ROMAN MŁODKOWSKI, BIZNES24: Jedna z wielkich reform, które będą zmieniały obraz polskiej cyfryzacji i polskich usług telekomunikacyjnych i nie tylko – jest kwestia cyberbezpieczeństwa. Szykuje się wielka prawna zmiana o nazwie kodowej – KSC w pełnej wersji: Krajowy System Cyberbezpieczeństwa. No i nie sposób nie zapytać o to, czy rację mają ci, którzy mówią, że polska regulacja idzie dużo dalej, niż wymaga tego Unia Europejska i w związku z tym wygeneruje niepotrzebne kłopoty i niepotrzebne koszty. Jaka jest opinia kogoś, kto w cyberbezpieczeństwie siedzi od wielu, wielu lat?
TO JEST AUTOMATYCZNA TRANSKRYPCJA ROZMOWY PRZEPROWADZONEJ
NA ANTENIE TELEWIZJI BIZNES24
ADAM MARCZYŃŚKI, NASK: Ustawa europejska zmienia rzeczywistość. Myślę, że należy wspomnieć o tym, że tak naprawdę mówiłem o tym często, że to jest UKSC 2.0, czyli ustawa o krajowym systemie cyberbezpieczeństwa w drugiej wersji, bo mamy taką ustawę, która już funkcjonuje i faktycznie implementujemy teraz ustawę NIS2, drugą wersję ustawy europejskiej – NIS. Wymaganie Unii Europejskiej jest takie, że musimy mieć minimalną zgodność, ale możemy pójść dalej. Czy idziemy dużo dalej? Nie wydaje mi się.
Natomiast istotnym tak naprawdę jest to, że Polska znajduje się w bardzo specyficznym położeniu geopolitycznym. Mamy bardzo specyficzny czas, mamy wojnę za naszą wschodnią granicą w Ukrainie, która toczy się już długo i nie wygląda, jakby szybko się skończyć. Poziom zagrożenia w Polsce niekoniecznie jest taki sam jak w Brukseli, czy taki sam jak w Paryżu, więc być może ten kierunek, który przyjmujemy, czyli myślenie o cyberbezpieczeństwie, jako kluczowym aspekcie bezpieczeństwa każdego z obywateli, każdego przedsiębiorstwa, administracji publicznej, powinno w Polsce być posunięte dalej, niż ma to miejsce w innych krajach europejskich.
RM: Wicepremier Krzysztof Gawkowski, minister cyfryzacji, z którym rozmawiałem tutaj podczas konferencji, powiedział, zresztą mówił to też ze sceny, że to nowe podejście do cyberbezpieczeństwa oznacza, że w zasadzie każdy obywatel, każdy konsument i każdy biznes powinien w tym cyberbezpieczeństwie uczestniczyć. W związku z czym tak, będzie to kosztowało, no ale trzeba się z tym pogodzić, bo to jest warunek funkcjonowania.
Jak rozumieć to, że każdy, również np. mały i średni przedsiębiorca, ma uczestniczyć w systemie – krajowym systemie cyberbezpieczeństwa? W praktyce jak to ma wyglądać?
AM: W praktyce, każdego z nas dotyczy cyberbezpieczeństwo. W zasadzie każdego z nas mogą dotykać cyberzagrożenia. Podam przykład. Prowadzimy w NASK coś, co nazywamy listą ostrzeżeń. Jest to lista stron, które uważamy za niebezpieczne dla obywatela. Dzielimy się nią z wszystkimi firmami telekomunikacyjnymi. W zeszłym roku znalazło to wsparcie ustawowe, czyli to działanie nasze, które powstało tak naprawdę w czasie COVID i zatrzymuje Polaków przed wchodzeniem na strony, które tworzą cyberprzestępcy.
Doprowadziło do tego, że w zeszłym roku 5 milionów razy wstrzymaliśmy próbę wejścia na stronę, która to próba wejścia mogłaby się skończyć okradzeniem obywatela.
Więc ja myślę, że to jest tak powszechne, że nie sposób powiedzieć, że kogoś to nie dotyczy. Jeżeli ktoś ma telefon, jeżeli ktoś ma komputer podłączony do sieci Internet, a dzisiaj innych w zasadzie nie ma, to jest zagrożony. Podam jeszcze dwie statystyki. W zeszłym roku przyjęliśmy w NASK 370 tys. zgłoszeń, które sklasyfikowano na 80 tys. incydentów bezpieczeństwa. To znaczy, że tak naprawdę codziennie mamy setki, jak nie tysiące, bo to nie jest stała liczba, ona się zmienia, incydentów bezpieczeństwa, więc ciężko powiedzieć, że kogoś to nie dotyczy.
RM: A zdarzył się taki incydent, że był jakiś wypływ danych ze sprzętu, który pochodził z Azji i nie z Korei? I w związku z tym jest sens wymieniać sprzęt na taki, w którym nie ma podzespołów, przede wszystkim mikroprocesorów spoza NATO lub Unii Europejskiej?
