Forum Cybersecurity: Obrona przed cyberprzestępczością w organizacjach.

Data publikacji: 5 grudnia 2023

Podsumowanie debaty

6 października 2023 r. odbyła się pierwsza debata w ramach Forum Cybersecurity. Zaproszeni eksperci poruszyli temat m.in. tego, jakie obecnie przestępcy wykorzystują metody cyberataków na polskie organizacje. Przyjrzeli się również roli człowieka w systemie cyberbezpieczeństwa oraz regulacjom prawnym, które pomagają jeszcze lepiej zadbać o bezpieczeństwo.

Debata „Obrona przed cyberprzestępczością w organizacjach w Polsce” była pierwszym tego typu wydarzeniem w ramach Forum Cybersecurity. Podczas spotkania zaproszeni eksperci podzielili się praktyczną wiedzą i wskazali najważniejsze zagrożenia w cyberprzestrzeni. Priorytetem było nie tylko omówienie bieżącej sytuacji, ale także przedstawienie strategii obrony przed cyberatakami z uwzględnieniem polskich realiów.

Debata odbyła się 6 października 2023 r., była dostępna bezpłatnie on-line. Dyskusję prowadził moderator na żywo. Poniżej prezentujemy skrót i wnioski ze spotkania. Informacje o przyszłych wydarzeniach znajdziesz tu: Debata Forum Cybersecurity

AGENDA DEBATY

  • Część I – Trendy cyberbezpieczeństwa
  • Część II – Kontekst organizacji
  • Część III – Standardy i normy prawne
  • Część IV – Kultura organizacji a cybersecurity
  • Część V – Zarządzanie ryzykiem w ramach cyber
  • Część VI – Co nas czeka? Przyszłość cybersecurity

POZNAJ NASZYCH EKSPERTÓW

Adam Marczyński
Adam Marczyński
Zastępca Dyrektora NASK - Dyrektor ds. Cyberbezpieczeństwa i Innowacji

Adam Marczyński od wielu lat jest związany z branżą IT. Od 2001 roku zajmuje się bezpieczeństwem informacji oraz cyberbezpieczeństwem, ze szczególnym uwzględnieniem bezpieczeństwa przetwarzania informacji w chmurach obliczeniowych. Pełnił szereg funkcji kierowniczych, m.in. jako członek zarządu (CTO) w Chmurze dla Zdrowia, dyrektor bezpieczeństwa (CISO) w Chmurze Krajowej, w Biurze Informacji Kredytowej, Biurze Informacji Gospodarczej Infomonitor, CSS S.A. Posiada również doświadczenie w pracy w międzynarodowych korporacjach takich jak HP, gdzie przez 8 lat zajmował stanowiska związane z bezpieczeństwem (m.in. Country Security Officer, CEE Security Officer, Security Architect). Dzięki łączeniu wieloletniego doświadczenia z branży IT z kompetencjami miękkimi (licencjat z socjologii, magisterium z politologii) Adam Marczyński zbudował swoją reputację sprawnego i empatycznego menedżera, specjalizującego się w zarządzaniu zespołami eksperckimi.

Oprócz pracy zawodowej w biznesie, Adam Marczyński przez wiele lat współpracował z SGH w Warszawie jako wykładowca studiów podyplomowych na kierunkach związanych z bezpieczeństwem informacji. W czasie swojej kariery zdobył również szereg certyfikatów zawodowych, zarówno producentów rozwiązań (IBM, Microsoft, HP), ale również niezależnych organizacji (CISA, CISM, CISSP, CRISC, C|EH, Security+, Server+). Udziela się również społecznie w organizacjach związanych z bezpieczeństwem informacji, uczestniczy aktywnie w konferencjach i innych wydarzeniach związanych z bezpieczeństwem.

