Największe wyzwania związane z cyberbezpieczeństwem przynoszą wciąż pogłębiające się napięcia geopolityczne, duża dynamika zmian i stopień skomplikowania łańcuchów dostaw, a także brak talentów na rynku pracy. Ataki hakerskie, prowadzone przez grupy przestępcze oraz sponsorowane przez konkretne państwa oraz ich służby, stale się profesjonalizują.

Przepisy czasem nie ułatwiają

Istotne znaczenie w zapewnieniu cyberbezpieczeństwa mają regulacje prawne. Dostosowanie się do nich bywa szczególnie trudne w przypadku globalnych firm, działających w wielu krajach, bo wprowadzane przepisy mogą się znacząco od siebie różnić. Podczas dyskusji zwracał na to uwagę Jonathan Quesney, Dyrektor Globalnego Zarządzania i Reagowania na Zagrożenia w PepsiCo, gdzie kieruje Centrami Cyber Fusion w Warszawie i Sydney oraz pełni rolę lidera lokalnego działu InfoSec w Warszawie

W naszej firmie dostosowujemy się do wprowadzanych zmian, w Polsce, w Europie i globalnie. Oczywiście są pewne podobieństwa, ale każdy kraj ma swoje przepisy, czasem specyficzne dla różnych miejsc – mówił Jonathan Quesney.

Zwracał uwagę, że na przykład RODO wymaga zgłoszenia cyberataku w ciągu 72 godzin, podczas w Indiach przepisy dają 6 godzin na powiadomienie o incydencie.

Przedstawiciel PepsiCo podkreślił, że jego firma ma globalną politykę dotyczącą wszystkich regulacji w zakresie cyberbezpieczeństwa. Zgodnie z nią PepsiCo podchodzi do wprowadzanych zmian krok po kroku, sprawdza, czy podejmowane przez nią działania są zgodne z przepisami krajowymi i jaki wpływ mają na funkcjonowanie firmy, a także czy krajowe regulacje nie są sprzeczne z zasadami stosowanymi w PepsiCo.

Problemem bywa niezbyt precyzyjny charakter niektórych przepisów dotyczących cyberbezpieczeństwa, przez co trudno je wcielić w życie i stosować.

Czasami mamy ogólne pojęcia, dotyczące tego, co powinno być zrobione, jak to powinno wyglądać, ale trudno to wdrożyć i przełożyć na konkretne działania. Co to znaczy na przykład, że mamy zgłosić incydent w ciągu 6 godzin? Czy od momentu zdarzenia, czy od wykrycia ataku? Naprawdę ciężko jest czasami pojąć, co zawarte jest w przepisach – komentował Jonathan Quesney.

I wskazywał, że potrzebna jest ścisła współpraca przedsiębiorców z tymi, którą tworzą przepisy dotyczące cyberbezpieczeństwa. Nie tylko dlatego, by je dobrze rozumieć i właściwie stosować, ale także po to, by je na bieżąco sprawdzać i zmieniać, jeśli zachodzi taka potrzeba.

Bezpieczeństwo w łańcuchu dostaw

Dla takiej firmy jak PepsiCo, niezwykle ważne jest bezpieczeństwo łańcucha dostaw oraz skrupulatne sprawdzanie dostawców.

Współpracujemy z tysiącami partnerów, są to podmioty różnej wielkości, w wielu różnych lokalizacjach – mówił Jonathan Quesney.

Jego zdaniem bardzo ważne jest znalezienie skutecznej metody zapewnienia bezpiecznego partnerstwa, zwłaszcza jeśli chodzi o dostawców krytycznych, by przeciwdziałać niepożądanym wydarzeniom.

– Staramy się wiedzieć, z kim pracujemy. Mamy pewne polityki dotyczące analizy ryzyka, mamy procedury kontrolne, musimy wprowadzać segmentację, jeśli chodzi o OT (Operational Technology – red.) i IT. Jeśli mamy jakieś dwustronne relacje, musimy się np. upewnić, że aplikacja jest bezpieczna - wyliczał przedstawiciel PepsiCo.

W jego ocenie zapewnienie cyberbezpieczeństwa to skomplikowana podróż, podczas której cały czas trzeba wracać do podstaw, upewniać się, że firma radzi sobie trudnościami i problemami. Jego zdaniem warto spróbować na kilka dni wrócić do papieru i ołówka, by sprawdzić, czy można funkcjonować, kiedy sieć komputerowa przestanie działać.

Nie chodzi o to, czy incydenty w cyberbezpieczeństwie się wydarzą, ale o to, kiedy to nastąpi. Musimy wiedzieć, upewnić się, że jednostki biznesowe są przygotowane na takie incydenty. Musimy mieć odporność, rezyliencję, wszystkie procedury muszą być wdrożone tak, abyśmy mogli mieć przynajmniej średni wpływ na podjęty wobec nas cyberatak – podsumowywał Jonathan Quesney.

Uczestnicy debaty „Cyberbezpieczeństwo w biznesie" podkreślali, że o ile duże firmy mają świadomość zagrożeń i podejmują konkretne działania w celu zapobiegania im, to jednak małe przedsiębiorstwa nie doceniają wagi problemu, ale też na wyrost oceniają swoje bezpieczeństwo. A najsłabszym ogniwem są pracownicy, którzy nieświadomie łamią podstawowe zasady w zakresie bezpiecznego dostępu do systemów informatycznych.

GS