Z tego artykułu dowiesz się:
Jak nowoczesne konflikty hybrydowe wpływają na sektor infrastruktury krytycznej?
Na ile skuteczne są wysokie kary finansowe jako motywator do budowania cyfrowej odporności?
Jak przedsiębiorstwa energetyczne przygotowują się na czarne scenariusze?
Dla przedsiębiorstw zarządzających infrastrukturą krytyczną, takich jak Grupa Veolia Polska, cyberbezpieczeństwo ma wymiar skrajnie praktyczny i bezpośredni. Udany atak hakerski na systemy operacyjne oznacza natychmiastowe, dotkliwe skutki społeczne – wprost odcięcie dostaw ciepła i energii do tysięcy domów. Wojna za wschodnią granicą dobitnie pokazała, że sektory energii, wody i ciepłownictwa znajdują się na pierwszej linii frontu nowoczesnych konfliktów hybrydowych . W tych realiach strategiczne firmy nie zadają już pytania, czy staną się celem agresji, ale kiedy to nastąpi. I tak o tym mówił w rozmowie z "Rzeczpospolitą" Piotr Potejko, dyrektor ds. bezpieczeństwa w Grupie Veolia Polska, jeden z panelistów forum Cybersec Expo & Forum 2026 w Katowicach.
Kary nie są skutecznym batem
W kontekście realnych wyzwań, z jakimi mierzą się dziś menedżerowie infrastruktury krytycznej, jest optymistą, bo pozytywnie ocenia to, co Polska jako kraj, ale też działające tu firmy robią w zakresie cyberbezpieczeństwa. Choć podkreśla, że liczba zagrożeń, ataków i zorganizowanych grup przestępczych może niepokoić. Jego zdaniem świetnym motorem do działań obronnych okazały się regulacje, w tym nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS 2.
Czytaj więcej
– Jestem optymistą, ponieważ te regulacje to nie są przepisy wymyślone na nowo. Od 2018 r. funkcjonuje już w Polsce pewna kultura cyberbezpieczeństwa. Przepisy pojawiają się po to, aby dostosować kraj, przedsiębiorców czy administrację publiczną do nowych zagrożeń. Mając dobrze ugruntowany fundament z lat wcześniejszych, tylko rozszerzamy pewne zakresy – komentuje Potejko. – Oczywiście, zawsze pojawia się pytanie, czy zdążymy. Ustawy są przygotowywane z nieco mniejszym udziałem świata biznesu, terminy bywają uśredniane, a w tle ciążą przecież bardzo wysokie kary finansowe. Kara to jednak ostateczność, ma przede wszystkim odstraszać i stanowić wskazanie – powinniśmy zrobić wszystko, aby do tego etapu w ogóle nie dojść – kontynuuje. I podkreśla, że ustawodawca, bazując na audytach, uznał odpowiedzialność finansową za skuteczną.
– Ale spójrzmy na RODO, gdzie również zapisano ogromne kary. Trudno wskazać sfinalizowane sprawy w sądach, w których rzeczywiście je nałożono, co pokazuje, że te straszaki niekoniecznie są efektywne. Zamiast tego wolę budować świadomość, rozmawiać, naprawiać i stale dążyć do perfekcji w zakresie cyberbezpieczeństwa – dodaje.
Kadry, budżety i testowanie czarnych scenariuszy
Ale rynek w budowie cybertarczy mierzy się z potężnymi wyzwaniami. Te bariery to m.in. fluktuacja kadr w sektorze IT i ograniczenia budżetowe. Wyraźny problem stanowi też deficyt umiejętności związanych z prawidłowym zrozumieniem przepisów oraz rzetelnym prowadzeniem analiz ryzyka.
– To właśnie precyzyjne mapowanie zagrożeń stanowi fundament, na którym wznosi się cała architektura cyberbezpieczeństwa przedsiębiorstwa – zaznacza dyrektor ds. bezpieczeństwa w Veolii Polska. I podaje przykład swojej firmy z sektora infrastruktury krytycznej.
– Ochrona tak skomplikowanego organizmu wymaga wyjścia poza tradycyjne silosy IT. W Veolii dążenie do doskonałości realizowane jest wielotorowo: poprzez ochronę fizyczną obiektów, przeciwdziałanie sabotażowi, zabezpieczenie przed incydentami z użyciem dronów, aż po audyty międzynarodowych systemów korporacyjnych oraz weryfikację ciągłości łańcucha dostaw. Bezpieczeństwo to realny, wysoki koszt, który firmy infrastrukturalne muszą na stałe wpisać w swoją strategię biznesową – wylicza.
Jak tłumaczy, procedury te nie pozostają jedynie na papierze. Elementem budowania odporności są regularne testy skrajnych scenariuszy.
– Robimy kontrolowane blackouty, żeby sprawdzić, jak funkcjonujemy po odcięciu prądu i łączności cyfrowej. W sytuacji kryzysowej musimy umieć błyskawicznie przejść na sterowanie ręczne – dodaje nasz rozmówca.
Read the full article at Rzeczpospolita →
Poland