Krzysztof Dąbrowski
Krzysztof Dąbrowski
Dyrektor Zarządzający Pionem Bezpieczeństwa, KNF

Menedżer z kilkunastoletnim doświadczeniem w obszarach bezpieczeństwa, ciągłości działania, zarządzania kryzysowego i ochrony infrastruktury krytycznej. Od lat związany z sektorem publicznym. Obecnie w roli dyrektora zarządzającego pionem bezpieczeństwa odpowiada za bezpieczeństwo wewnętrzne UKNF oraz działania nadzorcze wobec rynku w zakresie cyberbezpieczeństwa. Od stycznia 2023 koordynuje przygotowania UKNF do wykonywania zadań wynikających z DORA.

W latach 2019 – 2022 pełnił funkcję dyrektora zarządzającego pionem zarządzania i organizacji odpowiadając m.in. za wewnętrzną transformację Urzędu Komisji Nadzoru Finansowego, w tym wdrażanie systemów zarządzania, budowanie zdolności i struktur organizacji w sferze bezpieczeństwa  czy elektronizację obiegu dokumentów. Był odpowiedzialny również za operacyjne funkcjonowanie UKNF w czasie pandemii.

Wcześniej przez 2 lata pracował jako zastępca dyrektora departamentu bezpieczeństwa i ochrony informacji w Ministerstwie Finansów. Od 2010 do 2017 r. pełnił funkcję dyrektora wydziału bezpieczeństwa i zarzadzania kryzysowego w Mazowieckim Urzędzie Wojewódzkim zdobywając szerokie doświadczenie w zakresie bezpieczeństwa. Jako pełnomocnik wojewody odpowiadał za bezpieczeństwo wielu imprez międzynarodowych np. prezydencji Polski w UE (2011), mistrzostw Euro 2012 oraz szczytu NATO (2016).

Absolwent Międzywydziałowych Indywidualnych Studiów Matematyczno-Przyrodniczych (MISMaP) na Uniwersytecie Warszawskim oraz programu MBA Gdańskiej Fundacji Kształcenia Menedżerów. Ukończył również studia podyplomowe z zakresu zarządzania cyberbezpieczeństwem na Akademii Leona Koźmińskiego.

Krzysztof Szczepański
Krzysztof Szczepański
Dyrektor Departamentu Bezpieczeństwa i Ryzyka, Krajowa Izba Rozliczeniowa SA

Z bezpieczeństwem związany prawie 20 lat, wczesnej pracował w działach IT zajmując się rozwojem narzędzi i wsparciem biznesu. Połączenie doświadczeń w perspektywie IT oraz odpowiedzialności za bezpieczeństwo pozwala na ukierunkowanie działań na osiągnięcie konkretnych oczekiwanych efektów dla przedsiębiorstwa. Wyznaje zasadę, że bezpieczeństwo to nie kompromis – albo jest albo go nie ma – ważne jest by było adekwatne do zagrożeń. W ramach swoich działań zawodowych integruje obszar: zarządzania ryzykiem, bezpieczeństwa oraz ciągłości działania. Krzysztof jest zwolennikiem wykorzystania synergii w działaniach IT i bezpieczeństwa. Swoje doświadczenie wykorzystywał w spółkach sektora publicznego i finansowego. Uważa, że w ramach zapewnienia bezpieczeństwa nie ma konkurencji między podmiotami, a wymiana wiedzy i doświadczeń jest kluczowa dla skuteczności przeciwdziałania zagrożeniom.

Jacek Knopik
Ekspert i praktyk zarządzania ryzykiem. Lubi wyzwania i umiejętnie łączy świat IT z wymaganiami prawnymi i normatywnymi. Posiada bogate doświadczenie. Realizował i kierował wieloma projektami w dziedzinach zarządzania ryzykiem, ciągłością działania, bezpieczeństwem informacji oraz cyberbezpieczeństwem. Wdraża i wspiera rozwój narzędzia do zarządzania ryzykiem e-risk. Dodatkowo dzieli się wiedzą i doświadczeniem jako wykładowca akademicki. Absolwent Uniwersytetu im. Adama Mickiewicza w Poznaniu. Prywatnie pasjonat i trener wioślarstwa.

