Po cyberataku liczą się minuty. Te trzy pierwsze kroki decydują o przetrwaniu firmy

• Cyberatak nie jest już tylko incydentem w organizacji, a testem zdolności przetrwania w stale zmieniającym się środowisku cyberzagrożeń. To zwykle pierwsze godziny po naruszeniu decydują o skali strat.
• Od natychmiastowego zabezpieczenia systemów i zgromadzenia dowodów, przez zgłoszenie incydentu odpowiednim organom, po szybkie poinformowanie wszystkich dotkniętych stron - to niezbędne działania, jakie powinien podjąć podmiot dotknięty atakiem. O to, jakie kroki podjąć zapytaliśmy Hansa de Vriesa, dyrektora ds. cyberbezpieczeństwa i operacji w Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).
• O sektorowym podejściu do cyberbezpieczeństwa, ale i strategicznym ujęciu w kontekście budowy pozycji gospodarczej Polski w geopolitycznym krajobrazie cyberzagrożeń rozmawialiśmy w czasie konferencji CYBERSEC EXPO & FORUM, która odbyła się 15-16 czerwca br. w Katowicach.

Firmy muszą mierzyć się z nową rzeczywistością: sztuczna inteligencja nie tylko wzmacnia ataki, ale skraca czas - od wykrycia podatności, do jej wykorzystania. W tym kontekście cyberodporność staje się procesem ciągłym, a kluczowym wyzwaniem pozostaje nie tylko technologia, lecz także ludzie i kompetencje, które wciąż są najsłabszym ogniwem systemu.

W wywiadzie dla WNP Hans de Vries, dyrektor ds. cyberbezpieczeństwa i operacji w Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), wskazuje: - Wraz z najnowszymi osiągnięciami w obszarze możliwości modeli AI (frontier AI, najbardziej zaawansowane, wielozadaniowe), bezpieczeństwo publiczne staje się realnym wyzwaniem. Modele te podważają tradycyjne paradygmaty bezpieczeństwa. Dlaczego? Ponieważ dysponują szczególną zdolnością do wykrywania podatności typu zero‑day. Z jednej strony jest to zjawisko pozytywne, lecz z drugiej oznacza, że umożliwiają one znajdowanie nowych sposobów wykorzystania luk w systemach IT znacznie szybciej. To stanowi istotny powód do niepokoju - mówi.

Nowe wyzwania związane z ewolucją modeli sztucznej inteligencji powinny być ostatnim "dzwonkiem" dla organizacji, które do tej pory cyberbezpieczeństwo traktowały po macoszemu. Podstawą jest choćby przygotowanie się na ryzyko wystąpienia incydentu, przećwiczenie scenariuszy i przygotowanie planów ciągłości działania.

Co robić po incydencie? Ekspert wskazuje na te kroki

Eksperta ENISA zapytaliśmy, jakie są trzy pierwsze kroki, które organizacja powinna wykonać, po tym, jak zorientuje się, że stała się celem cyberataku. Choć w teorii firmy często deklarują, że posiadają scenariusze działania, to praktyka - co opisujemy na bieżąco w WNP - często pokazuje, że rzeczywistość wygląda zgoła inaczej.

Hans de Vries zaznacza, że zgłaszanie incydentów cyberbezpieczeństwa i szukanie pomocy ma kluczowe znaczenie dla zminimalizowania szkód spowodowanych przez cyberzagrożenia.

- Szybkie zgłoszenie ataku pomaga ekspertom szybciej zająć się problemem i zapobiec dalszym szkodom. To również niezbędny krok, aby uzyskać poradę i wsparcie potrzebne do skutecznego odzyskania sprawności - podkreśla.

Wśród koniecznych działań wymienia przede wszystkim te, które pomogą zabezpieczyć urządzenia i sieci. - Zbierz wszelkie dowody, takie jak zrzuty ekranu czy komunikaty o błędach - wskazuje.

