacisk na potrzebę budowy programu inwestycji, dostępności polskich technologii na wypadek wojny, która stoi u naszych bram. Wojna hybrydowa jest faktem, w wykonaniu Rosji to przede wszystkim wojna na cybertechnologie” – uświadomił Krzysztof Dyki wszystkich zgromadzonych na sali.
Zdaniem Mariusza Kujawskiego, Dyrektora Działu Usług Cyberbezpieczeństwa w ComCERT powodem problemu braku programu inwestycji cyfrowych jest fakt, że obecnie nie ma osoby, która zostałaby wyznaczona do odpowiadania za ten obszar. “Jeżeli mówimy o otoczeniu geopolitycznym, dobrze by było, by finalnie ktoś został wyznaczony do odpowiedzialności za koordynację spójnego podejścia do cyberzagrożeń. W Polsce mamy wiele ciał, zarówno w strefie wojskowej, jak i cywilnej, ale obecnie ma miejsce nieco chaotyczne wydawanie pieniędzy na projekty, a nie widać jasnego kierunku i całościowego podejścia” – ocenił. Z kolei Andrzej Karpiński, Dyrektor Departamentu Bezpieczeństwa BIK wskazał, że kolejnym wyzwaniem jest kwestia łączności i infrastruktury cyfrowej, która w bardzo wielu przypadkach opiera się na technologiach amerykańskich. “Google Microsoft, Amazon – budujemy rozwiązania w oparciu o chmurę, które są bardzo dobre na czas pokoju i spokoju. Jednak spójrzmy, co się dzieje choćby na Morzu Czerwonym – kiedy we wrześniu miało miejsce zerwanie podmorskiego kabla światłowodowego. (…) Wyobraźmy sobie, że ma miejsce nowy konflikt zbrojny taki jak np. na Ukrainie. Okazuje się, że wiele instytucji ma serwery na bieżącą operacyjną działalność, ale wydaje się, że część kluczowych usług musiałaby zostać przeniesiona do chmury – tak jak na Ukrainie po wybuchu wojny. Nie wydaje się, aby te zasoby były nieograniczone. Pytanie do nas, czy usługa w której działamy będzie wystarczająca, by państwo normalnie funkcjonowało. Odpornosć infrastruktury to jedno z kluczowych wyzwań. Czy ktoś przemyślał pod kątem globalnym, jak powinna wyglądać mapa łączności, biorąc np. pod uwagę przecięcia światłowodów na Bałtyku, co będzie się zdarzało regularnie? Już teraz powinniśmy pomyśleć o redundancji danych” – wyjaśnił.
Konieczna suwerenność technologiczna Polski
Goście spotkania sporą część dyskusji poświęcili kwestii budowy suwerenności technologicznej oraz inwestycjom w obszarze cyberbezpieczeństwa, które są niezbędne, biorąc pod uwagę geopolitykę. Piotr Biegun, Partnership & Alliance Director w Xopero Software poruszył temat rywalizacji z zagranicznymi dostawcami. “Suwerenność jest dla nas bardzo istotna, szczególnie, że często łatwiej jest nam pozyskać klientów z zagranicy niż Polski. Nie widzę problemu, aby polskie firmy i instytucje też korzystały z krajowych rozwiązań. Często spotykamy się z narzuconymi wymaganiami przez zagranicznych vendorów, tylko dlatego, że są zagranicznymi. Natomiast technologicznie rozwiązania te niczym się nie różnią. W naszym kraju istnieje jednak przekonanie – wynikające zapewne z braku świadomości – że rzekomo polskie produkty są gorsze. Z naszej perspektywy to jest duży problem – zagraniczni dostawcy są lepiej traktowani, przegrywamy postępowania, bo posiadamy rozwiązania lokalne” – podkreślił. Eksperci ocenili, że konieczne jest wypracowanie szacunku i zaufania do polskiego kapitału intelektualnego, a co za tym idzie – do technologii. Promowanie polskiej myśli technologicznej nie uda się bez woli politycznej i