Choć pełnoskalowa i otwarta wojna toczy się za wschodnią granicą Polski, to jednak de facto nasz kraj również znajduje się w stanie ostrej wojny w cyberprzestrzeni. Taki wniosek nasuwa się z debaty poświęconej kwestiom bezpieczeństwa cyfrowego, która odbyła się podczas dwudniowej konferencji Forum Bezpieczeństwa w Łodzi.

W tym roku do marca odnotowaliśmy już ponad 40 tys. poważnych incydentów związanych z cyberbezpieczeństwem. Zagrożeń z roku na rok przybywa i obawiam się, że będzie ich jeszcze więcej. Jesteśmy w trakcie regularnej wojny w cyberprzestrzeni – powiedział Paweł Olszewski, sekretarz stanu w Ministerstwie Cyfryzacji.

Dla porównania w całym 2023 r. zidentyfikowano i zneutralizowano 80 tys. incydentów, co stanowiło z kolei wzrost o 100 proc. w porównaniu z liczbą ataków odnotowanych w 2022 r.

Według Olszewskiego Polska codziennie zmaga się z licznymi atakami ze strony grup powiązanych ze służbami specjalnymi nie tylko z Rosji i Białorusi, ale również z innych nieprzyjaznych nam państw. Próby te, na szczęście, są generalnie skutecznie neutralizowane.

Poziom polskich specjalistów zajmujących się zwalczaniem zagrożeń związanych z cyberbezpieczeństwem jest naprawdę wysoki. Mamy najlepiej wykształconych operacyjnych ludzi, którzy wiedzą co robią, co zresztą potwierdzają nasi zagraniczni partnerzy – stwierdził Paweł Olszewski.

Ataki cybernetyczne wymierzone są zarówno w sektor publiczny, jak i firmy prywatne. Dlatego i one muszą poszukiwać skutecznych form obrony. Pomóc w tym mają m.in. nowe regulacje prawne. W 2023 r. weszła w życie tzw. Dyrektywa NIS 2, zmieniająca kształt cyberbezpieczeństwa w państwach Unii Europejskiej. Nowe przepisy powinny zostać wdrożone we wszystkich krajach Unii Europejskiej od 18 października 2024 r.

Dyrektywa precyzuje m.in. zapisy w zakresie raportowania incydentów związanych z atakami na infrastrukturę teleinformatyczną. NIS 2 wprowadza np. odpowiedzialność zarządów firm za zgodność ze środkami zarządzania ryzykiem. Według Aleksandry Musielak, dyrektorki Departamentu Rynku Cyfrowego w Konfederacji Lewiatan, zmiany przepisów będą sporym wyzwaniem dla bezpieczeństwa w związku z obowiązkiem zastosowania się do tzw. poleceń zabezpieczających. Polecenie takie może np. w sposób kategoryczny zakazać jakiemuś podmiotowi korzystania z konkretnego sprzętu lub oprogramowania, a w konsekwencji uniemożliwić mu działalność.

Mamy czasami sytuacje, kiedy jedyny dostawca jakiejś unikatowej usługi znika z rynku. Może to wywołać duże perturbacje biznesowe i czasami wpłynąć chociażby na bezpieczeństwo lekowe – powiedziała Aleksandra Musielak

Tematem kolejnego panelu dyskusyjnego na Forum Bezpieczeństwa była ochrona tzw. sygnalistów, których działalność ma również na celu zwiększenie publicznego bezpieczeństwa. Podobnie, jak w przypadku cyberbezpieczeństwa, trwają prace nad zmianą przepisów w tej dziedzinie. Zwlekanie z wdrożeniem nowego prawa naraża Polskę m.in. na kary ze strony Unii Europejskiej.

Jak podkreślał Sławomir Chmielewski, dyrektor Bezpieczeństwa i Compliance w Orange Polska, brakuje dyskusji nt. ustawy o sygnalistach.

Być może wdrażamy nowe przepisy głównie po to, aby uniknąć jeszcze wyższych kar ze strony Unii – powiedział Chmielewski.

Zauważył też, że w ostatnich latach nie było politycznej woli, aby zająć się zmianami prawa chroniącego sygnalistów. Od 2021 r. do Sejmu trafiło co najmniej dziewięć projektów ustawy w tym zakresie, ale żadnego z nich nie udało się wdrożyć.

Forum Bezpieczeństwa to konferencja skierowana do ekspertów zarządzających bezpieczeństwem w sektorze publicznym, pozarządowym i prywatnym. Organizatorami Forum były: Stowarzyszenie Przeciwko Nadużyciom Gospodarczym AntiFraud i Fundacja Forum Bezpieczeństwa, a głównymi patronami: prezydent Miasta Łodzi Hanna Zdanowska, Konfederacja Lewiatan i Unia Metropolii Polskich. Partnerem technologicznym wydarzenia był Orange Polska.