700 milionów dolarów – na tyle szacuje się rekordowy koszt przerwy w dostawie prądu, do której doszło w marcu tego roku w Turcji. Na remont Mostu Łazienkowskiego po pożarze władze miasta przeznaczą ponad 100 mln złotych. Na zapobieganie i usuwanie skutków awarii związanych z infrastrukturą krytyczną władze państw przeznaczają coraz większe kwoty. Cyberbezpieczeństwo pochłonie 5 mld USD z budżetu USA w samym tylko roku 2015. Z kolei Iran w ciągu 3 lat zwiększył wydatki na ten cel o 1200%. O tym, w jaki sposób kraje i branże podchodzą do kwestii bezpieczeństwa – i jak na tym tle wygląda Polska - dyskutowali uczestnicy panelu pt. „Infrastruktura Krytyczna – technologia i bezpieczeństwo”, który odbył się trzeciego dnia VII Europejskiego Kongresu Gospodarczego.
Infrastruktura Krytyczna to obiekty, instalacje i usługi kluczowe z punktu widzenia państwa. Zakłócenie ich funkcjonowania może doprowadzić do kryzysów ekonomicznych czy zagrożenia zdrowia obywateli. Odpowiednie zabezpieczenie infrastruktury to wyzwanie, przed którym stoi każde państwo. Jest ono tym trudniejsze, że coraz większa część obiektów znajduje się w rękach podmiotów prywatnych a ponadto wiele zagrożeń ma miejsce w cyberprzestrzeni. Zdaniem Andrzeja Halickiego, ministra Administracji i Cyfryzacji, kluczowa jest współpraca zarówno między podmiotami publicznymi i prywatnymi, jak i na szczeblu międzynarodowym. Z kolei w Polsce potrzebna jest weryfikacja dotychczasowych procedur i wypracowanie nowych. Jest wiele elementów wymagających poprawy i obecnie ten przegląd istniejących regulacji jest w toku. W tym celu został m.in. powołany zespół zadaniowy ds. cyberbezpieczeństwa. Według Janusza Skulicha, dyrektora Rządowego Centrum Bezpieczeństwa, pojęcie Infrastruktury Krytycznej zakiełkowało w świadomości Polaków zaledwie około 5 lat temu. Jego zdaniem w kraju jest obecnie ponad 700 obiektów i instalacji, które wymagają ochrony.
Zdaniem Andrzeja Krzyżanka, wiceprezesa PGE Systemy, ciągłość dostaw energii elektrycznej jest kluczowa dla społeczeństw. Według dostępnych szacunków, cywilizacja mogłaby wytrzymać bez prądu 10 dni. W zakresie dbania o system bezpieczeństwa najbardziej rozwiniętym krajem, na którego procedurach warto się wzorować jest Izrael. Jak podkreślił Marcin Olszewski, prezes Fujitsu w Polsce, codziennie powstają nowe wirusy. To, co pozornie nie wydaje się infrastrukturą krytyczną, jak np. samochód wyposażony w komputer, z telefonem komórkowym z zainstalowaną aplikacją na siedzeniu, tak naprawdę nią jest. Wystarczy, że ktoś włamie się do aplikacji i spowoduje zatrzymanie auta, w którym znajdują się kluczowe dane czy dokumenty. W przyszłości regulacje prawne muszą rozstrzygająco odpowiadać na pytania co już jest infrastrukturą krytyczną i kiedy się nią staje. Według Aleksandra Poniewierskiego, partnera w Dziale Doradztwa Informatycznego, lidera Grupy Doradztwa Informatycznego w Europie Środkowej i Południowo-Wschodniej, EY, świat się budzi z niewiedzy. Do tej pory bagatelizowano obszar infrastruktury krytycznej, ale państwa zdały sobie sprawę, że muszą zwiększyć nakłady na ten obszar. Obecnie rocznie na świecie na bezpieczeństwo przeznacza się 100 miliardów dolarów.