środków, a także bez wsparcia państwa. Przykładem są choćby Polacy zatrudnieni w OpenAI, którzy zamiast pracować dla kraju, zostali docenieni za granicą. Piotr Ciepiela, Globalny Lider Bezpieczeństwa Architektury i Nowoczesnych Technologii, Partner EY dodał, że biorąc pod uwagę aspekt suwerenności, dochodzi tu również kwestia partnerstwa publiczno-prywatnego. “Być może powinien istnieć system wsparcia państwa, że – jeśli założymy sytuację: firma produkuje systemy krytyczne – to państwo wyjdzie z pomocą w przypadku takiej potrzeby? Jeżeli technologia nie pochodziłaby tylko od Amerykanów, to od kogo?” – zapytał. “Niekoniecznie musi to być polska myśl technologiczna, ale jeśli np. jedna byłaby z UE, a druga z USA, to istniałaby dywersyfikacja ryzyka. Chodzi o to, abyśmy byli przygotowani na destabilizację w konkretnym regionie, a mimo to posiadali dostępną technologię. Wojna w Ukrainie przyspieszyła przejście do chmury. Przy okazji zastanówmy się, jak przeprowadzić dywersyfikację” – oznajmił. Ze strony gości padła propozycja, by porozmawiać o technologiach dual-use oraz satelitarnych pod kątem praktycznym – zaprosić firmy, by mogły zaprezentować swoje rozwiązania w czasie wydarzenia, co stanowiłoby wartość dodaną także dla uczestników kongresu. Inną propozycją byłoby stworzenie cyberpoligonu dla rynku cywilnego.
Nieprawidłowa komunikacja kryzysowa jako istotny czynnik ryzyka
Goście spotkania poruszyli także kwestię komunikacji kryzysowej, która powinna być spójna, szybka i wyczerpująco informować społeczeństwo o potencjalnym zagrożeniu. W tym celu jednostki rządowe powinny komunikować się ze sobą i publikować informacje rzetelne, sprawdzone i niepowodujące paniki.
Dr inż. Andrzej Bartosiewicz, Prezes Fundacji CISO #Poland stwierdził: “Widzieliśmy komunikaty rządu, które były niespójne ze sobą, sprzeczne i niezgodne z wszelkimi zasadami komunikacji. To dobry przykład dla nas, abyśmy nauczyli się komunikacji na podstawie wydarzenia takiego jak drony i widzieli, jak to powinno wyglądać na poziomie państwowym, rządowym. W kontrolowanym środowisku mogliśmy przetestować komunikację i mam nadzieję, że przy kolejnym kryzysie wyciągnąć z niego wnioski”. Natomiast Jacek Zieliński, zastępca Dyrektora Departamentu Bezpieczeństwa, Obszar Cyberbezpieczeństwa w Polskiej Spółce Gazownictwa wyraził zdanie, że komunikacja kryzysowa “nie do końca istnieje na poziomie rządowym, samorządowym”.
“Uważam, że można to w bardzo prosty sposób zarządzać. Mamy rządowy poziom, następnie samorządowy, wojewódzki, gminny. Komunikacja kryzysowa powinna mieścić się w zespołach zarządzania kryzysowego z uwagi na to, że mamy różne służby i instytucje. Powinien za to odpowiadać jeden zespół na różnych szczeblach – tak by było wiadomo, kto i do kogo przekierowuje komunikację. Na tym etapie warto by było wdrożyć ćwiczenia z zarządzania kryzysowego, by porozmawiać o tym, co jest do zrobienia” – podsumował ten wątek debaty. Przemysław Gęsiak, Kierownik Zespołu ds. sieci Plus MCX, Polkomtel dodał, że do tej pory skupiano się na cyberbezpieczeństwie, zabezpieczeniu świata IT. “Ten temat – kryzysowej komunikacji dotyka również ustawy o ochronie ludności i obronie cywilnej. Zagadnienia związane z sytuacjami kryzysowymi są w naszym kraju czymś nowym – zaczynając od systemu łączności, powiadamiania, po dodatkowe zadania” – powiedział.
