Złota zasada cyberbezpieczeństwa: ciągły rozwój [VIDEO]

Zapewnienie bezpieczeństwa użytkownikom systemów informatycznych wymaga nieustannego rozwoju świadomości użytkowników i ekspertów w zakresie potencjalnych zagrożeń. Przestępcy zawsze są krok do przodu – stwierdzili zgodnie uczestnicy panelu „Cyberbezpieczeństwo a tożsamość cyfrowa” odbywającego się w ramach Kongresu 590.

W zeszłym roku cyberprzestępczość kosztowała świat 6,5 biliona dolarów. Szacuje się, że w 2025 roku ta suma wzrośnie do 10,5 biliona. Sposobem na minimalizowanie tych strat jest budowanie świadomości zagrożeń związanych z cyberprzestępczością wśród użytkowników internetu, ale przede wszystkim ekspertów.

Eksperci zazwyczaj mają już pewną wiedzę i nie myślą o tym, co dalej. Czują się bezpiecznie w otoczeniu swoich procedur. Taki przypadek, jak ostatnia awaria Facebooka świadczy o tym, że cały czas w gronie ekspertów powinniśmy nieustannie podnosić kwalifikacje – powiedział dyrektor Departamentu Cyberbezpieczeństwa Narodowego Banku Polskiego Sebastian Ferdyn.

Zgodził się z nim przedstawiciel Polskiej Wytwórni Papierów Wartościowych odpowiedzialny m.in. za pion produktów cyfrowych. Nie możemy powiedzieć, że jakiś produkt jest bezpieczny i ten stan będzie się utrzymywać. Złotą zasadą cyberbezpieczeństwa jest ciągły rozwój, ciągła analiza i praca nad tym, by poziom bezpieczeństwa poszczególnych rozwiązań poszerzać – stwierdził członek zarządu Polskiej Wytwórni Papierów Wartościowych Mariusz Kujawski.

Z potrzebą nieustannego rozwoju zabezpieczeń w systemach komputerowych zgodził się również ostatni z panelistów, według którego przestępcy są coraz sprytniejsi. Systemy się rozwijają, my się uczymy, ale umiejętności po tej drugiej stronie też się rozwijają – przyznał członek zarządu, dyrektor ds. utrzymania infrastruktury PKP Polskich Linii Kolejowych S.A. Piotr Majerczak. Podkreślił jednak, że komputerowe systemy kolejowe nie korzystają z szeroko pojętego internetu. Działamy we własnym ekosystemie, mamy oprogramowanie, które jest bardzo specjalistyczne. Bez wiedzy o sposobie prowadzenia ruchu kolejowego ciężko byłoby mieć na to jakiś wpływ – powiedział. Systemy komputerowe opowiadają nie tylko jednak za prowadzenie ruchu kolejowego, ale też informacje wyświetlane na stacjach czy peronach. Nie znam przypadku włamania się do systemu kolejowego zarządzającego ruchem pociągów. Natomiast w 2017 r. hakerzy włamali się do sieci informacyjnej kolei niemieckich i na kilku stacjach były wyświetlane fałszywe komunikaty – mówił Piotr Majerczak. Doprowadziło to do dużego zamieszania. Cały czas mamy to z tyłu głowy i nasze systemy są audytowane, m.in. przez ABW czy NASK – dodał.

Ryzyko cyberataku w wydzielonej sieci wewnętrznej jest dużo niższe – zgodził się z przedmówcą Sebastian Ferdyn. Zwrócił jednak uwagę, że czynnik ludzki także bywa zawodny i może doprowadzić do sporych problemów. Stąd potrzebne są zabezpieczenia proceduralne.

Chodzi o to, by w odpowiednim momencie ludzie pomyśleli o tym, co się dzieje i wykazali logicznym myśleniem. Dlatego potrzebne jest ustawiczne podnoszenie kwalifikacji, przypominanie o pewnych zasadach i ciągłe stosowanie standardów rynkowych w celu zapewnienia bezpieczeństwa wewnętrznego – mówił Sebastian Ferdyn.

Posiadanie wydzielonej, dobrze zabezpieczonej sieci wewnętrznej nie oznacza jednak, że można spać spokojnie. Jak przyznał Piotr Majerczyk, władze PKP Polskich Linii Kolejowych S.A. są cały czas gotowe na potencjalny cyberatak i możliwość wywołania przez cyberprzestępców katastrofy kolejowej. Mamy odpowiednie scenariusze i procedury. Systemy sterowania ruchem, gdy cokolwiek się stanie, wchodzą w tzw. stan bezpieczny. Czyli wszystkie semafory sygnalizują „stój”, a pociągi się zatrzymują – tłumaczył Piotr Majerczyk.

Znaczna część cyberprzestępców jako swoje potencjalne ofiary upatruje jednak nie duże firmy, lecz zwykłych użytkowników internetu. Wszyscy uczestnicy dyskusji zgodzili się, że w tym przypadku warto zachować elementarną czujność. Podobną do tej, jaka powinna cechować nasze działania w codziennym życiu. Jeśli pojawia się mail czy sms z linkiem, w którym należy podać swój PESEL, trzeba się zastanowić, do czego ten numer może być wykorzystany. I czy na pewno powinno się go podawać.

Wyposażamy obywateli w narzędzia, które z definicji są bezpieczne, ale trzeba ich też bezpiecznie używać. I tak jak nie podajemy PIN-u do karty kredytowej, nie powinniśmy podawać PIN-u do certyfikatu z dowodu osobistego. To są dobre praktyki, które powinno się stosować. Nawet jeśli metody przestępców są znacznie bardziej wyrafinowane niż proszenie o podanie PIN-u – podsumował Mariusz Kujawski.