Wychodząc naprzeciw działaniom ochrony teleinformatycznej, kraje Unii Europejskiej w tym: Wielka Brytania, Niemcy, Francja, Hiszpania, Włochy, Finlandia, Estonia, Węgry, Łotwa, Litwa, Luxemburg, Holandia, Rumunia, Słowacja, Polska, a także USA przyjęły program narodowej strategii cyberbezpieczeństwa. Według ministra Andrzeja Halickiego, problemem jest brak standaryzacji działań na arenie międzynarodowej. Jesteśmy członkiem NATO i Unii Europejskiej, co sprawia, że nasze rozwiązania powinny być kompatybilne. W Polsce, zgodnie w prawem telekomunikacyjnym, Urząd Komunikacji Elektronicznej musi gromadzić informacje o poważnych incydentach w cyberprzestrzeni. W praktyce nie jest to jednak przestrzegane. Według Andrzeja Krzyżanka z PGE świat ma obecnie problem ze zdobyciem kadr, które będą po „dobrej stronie mocy”. W ostatnich latach wiele mówiło się o cyberzagrożeniach. Obecnie coraz większą rolę mogą odegrać ataki na automatykę przemysłową, czyli tak zwane OT. Podobnego zdania jest Mariusz Zarzycki z Poczty Polskiej. Spółka jest coraz bardziej uzależniona między innymi od systemów automatyki przemysłowej i musi uwzględniać ich zabezpieczenie w swoich procedurach. Jak podkreślił – bezpieczeństwo jest wpisane w DNA Poczty, a misją firmy jest bycie bliską, zaufaną i bezpieczną właśnie. Największym wyzwaniem dla spółki jest przeorganizowanie procesów w momencie wystąpienia problemów. To jest ważne dla 180 tysięcy pracowników, którzy muszą wiedzieć, jak funkcjonować w nowych warunkach. Jest to możliwe tylko w przypadku istnienia planów na wypadek takich zdarzeń. Takie plany są ciągle udoskonalane przez spółkę.
- Żeby skutecznie zadbać o bezpieczeństwo, możemy wykorzystać potrójną spiralę w postaci współpracy administracji, biznesu i nauki. Musimy postawić na edukację, by za 5,10 lat mieć pokolenie, które zna nowe technologie i może nas zabezpieczyć i bronić. Potrzebujemy ogromnej liczby specjalistów – uważa Aleksander Poniewierski z EY. Zdaniem ministra Andrzeja Halickiego mamy niewykorzystany potencjał młodych ludzi, którzy pracują obecnie w sektorze ICT. W samym tylko Krakowie są ich 33 tysiące. Powinniśmy kształcić talenty już od szkoły podstawowej. Temu służy m.in. projekt MAiC „Koduj z klasą”. Dyskusję podsumowała Joanna Świątkowska z Instytutu Kościuszki. Jej zdaniem dla zwiększenia bezpieczeństwa infrastruktury krytycznej konieczne są działania w trzech obszarach. Po pierwsze zapewnienie odpowiednich standardów i procedur, a także dyskusja o tym, jaka instytucja powinna pełnić rolę koordynatora w tym obszarze. Drugim elementem jest współpraca biznesu i administracji. Trzeci element to finansowanie. Trzeba pamiętać, że bezpieczeństwo kosztuje. Państwa zwiększają budżety i Polska także powinna traktować finansowanie tego obszaru jako niezbędną inwestycję.
W dyskusji udział wzięli: Andrzej Halicki – Minister Administracji i Cyfryzacji RP, Andrzej Krzyżanek – Wiceprezes, PGE Systemy, Krzysztof Liedel – Dyrektor, Departament Prawa i Bezpieczeństwa Pozamilitarnego, Biuro Bezpieczeństwa Narodowego, Marcin Olszewski – Prezes Zarządu, Fujitsu w Polsce, Dyrektor Zarządzający regionu Europy Wschodniej w Fujitsu, Janusz Skulich – Dyrektor, Rządowe Centrum Bezpieczeństwa, Mariusz Zarzycki – Członek Zarządu, Poczta Polska, Dariusz Zawadka – Wiceprezes Zarządu, Przedsiębiorstwo Eksploatacji Rurociągów Naftowych Przyjaźń oraz Aleksander Poniewierski – Partner, Dział Doradztwa Informatycznego, Lider Grupy Doradztwa Informatycznego w Europie Środkowej i Południowo-Wschodniej, EY. Dyskusję poprowadziła Joanna Świątkowska z Instytutu Kościuszki.
Więcej informacji nt. raportu dotyczącego infrastruktury krytycznej można znaleźć tutaj.
O firmie EY
EY jest światowym liderem rynku usług profesjonalnych obejmujących usługi audytorskie, doradztwo podatkowe, doradztwo biznesowe i doradztwo transakcyjne. Nasza wiedza oraz świadczone przez nas najwyższej jakości usługi przyczyniają się do budowy zaufania na rynkach kapitałowych i w gospodarkach całego świata. W szeregach EY rozwijają się utalentowani liderzy zarządzający zgranymi zespołami, których celem jest spełnianie obietnic składanych przez markę EY. W ten sposób przyczyniamy się do budowy sprawniej funkcjonującego świata. Robimy to dla naszych klientów, społeczności, w których żyjemy i dla nas samych.
EY w Polsce to ponad 1600 ekspertów pracujących w 6 biurach: w Warszawie, Katowicach, Krakowie, Łodzi, Poznaniu i Wrocławiu. Według Rankingu Audytorów „Rzeczpospolitej" i „Parkietu" w 2014 roku byliśmy największą firmą świadczącą usługi profesjonalne w Polsce pod względem przychodów.
Dowiedz się więcej na: www.ey.com/PL/pl/Home