Wstęp

Debatę poświęciliśmy trendom w cyberbezpieczeństwie, regulacjom prawnym, rolom pracowników, a także temu, jak zarządzanie ryzykiem łączy się z cyberbezpieczeństwem. Nasi goście podzielili się wiedzą i wskazówkami, jak zadbać o cyfrowe bezpieczeństwo w organizacji, a także przedstawili opinie co do tego, jaka przyszłość nas czeka w związku z rozwojem m.in. AI.

Jakie jest największe zagrożenie dla polskich organizacji?

W pierwszej kolejności zapytaliśmy naszych gości, jakie wymieniliby największe zagrożenia związane z cyberbezpieczeństwem. Adam Marczyński wskazał ransomware, podkreślając, że to największe zagrożenie, jeśli chodzi o skutki. Jeśli zaś mowa o tym, z jakimi zagrożeniami polskie organizacje mierzą się najczęściej, to są to ataki DDOS.

Przestępcy się profesjonalizują i coraz sprawniej przeprowadzają atak: szyfrują systemy, backupy itd., co jest groźne dla organizacji, ponieważ nie ma ona możliwości odtworzenia historii swoich danych. W dzisiejszych czasach coraz trudniej odzyskać te dane. Kiedyś było to możliwe, ponieważ poziom profesjonalizmu był niższy i łatwo było odzyskać klucze szyfrujące, wykorzystując do tego błędy szyfrowania. Dziś jedyna metoda pozyskania klucza to tak naprawdę pozyskanie go od przestępców – zaznaczył.

Czy należy płacić przestępcom za odblokowanie systemów? Zdaniem pana Adama nie. Brak opłat spowoduje załamanie modelu biznesowego przestępców, dzięki czemu tych ataków może być mniej. Tu w dyskusję włączył się Jacek Knopik i powiedział, że badania mówią, że nawet 45% ataków kończy się opłaceniem okupu. Jego stanowisko jest takie, że jeśli organizacje zaczną się przygotowywać do tego typu ataków, to skuteczność związana z płaceniem się zmniejszy. Zgodził się z nim pan Adam, który podsumował:

Przygotowanie organizacji do tego, żeby się chronić, i to poczynając od takiej zupełnie podstawowej cyberhigieny jak patchowanie systemu, hardening systemu, szkolenia dla wszystkich pracowników – to wszystko może pomóc. Pamiętajmy, że człowiek jest tu najsłabszym ogniwem, ale świadomy człowiek może być nawet najmocniejszym elementem systemu.

Następnie ekspert Marczyński poruszył wątek zagrożeń z perspektywy obywatela, które też mają wpływ na organizacje. Mianowicie chodzi o oszustwa i wyłudzenia, w których wykorzystuje się znane marki. Przykładem są tu reklamy nakłaniające do inwestycji, w których występują znani politycy lub przedstawiciele dużych marek.

Zdanie to podzielił Krzysztof Dąbrowski. Wskazał, że ransomware jest faktycznie najbardziej uciążliwym zjawiskiem. Jednocześnie zaznaczył, że podmioty rynku finansowego są mocno przygotowane i wykorzystują technologie od dawna do obrony, a nawet są w tym obszarze pionierami. Wynika to między innymi z regulacji prawnych oraz rekomendacji D, która nałożyła konkretne obowiązki dotyczące zarządzania bezpieczeństwem. Dzięki temu takie ataki jak DDOS czy ransomware nie stwarzają wielkich zagrożeń, bo organizacje są na nie odporne. Inaczej ma się sprawa z atakami na klientów.

Mamy duży problem z atakami typu phishing na klientów, w których przestępcy dążą do kradzieży danych lub przelania pieniędzy. Plagą są reklamy pseudoinwestycyjne, które wykorzystują platformy typu Facebook i Google. Dzięki współpracy z tymi platformami i naszym narzędziom wyłapującym udało się obniżyć wolumen takich reklam nawet o 70% w stosunku do zeszłego roku. Dodatkowo co miesiąc zgłaszamy kilka tysięcy stron internetowych, które są nastawione na oszustwa. To klient jest najbardziej zagrożonym elementem systemu, a nie organizacje jako takie, jeśli chodzi o sektor finansowy – podsumował.