RM: Myślę, że przy obecnym poziomie globalizacji ciężko byłoby wskazać sprzęt, który nie posiada jakichś komponentów, na przykład z Azji.
Wiadomo, że Europa bardzo odstaje, jeśli chodzi o produkcję chipów tak zwanych, czyli procesorów – mikroprocesorów od reszty świata. Próbujemy to nadgonić. Dzisiaj nie mamy takiego przypadku, żeby na przykład pełnomocnik rządu do spraw cyberbezpieczeństwa wskazał sprzęt lub producenta, który wymaga wymiany. Natomiast mieliśmy pierwszy przypadek w takim roku, kiedy wskazał producenta, u którego należało dokonać aktualizacji oprogramowania i żeby nie stygmatyzować, był to producent amerykański.
RM: Czyli cała historia, która tak naprawdę jest takim głównym wątkiem, który się przebija z tych wszystkich prac, że trzeba będzie wymieniać sprzęt i że to będzie kosztowało nie jest nieuzasadniona. To nie jest pójście za daleko?
AM: Nie da się tego zrobić generalnie. Nie można odpowiedzieć na tak zadane pytanie wprost, że danego producenta sprzęt nie jest bezpieczny i należy go wymienić. To się zmienia w czasie tak naprawdę.
Natomiast są takie sytuacje, że producenci przestają wspierać albo są takie sytuacje, np. w Stanach miało to miejsce kilkakrotnie, gdzie zabroniono używać sprzętu konkretnych producentów w instytucjach rządowych. Myślę, że w Polsce to się również może wydarzyć. Nie tylko w Polsce, w Europie.
RM: W rządowych i nie tylko, bo definicja podmiotów ważnych i kluczowych jest na tyle szeroka, że właściwie każdy się powinien zastanowić, czy pod nią nie podlega. Na przykład w służbie zdrowia to mogą być sieci prywatnych przychodni, no i szereg innych biznesów. Trochę trudno sobie wyobrazić tak teoretycznie taki katalog, ale jest ich na pewno bardzo dużo. NASK dba o cyberbezpieczeństwo. Pan jest dyrektorem cyberbezpieczeństwa i innowacji. Powiedział Pan, że wszystkich nas dotyczą wyzwania związane z cyberbezpieczeństwem, to gdzie mamy zaglądać, jako drobni, mali i średni przedsiębiorcy i konsumenci, żeby się upewnić, kiedy na przykład coś wydaje nam się podejrzane?
AM: Odpowiedź nie jest prosta, bo takich miejsc jest mnóstwo. Natomiast na pewno warto zaglądać na strony nask.pl, na strony cert.pl – to jest nasz zespół, który zajmuje się testami bezpieczeństwa. Publikujemy tam dużo raportów i zaleceń. Na pewno też cyfra.gov.pl, czyli strona Ministerstwa Cyfryzacji, gdzie warto zajrzeć, bo tam również są publikowane komunikaty pełnomocnika rządu ds. cyberbezpieczeństwa dotyczące np. podatności w jakiś systemach.
Nie potrafię wskazać jednego miejsca i być może jest to też miejsce tak naprawdę czy przestrzeń do tego, żeby poprawić się w przyszłości. Być może powinniśmy mieć jedno takie miejsce w Polsce, gdzie obywatele polscy czy przedsiębiorcy będą w stanie zajrzeć, żeby sprawdzić, co aktualnie się dzieje w zakresie cyberbezpieczeństwa i cyberzagrożeń.
RM: W takim bądź razie, proszę Państwa, starajmy się być czujni, a jeśli będziemy mieli wątpliwości, czy jakaś strona internetowa jest prawdziwa, czy ktoś, kto wysyła SMS na przykład o tym, że mamy dopłacić do przesyłki, a my być może coś właśnie zamawialiśmy lub dzieją się inne dziwne rzeczy, to rozumiem, że na strony na strony NASK można zaglądać?
AM: Jeśli chodzi o esemesy jest taki numer: 8080, na który możemy wysłać podejrzaną wiadomość i w tej sytuacji pracownicy NASK sprawdzą, czy faktycznie jest to próba tak zwanego phishingu, czyli np. wyłudzenia danych, czy jest to strona bezpieczna.
RM: Adam Marczyński, dyrektor do spraw cyberbezpieczeństwa i innowacji w NASK był naszym gościem. Dziękujemy serdecznie.
AM: Dziękuję bardzo panie redaktorze. Dziękuję Państwu.
Masz firmę? Nie przegap ważnych informacji dla Twojego biznesu.
Telewizja dostępna w sieciach kablowych, na platformach satelitarnych, oraz w Internecie.
Kup dostęp online do telewizji BIZNES24
Tylko 36 groszy dziennie za dostęp przez www i 72 grosze dziennie za dostęp do aplikacji i VOD (przy rocznym abonamencie)
Sprawdź na BIZNES24.TV