Aleksander Kostuch, Pre-Sales Manager Engineer w Stormshield Polska, opowiada o implementacji unijnych regulacji dotyczących cyberbezpieczeństwa, wyzwaniach związanych z KSC i NIS2 oraz roli sztucznej inteligencji w ochronie przed cyberzagrożeniami. Wywiad przeprowadził Paweł Luty.
Panie Aleksandrze, często w dyskusjach o KSC i NIS2 pojawiają się pytania, czy nasze krajowe regulacje nie idą za daleko i czy nie są nadmiernie restrykcyjne. Jakie jest Pana zdanie na ten temat?
Chyba nie ma jednoznacznej odpowiedzi na to pytanie. Wprowadzane regulacje tj. nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) są odpowiedzią na rosnące zagrożenia cybernetyczne i potrzeby ochrony infrastruktury krytycznej. Te okoliczności narzucają konieczność szybkiej adaptacji i elastyczności, co może być wyzwaniem dla wielu firm, szczególnie tych mniejszych. Obowiązek prawny powinien zmotywować je do działania.
Z pewnością warto zastanowić się nad równowagą między kompleksowym podejściem określonym w KSC, która implementuje dyrektywę NIS2, a wsparciem dla przedsiębiorstw. NIS2 określa minimalne standardy, które mają być wprowadzone w państwach członkowskich UE, a polskie regulacje poszerzają te obowiązki. Mam świadomość, że spełnienie tych wymogów będzie wiązało się z dużym obciążeniem finansowym czy administracyjnym, a przeszarżowanie na tym polu może negatywnie wpłynąć na gospodarkę, konkurencyjność i koszty operacyjne.
Projekt został opublikowany do konsultacji społecznych, a jego ostateczny kształt może ulec zmianie. Ważne jest, aby organizacje miały czas na przygotowanie się do nowych wymogów. Musimy przy tym pamiętać że w obliczu wzrostu liczby i skali cyberataków, szczególnie w kontekście wojny za naszą wschodnią granicą, zwiększanie odporności na zagrożenia i ochrona kluczowych sektorów gospodarki są niezbędne.
Jakie wyzwania związane z implementacją KSC i NIS2 widzi Pan jako najważniejsze?
Niestety, patrząc na nasze realia tych wyzwań nie będzie mało. Z perspektywy każdego podmiotu kluczowe jest zapewnienie ciągłości świadczenia usług i ochrona zasobów wrażliwych. Do tego potrzeba określonych rozwiązań, których wdrożenie wymaga nakładów – czasu, pieniędzy i wiedzy. Szczególnie ten pierwszy aspekt pozostaje praktycznie poza kontrolą, bo mamy go coraz mniej.
Według założeń ustawy systemy, zarówno hardware, jak i software, powinny być najnowsze i proporcjonalne do ryzyka związanego z działalnością firmy. Trzeba również pamiętać o regularnych aktualizacjach oprogramowania i systemów, co jest kluczowe dla utrzymania odpowiedniego poziomu bezpieczeństwa przy ciągle zmieniających się zagrożeniach w cyberprzestrzeni.
Ważna jest segmentacja sieci, aby złośliwe oprogramowanie nie mogło się rozprzestrzeniać oraz wdrożenie nowoczesnych systemów IPS (Intrusion Prevention Systems) z możliwością głębokiej analizy protokołów, które monitorują ruch sieciowy w czasie rzeczywistym i reagują na potencjalne zagrożenia, nawet przed atakami typu zero-day.
W przypadku infrastruktury krytycznej, konwergencja sieci IT i OT (Operational Technology) może narażać na dodatkowe zagrożenia. Ważne jest oddzielanie środowisk IT od sieci przemysłowych oraz monitorowanie i izolowanie różnych części sieci. Segmentacja sieci przez sprzętowe i wirtualne firewalle ustawione w trybie przezroczystym (bridge) mogą minimalizować potrzeby drastycznych zmian w istniejącej infrastrukturze, jednocześnie zwiększając ich bezpieczeństwo przez zastosowanie odpowiednich reguł bezpieczeństwa i ochrony na poziomie kodów i funkcji w transmisji danych.
Jeżeli ktoś dotychczas nie przywiązywał do tych kwestii wystarczającej wagi, to nie ma co ukrywać – nie będzie miał łatwo.
Jakie konkretne kroki powinny podjąć firmy, aby dostosować się do nowych regulacji?
Pierwszym krokiem jest samoidentyfikacja – sprawdzenie, czy nasza firma lub instytucja jest podmiotem kluczowym lub ważnym, który musi implementować nowe regulacje. Następnie należy zinwentaryzować posiadany sprzęt, oprogramowanie i procesy, później zidentyfikować luki i ryzyka. Przeprowadzenie audytu wewnętrznego lub zewnętrznego pomoże określić, jakie działania są konieczne do spełnienia nowych wymogów.
Ważne jest stworzenie planów ciągłości działania i zakup technologii zabezpieczających, takich jak firewalle, systemy EDR (Endpoint Detection and Response), systemy szyfrowania danych oraz zarządzanie dostępem. Firmy powinny również wdrożyć rozwiązania monitorujące i automatycznie reagujące na zagrożenia oraz przygotować procedury reagowania na incydenty. W przypadku małych i średnich przedsiębiorstw, które mogą nie mieć odpowiednich zasobów, kluczowe może być skorzystanie z zewnętrznych konsultantów i firm specjalizujących się w cyberbezpieczeństwie.
Czy firmy mogą liczyć na wsparcie producentów oprogramowania w przygotowaniach do nowych regulacji?
