- Wszędzie, gdzie mogę – w rozmowach z klientami, na wykładach dla studentów - tłumaczę, że przedsiębiorcy i my wszyscy mamy coraz więcej zasobów, które powinny być odpowiednio chronione. W cyfrowym świecie jest nasze know how, są dane finansowe, dane strategiczne z perspektywy bezpieczeństwa firmy. Tymczasem stan cyberbezpieczeństwa, choć od lat poprawia się, jest nadal bardzo słaby – ocenia ekspert. W rozmowie ze Zbigniewem Bartusiem w studiu DGP i Forsal.pl na Cybersec EXPO & Forum podkreśla, że regulacje unijne, odpowiednio wcielone w życie, mają pomóc w zapewnieniu należytego cyberbezpieczeństwa na wszelkich poziomach.
Biznes na celowniku cyberprzestępców. Jak zabezpieczyć firmę?
Dyrektywa NIS-2 ma na celu wzmocnienie cyberbezpieczeństwa w całej UE, obejmuje szerszy zakres podmiotów i sektorów niż jej poprzedniczka sprzed 9 lat, a jej celem jest zwiększenie ochrony infrastruktury krytycznej i zapewnienie lepszego zarządzania ryzykiem cybernetycznym. - Chronimy tu gospodarkę kraju w wymiarze strategicznym, ale jednocześnie schodząc na poziom operacyjny musimy patrzyć na bezpieczeństwo firm i skupić się na tym, by zabezpieczyć odpowiednio zarówno przedsiębiorcę, jak i klienta – wyjaśnia Marcin Marczewski.
Podkreśla, że regulacjom NIS-2 podlega bardzo dużo nowych firm, które do tej pory nie rozmawiały w ogóle o cyberbezpieczeństwa. Dotyczy to zwłaszcza MŚP, które spełniają pewne kryteria obrotów i wielkości zatrudnienia, a produkują żywność, leki, kosmetyki…
- Również małe firmy ulegają przyspieszonej cyfryzacji, więc łatwo sobie wyobrazić, jaki skutek negatywny mogłoby przynieść włamanie do producenta żywności i podmienienie składników w recepturze któregoś z wyrobów. Widać, że brak odpowiednich zabezpieczeń, stwarza zagrożenie nie tylko dla tej firmy, bo ona może paść ofiarą np. ataku ransomwere, ale też dla wszystkich jej klientów – podkreśla prezes firmy Resilia.
Wzrost cyberzagrożeń w firmie? Pomoże wirtualny CISO i cyberbezpiecznik
Radzi przedsiębiorcom, by spojrzeli na regulacje w obszarze cyberbezpieczeństwa nie przez pryzmat nowych obowiązków czy kosztów, tylko korzyści, jakie ich firma odniesie w efekcie właściwego zabezpieczenia wszystkiego tego, co cenne w cyberprzestrzeni. Tym bardziej, że budowa skutecznego systemu zabezpieczeń przed zagrożeniami z sieci nie musi być bardzo kosztowna i niekoniecznie musi oznaczać tworzenie całego działu cyberbezpieczeństwa lub też dokładanie istniejącemu działowi IT obowiązków z tego zakresu.
- Informatycy działający w firmach mają zwykle liczne inne obowiązki i rzadko posiadają odpowiednie kompetencje w obszarze cyberbezpieczeństwa. To nie są przecież tylko kable, programowanie, zabezpieczenie serwera, ale też świadomość użytkownika, bo większość ataków zaczyna od ataku na pojedynczych ludzi w firmie. Trzeba tu z jednej strony odpowiednio zarządzić szkoleniami, a z drugiej – prowadzić działania ofensywne, mocno testując cała infrastrukturę pod kątem możliwych ataków. To przydatnym rozwiązaniem jest usługa wirtualnego CISO czy też cyberbezpiecznika na zamówienie. Taki ekspert ma spojrzeć na organizację i doradzić jej zespołowi operacyjnemu IT, gdzie trzeba połatać dziury i na co trzeba zwrócić uwagę, sprawdzić procesy, pokazać, co robić, kiedy zdarzy się incydent, wykonać testy penetracyjne czy skanowanie technicznej podatności na ataki na wielu poziomach – wylicza Marcin Marczewski.
Gorąco zachęcamy do obejrzenia i wysłuchania całej rozmowy.