Krzysztof Szczepański zwrócił uwagę na inny trend, a mianowicie targetowanie ataków. Wcześniej były to ataki ogólne, teraz uderzają w znane organizacje lub marki. Pojawiły się konkretne cele związane nie tylko z przejęciem płatności, ale też wizerunku i tożsamości. Jego zdaniem trend ten będzie rósł i jest poważnym zagrożeniem. Ponadto zagrożeniem jest swego rodzaju crime as a service, czyli to, że ktoś dostarcza produkty przestępcom. Wpływa to z jednej strony na profesjonalizację, a z drugiej ułatwia identyfikację ataków, ponieważ przestępcy wykorzystują znane i generyczne narzędzia.

Innym zagrożeniem, jakie wskazał Szczepański, jest brak wyspecjalizowanych osób w obszarze bezpieczeństwa. Obecnie poszukiwani są specjaliści, którzy mają i głęboką wiedzę i doświadczenie, ale też wiedzą, jak administrować narzędziami i je wykorzystywać do identyfikacji i ochrony przed incydentami. Te kompetencje są coraz bardziej poszukiwane, a zarazem coraz mniej dostępne.

Krzysztof Dąbrowski na koniec dodał, że obecnie trwa wojna hybrydowa, również w cybersferze. Drugie zjawisko to dezinformacja, która może wpłynąć na nastroje społeczne i gospodarkę. Dodatkowo należy pamiętać o AI, ponieważ już widać ruchy dążące do jej wykorzystania, zwłaszcza w sektorze finansowym.

Dyrektywa NIS 2 a cyberbezpieczeństwo

Następne pytanie dotyczyło dyrektywy NIS 2, a mianowicie tego, czy jej wprowadzenie będzie miało wpływ na podniesienie poziomu cyberbezpieczeństwa. Tutaj Adam Marczyński nie ma wątpliwości: tak. Wynika to z tego, że już pierwsze NIS doprowadziło do stworzona systemu, w którym zostały nadane role i wskazani najwięksi gracze, jak NASK BIP, MON i ABW. W NIS 2 jest więcej konkretyzacji i uszczegółowień, dzięki czemu poszerzy zasięg działania ustawy o krajowym systemie cyberbezpieczeństwa, która powstała na bazie NIS.

Jacek Knopik zauważył, że pierwsze NIS nie miało takiego wpływu, jakiego oczekiwano, zwłaszcza w odniesieniu do kar. Obecnie poziom kar jest wzorowany i zbliżony do RODO i będzie tym elementem, który będzie wywierał duży wpływ na organizacje.

 

Wiele incydentów, które podejmuje NIS 2, pokazuje, jak duży jest ich wpływ na bezpieczeństwo państwa. Jest to dobra droga, bo NIS 2 stawia na pierwszym miejscu analizę ryzyka i to wszystko będzie się koncentrowało na analizie i szacowaniu ryzyka – wyjaśnił Knopik.

Następnie goście poruszyli wątek dyrektywy DORA i zastanowili się, czy z perspektywy organizacji ona również będzie miała istotny wpływ na obronę przed cyberatakami. Zdaniem Krzysztofa Dąbrowskiego – jak najbardziej. Co warto jednak zaznaczyć, ważna jest praca nad tym, aby nie było rozbieżności między NIS 2 a DORĄ, pamiętając, że DORA jest rozwinięciem NIS dla sektora finansowego.

Jest to rewolucja, jeśli chodzi o nadzór nad dostawcami i łańcuchem dostaw usług ICT. Zapisy DORY nie wzięły się znikąd, ale z tego, że uzależnienie od łańcuchów dostaw może być zakłóceniem dla rynku finansowego. DORA podnosi te wątki i precyzuje akty wykonawcze, chociażby wzory umów, które można zawrzeć z dostawcami – powiedział pan Krzysztof.

