Dlaczego cyberbezpieczeństwo firmy staje się dziś kluczowe dla powodzenia prowadzonego przez nią biznesu?
Joanna Baar: Cyberbezpieczeństwo jest języczkiem u wagi. Od 15 lat projektujemy rozwiązania szyte na miarę w modelu outsourcing IT i bacznie obserwujemy zmieniające się środowisko cybersecurity. Świat biznesu jest dziś bardzo dynamiczny m.in. za sprawą rozwijających się technologii, które odgrywają kluczową rolę we wszystkich aspektach działalności. Cyberbezpieczeństwo jest dziś kluczowym aspektem biznesu. Wraz z ryzykiem wzrasta świadomość i czujność na ataki, ale niestety korelacja pomiędzy wzrostem ataków a gotowością firm na ich odpieranie jest niewystarczająca. Im bardziej polegamy na cyfrowych rozwiązaniach – do komunikacji, przetwarzania danych czy przeprowadzania operacji finansowych – tym bardziej jesteśmy narażeni na ataki cyberprzestępców. Najistotniejsza jest więc ochrona danych klientów, zabezpieczenie wrażliwych informacji biznesowych, zapobieganie przerwom w działalności, ochrona reputacji. Incydenty związane z cyberbezpieczeństwem mogą znacznie zaszkodzić reputacji firmy, a ich skutki mogą być długotrwałe i niezwykle trudne do naprawienia. Ponadto zawsze niosą ze sobą duże straty finansowe. Dlatego we współczesnym świecie, w którym zagrożenia cyberatakami są codziennością, dbanie o cyberbezpieczeństwo jest w zasadzie podstawowym elementem strategii działalności biznesowej każdej firmy. Co więcej, nie należy na tym oszczędzać. Warto zainwestować w narzędzia ochrony IT, szkolenie pracowników i prowadzić regularne audyty bezpieczeństwa. To uchroni firmę przed cyberatakami, utratą danych, a pomoże utrzymać zaufanie klientów i partnerów biznesowych. Jest to też droga do zyskania konkurencyjności na dynamicznie rozwijającym się rynku w cyfrowym świecie.
Jakie zmiany należy wprowadzić w firmie, by krok po kroku budować i wzmacniać jej bezpieczeństwo w cyberprzestrzeni?
Adam Dziedzic: Europejskie dyrektywy DORA i NIS2 to początek zmian w podejściu do cyberbezpieczeństwa, które ma być priorytetem nie tylko lokalnym, ale i globalnym. Zmiany muszą wejść w krwiobieg firm. Regulacje stawiają wymóg zapewnienia cyberbezpieczeństwa w łańcuchach dostaw w finansach, medycynie, transporcie, branży żywnościowej i obronnej – i to przy napiętych dziś relacjach politycznych. Najsłabszym ogniwem w cyberbezpieczeństwie jest człowiek. Dlatego dobrze, by ta transformacja wynikała z budowania świadomości ryzyka i czujności wszystkich na incydenty w organizacji. Jest kilka istotnych kroków, które powinna podjąć firma, aby budować swoje cyberbezpieczeństwo.
Pierwszym jest przeprowadzenie szczegółowej analizy ryzyka i zidentyfikowanie potencjalnych zagrożeń dla bezpieczeństwa firmy. Mam na myśli zarówno zagrożenia zewnętrzne, czyli ataki hakerskie, jak i te wewnętrzne, czyli głównie błędy popełniane przez pracowników. Na podstawie analizy ryzyka należy przygotować jasną politykę bezpieczeństwa określającą procedury i wytyczne bezpiecznego korzystania z systemów IT oraz ochrony danych w firmie. Istotne jest regularne jej aktualizowanie, gdyż technologie cały czas się rozwijają, a to powoduje zmiany wektorów zagrożeń. Mamy tu kwestię wspomnianego najsłabszego ogniwa, czyli błędów popełnianych przez człowieka. Nie unikniemy ich, ale możemy je minimalizować przez ciągłe podnoszenie wiedzy pracowników – szkolenia z zasad bezpieczeństwa, bezpieczeństwa haseł, rozpoznawania phishingu, korzystania z zabezpieczonych sieci Wi-Fi. Budowanie świadomości i kształtowanie umiejętności to powinien być ciągły proces obejmujący wszystkie działy przedsiębiorstwa. Kolejną ważną kwestią są regularne aktualizacje oprogramowania oraz wszystkich systemów IT. Ważne jest też wdrożenie systemu monitorowania zabezpieczeń. Odpowiednie narzędzia i rozwiązania technologiczne pozwolą zapobiegać włamaniom i nieautoryzowanemu dostępowi do sieci. Bardzo istotne jest także regularne tworzenie kopii zapasowych z danymi i dokumentami. No i na koniec firma powinna regularnie przeprowadzać audyty bezpieczeństwa, które pozwolą ocenić skuteczność zabezpieczeń, a także wskażą obszary do poprawy. Pamiętajmy też, że cyberbezpieczeństwo to proces wymagający zaangażowania całego zespołu.
