Co nowa ustawa zmienia w funkcjonowaniu firm, co powinny robić , jakie podstawowe kroki powinny podejmować, u kogo szukać pomocy i informacji? – brzmiało ostatnie pytanie postawione przez moderatora.
Michał Kurek uważa, że cztery najważniejsze kroki to:
- inwestowanie w ludzi,
- inwentaryzacja własnych zasobów (które warto sklasyfikować, skupiając się na wrażliwych aktywach),
- ukierunkowane wdrażanie zabezpieczeń prewencyjnych,
- jak najszybsze wykrywanie cyberataków.
Badania pokazują, że czas między włamaniem a jego wykryciem to średnio... kwartał. Przy wdrażaniu zabezpieczeń dla systemów przemysłowych bardzo ważna jest komunikacja między specjalistami od cyberbezpieczeństwa i automatyki przemysłowej.
Świadomość, edukacja, innowacyjne technologie i współpraca – to cztery rekomendacje Pawła Sawickiego.
Jeżeli chodzi o budowę kadr i szkoleń, Robert Kośla podał przykład uruchomienia w tym roku akademickim przez Politechnikę Warszawską kierunku cyberbezpieczeństwo. Te studia inżynierskie mają stanowić program bazowy dla innych uczelni. Podobny kierunek oferuje Akademia Górniczo-Hutnicza. Ustawa daje też możliwość kontraktowania usług bezpieczeństwa, np. w modelu SOC as a Service. Stworzenie rynku dla tego typu usług będzie korzystne zwłaszcza dla małych firm, których nie stać na zatrudnianie specjalistów ds. cyberbezpieczeństwa.
– Odpływ kadr z kraju został nieco zahamowany, ponieważ mamy inwestycje dużych firm w Krakowie, Wrocławiu czy Gdańsku, a do tego dochodzi rozwój polskich firm. Więc nie jest źle – przekonywał przedstawiciel MC.
Główne zadania związane z budową cyberochrony w przedsiębiorstwie, według Artura Józefiaka to:
- dla prezesa firmy: „zainwestuj w bezpieczeństwo i mierz efekty” (cykl mierzenia zwrotu z inwestycji, to co najmniej od 1 roku do 2 lat),
- dla szefa operacji: „zrozum, gdzie jest twój ekosystem, łańcuch dostarczania wartości i tam rozpoznaj ryzyka” (z tym, że przy zakupach i inwestycjach należy brać pod uwagę wpływ bezpieczeństwa na funkcjonowanie firmy; dotyczy to nie tylko technologii, ale też modelu operacyjnego),
- dla szefa ds. bezpieczeństwa: „jeśli nie masz własnego zespołu bezpieczeństwa, to rozważ znalezienie odpowiedniego partnera, który zapewni twojej firmie rozwiązanie end-to-end” (lecz nie kupuj technologii, która za dwa lata może okazać się już nieskuteczna).
Michał Kanownik zwrócił uwagę na jeszcze jedną istotną kwestię: „o cyberbezpieczeństwie nie można mówić bez uwzględnienia certyfikacji, która jest obowiązkowym elementem przy budowaniu systemów ochrony, przynajmniej w największych organizacjach.”
Wszyscy uczestnicy debaty byli zgodni, że przede wszystkim trzeba stawiać na edukację, głównie na poziomie kształcenia specjalistów i konieczne tu są działania systemowe, jak wspomniane tworzenie nowych kierunków studiów (choć nie tylko na uczelniach wyższych). Działania w ramach budowy kompetencji w zakresie cyberbezpieczeństwa wymagają wsparcia międzyresortowego, w tym Ministerstwa Nauki i Szkolnictwa Wyższego. Jako własny postulat moderator panelu wysunął propozycję zorganizowania okrągłego stołu poświęconego cyberbezpieczeństwu.
oprac. s.k.