Do tych słów odniósł się Krzysztof Szczepański i zaznaczył, że to, co jest dobre w DORZE, to ustawienie poziomu, który musi być spełniony jako minimum, dzięki czemu buduje się zaufanie i referencyjność dla całego sektora. Ważna jest również wymiana informacji. W obszarze security na pierwszym miejscu powinna być współpraca, ponieważ to wymiana wiedzy i doświadczeń uczy odpowiedniego reagowania.

Jak można wykorzystać zarządzanie ryzykiem w cyberbezpieczeństwie?

Nowoczesne cyberbezpieczeństwo powinno opierać się na zarządzaniu ryzykiem – co do tego nasi goście nie mieli wątpliwości. Pytanie tylko, jak można i powinno się wykorzystywać działania z zarządzania ryzykiem, aby przyniosły właściwe skutki? Jako pierwszy zabrał głos Adam Marczyński. Jego zdaniem powinno się zapomnieć o analizie ryzyka przeprowadzanej tylko raz do roku. Kluczowe jest, aby taka analiza była wykonywana w sposób ciągły. Dlaczego?

Otoczenie zmienia się dynamicznie, zarówno w kontekście konkurencji, jak i cyberprzestrzeni. Właściwie przeprowadzona analiza ryzyka pozwala podejmować świadome decyzje biznesowe, również na poziomie zarządu. Ważne jest, aby zaangażować decydentów w organizacji, którzy powinni zrozumieć, że usystematyzowanie ERM pozwoli lepiej dysponować środkami i podejmować decyzje – wyjaśnił.

Według pana Krzysztofa Szczepańskiego analiza ryzyka odpowiada na pytanie, co i jak zabezpieczyć w kontekście sprofilowanego ryzyka, a to daje zysk dla organizacji. Z jednej strony analiza ryzyka mocno waży zagrożenia i sposób ich zabezpieczenia, z drugiej widzi wszystkie zasoby organizacji.

Oprócz mierzenia apetytu na ryzyko ważna jest identyfikacja zasobów. Gdy jest zrobiona prawidłowo, możemy zbudować odpowiednie procesy ochrony. Brak wiedzy o zasobach powoduje to, że powstają luki, co może prowadzić do kompromitacji całej firmy lub usługi. Analiza ryzyka powinna być elastyczna i dynamiczna. Nie powinien być to proces uruchomiony raz czy dwa razy w roku, ale wymaga to świadomości całej organizacji, nie tylko działu bezpieczeństwa czy ryzyka – zaznaczył.

Co do ostatniego zdania, zgodził się z nim Jacek Knopik, podkreślając, że zarządzanie ryzykiem powinno być dynamiczne. Podał przykład ze swojego podwórka – jedna firma technologiczna przeprowadziła analizę na początku 2022 roku i mocno badała konflikt na Ukrainie. Dzięki temu była przygotowana na ryzyko i m.in. na relokacje pracowników.

W analizie ryzyka mierzy się wpływ danego ryzyka na organizacje, a nie szanse jego wystąpienia. Jest to swego rodzaju ćwiczenie pokazujące różne scenariusze działania czy plany na wypadek materializacji ryzyk. Działania nie kończą się na planie postępowania ryzykiem, ale ciągle są podejmowane i aktualizowane – tylko w ten sposób zarządzanie ryzykiem będzie realnie wspierać organizację. Niektóre firmy jeszcze przed pandemią miały plany postępowania na wypadek podobnej sytuacji, dzięki czemu lepiej odnalazły się w nowych realiach – wyjaśnił Knopik.

Najważniejszy jest człowiek, czyli jaka jest rola osób w organizacji?

W rozmowach o cyberbezpieczeństwie niejednokrotnie pada, że najważniejszym elementem systemu jest człowiek. Od jego wiedzy i właściwych reakcji często zależy dobro całej organizacji. Dlatego też w następnym bloku poruszyliśmy temat budowania świadomości w organizacji i jaka w tym wszystkim jest rola pracowników.

