Instytucje publiczne i operatorzy infrastruktury krytycznej zgłosili w zeszłym roku aż 1600 cyberincydentów, jak wynika z najnowszych danych CSIRT GOV[1]. Czy byłoby inaczej, gdyby już rok temu skutecznie wdrożono nowe dyrektywy unijne? Specjaliści z Palo Alto Networks potwierdzają, że najsilniej regulowane branże wykazują największą dojrzałość i odporność na cyberataki, jednak spełnienie wymogów prawnych to dopiero pierwszy krok do pełnego bezpieczeństwa. Wymaga ono strategicznego zarządzania ryzykiem, a także umiejętności wykrywania i reagowania na zagrożenia ewoluujące szybciej niż przepisy prawne.
Europejskie regulacje, takie jak RODO, NIS2, DORA czy AI Act, powstały, aby wspierać cyfryzację i ograniczać związane z nią ryzyka. Te cztery dyrektywy pokazują również jak dynamiczne, a czasem trudne do implementacji jest nowe prawo. Polska nie jest odosobnionym przypadkiem, ponieważ podobne opóźnienia miały miejsce również w Niemczech i kilkunastu innych państwach.
Wszystko wskazuje na to, że w najbliższych latach Polska dalej będzie w czołówce najczęściej atakowanych krajów. Choć sektor prywatny znajduje się na szczycie listy celów zorganizowanych grup przestępczych, to coraz częściej ich celem są również tajemnice wojskowe, informacje o infrastrukturze krytycznej czy dane medyczne pacjentów szpitali. Dlaczego? Takie podejście to jedna z metod dywersyfikacji działalności przestępczej.
Przykładowo polskie szpitale gromadzą w przestarzałych i niezabezpieczonych systemach niezliczone ilości wrażliwych danych o pacjentach, co dla zorganizowanej grupy cyberprzestępczej stanowi prawdziwą gratkę. Z podobnymi problemami mierzą się dziesiątki tysięcy małych i średnich firm oraz instytucji państwowych już na szczeblu samorządowym. To łatwy łup, obok którego przestępcy rzadko przechodzą obojętnie. Nowe regulacje unijne mają pomóc uszczelnić i zabezpieczyć najbardziej wrażliwe obszary. Wciąż toczy się jednak debata nad ich ostatecznym kształtem w ramach prawa krajowego.
„Znaczna grupa decydentów i przedsiębiorców jest sceptyczna wobec zakresu obowiązków, które wprowadza dyrektywa NIS2. Do nas również docierają opinie, że panuje obawa przed potencjalnym przeregulowaniem rynku lub przeciwnie – że kolejne regulacje są najlepszym zabezpieczeniem przed cyberatakami. Nasze doświadczenie zdobyte w ponad 150 krajach wskazuje, że ani same regulacje, ani tylko oprogramowanie ochronne nie są w stanie samodzielnie zapewnić organizacji pełnego bezpieczeństwa. Ustawa jest pewnego rodzaju fundamentem. Jednakże zbudowanie szczelnego muru zależy od tego, jak firmy będą wdrażać wytyczne oraz z jakimi dostawcami rozwiązań ochronnych będą współpracować” – tłumaczy Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający Palo Alto Networks w Europie Środkowo-Wschodniej.
Opublikowany wiosną tego roku raport ENISA[2] wskazuje na istnienie dużych różnic w dojrzałości cyfrowej pomiędzy firmami, zarówno ze względu na branże, jak i wielkość organizacji. Ponadto do grona sektorów objętych już istniejącymi przepisami (np. sektor bankowy, energetyczny czy telekomunikacyjny), dołączy ogromna liczba podmiotów, które nigdy dotąd nie musiały spełniać sformalizowanych wymogów w zakresie cyberbezpieczeństwa[3]. ENISA sygnalizuje, że m.in. z tego powodu na gruncie poszczególnych państw nadzór nad przestrzeganiem założeń dyrektywy NIS2 może być utrudniony. Firmy, które nigdy nie podlegały restrykcyjnym wymogom formalnym mogą mieć kłopot z zaadaptowaniem się do nowej sytuacji. Z kolei urzędnicy otrzymają zadanie kontrolowania branż, których nie zdążyli jeszcze poznać[4].
