Jarosław Grzywiński, NASK: Rok cyberbezpieczeństwa

Od jakiegoś czasu cyberbezpieczeństwo spełnia kompletnie podstawową rolę chroniącą wszystkie nasze zasoby – mówi Jarosław Grzywiński, prezes NASK.

Publikacja: 22.07.2024 18:20

Gościem Aleksandry Ptak-Iglewskiej był Jarosław Grzywiński, prezes NASK-a.

Gościem Aleksandry Ptak-Iglewskiej był Jarosław Grzywiński, prezes NASK-a.

Kryzys z ubiegłego tygodnia pokazał dobitnie, że bezpieczeństwo cyfrowe jest teraz zadaniem i wyzwaniem każdej spółki. Aktualizacja programu antywirusowego CrowdStrike dla Microsoftu miała zapewnić większe bezpieczeństwo firmom, ich klientom, ale jakiś błąd w tym systemie pokonał nas. Tysiące odwołanych lotów, problemy banków, błękitne ekrany monitorów. Znaczenie cyberbezpieczeństwa dotarło do decydentów, zwłaszcza jeśli ci siedzieli w tych samolotach, których loty zostały uziemione. A NASK pracuje nad cyberbezpieczeństwem i ten temat w 2024 r. czekają spore zmiany.

Ten incydent pokazał społeczeństwu na całym świecie, jak cyberbezpieczeństwo wpływa na komfort bądź na dyskomfort naszego życia. Wyobraźmy sobie, że taka historia wydarzyłaby się w naszych telefonach – globalna awaria związana z systemami na przykład w firmie Apple.

Przechodząc do tego, co powinno się zrobić w świecie cyfrowym, żeby zapewnić bezpieczeństwo, sądzę, że przez ostatnią dekadę świat cyberbezpieczeństwa wydawał nam się powiązany z budową nowego modelu gospodarki cyfrowej, czyli z samymi takimi pozytywnymi kwestiami związanymi z rozwojem technologii. Tymczasem od jakiegoś czasu cyberbezpieczeństwo spełnia kompletnie podstawową rolę chroniącą wszystkie nasze zasoby. Prawodawstwo europejskie wyszło jakiś czas temu w sposób wizjonerski z propozycjami dotyczącymi dyrektywy NIS 2, która wchodzi w życie 17 października, więc czasu jest stosunkowo niemało. Podmioty objęte tą dyrektywą są z każdego sektora gospodarki, mamy tutaj i energetykę, i transport, oczywiście bankowość, infrastrukturę rynków finansowych, administrację publiczną, przestrzeń kosmiczną i wiele innych branż, które na co dzień dostarczają nam usługi, mieszczą się w ramach tej dyrektywy usługi pocztowe i kurierskie, dostawcy wszystkich usług cyfrowych, szereg przedsiębiorstw związanych z produkcją i z łańcuchami dostaw. Mówię to dlatego, że dyrektywa NIS 2 dotycząca spełnienia najwyższych kryteriów cyberbezpieczeństwa i stosowania polityki ciągłości działania polityki bezpieczeństwa, jeśli spojrzymy na każdy indeks giełdowy, dotyczy w większości przedsiębiorstw notowanych na rynku kapitałowym. NASK mówi o tym głośno od wielu miesięcy, natomiast wydaje nam się, że wiele firm, objętych tymi nowymi regulacjami, nie zdaje sobie sprawy, że te przepisy dotyczą także ich kluczowej działalności. Podczas ostatniej konferencji Wall Street w Karpaczu porozumieliśmy się z Jarosławem Dominiakiem, prezesem SII, że w ramach dobrych praktyk czy corporate governance na rynku kapitałowym po raz pierwszy w historii chcemy wypracować też zasady, które są na świecie już stosowane jako cyber security.

O co chodzi w tej filozofii?