Krzysztof Dąbrowski zwrócił uwagę na bardzo ważną rzecz, a mianowicie edukację pracowników z zakresu bezpieczeństwa prywatnego. Ucząc ich, aby nie ulegać chwilom albo też jak zachowywać się w danych sytuacjach i jak je oceniać, mogą stać się bardziej wyczuleni, a tym samym bardziej odporni na phishing.

Pierwszym elementem jest budowanie świadomości u pracowników, zarówno osób w dziale bezpieczeństwa, jak i osób funkcyjnych.(…) Regularnie trzeba podejmować szkolenia z aktualizacjami o nowe ryzyka i szanse. Trzeba również informować, np. prowadzić akcje mailowe w sposób ustawiczny.(…) Z uwagi na rozwój zagrożeń i rozwój technologii świadomość pracowników powinna być w centrum budowania odporności organizacji – powiedział.

Adam Marczyński wskazał, że w organizacjach trudno utrzymać poziom napięcia i uważności. Wynika to ze złożoności procesów i tego, jak osoby zarządzające ryzykiem podchodzą do tego obszaru – często nawet nie rozmawiają z pracownikami. Tymczasem ataki phishingowe bazują na emocjach, dlatego należy uwrażliwić pracowników na to, co odbiega od normy lub co jest podejrzane; nauczyć ich nie podejmować działań w wyniku emocji. Ponadto, żeby przekonać i uwrażliwić ludzi na różne sytuacje, należy ich słuchać – tylko wtedy podniesie się świadomość, ale też zwiększy ich zaangażowanie.

Zaangażowany pracownik, który myśli krytycznie, może być pierwszą linią obrony przed zagrożeniami – podkreślił.

Dynamiczny rozwój AI – szanse i zagrożenia

Nasi goście okazali się wielkimi entuzjastami sztucznej inteligencji. Tak na przykład Krzysztof Szczepański zaznaczył, że postrzega ją w kategorii szans. Niestety jego zdaniem obecnie trwa trend ograniczania możliwości AI poprzez stosowanie różnych regulacji, co sprawia, że w Europie nie jest ona tak rozwinięta jak np. na Dalekim Wschodzie. Mimo tego to wciąż cenne narzędzie, które można wykorzystać w wybranych dziedzinach związanymi z zarządzaniem organizacją. Przy czym nie można zapomnieć o zagrożeniach ze strony AI. Główne zagrożenie dotyczy dostępu do danych.

Ciężko ograniczyć zbiór danych wykorzystywanych przez sztuczną inteligencję. Jeśli będzie miała dostęp do wrażliwych informacji, to je wykorzysta, a to będzie powodowało naruszenie prywatności. To jest największe wyzwanie, o czym świadczą pierwsze pozwy o naruszenia przez AI – zaznaczył.

Adam Marczyński zwrócił uwagę, że poważnymi zagrożeniami jest to, że takie modele językowe jak ChatGPT i BARD kłamią – zmyślają, tworzą nieistniejące fakty, wymyślają wyniki działań matematycznych. Istnieją również ryzyka związane z ujawnieniem tajemnic przedsiębiorstwa. Co więcej, można modelować dane na wejściu i wpływać na uzyskanie takich wyników, które można uznać za obiektywną prawdę. Dodatkowo przestępcy mogą wykorzystywać AI do phishingów, przez co wiadomości będą pisane bardziej poprawną polszczyzną i będą trudniejsze do wyłapania jako oszustwo (obecnie jedną z cech phishingów są błędy gramatyczne).

Krzysztof Dąbrowski wskazał, że zagrożeniem związanym z AI jest poufność danych. W UKNF już widzą, jak w niektórych organizacjach są wprowadzane zakazy i blokady na narzędzia AI, do czasu aż organizacja nie stworzy własnych mechanizmów ochrony. Tak na przykład zdarzało się, że pracownicy wrzucali do ChataGPT zapytania od klientów, aby móc wygenerować odpowiedź. Podobnie robili z materiałami do prezentacji – zamieszczali w narzędziu notatki i informacje, które można zaklasyfikować jako tajemnice przedsiębiorstwa. UKNF widzi także zagrożenia w uwierzytelnianiu się klientów w dostępności do bankowości, na przykład przy pomocy próbki głosów (to można wygenerować łatwo w AI), czy też tworzenia sztucznych tożsamości w metaversum.

