Polska na 2. miejscu w UE pod względem cyberataków – infrastruktura krytyczna coraz częstszym celem

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Zwiększona liczba ataków na sektor przemysłowy i infrastrukturę krytyczną pokazuje, że dziś zadbanie o bezpieczeństwo firm stanowi istotny element bezpieczeństwa całego kraju. Tymczasem, według Eurostatu, znajdujemy się na drugim miejscu w Unii Europejskiej pod względem liczby cyberataków na przedsiębiorstwa. W 2024 r. doświadczyło ich aż 32% podmiotów. Jednocześnie, w naszym kraju wciąż nie została zaimplementowana dyrektywa NIS2. Najnowszy raport EY „Trendy i wyzwania w cyberbezpieczeństwie” wskazuje, co firmy powinny zrobić, aby lepiej chronić swoje najważniejsze zasoby.

Współcześnie większość sektorów gospodarki opiera się na cyfrowych rozwiązaniach, jednak poziom zabezpieczeń nie jest równomierny. Podczas, gdy firmy coraz lepiej chronią swoją strefę IT przed zagrożeniami takimi jak phishing, równocześnie nie poświęcają wystarczającej uwagi drugiemu z obszarów – OT. Odpowiada on za prawidłowe działanie nie tylko systemów przemysłowych, ale również kluczowych elementów infrastruktury, takich jak wodociągi, elektrownie czy instalacje chemiczne. W efekcie zaniechania w tym obszarze mogą prowadzić do daleko idących konsekwencji.

Tymczasem rosnące zagrożenie ze strony hakerów potwierdzają dane. W 2024 roku CSRIT-y poziomu krajowego rejestrowały łącznie 111 660 potwierdzonych incydentów bezpieczeństwa, co stanowi wzrost o 23%. Wiele z tych ataków nakierowanych jest właśnie w infrastrukturę krytyczną. Ministerstwo Cyfryzacji wskazało m.in. że w ciągu zaledwie kilku dni przeprowadzono 18 ataków na przedsiębiorstwa wodociągowe w całej Polsce. Co więcej według danych Eurostatu Polska znajduje się na 2. miejscu w UE pod względem liczby incydentów cyberbezpieczeństwa w firmach – doświadczyło ich aż 32% organizacji.

– Dziś poprzez włamanie się do urządzeń często kosztujących mniej niż dolara – jak np. termometr – których nikt odpowiednio nie zabezpieczył, możliwe jest sparaliżowanie albo nawet wyłączenie całego zakładu. Dlatego właśnie mówimy, że OT to „miękkie podbrzusze” przedsiębiorstwa, a te przedsiębiorstwa to „miękkie podbrzusze” całej gospodarki. Linia frontu staje się coraz bardziej cyfrowa, co potwierdzają kolejne przypadki ataków, również na tak newralgiczne obszary jak placówki medyczne. Niedawno skoordynowanego ataku na swoją sieć energetyczną doświadczyła Dania, która nie jest krajem przyfrontowym. Można więc sobie tylko wyobrazić, jak bardzo zagrożona jest nasza infrastruktura krytyczna i jak ważne jest, aby ją odpowiednio zabezpieczyć – mówi Piotr Ciepiela, Partner EY, Globalny Lider Bezpieczeństwa Architektury i Nowoczesnych Technologii.

Problematykę cyberbezpieczeństwa podejmuje najnowszy raport EY „Trendy i wyzwania w cyberbezpieczeństwie”. Co przedsiębiorstwa powinny zrobić, aby lepiej chronić się przed narastającą falą cyberataków?

Koniec z zamiataniem incydentów pod dywan

W Polsce wciąż jesteśmy przed wdrożeniem nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, włączającą w lokalne prawodawstwo unijną dyrektywę NIS2. Przepisy te są reakcją na zwiększoną liczbę ataków i konieczność ochrony kluczowych gałęzi gospodarki. Widać to szczególnie w najnowszej wersji ustawy, zwiększającej – tylko nad Wisłą – liczbę podmiotów objętych nowym prawem z 400 do nawet 38 000. Nasz kraj nie jest jedynym, który w tej kwestii zwleka – do maja tego roku z 27 państw członkowskich UE, tylko 12 wdrożyło odpowiednie regulacje.

Ze względu na znaczne rozszerzenie liczby sektorów gospodarki uznawanych za krytyczne, wiele przedsiębiorstw może sobie nawet nie zdawać sobie sprawy, że obejmują je nowe regulacje. Tymczasem NIS2 nakłada na przedsiębiorstwa szereg obowiązków, obejmujących zgłaszanie incydentów w odpowiednim czasie, przeprowadzanie oceny ryzyka cybernetycznego i wdrożenie zabezpieczeń czy szkolenie pracowników. Za brak wymaganych zmian, oprócz zwiększonej podatności na ataki, przedsiębiorstwa będą musiały mierzyć się z karami finansowymi.

– Regulacja NIS2 jest kluczowym elementem zwiększenia odporności cyfrowej gospodarki UE. Jednym z głównych celów tej dyrektywy jest zmiana mentalności „zamiatania pod dywan” incydentów bezpieczeństwa, przez którą wciąż pełna skala zagrożenia nie jest naprawdę znana. Tym bardziej, że nowe regulacje obejmują nie tylko duże, ale też średnie firmy, które są zazwyczaj gorzej zabezpieczone. A pamiętajmy, że skoordynowany atak na wiele mniejszych podmiotów może być tak samo, a nawet znacznie bardziej dotkliwy w skutkach dla gospodarki, niż na jeden duży – mówi Patryk Gęborys, Partner EY w zespole Bezpieczeństwa Informacji i Technologii.