Analitycy z Palo Alto Networks wskazują, że poczucie przytłoczenia ilością wymogów formalnych może powodować u przedsiębiorców obawy, a nawet opór przed dostosowaniem się nie tylko do dyrektywy NIS2, ale także do innych rozwiązań prawnych w przyszłości.
Czy zatem NIS2 było błędem? Przeciwnie. NIS2 pokazuje zmiany w obrazie ryzyk, z którymi muszą radzić sobie organizacje i wskazuje na konieczność dostosowywania zabezpieczeń do nowych zagrożeń. Podkreśla także konieczność traktowania systemów bezpieczeństwa jako integralnego elementu działalności organizacji wpływającego również na bezpieczeństwo otoczenia, w którym działa firma, a nawet całe państwo. Z drugiej strony ten przypadek udowadnia tylko, że nagromadzenie przepisów może przytłoczyć decydentów, a nawet zablokować cały proces naprawy systemu. To pokazuje również, jaki rozdźwięk panuje między założeniami formalnej zgodności a rzeczywistym cyberbezpieczeństwem. To sytuacja, na którą nie można sobie pozwolić ani w Polsce, ani w innych krajach objętych ryzykiem geopolitycznym.
„Utrzymanie formalnej zgodności z przepisami wymaga ciągłego śledzenia zmian prawnych, jak również dostosowywania rozwiązań cyberbezpieczeństwa do nowych wymogów. To oczywiste, że większość instytucji publicznych, a także małych i średnich firm nie ma zasobów, aby się tym samodzielnie zajmować. Obawa przed tymi kosztownymi obowiązkami może utwierdzać decydentów w przekonaniu, że należy jak najdłużej wstrzymywać wdrożenie NIS2. Z kolei każdy miesiąc opóźnienia procesu legislacyjnego może prowadzić do tego, że ustawa zaraz po uchwaleniu będzie wymagała nowelizacji uwzględniającej pojawiające się w międzyczasie procedury reagowania na zupełnie nowe cyberzagrożenia. Proszę pamiętać, że żyjemy w przededniu ery kwantowej. Charakter cyberataków za chwilę znowu się zmieni, a zarówno dostawcy oprogramowania ochronnego, jak i decydenci muszą być na to gotowi z wyprzedzeniem” – podkreśla Wojciech Gołębiowski.
Specjaliści z Palo Alto Networks podkreślają, że podstawowa zgodność instytucjonalna nie jest tożsama ze skuteczną ochroną przed cyberzagrożeniami. Ponadto pewnych rozwiązań nie da się wyegzekwować w ramach żadnych regulacji. Przykładowo cyberprzestępcy coraz śmielej i coraz skuteczniej wykorzystują zwykłą ludzką podatność na manipulację. Dlatego do zmian w zakresie cyberbezpieczeństwa należałoby podchodzić w sposób systemowy. W realiach gwałtownie zmieniającego się środowiska cyfrowego jedną z kluczowych kompetencji jest brak zaufania do zewnętrznego otoczenia, czyli nauka stosowania zasady „zero trust”. Dopóki nie zostanie wypracowany konsensus co do regulacji prawnych obejmujących wszystkie wrażliwe podmioty, jedyną szansą dla wielu branż jest wiedza, jak nie dać się zmanipulować w świecie cyfrowym i jak rozpoznawać potencjalne cyberzagrożenia.
[1] Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2024 roku – Raporty o stanie bezpieczeństwa cyberprzestrzeni RP CSIRT GOV, s. 14
[2] enisa nis360 2024, s.8-9
[3] enisa nis360 2024, s.8-9
[4] enisa nis360 2024, s.8-9