Tak, producenci aktywnie wspierają swoich klientów, dostosowując produkty do nowych wymogów oraz wprowadzając zaawansowane funkcje bezpieczeństwa. Oferują wsparcie technologiczne, dokumentację, przewodniki oraz systemy bezpieczeństwa w modelu SaaS (Software as a Service), które pozwalają na elastyczne korzystanie z zaawansowanych funkcji bez dużych inwestycji kapitałowych. Przykładowo, Stormshield dostarcza rozwiązania, które są zgodne z najnowszymi standardami i regulacjami, pomagając w spełnieniu wymogów KSC i NIS2.
Zapewniamy również szkolenia dla pracowników, co jest niezwykle istotne w kontekście zwiększania świadomości dotyczącej cyberzagrożeń. Edukacja pracowników jest kluczowa, ponieważ nawet najbardziej zaawansowane technologie nie zapewnią pełnego bezpieczeństwa, jeśli użytkownicy nie będą świadomi potencjalnych zagrożeń i nie będą postępować zgodnie z najlepszymi praktykami. Szkolenia pozwalają wypracować odpowiednie nawyki.
Biorąc pod uwagę to jak gorącym tematem w szeroko pojętej debacie publicznej, a w sektorach IT i cybersecurity zwłaszcza, jest sztuczna inteligencja po prostu muszę Pana zapytać o to jaką rolę odgrywa owa sztuczna inteligencja w kontekście cyberbezpieczeństwa i wdrażania nowych regulacji?
To ciekawa kwestia, ponieważ sztuczna inteligencja może zarówno wspierać ochronę przed cyberzagrożeniami, jak i stanowić zagrożenie, jeśli jest wykorzystywana przez cyberprzestępców. Systemy oparte na AI mogą pomagać w wykrywaniu i zwalczaniu zaawansowanych ataków, takich jak zero-day. Do tego przydatna będzie analiza zachowań i automatyczne reagowanie na zagrożenia. Usługa Sandboxingu w chmurze (w Stormshield pod nazwą „Breach Fighter”) ze względu na potężne zasoby, może używać AI do analizowania podejrzanych plików i zachowania, co zwiększa skuteczność ochrony.
Jednak w skutecznej walce z cyberzagrożeniami, nic nie zastąpi regularnej aktualizacji systemów i utrzymania najnowszych technologii. Edukacja pracowników i zwiększanie świadomości dotyczącej cyberhigieny są równie ważne, ponieważ człowiek pozostaje najsłabszym ogniwem w systemie bezpieczeństwa. AI może wspierać te procesy, ale nie zastąpi ludzkiej czujności i zdrowego rozsądku.
Czy może Pan podać konkretne przykłady, jak AI może wspierać cyberbezpieczeństwo w praktyce?
Oczywiście. Na przykład systemy oparte na sztucznej inteligencji mogą analizować ruch sieciowy i wykrywać nietypowe wzorce, które mogą wskazywać na potencjalne zagrożenie. Dzięki temu możliwe jest szybkie reagowanie na ataki typu zero-day, które nie zostały jeszcze zidentyfikowane przez tradycyjne systemy bezpieczeństwa.
Innym przykładem jest wykorzystanie AI do analizy e-maili i wykrywania prób phishingu. Sztuczna inteligencja może analizować język, strukturę i inne cechy wiadomości, aby zidentyfikować potencjalne zagrożenia. Ponadto, AI może wspierać procesy zarządzania incydentami, automatycznie klasyfikując i priorytetyzując zgłoszenia, co pozwala zespołom bezpieczeństwa skupić się na najważniejszych zagrożeniach.
Jakie są największe wyzwania w kontekście wdrażania AI w systemach cyberbezpieczeństwa?
Jednym z największych wyzwań jest zapewnienie odpowiedniej jakości danych do trenowania modeli AI. Modele te muszą być trenowane na dużych i różnorodnych zbiorach danych, aby mogły skutecznie wykrywać i reagować na różnorodne zagrożenia. Ponadto, systemy AI muszą być stale aktualizowane i monitorowane, aby zapewnić, że są one skuteczne w obliczu nowych i ewoluujących zagrożeń.
Kolejnym wyzwaniem jest integracja AI z istniejącymi systemami bezpieczeństwa. Wiele firm posiada już rozbudowane infrastruktury bezpieczeństwa, a integracja nowych technologii może być skomplikowana i czasochłonna. Wymaga to również odpowiednich umiejętności i wiedzy technicznej, co może być wyzwaniem dla mniejszych firm.
Jakie są Pana przewidywania dotyczące przyszłości cyberbezpieczeństwa i roli AI w tej dziedzinie?
Nie odkryję Ameryki, jeśli powiem, że rola AI w cyberbezpieczeństwie będzie rosła. Sztuczna inteligencja będzie coraz bardziej zaawansowana i skuteczna w wykrywaniu i reagowaniu na zagrożenia. Będzie również odgrywać kluczową rolę w automatyzacji wielu procesów bezpieczeństwa, co pozwoli na szybsze i bardziej efektywne reagowanie na incydenty.
Jednakże, jak wspomniałem wcześniej, AI nie zastąpi ludzkiej czujności i zdrowego rozsądku. Wciąż będzie konieczne szkolenie pracowników i zwiększanie świadomości dotyczącej cyberzagrożeń. Kluczowe będzie również zapewnienie, że systemy AI są odpowiednio zarządzane i monitorowane, aby zapewnić ich skuteczność.
Bardzo dziękuję za rozmowę, Panie Aleksandrze. Mam nadzieję, że te informacje pomogą firmom lepiej przygotować się do nadchodzących zmian.
Dziękuję bardzo. Cieszę się, że mogłem podzielić się swoimi doświadczeniami i mam nadzieję, że nasze działania przyczynią się do zwiększenia poziomu cyberbezpieczeństwa w Polsce.
