Bo zakład jest otoczony murem, chroniony przez ochroniarzy, nie podłączony do Internetu i odcięty od biurowej sieci IT.

Awatar użytkownika

Topic author
Epitet
Generał
Generał
Posty: 13858
Rejestracja: 16 sty 2011 19:01
Podziękował: 505 razy
Otrzymał/a podziekowań: 580 razy
Status: Offline

Bo zakład jest otoczony murem, chroniony przez ochroniarzy, nie podłączony do Internetu i odcięty od biurowej sieci IT.

Postautor: Epitet » 12 sty 2019 19:27

Prezes Exatela: Polskie firmy są słabo przygotowane na wyzwania cyberbezpieczeństwa
10 stycznia 2019,

Ogólnie rzecz biorąc instytucje i firmy w Polsce są słabo przygotowane na wyzwania cyberbezpieczeństwa.
Prawdziwym sprawdzianem dla części z nich będzie wdrażana teraz ustawa o cyberbezpieczeństwie - mówi Nikodem Bończa Tomaszewski, prezes Exatel w rozmowie z PAP.

link https://forsal.pl/artykuly/1391381,prez ... nstwa.html

Ustawa o krajowym systemie cyber bezpieczeństwa weszła w życie 28 sierpnia 2018 roku.

Nakłada ona na tzw. operatorów usług kluczowych, czyli firmy i instytucje kluczowe dla działania państwa, np. wielkie firmy energetyczne, kopalnie, koleje, lotniska, banki, duże szpitale czy wodociągi obowiązek wdrożenia ochrony przed cyberatakami.
Lista tych instytucji i firm, którą stworzono na podstawie rozporządzenia do ustawy, jest niejawna i są one zawiadamiane specjalnymi pismami z Ministerstwa Cyfryzacji.
Według szacunków, przepisy ustawy obejmą od trzystu do ponad pięciuset podmiotów.

"Firmy i instytucje przygotowały się do budowy systemu cyberbezpieczeństwa w kontekście proceduralnym oraz prawnym ze względu na RODO i nowe wymagania dotyczące ochrony danych osobowych.

Ale często nie szło za tym wdrożenie praktycznych rozwiązań czy zamówieniem usług cyberbezpieczeństwa" - zauważa Bończa Tomaszewski.


Jego zdaniem, przejście od uporządkowania systemu w sensie koncepcyjno-proceduralnym do praktycznej ochrony przed cyberatakami, będzie dla wielu podmiotów dużym wyzwaniem.

Według ustawy, po otrzymaniu zawiadomienia z resortu cyfryzacji firmy i instytucje mają trzy miesiące na oszacowanie ryzyka, zarządzenie incydentami i wyznaczenie osoby kontaktowej z Ministerstwem Cyfryzacji.
Pół roku po otrzymaniu zawiadomienia powinno nastąpić wdrożenie środków technicznych adekwatnych do ryzyka i rozpoczęcie zbierania danych o wszystkich zagrożeniach dotyczących organizacji.
Po roku - czyli w listopadzie-grudniu 2019 r. - operatorzy usług kluczowych powinni być przygotowani na audyt, który będzie odbywać się potem co dwa lata.

Według Bończa Tomaszewskiego najlepiej do nowych wymagań przygotowany jest sektor bankowy.

"W instytucjach finansowych potencjalnych wektorów ataku jest bardzo dużo:
bankowość internetowa,
mobilna,
bankomaty.

Dlatego banki szybko nauczyły się bezpiecznie funkcjonować w cyberprzestrzeni.
Ponadto banki współpracują ze sobą: jeśli jeden znajdzie lukę w systemie bezpieczeństwa, komunikuje to innym.
Część problemów rozwiązywana jest wspólnie - to jest siła grupy" - ocenił prezes Exatel.

Jego zdaniem dobrze przygotowane są także firmy z szeroko rozumianej branży zajmującej się infrastrukturą cyfrową, np. operatorzy telekomunikacyjni czy spółki branży IT.

"Jeśli chodzi o pozostałych, to z naszego doświadczenia wynika, że poziom jest bardzo nierówny.

Są podmioty świetnie przygotowane, o bardzo wysokich kompetencjach.
Takie, z którymi możemy rozmawiać jak ekspert z ekspertem.
Ale są i takie, które dopiero „się uczą" - zauważył prezes Exatela.

Jak dodał, wiele firm uznaje wydatki związane z cyberbezpieczeństwem za koszt nieprzynoszący natychmiastowych korzyści.

To koszt, który ponoszą bardzo niechętnie w ramach polityki zarządzania ryzykiem
.

"Zazwyczaj budżety cyberbezpieczeństwa są łączone z budżetami telekomunikacyjnymi, które - przy obecnych cenach na rynku - są względnie małe i nie wystarczą na adekwatną ochronę.
Mieliśmy np. doczynienia z bardzo dużą firmą , która ograniczyła miesięczny budżet na cyberbezpieczeństwo do 10.000 zł" - zauważył Bończa Tomaszewski.
Jak mówił, zarządy firm i instytucji nie zdają sobie po prostu sprawy z realności zagrożeń.

"Wydaje im się np., że system IT sterujące maszynami na terenie fabryki nie potrzebują dodatkowych zabezpieczeń.

Bo zakład jest otoczony murem, chroniony przez ochroniarzy, nie podłączony do Internetu i odcięty od biurowej sieci IT.

Ale podczas realizowanych przez nas testów penetracyjnych często okazuje się, to teorią.
Okazuje się na przykład, że upgrade firmowych maszyn wymagał chwilowego podłączania do Internetu.
Połączenia, którego nikt nie wyłączył po wyjściu ekipy serwisowej" – zauważa prezes Exatela.

W ocenie Bończa Tomaszewskiego doświadczenia z różnych krajów pokazują, że oczekiwanie na oddolne, samodzielne tworzenie krajowych systemów cyberbezpieczeństwa przez firmy nie przynosi efektów.
Dlatego potrzebne są regulacje takie jak ustawa o cyberbezpieczeństwie.

"Ustawa jest dla wielu instytucji koniecznym bodźcem do działania.
A do jej niewątpliwych zalet należy to, że harmonogram jest liczony w miesiącach, a nie w latach.
Narzuca więc szybki tryb i realistyczne ramy działania.
Pcha też w kierunku praktyki, co zresztą widzimy po zainteresowaniu potencjalnych klientów.

Ważnym elementem ustawy jest też cykliczność audytów, dzięki czemu trzeba nie tylko wdrożyć cyberbezpieczeństwo, ale też weryfikować ich efektywność" - dodał.

Zdaniem Bończa Tomaszewskiego ten rok będzie prawdziwym rokiem weryfikacji i dla twórców ustawy, i dla operatorów kluczowych.

"Zawsze jest teoria i praktyka.
Trzeba sobie zdawać sprawę, że cyberbezpieczeństwo to wojna, która trwa permanentnie.

To nie jest tak, ze wdrożymy jakiś drogi system i nic nam nie grozi.
Bo już następnego dnia cyberprzestępcy mogą wymyśleć coś nowego" - podkreślił. (PAP)

autor: Małgorzata Werner-Woś


Pokazana jest nisza handlowa do obstawienia przez branżę ochrony.
Tylko skąd nabrać tylu specjalistów od IT z certyfikatami bezpieczeństwa.
Kolejna kwestia to jak i ile płacić za ochronę.

Może ktoś z Forum ma jakieś doświadczenie w tym temacie?
Nie ma to jak jeść do syta, spać słodko i żyć beztrosko...

Wróć do „Obiekty Przemysłowe”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 3 gości