Wśród niezbędnych kroków wymienia:

• Kontakt z właściwymi organami. - Zgłoś incydent lokalnej policji lub krajowemu organowi ds. cyberbezpieczeństwa. W wielu krajach UE funkcjonują wyspecjalizowane agencje lub infolinie zajmujące się cyberprzestępczością - wskazuje ekspert.
• Korzystaj z oficjalnych platform (komunikacji). Platformy te są zaprojektowane po to, aby ci pomóc i zapewnić, że Twoje zgłoszenie dotrze do właściwych osób - dodaje.
• Powiadom podmioty dotknięte incydentem. - Poinformuj każdą osobę, która mogła zostać dotknięta incydentem, na przykład członków rodziny lub znajomych, aby zapobiec dalszym problemom - podkreśla.

Bezpieczeństwo technologii, ludzi i procesów

Cyberbezpieczeństwo nie jest kwestią jednego rozwiązania czy korzystania z jednej technologii, zwykle to efekt współdziałania trzech równorzędnych filarów: narzędzi, ludzi i procesów. Nawet najbardziej zaawansowane systemy ochrony nie zapewnią odporności, jeśli użytkownicy nie posiadają odpowiednich kompetencji, a organizacja nie dysponuje jasno zdefiniowanymi procedurami reagowania i zarządzania ryzykiem.

Z kolei dobrze przygotowane zespoły i procesy nie będą skuteczne bez adekwatnego wsparcia technologicznego. Dopiero spójne podejście, łączące inwestycje w technologie, rozwój kompetencji oraz ciągłe doskonalenie procesów, pozwala budować realną odporność organizacji wobec dynamicznie zmieniającego się krajobrazu zagrożeń.

Na to zwraca również uwagę Hans de Vries, dyrektor ds. cyberbezpieczeństwa i operacji w Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), który przypomina, że we współczesnym cyfrowym świecie "wszyscy jesteśmy ze sobą połączeni".

Systemy i usługi, na których polegamy w naszym codziennym życiu, są ze sobą połączone, więc zakłócenie "na jednym końcu" może wywołać efekt domina w całym łańcuchu dostaw, zwłaszcza w globalnym, cyfrowym ekosystemie. Jesteśmy tak silni, jak nasze "najsłabsze ogniwo". Zabezpieczanie naszych systemów, usług i produktów, zapewnienie, że technologia, której używamy, jest "secure‑by‑default" (produkty są konfigurowane pod kątem maksymalnego bezpieczeństwa - przyp. red.), a nasze produkty "secure‑by‑design" (zaprojektowane z myślą o bezpieczeństwie - przyp. red.), jest fundamentalne dla ogólnej odporności. Odporność jest procesem ciągłym i należy nieustannie dążyć do jej utrzymywania, doskonalenia i dostosowywania do stale zmieniającego się krajobrazu polityk, zagrożeń i technologii - objaśnia WNP.

Jak dodaje, ponieważ w sektorze cyberbezpieczeństwa istnieje potrzeba nieustannego doskonalenia umiejętności, ENISA opracowała Europejskie Ramy Kompetencji w Zakresie Cyberbezpieczeństwa (European Cybersecurity Skills Framework), czyli spójne ramy, których celem jest jasne zdefiniowanie ról i kompetencji specjalistów ds. cyberbezpieczeństwa.

Rozwijanie kompetencji w zakresie cyberbezpieczeństwa wśród pracowników jest istotnym wyzwaniem dla wielu firm. Aby wdrożyć dyrektywę NIS2, przedsiębiorstwa powinny zdefiniować role i odpowiedzialności w obszarze cyberbezpieczeństwa - podkreśla.

Według niego kolejnym ważnym aspektem są ćwiczenia z zakresu cyberbezpieczeństwa organizowane na poziomie lokalnym, międzynarodowym i unijnym. - Ćwiczenia i szkolenia w obszarze cyberbezpieczeństwa są kluczowymi narzędziami, z których wszystkie państwa członkowskie mogą korzystać, aby budować potrzebne im kompetencje techniczne i operacyjne oraz odporność - podsumowuje ekspert.