Klub CIO: chwytanie równowagi w bezpieczeństwie

3 lata zajmie co najmniej osiągnięcie minimalnego akceptowalnego poziomu cyberbezpieczeństwa Polski – przyznał prokurator krajowy Bogdan Święczkowski podczas dyskusji na majowym spotkaniu Klubu CIO. W jaki sposób zapewnić bezpieczeństwo nie odcinając zarazem firm od sięgania po możliwości jakie stwarza cyfrowa transformacja a obywateli i administracji - od realizacji wizji państwa usługowego szeroko sięgającego po technologię? Klub CIO w maju zgromadził rekordową publiczność, która miała okazję do bardzo interesujących dyskusji.

Tomasz Matuła, CIO Roku 2010, dyrektor infrastruktury ICT i cyberbezpieczeństwa w Orange Polska, przedstawił najbardziej aktualny zarys zjawisk. Od ataków wielowektorowych, przykrywkowych, nowe, złożone oblicza DDoS, po stary, znajomy spam, dziś będący najlepszym nośnikiem malware. Od teoretycznie „oswojonego” phishingu, po opłacalny najbardziej, z perspektywy cyberprzestępców, ransomware. Tomasz Matuła przedstawił bardzo różne poziomy i perspektywy zagadnienia: indywidualnego internauty, firmy, całej gospodarki. Przytaczał przykłady zatrzymanych prób włamań, oszustwa, szantażowania – dotyczące banków, także polskich, sieci handlowych, pojedynczych osób, w tym szczególnie cennych i „podatnych” top menedżerów i beznesmenów. Konkluzją, którą można wyprowadzić, jest konieczność szerszego rozpisywania systemu i strategii bezpieczeństwa (nie można już chyba zresztą odżegnywać się od takich stwierdzeń nawet w przypadku indywidualnych osób), niż tylko oparcia o własne zasoby i kompetencje.

Janusz Krzyczkowski, prezes IPR-Insights, nowego partnera Klubu CIO, mówił o Software Asset Management w kontekście bezpieczeństwa. Wiedzę i władzę nad własnymi zasobami oprogramowania odnosił do poszczególnych firmowych funkcji. Prosto zarysowane przykłady bardzo dobitnie ilustrowały zakres i skalę wpływu zarządzania ryzykiem na całościowe ryzyko w działalności firmy. Janusz Krzyczkowski mówił zatem m.in., jaką wartość oprogramowania wykazał audyt w PGNiG, w jakich sytuacjach zewnętrzny audyt oprogramowania ze strony dostawcy jest nieunikniony, o przykładach pułapek, jakie czyhają także w relacjach z największymi dostawcami. Wskazał także na logiczne związki SAM z planowaniem i wdrażaniem architektury IT, zarządzaniem ryzykiem operacyjnym, z organizacją firmowego prokurmentu, strategią rozwoju IT i firmy w odniesieniu do takich zagadnień jak kosztochłonność. SAM wyrastający z norm i praktyk ISO ściśle związany jest wreszcie z głównym tematem spotkania, nieodłącznie jest z nim związany.

Zobacz również:

Prezentacja Janusza Krzyczkowskiego:

Grzegorz Salachna, Orange Polska, mówił o sytuacji podnoszenia firmy z "cyberupadku". Odnosząc się do statystyk i skali zjawisk z zakresu cyberbezpieczeństwa, dowodził, że należy już rozpatrywać je w kategoriach finansowych, i szukać odpowiedniego "ubezpieczenia", a nie "zabezpieczenia". Umiejętność wyceny ryzyka i jego ubezpieczenia staje się kompetencją z zakresu bezpieczeństwa tak, jak są nią kompetencje technologiczne.

Finałowy panel poświęcony wyważaniu bezpieczeństwa i możliwości biznesowych od początku skupił się na najszerszej i kluczowej z dzisiejszego punktu widzenia perspektywie: perspektywy państwa. Raporty NIK i audyty minister cyfryzacji nie pozostawiają wątpliwości co do sytuacji: startujemy z poziomu zero pod względem koordynacji zasobów, możliwości szybkiej diagnozy, reakcji albo prewencji. Zgodzili się z tym na wstępie uczestnicy panelu: prokurator krajowy, Bogdan Świeczkowski, , Artur Józefiak, szef zespołu bezpieczeństwa Accenture, recenzent m.in. Rekomendacji D i strategii cyberbezpieczeństwa RP, Tomasz Matuła i Janusz Krzyczkowski.

Uczestnicy panelu rozmawiali o akceptowalnym poziomie ryzyka i kontekście cyberbezpieczeństwa, jakie mogłoby i powinno zapewniać obywatelom i biznesowi państwo. Mówili o referencyjnych rozwiązaniach francuskich czy brytyjskich, o potrzebnych instytucjach, jak narodowy CERT i mechanizmach. Bogdan Święczkowski mocno podkreślał rolę wprowadzenia na obecnym etapie odpowiednich ram prawnych. Prawne, organizacyjne, kompetencyjne budowanie cyberbezpieczeństwa państwa w wymiarze rozpoznania, reakcji i ewentualnie kontrakcji, zapewnienia bezpiecznego otoczenia dla biznesu i obywateli, zajmie co najmniej 3 lata – do osiągnięcie minimalnego akceptowalnego poziomu cyberbezpieczeństwa Polski – ocenił prokurator krajowy Bogdan Święczkowski podsumowując dyskusję na majowym spotkaniu Klubu CIO. Taki horyzont czasowy jest osiągalny przy założeniu płynnego wprowadzania zmian, od zatwierdzenia spójnej koncepcji.