Co dyrektywy DORA i NIS2 wnoszą do dotychczasowej praktyki cyberbezpieczeństwa?
AD: Zarówno DORA, jak i NIS2 to bardzo istotne dyrektywy dotyczące zapewnienia bezpieczeństwa w cyberprzestrzeni. Są swego rodzaju papierkiem lakmusowym, wyznaczają ramy i standardy działalności firm, by dostosowywały działania do dynamicznie zmieniającego się otoczenia.
Dyrektywa DORA, czyli Digital Operational Resilience Act, ma zapewnić cyberbezpieczeństwo w sektorze finansowym. Zobowiązuje instytucje finansowe do monitorowania odporności i zabezpieczeń związanych z cyberincydentami. Nakłada też obowiązek oceny dostawców usług cyfrowych.
NIS2, czyli Network and Information Security Directive 2, kontynuuje dyrektywę NIS. Jej celem jest wzmocnienie ochrony infrastruktury krytycznej oraz zwiększenie współpracy między unijnymi państwami w zakresie reagowania na cyberzagrożenia. NIS2 obejmuje wiele sektorów, w tym tak kluczowych jak energetyka, transport, zdrowie publiczne czy usługi bankowe. Rozszerza zakres obowiązków w zakresie zapewnienia cyberbezpieczeństwa. Obie dyrektywy są regulacyjnym wsparciem dla bezpiecznego działania przedsiębiorstw i instytucji państwowych.
Od lat nasza firma działa w branżach objętych przepisami DORA i NIS2. Naszymi klientami są takie firmy jak Santander Bank, PKO BP, Medicover, Samsung Electronics, B/S/H. Dostarczamy im inżynierów o różnych kompetencjach. Zawsze widzimy jeden wspólny mianownik, jakim jest bezpieczeństwo rozwiązań, ich niezawodność i aktualność oraz niezawodność ich działania na najwyższym poziomie.
Ile pracy i jakie koszty pochłonie wdrożenie wspomnianych dyrektyw, tak by firma działała zgodnie z ich wymogami?
A.D.: Codziennie działamy ramię w ramię z klientami, by tworzyć ich cyfrową przyszłość. Nasi inżynierowie kształtują ich rzeczywistość biznesową, stoją na jej straży, tworzą, wdrażają i utrzymują infrastruktury IT, niezależnie od lokalizacji oraz branży.
Nie da się z miejsca odpowiedzieć na pytanie o koszty i nakład pracy potrzebny do wdrożenia wspomnianych dyrektyw. Każda organizacja ma inny start i metę w tym zakresie. Na cyberbezpieczeństwo trzeba patrzeć przez pryzmat ultramaratonu, a nie sprintu. Analizując 15 lat doświadczeń naszej firmy, wiemy, że każda zmiana u klientów zaczyna się od wspólnej rozmowy. I to jedyna słuszna strategia w świecie IT. Nie oferujemy gotowych rozwiązań, lecz każda usługa jest szyta na miarę, w odniesieniu do obecnej sytuacji klienta.
Rzeczywistość się zmienia, technologia rozwija, oczekiwania konsumentów, a co za tym idzie: reakcje naszych klientów na te oczekiwania ewoluują z miesiąca na miesiąc. Więc i podejście do świata IT, w tym do cyberbezpieczeństwa, musi być indywidualne, także w zakresie kosztów i nakładu pracy.
Czy outsourcing w zakresie cyberbezpieczeństwa zapewni firmie spokojny sen?
J.B.: Zdecydowanie tak. Rolą naszej firmy jest zapewnienie spokojnego snu klientom. Przede wszystkim należy podkreślić, że firmy zajmujące się outsourcingiem IT, tworzeniem zespołów składających się z wyspecjalizowanych inżynierów, weryfikacją ich kompetencji, zaznajomione ze środowiskiem IT są znakomitym partnerem do zadbania o cyberbezpieczeństwo. Nasi inżynierowie posiadają wiedzę, doświadczenie, specjalistyczne certyfikaty. Potrafimy szybko i efektywnie dostarczać kompetencje niezbędne klientom na różnych etapach ich rozwoju, sytuacji, zgodnie z ich wymaganiami.
To właśnie nasi inżynierowie specjalizują się w cyberbezpieczeństwie, bezpieczeństwie informacji, zarządzaniu ryzykiem oraz ciągłości działania firm naszych klientów.