Chodzi o to, żeby każda spółka, która jest notowana na rynku kapitałowym i chce być traktowana poważnie przez inwestorów i regulatora, w sposób transparentny przygotowała i wdrożyła cały szereg elementów związanych z cyberbezpieczeństwem. Podczas tego uziemienia lotnisk patrzyłem na wykresy, co się dzieje tego dnia z Nasdaq. Oczywiście CrowdStrike spadał najmocniej w historii, to też naruszyło takie podstawowe indeksy jak Nasdaq Composite czy S&P 500. Ta sytuacja pokazała, że nie ma żartów, ktoś, kto inwestuje pieniądze, chce mieć przekonanie, że infrastruktura IT jest bezpieczna i sprawdzalna przez zarówno firmy, które mają taki potencjał techniczny jak Nasdaq, jak i przez regulatora. Kilka godzin po tym incydencie związanym z CrowdStrike Elon Musk ogłosił, że wykasował wszystko, co jest związane z CrowdStrike ze wszystkich systemów operacyjnych swoich firm.

Czy to działanie rzeczywiście miało sens, by usunąć aplikację jednej firmy, która teraz prawdopodobnie wykorzysta wszystkie swoje moce produkcyjne do sprawdzenia wszystkich procesów bezpieczeństwa?

Oczywiście Elon Musk jest niepowtarzalny i bardzo lubi wykorzystywać takie sytuacje do swojego PR. Natomiast patrząc szerzej, powiedziałbym, że każda firma, która poważnie traktuje rozwiązania IT, zwraca uwagę od ostatniego piątku w sposób bardziej odpowiedzialny na kwestię dywersyfikacji dostawców oprogramowania. Bo tutaj linie lotnicze czy lotniska, najbardziej akurat ta branża została dotknięta przez ten ostatni incydent, nie miały takiego planu B. W przypadku Security Operations Center mamy pierwszą, drugą, trzecią linię cyberbezpieczeństwa, więc gdy mamy awarie na tym pierwszym polu, to automatycznie wchodzi drugie pole ochronne i mamy cały pakiet zabezpieczeń. Dlatego ja ten komunikat Elona Maska traktuję jako sygnał do inwestorów, że słuchajcie, nie zaryzykujemy waszych pieniędzy dla jakiegokolwiek rozwiązania jednego choćby najbardziej autoryzowanego dostawcy na świecie.

Gdzie są najsłabsze punkty polskich spółek giełdowych, jeśli chodzi o cyberbezpieczeństwo?

Najsłabsze punkty wszystkich firm, które są związane z rynkiem kapitałów finansowym, to niewdrażanie na bieżąco polityk bezpieczeństwa, które powinny być wielosektorowe. Każdy zespół na koniec zmiany powinien się zastanowić, czy gwarantujemy ciągłość działania w przypadku wystąpienia jakiegokolwiek incydentu krytycznego po naszej stronie bądź po stronie jednego z naszych dostawców oprogramowania. Odpowiedzią NASK-a jest, że trzeba cały czas audytować, robić testy, sprawdzać, czy polityki bezpieczeństwa są wdrażane. Spółki bardzo często zapominają o tym, że najważniejsze są usługi wdrożeniowe. W NASK mamy prawdopodobnie jeden z najlepszych zespołów w Polsce, a może także w Europie, osób, które zajmują się incydentami krytycznymi. O wielu tych usługach oczywiście nie komunikujemy na zewnątrz, bo nie jesteśmy spółką publiczną, świadczymy dużo usług dla podmiotów krytycznych i podmiotów, które są ważne dla infrastruktury państwa. Tutaj bym widział taki punkt wyjścia do naprawy sytuacji spółek związanych z infrastrukturą rynku kapitałowego i spółek publicznych, czyli bezwzględne stosowanie wszystkich polityk bezpieczeństwa, od architektury systemu począwszy, a skończywszy na identyfikacji wszelkich luk w systemach cyberbezpieczeństwa.

Technologie
Zwiastun nowego „Wiedźmina” ma już kilka milionów odsłon
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Technologie
Pogrom w grach. 11 bit studios ciągnie branżę w dół
Technologie
11 bit i PCF. Czy w grach dzieje się coś złego?
Technologie
Premier: TVN i Polsat na listę spółek pod ochroną
Materiał Promocyjny
Cyfrowe narzędzia to podstawa działań przedsiębiorstwa, które chce być konkurencyjne
Technologie
Hiobowe wieści z 11 bit studios. Wiemy o którą grę chodzi
Technologie
PCF Group nie pozyskało finansowania. Co zrobi?