Cyberbezpieczeństwo integralną częścią wszystkich procesów – wywiad z Łukaszem Węgrzynem

Autor: Adam Jadczak 3 min czytania

Centrum Prasowe > Centrum Prasowe > Cyberbezpieczeństwo integralną częścią wszystkich procesów – wywiad z Łukaszem Węgrzynem

Rozmowa z Łukaszem Węgrzynem, partnerem w kancelarii Kochański & Partners, o:

  • największych wyzwaniach dotyczących cyberbezpieczeństwa;
  • europejskich regulacjach, które dotyczą tego obszaru;
  • konieczności przygotowania się zawczasu do nieuchronnego cyberataku;
  • realizowanym wspólnie z MAIN – programie „Bezpieczny Zarząd – Dyrektor IT”.

Wywiad ukazał się na łamach magazynu ITwiz.


Kancelaria Kochański & Partners oferuje wsparcie w uzyskaniu gotowości do realizacji obowiązków prawnych w zakresie cyberbezpieczeństwa.

Jakie są dziś najważniejsze wyzwania związane z cybersecurity?

Na pewno w ostatnim okresie znacząco wzrosło ryzyko ataku. Kiedyś mówiło się, że cyberataki zdarzają się sporadycznie. Teraz jest to zjawisko nagminne. Powodem jest fakt, że nasze życie w coraz większym stopniu przenosi się do sieci.

Jak podaje KPMG w raporcie „Barometr cyberbezpieczeństwa”, wybuch pandemii COVID-19 – w opinii 55% badanych firm w Polsce – przyczynił się do wzrostu ryzyka wystąpienia cyberataków. Aż 64% organizacji odnotowało co najmniej jeden tego typu incydent w roku 2020. 51% firm przyznało, że konieczność organizacji pracy w trybie zdalnym była wyzwaniem w kontekście zapewnienia bezpieczeństwa. Zwiększyła bowiem podatność na wystąpienie cyberataku.

Dlatego dziś nie tylko firmy komercyjne, ale i administracja – przeglądając procedury związane z cyberbezpieczeństwem – próbują dostosować się do nowych realiów. Jednocześnie poszczególne rządy i Komisja Europejska przygotowują nowe akty prawne, które mają uporządkować ten świat.

KE przedstawiła np. projekty dwóch aktów prawnych: dyrektywy w sprawie: środków na rzecz wysokiego, wspólnego poziomu cyberbezpieczeństwa – NIS 2 oraz odporności podmiotów krytycznych. Z kolei w Polsce przeprowadzana jest nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa, a Ministerstwo Klimatu i Środowiska opublikowało rekomendacje dotyczące zarządzania infrastrukturą techniczną i relacji z dostawcami IT.

Unia Europejska chce w szczególności poukładać tematy związane z cyberbezpieczeństwem w sektorze finansowym. Temu sektorowi dedykowana jest Digital Operational Resilience Act – DORA.

Rozporządzenie to usprawnia i aktualizuje istniejące przepisy dotyczące zarządzania ICT, zarządzania ryzykami oraz zgłaszania incydentów związanych z cyberbezpieczeństwem. Wprowadza też nowe regulacje w miejscu istniejących luk. Szczególnie w odniesieniu do testowania operacyjnej odporności cyfrowej, wymiany informacji i zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT. DORA przyznaje również odpowiednie uprawnienia organom nadzoru finansowego w zakresie kontroli zgodności z obowiązkami wynikającymi z projektowanego rozporządzenia.

Dlaczego KE tak wielką wagę przykłada do cyberbezpieczeństwa w sektorze finansowym?

Po kryzysie tego sektora z lat 2008–2009 wszyscy regulatorzy świata doszli do wniosku, że muszą wprowadzić regulacje, które zabezpieczą nas przed kolejnym, podobnym kryzysem. Pojawiło się wiele tego typu regulacji. Ale ostatecznie okazało się, że ważne jest nie tylko bezpieczeństwo finansowe, lecz także organizacyjne i techniczne. To ostatnie uważane jest dziś wręcz za najważniejsze.

