– Administracja publiczna sama sobie nie poradzi, powinna szukać współpracy z sektorem prywatnym – ripostował mec. Sawicki.
Podał przykład sektora bankowego, który (pod kierunkiem Nadzoru Bankowego) uregulował się sam, „ponieważ od zawsze był celem ataków (bo tam są pieniądze) i posiada odpowiednie środki”.
– Bezpieczeństwo łańcucha wartości jest bardzo ważne. W NASK nie zakładamy, że ustawa to wszystko, co należy robić. Potrzebna jest budowa dobrowolnego partnerstwa z wieloma przedsiębiorstwami z różnych sektorów całego kraju, żeby współpracować i wymieniać się informacjami. To, jak będzie funkcjonować krajowy system cyberbezpieczeństwa zależy od nas. Ustawa daje tylko ramy. Chodzi m.in. o to, żeby w ramach projektu Narodowej Platformy Cyberbezpieczeństwa [NPC] – którego ramy również określa ustawa – angażować różne podmioty na zasadzie dobrowolności. Jeśli się nie zmapuje całości na poziomie danego podmiotu i nie powstanie zagregowana informacja o współzależnościach w obrębie danego sektora, to może dojść do sytuacji, że nie zauważymy, że jedna mała firma internetowa, dostarczająca określone usługi, jest kluczowa dla funkcjonowania całego sektora. NPC ma m.in. na celu stworzenie systemu eksperckiego do analizowania współzależności usługowej między operatorami. Te tematy są też analizowane na poziomie Unii Europejskiej – mówił Krzysztof Silicki.
W dalszej części dyskusji zwrócono uwagę na niedostateczne finansowanie cyberbezpieczeństwa w sektorze publicznym. Również Najwyższa Izba Kontroli zauważa braki w długoletnim finansowaniu, przypomniał Robert Kośla.
– Ustawa nie reguluje jedynego czy maksymalnego poziomu wydatków. Wprowadziliśmy dopiero ramy, nie narzucające gotowych rozwiązań, które będą musiały być wspomagane dalszymi działaniami i mechanizmami – powiedział.
Artur Józefiak, nie zgodził się z tezą, że „sektor prywatny sobie poradzi”. Według niego, firmy, które nie rozpoczęły budowania swojego cyberbezpieczeństwa kilka lat temu, teraz mają już ogromny problem. Z trzech powodów: braku kadr, długu technologicznego oraz skomplikowania i tempa rozwoju technologii cyfrowych.
– W ramach KSC próbujemy nadrobić pewne braki, tymczasem pojawia się nowa fala wyzwań nazywana „drugą falą rewolucji technologicznej” – w tym technologie takie jak AI, cloud computing, AR czy blockchain – wprowadzające nowy stopień skomplikowania i nowe ryzyka. Dziś też nie mamy, tak naprawdę, dobrego systemowego podejścia, jak używać chmury publicznej. Musimy się poważnie zastanowić, także na poziomie ministerialnym, ale i sektorowym, jak do tych nowych wyzwań podchodzimy. Jednym z rozwiązań może być działanie spółdzielniane ze wsparciem systemowym oraz wybieranie partnerów – proponował przedstawiciel Accenture.
Według Michała Kanownika, najtrudniejszym wyzwaniem jest nasycenie kadrami. Tu potrzebna jest międzyresortowa współpraca (Ministerstwa Cyfryzacji, Ministerstwa Nauki i Szkolnictwa Wyższego oraz Ministerstwa Edukacji Narodowej), także z udziałem biznesu, oraz odpowiednie profilowanie. Potwierdził, że kierunek, który warto wspierać, to tworzenie „cyfrowych spółdzielni” dla małych podmiotów, które nie mają dostatecznych środków by same sobie poradzić z cyberzagrożeniami. Warto łączyć siły, pozyskiwać wsparcie organizacyjne i instytucjonalne. Według niego, cyberbezpieczeństwo może być ogromnym potencjałem dla polskiej gospodarki.
Do problemu braku kadr odniósł się też Michał Kurek: „Coraz więcej eksportujemy naszych specjalistów za granicę i problem kadrowy się pogłębia. W badaniu KPMG zapytaliśmy, jaka jest główna bariera dla polskich firm w budowaniu zabezpieczeń – od dwóch lat numerem jeden jest problem w pozyskaniu i utrzymaniu odpowiednich kompetencji. Środki finansowe na cyberbezpieczeństwo, wcześniej wskazywane na pierwszym miejscu, pozostają również bardzo istotne”.