Cyberbezpieczeństwo w czasach AI
Jednym z kluczowych tematów w czasie wydarzenia ma być także rozwój sztucznej inteligencji i jej wpływ na cyberbezpieczeństwo. Eksperci zgodnie stwierdzili, że AI ma wpływ na dwie strony “medalu” – zarówno na bezpieczników, jak i cyberprzestępców. Dlatego będzie to technologia, która wpłynie na cały sektor. Krzysztof Dyki wskazał, że hakerzy w czarnych kapeluszach rozwijają swój potencjał znacznie szybciej – nie bazując na ogólnie dostępnych i popularnych aplikacjach, ale tworząc własne “silniki” AI oraz rozwiązania, które nie podlegają obostrzeniom. Zaznaczył, że wobec tego czekają nas “bardzo ciekawe czasy”. Mariusz Kujawski, Dyrektor Działu Usług Cyberbezpieczeństwa w ComCERT wyraził zdanie, że to naturalne, iż cyberprzestępcy zazwyczaj szybciej wykorzystują technologie i dostosowują się do nowych rozwiązań. “Nie o tym powinniśmy mówić, ale o tym, jak wykorzystywać rozwiązania w naszym sektorze, mając świadomość, że coraz więcej organizacji stosuje wdrożenia w tym zakresie. Dlatego warto powiedzieć o dobrych praktykach i o tym, jak bezpiecznie podchodzić do rozwiązań opartych o AI” – dodał.
Powodem takiego podejścia jest często wdrażanie technologii w szybki sposób, bez głębszego namysłu i kompleksowego podejścia. Stąd potrzebny jest jeszcze większy nacisk na edukację społeczeństwa, szybka reakcja na oszukańcze treści i weryfikacja tych wygenerowanych przy pomocy AI.
Od potrzeb produkcyjnych do gotowości bojowej
W czasie spotkania eksperci pochylili się także nad zagadnieniami przemysłu zbrojeniowego, eksportu, szans i ograniczeń rozwoju, technologii podwójnego zastosowania, a także konieczności stworzenia ram efektywnej współpracy między wojskiem, nauką a przemysłem. Ocenili również, że głównym wyzwaniem są obecnie nieadekwatne przepisy prawne, które nie odpowiadają na wyzwania współczesnego rynku, szczególnie w obszarze rozwiązań cyberofensywnych.
Mariusz Kujawski, Dyrektor Działu Usług Cyberbezpieczeństwa w ComCERT podał przykład: “Jeżeli mówimy o dual use, to poruszamy się w regulacjach sprzed kilku lat. Świat się zmienia, a przepisy zostają takie same, szczególnie nieadekwatne w cyberbezpieczeństwie, a zwłaszcza w zakresie cyberbroni, która im nie podlega. Możecie sprzedawać cyberbroń komu chcecie – nie jest to prawnie zakazane, a nasze przepisy nie zabraniają tego np. także do Rosji” – podkreślił.
Eksperci, podsumowując spotkanie podkreślili, że w czasie wydarzenia warto podkreślić, iż istnieje potrzeba budowania atmosfery zaufania oraz współpracy państwa z rynkiem prywatnym. Zaufanie jest bowiem niezbędne do rozwoju branży. Dodatkowo konieczne jest budowanie kultury innowacji i świadomość, że wnioski często wyciąga się na podstawie inwestycji i popełnianych błędów, akceptując ryzyko niepowodzenia we wdrażaniu technologii. Tylko w ten sposób rodzi się kapitał intelektualny – wiedza i doświadczenie.
Do zobaczenia w Warszawie!
Głównym celem Kongresu KBP Total Security, który odbędzie się 18-19 listopada w Warszawie, równolegle ze Smart City Forum jest skupienie się na strategicznych wyzwaniach dla państwa w zakresie bezpieczeństwa narodowego, obronności i odporności cyfrowej, ze szczególnym uwzględnieniem infrastruktury krytycznej i nowych technologii. Dlatego też Kongres koncentruje się na integracji kluczowych sektorów – łączności, infrastruktury cyfrowej, technologii satelitarnych i dronowych oraz przemysłu zbrojeniowego – by eksperci i decydenci mogli dyskutować o sposobach budowania długofalowej odporności państwa na ataki hybrydowe, blackouty czy dezinformację.
KBP Total Security ma na celu nie tylko analizę aktualnych zagrożeń, ale przede wszystkim określenie kierunków na kolejne lata, koncentrując się na skalowaniu technologii obronnych (od prototypu do wdrożenia), finansowaniu rozwoju suwerennych technologii oraz efektywnym dialogu na linii: wojsko – nauka – przemysł. Więcej o wydarzeniu, jak i aktualną agendę można znaleźć na stronie: Agenda – Total Security .