Próby zaadresowania zagadnienia ryzyka związanego z ICT były podejmowane zarówno przez państwa członkowskie, jak i organy unijne. Proponowane rozwiązania regulowały dotąd problematykę ICT szczątkowo. Były też zbyt ogólne, pozostawiając organom krajowym dużą swobodę interpretacji.

Brak jednolitej polityki w tym zakresie doprowadził do niespójności wymogów prawnych oraz powielania się przepisów w prawie unijnym i w porządkach krajowych. Instytucje finansowe operujące transgranicznie narażone są w związku z tym na ryzyka związane z koniecznością uwzględniania odmiennych regulacji, w zależności od rodzaju działalności oraz lokalnych wymogów w zakresie ICT. Zmienić ma to wspomniana DORA.

Czy te działania przekładają się na podejście do cyberbezpieczeństwa w poszczególnych organizacjach?

W efekcie tych działań cyberbezpieczeństwo stało się jednym z trzech głównych priorytetów zarządów. Kierowane przez nich organizacje muszą zawczasu przygotować się do działania po ewentualnym ataku. Reagowanie post factum to dziś za mało. Potrzebne są polityki bezpieczeństwa, które przygotują nas na działanie po ewentualnym ataku. Ten aspekt był zbyt długo traktowany po macoszemu. Obecnie musimy tworzyć polityki bezpieczeństwa, które w sposób ciągły będą kontrolować nasze przygotowanie do cyberataku.

Jak DORA może zmienić podejście do cyberbezpieczeństwa?

Rozporządzenie to wprowadza – jako nadrzędną zasadę – pełną odpowiedzialność organu zarządzającego za określenie, zatwierdzenie, wdrożenie i nadzorowanie ram zarządzania ryzykiem związanym z ICT. Przejawia się to w szczególności w obowiązku opracowania i zatwierdzenia odpowiednich polityk, ustalenia ról i obowiązków związanych z ICT, określenia poziomu tolerancji ryzyka związanego z ICT, zatwierdzenia planów audytu oraz kontrolowania ustaleń dotyczących zewnętrznych dostawców usług ICT.

To diametralna zmiana w porównaniu do tego, z czym mieliśmy do czynienia do tej pory. Z historii korporacyjnej narracja zmienia się w opowieść osobistą, konkretnego CIO, CTO, CSO, COO.

W jaki sposób organizacje powinny przygotować się do nowych wyzwań związanych z cyberbezpieczeństwem i przygotowywanych regulacji?

Po pierwsze, zmienić się muszą relacje z kluczowymi dostawcami uwzględniające nowe wymogi bezpieczeństwa IT. Po drugie, zmiany wymaga proces zakupowy. Już w czasie postępowania zakupowego powinniśmy weryfikować dostawcę pod kątem cyberbezpieczeństwa.

W tym aspekcie kluczowa jest zarówno wiedza prawnicza, jak i technologiczna. Pod względem nowych regulacji zweryfikować trzeba: zapisy w umowach, obowiązki przyszłego partnera, zakres jego odpowiedzialności za ewentualny wyciek, wiedzę i umiejętności pracujących po stronie firmy zewnętrznej zespołów, poziom oferowanego SLA, jak również określić potencjalne luki bezpieczeństwa. Ważne są tu także aspekty otwartości proponowanej technologii. Z tej perspektywy należy patrzeć nie tylko na dotychczasowe, ale i przyszłe umowy.

Trzeci aspekt, który należy brać pod uwagę, przygotowując się do nowych wyzwań związanych z nowymi regulacjami w zakresie cyberbezpieczeństwa, to sprawa dokumentacji wewnętrznej. Obejmuje to np. regulaminy związane z zakupami czy dostępem do strategicznych dla danej organizacji obiektów, np. centrów przetwarzania danych. Często powstawały one w czasie, gdy nie myślano o tak intensywnej cyfryzacji. Cyberbezpieczeństwo nie stanowiło tak newralgicznego aspektu funkcjonowania firm.

Coraz częściej warto także rozważyć posiadanie polisy ubezpieczeniowej, obejmującej skutki ewentualnego cyberataku. Firm oferujących tego typu polisy jest dziś dużo, ale trzeba wiedzieć o czym i jak rozmawiać z ich przedstawicielami. Może się okazać, że nie dostaniemy odszkodowania, bo nienależycie sprawdziliśmy dostawcę.

