Polska druga w UE pod względem ataków na firmy. Jak reagować?

Mimo to, dyrektywa NIS2 wciąż nie została wdrożona w naszym kraju. Raport EY "Trendy i wyzwania w cyberbezpieczeństwie" wskazuje, jakie kroki powinny podjąć firmy, aby lepiej chronić swoje zasoby.

Współczesna gospodarka w dużej mierze opiera się na cyfrowych rozwiązaniach, jednak poziom zabezpieczeń jest zróżnicowany. Firmy coraz lepiej chronią swoje systemy IT przed zagrożeniami, takimi jak phishing, ale często zaniedbują obszar OT, który odpowiada za funkcjonowanie systemów przemysłowych i kluczowych elementów infrastruktury, takich jak wodociągi czy elektrownie.

Dane potwierdzają rosnące zagrożenie ze strony hakerów. W 2024 roku krajowe CSRIT-y zarejestrowały ponad 111 tys. potwierdzonych incydentów bezpieczeństwa. Wiele z tych ataków było wymierzonych w infrastrukturę krytyczną. Ministerstwo Cyfryzacji podało, że w ciągu kilku dni doszło do 18 ataków na przedsiębiorstwa wodociągowe w Polsce.

Dalsza część artykułu pod materiałem wideo

Piotr Ciepiela z EY podkreśla, że włamanie do urządzeń, takich jak termometry, które często kosztują mniej niż dolara, może sparaliżować cały zakład. OT jest nazywane "miękkim podbrzuszem" przedsiębiorstwa, a te z kolei są "miękkim podbrzuszem" gospodarki. Cyfrowa linia frontu staje się coraz bardziej widoczna, co potwierdzają ataki na placówki medyczne i sieci energetyczne, jak w przypadku Danii. To pokazuje, jak ważne jest zabezpieczenie infrastruktury krytycznej.

Raport EY opisuje, co firmy powinny zrobić, aby lepiej chronić się przed cyberatakami. W Polsce wciąż nie wdrożono nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wprowadza unijną dyrektywę NIS2. Nowe przepisy mają na celu ochronę kluczowych sektorów gospodarki i zwiększają liczbę podmiotów objętych nowym prawem z 400 do 38 tys.

NIS2 nakłada obowiązki, takie jak zgłaszanie incydentów, ocena ryzyka cybernetycznego, wdrożenie zabezpieczeń i szkolenie pracowników. Brak zmian może skutkować karami finansowymi. Raport EY zaleca równowagę między cyberbezpieczeństwem a elastycznością biznesu. Kluczowe jest zidentyfikowanie zasobów, które trzeba chronić, oraz przegląd podatności. Można przy tym wykorzystać międzynarodowe standardy NIST i narzędzia CERT do skanowania domen.

Ważna jest także współpraca firm z producentami i integratorami w celu wymiany doświadczeń i wypracowania dobrych praktyk. Producentom sprzętu pozwala to tworzyć lepsze produkty zgodnie z podejściem "security by design", a integratorzy mogą zapewnić bezpieczną konfigurację i szkolenia dla personelu.

Bartosz Nieróbca z EY Polska podkreśla, że w Polsce cyberbezpieczeństwo często wdrażane jest przez zespoły IT, ale powinno mieć charakter interdyscyplinarny. Włączenie pracowników z różnych obszarów pozwala na kompleksowe podejście. Brak szerszego spojrzenia, niski budżet, brak planów awaryjnych i rosnąca świadomość zagrożeń mogą prowadzić do poważnych skutków ataków. Średni koszt ataku liczony jest w milionach dolarów, a jeden skuteczny atak może oznaczać kolejne próby.