Przedsiębiorstwa często nie mają nawet wiedzy, co wchodzi w skład ich strefy OT

Jedną z kluczowych rekomendacji zawartych w raporcie EY „Trendy i wyzwania w cyberbezpieczeństwie 2025” jest balansu między poziomem cyberbezpieczeństwa a elastycznością w prowadzeniu biznesu. Niezbędnymi działaniami w tym wypadku jest identyfikacja najważniejszych zasobów, które trzeba skutecznie chronić, ponieważ są niezbędne do funkcjonowania firmy. W dalszym ciągu konieczne jest przeprowadzenie przeglądu otwartych podatności – umożliwi to zidentyfikowanie wad technicznych, luk w konfiguracjach oraz braków narzędziowych, procesowych i organizacyjnych. W tym celu możliwe jest wykorzystanie m.in. ogólnodostępnych, międzynarodowych standardów NIST oraz narzędzi CERT, pozwalających m.in. skanować domeny na obecność podatności.

– Jednym z kluczowych wyzwań w przypadku środowiska OT w Polsce jest brak kompletnej listy wykorzystywanych urządzeń i systemów. Często spotykamy się z sytuacją gdzie nie ma jej wcale, jest niekompletna lub nieaktualna. Jak przedsiębiorstwo ma się zabezpieczyć, jeżeli nie wie nawet, jaki sprzęt z jakim oprogramowaniem posiada i kto ma do niego dostęp? Tutaj ujawnia się też drugi problem. Brak ustrukturyzowanej i dojrzałej architektury bezpieczeństwa np. uwzględniającej elementy filozofii „Zero Trust” tam, gdzie to zasadne. Finalnie, trzeba pamiętać, że informatyk to nie specjalista ds. bezpieczeństwa, a w wielu firmach wciąż brakuje dedykowanego zespołu, chroniącego kluczową dla firmy obszary procesów przemysłowych – mówi Leszek Mróz, Partner EY w centrum kompetencji EY dla usług bezpieczeństwa OT/IoT.

Oprócz wdrożenia zasad cyberbezpieczeństwa przez same przedsiębiorstwa, ważną kwestią jest współpraca firm z producentami oraz integratorami w celu wymiany doświadczeń i wypracowaniu dobrych praktyk. Producentom sprzętu pozwala to tworzyć jeszcze lepsze produkty zgodnie z podejściem „security by design”, a integratorzy mają większe możliwości zapewnienia bezpiecznej konfiguracji i odpowiednich szkoleń dla personelu.

Włączyć pracowników w zarządzanie zmianą

Jednym z kluczowych działań jest włączenie pracowników w programy szkoleniowe dotyczące cyberbezpieczeństwa, szczególnie w kontekście postępowania w sytuacjach kryzysowych oraz umiejętność zarządzania zmianą. Dzięki temu z jednej strony minimalizuje się ryzyko błędów ludzkich mogących prowadzić do cyberataku, a z drugiej – nawet w razie jego wystąpienia firma ma szanse dalej funkcjonować dzięki odpowiednio przygotowanej kadrze. Dobrą praktyką jest włączenie do przygotowania procesów i szkoleń osób, które nie są bezpośrednio związane z cyberbezpieczeństwem, ale posiadają ekspertyzę w obszarze prawa, zarządzania zasobami ludzkimi czy w dziedzinach pokrewnych, aby wprowadzane rozwiązania były skoncentrowane na człowieku i jego potrzebach, przez to mocniej angażowały odbiorców.

– W Polsce rozwiązania cyberbezpieczeństwa najczęściej wdrażane są przez zespoły IT, natomiast powinny mieć naturę interdyscyplinarną. W tworzenie procesów zabezpieczenia sfery OT włącza się pracowników z bardzo różnych obszarów, aby podejmowane działania miały możliwie kompleksowy charakter. W Polsce ten brak szerszego spojrzenia, w połączeniu z niewystarczającym budżetem na rozwiązania, brakiem planów na wypadek awarii czy dopiero rosnącą świadomością na temat cyberzagrożeń powoduje, że skutki ataków na nasz biznes i infrastrukturę mogą być niezwykle poważne. Warto tu przypomnieć, że średni światowy koszt ataku liczony jest w milionach dolarów. Ta liczba jest jedna złudna, gdyż jeden skuteczny atak zwykle wskazuje, że należy się spodziewać kolejnych prób – podsumowuje Bartosz Nieróbca, Senior Manager, Lider Laboratorium Cyberbezpieczeństwa i Inżynierii Bezpieczeństwa OT, EY Polska

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Sezon turystyczny pobudził rejestr REGON. Rekordowy wzrost w gastronomii

Na koniec czerwca 2026 r. w rejestrze REGON figurowało...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

Polskie firmy skutecznie zatrzymują pracowników, ale słabiej rozwijają talenty

Niemal 90 proc. pracowników zatrudnionych w polskich firmach zostaje...

Mieszkań przybywa szybciej niż kupujących

Deweloperzy wrzucili na rynek rekordową w tym roku liczbę...

Podlaskie w demograficznym odwrocie. Ubywa mieszkańców i osób w wieku produkcyjnym

Województwo podlaskie liczyło na koniec 2025 r. 1126,7 tys....

Pomorskie przyciąga mieszkańców, ale zyskują głównie przedmieścia Trójmiasta

W 2025 r. województwo pomorskie zanotowało dodatnie saldo migracji...
Coś dla Ciebie

Wybrane kategorie