Warto podkreślić, że pozwala ona nie tylko otrzymać środki z odszkodowania, lecz także pokazuje audytującym nas instytucjom, że nie traktujemy lekko sprawy cyberbezpieczeństwa. Pokazuje, że dokładamy najwyższej staranności związanej z cyberbezpieczeństwem.

Polecane

Sprawdź najpopularniejsze rozwiązania MAIN

Wspominasz, że kluczowa jest zarówno wiedza prawnicza, jak i technologiczna.

To prawda! Bardzo ważne jest, aby nasi klienci byli świadomi aspektów związanych z cyberbezpieczeństwem zarówno od strony regulacyjnej – w czym pomóc może kancelaria Kochański & Partners – jak i technologicznej, np. w zakresie stosowania rozwiązań cloud computing. Tu ogromną rolę do odegrania mają eksperci firmy MAIN, z którą współpracujemy nie tylko przy projektach u naszych klientów, ale też w ramach MAIN Partner Community, m.in. w zakresie programu „Bezpieczny Zarząd – Dyrektor IT”.

Dobre przygotowanie jest o tyle ważne, że polskie oraz europejskie firmy i instytucje będą z tego rozliczane. Nie można już spraw bezpieczeństwa zamiatać pod dywan. Temat ten będzie istotny przez wiele lat. Proces przestawiania się organizacji na nowe tory – gdzie cyberbezpieczeństwo jest integralną częścią wszystkich procesów – będzie trwał.

Na czym polega współpraca kancelarii Kochański & Partners z MAIN?

Chcemy wspólnie wesprzeć klientów w tym, aby zestaw podjętych przez nich przed cyberatakiem działań maksymalnie zminimalizował jego ryzyko. Przeprowadzamy więc wspólne działania związane z audytami, szkoleniami i akcjami. Uświadamiamy, jakie zmiany regulacyjne ich czekają. Odbywa się to w ramach programu „Bezpieczny Zarząd – Dyrektor IT”.

Usługi mogą być świadczone kompleksowo lub punktowo – w zależności od życzenia Klienta. Widać, że rośnie rola cyberbezpieczeństwa w strategiach działających w Polsce organizacji. Coraz ważniejsze staje się dla nich pokazanie swoim klientom, że strategia i procedury związane z bezpieczeństwem IT nie są tylko spisane na papierze, ale zostały wdrożone przez sprawdzonych doradców prawnych i technologicznych.

Co warto podkreślić, bez współpracy prawników i specjalistów IT trudno przekazać klientom realną, wartościową wiedzę. Dopiero to, co przekazujemy wspólnie z MAIN, stanowi spójną historię. Przykładowo wejście do chmury instytucji sektora finansowego wymaga analizy ryzyka nie tylko od strony prawnej, ale – może przede wszystkim – właśnie technicznej.

Adam Jadczak
Adam Jadczak

Redaktor naczelny magazynu ITwiz – miesięcznika skierowanego do osób podejmujących decyzje o zakupie rozwiązań IT. Ambasador marki MAIN Data Center.

Udostępnij znajomym

Zobacz również

Przejrzyj artykuły

Firma Vacancysoft oferująca usługi analizy danych poszukiwała dostawcy usług IT, który zaoferuje nie tylko hosting w chmurze, ale też usługi administrowania środowiskiem.

Planowanie infrastruktury IT to dziś kwestia przetrwania dla wielu małych i średnich przedsiębiorstw. Przestoje kosztują, dane narażone są na ciągłe ryzyko, a każdy dodatkowy proces wymaga sprawnych zasobów technologicznych.

#poradnik Przeczytaj

Pierwsze w Polsce produkcyjne środowisko na serwerach HPE z procesorami w architekturze ARM64. Wysoka wydajność i sprawność działania.

Planujesz migrację zasobów do chmury?

Nasi eksperci odpowiedzą na każde Państwa pytanie. W zrozumiały sposób opiszą, jak działa MAIN i opracują najbardziej efektywne rozwiązanie.

Napisz do nas