Zagrożeń widzimy sporo, w związku z czym UKNF powołał grupę wraz z innymi instytucjami, która opracowuje dobre praktyki w zakresie cyberbezpieczeństwa z uwzględnieniem AI. Szukamy dobrych praktyk, rozmawiamy z rynkiem, wymieniamy się wiedzą, by wspólnie podnieść odporność sektora i być przygotowanym na negatywne wyzwania stawiane przez AI – dodał Dąbrowski.

Na koniec Jacek Knopik wskazał inny przykład i zagrożenie. Otóż była sytuacja, kiedy na osobę fizyczną został zaciągnięty kredyt w wyniku oszustwa. Sąd uznał, że ta osoba nie zaciągnęła zobowiązania, czego bank jego zdaniem miał świadomość. Mało tego, sąd wskazał, że odpowiedzialność byłą tutaj po stronie banku, ponieważ jego zabezpieczenia nie zadziałały prawidłowo i nie uchroniły przed fałszywą weryfikacją tożsamości.

Jak widać, kontekst wyzwań może być położony na to, że odpowiedzialność za błędy (i działania AI) może być przenoszona na organizacje. To jest zagrożenie, ale też zaleta, ponieważ będziemy się doskonalili w tych obszarach i zwiększymy ochronę całego sektora – podsumował temat AI pan Jacek.

Najważniejsze wnioski z debaty:

  • Największe cyberzagrożenia dla polskich organizacji to: ransomware, ataki DDOS oraz oszustwa na klientach z wykorzystaniem firmy/marki (atak na wizerunek).
  • Odpowiedzialność za cyberataki zawsze spoczywa na organizacji – powinna się do nich przygotować przynajmniej w podstawowym zakresie, aby uniknąć kosztów i utraty zaufania.
  • W ramach cyberochrony powinno się przeprowadzać regularnie analizę ryzyka, która powinna być procesem ciągłym, elastycznym i stale doskonalonym.
  • Najważniejszym elementem w ochronie cyber jest człowiek – powinno go się stale edukować i uświadamiać o zagrożeniach, również w obszarze ochrony prywatności.
  • Sztuczna inteligencja może prowadzić do naruszenia danych i prywatności; jest też wykorzystywana przez cyberprzestępców, dlatego system bezpieczeństwa powinien uwzględniać mechanizmy obrony przed nią.
Obejrzyj nagranie debaty

Przeczytaj również

PBSG na konferencji CYBERŚLĄSKIE 2024: Kluczowe wnioski i rola analizy ryzyka w cyberbezpieczeństwie

PBSG na konferencji CYBERŚLĄSKIE 2024: Kluczowe wnioski i rola analizy ryzyka w cyberbezpieczeństwie

czytaj dalej
Polska wersja normy ISO 27001 już dostępna

Polska wersja normy ISO 27001 już dostępna

czytaj dalej
Nowa platforma elearningowa PBSG już dostępna

Nowa platforma elearningowa PBSG już dostępna

czytaj dalej
Altkom Akademia i PBSG współpracują, by wzmocnić edukację z zarządzania ryzykiem

Altkom Akademia i PBSG współpracują, by wzmocnić edukację z zarządzania ryzykiem

czytaj dalej
Zobacz wszystkie aktualności

Czym się zajmujemy?

Bezpieczeństwo Informacji

Bezpieczeństwo IT

Zarządzanie Usługami IT

Cyberbezpieczeństwo

Kontrola Zarządcza

Zarządzanie Ryzykiem

Zarządzanie Ciągłością Działania

Bezpieczeństwo Danych Osobowych

Oprogramowanie erisk

Jesteś zainteresowany? Masz pytania?

Porozmawiajmy o Twoim projekcie!