Jak podaje “The Blue Raport 2023” firmy PICUS, pioniera technologii symulacji naruszeń i ataków, efektywność zabezpieczeń stosowanych w branży transportu i logistyki wynosi 65%, co oznacza, że na każde 3 ataki 2 są udane. Chociaż w branżowych podmiotach i organizacjach, świadomość związana z bezpieczeństwem cybernetycznym jest coraz większa, a dodatkowo obszar ten regulowany jest w ramach dyrektywy NIS2, nadal istnieją trudności z efektywną ochroną przed zagrożeniami.
W ciągu pierwszych sześciu miesięcy 2023 r. analitycy zdiagnozowali ponad 10 tys. unikalnych exploitów, a więc programów mający na celu wykorzystanie istniejących błędów w oprogramowaniu - to aż o 68 proc. więcej w porównaniu z okresem sprzed pięciu lat. Dodatkowo analizy specjalistów z Veeam wskazują, iż 83 proc. firm z Europy Środkowo-Wschodniej doświadczyło ataków szyfrujących dane i wymuszających okup.
- Zwiększona liczba cyberataków to konsekwencja szybkiego rozwoju sieci, przy jednoczesnym nienadążaniu z dostosowywaniem systemów zabezpieczeń do pojawiających się zagrożeń. Nie pomagają także obecne napięcia geopolityczne i problemy z łańcuchami dostaw. Transport jest jednym z kluczowych obszarów rodzimej gospodarki - dlatego w branży potrzeba szczególnej uwagi, jeśli chodzi o systemy zabezpieczeń - mówi Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa w DEKRA. Dyrektywa NIS 2 ma na celu zwiększenie poziomu bezpieczeństwa sieci i systemów informatycznych, między innymi w sektorze transportu. Wprowadzenie niektórych wymagań z niej wynikających może być szczególnie trudne dla polskich firm z uwagi na specyficzne wymagania i ograniczenia występujące w Polsce. Do potencjalnych trudności można zaliczyć weryfikację zewnętrznych dostawców, ochronę danych w czasie rzeczywistym czy inwestycji w obszar bezpieczeństwa - dodaje.
Weryfikacja zewnętrznych dostawców
Weryfikacja dostawców, zwłaszcza tych spoza Unii Europejskiej, może być trudna ze względu na różnice w regulacjach i standardach bezpieczeństwa informatycznego między poszczególnymi krajami. Polityka ochrony danych, normy i przepisy mogą różnić się w zależności od kraju, co sprawia, że konieczne będzie poznanie uwarunkowań, w których funkcjonują dostawcy. Dodatkowo sytuację komplikuje kwestia zasobów i kompetencji umożliwiających ocenę zabezpieczeń firm znajdujących się w łańcuchu dostaw, co może wymagać znacznych inwestycji w audyty i ocenę. Ponadto, proces weryfikacji dostawców może być czasochłonny i kosztowny, zwłaszcza w przypadku firm korzystających z wielu dostawców.
Ochrona danych w czasie rzeczywistym
Zapewnienie ochrony danych w czasie rzeczywistym może być trudne, zwłaszcza w przypadku firm, które korzystają z różnych systemów informatycznych i urządzeń. Wymaga to zastosowania zaawansowanych technologii, monitorowania sieci i ciągłego aktualizowania systemów, co może generować dodatkowe koszty i wymagać specjalistycznej wiedzy. Ponadto należy zwrócić uwagę na problemy wynikające z użycia systemów starszych, nie wspieranych już w zakresie bezpieczeństwa. Konieczność zainwestowania w nowe technologie i szkolenie personelu mogą być kosztowna.
Wprowadzenie dodatkowych środków mających na celu zwiększenie bezpieczeństwa może być obciążające dla polskich firm transportowych, zwłaszcza tych, które już borykają się z ograniczonymi zasobami finansowymi. Dodatkowe inwestycje w technologie, szkolenia pracowników i audyty bezpieczeństwa mogą stanowić wyzwanie, zwłaszcza dla mniejszych przedsiębiorstw.
- Aby zminimalizować te trudności, polskie firmy transportowe muszą zainwestować w edukację personelu, technologie bezpieczeństwa informatycznego oraz współpracować z ekspertami w dziedzinie bezpieczeństwa informatycznego. Ważne jest także monitorowanie zmian w przepisach i normach dotyczących bezpieczeństwa informatycznego oraz dostosowywanie się do nich - mówi Tomasz Szczygieł. Narzędziem zwiększającym szanse organizacji na budowę bezpiecznego środowiska teleinformatycznego wspierającego prowadzone procesy biznesowe jest skorzystanie z „podpowiedzi” zawartych w standardach bezpieczeństwa, jak uznane międzynarodowe normy z rodziny ISO 27000 - podsumowuje ekspert.
(źr. DEKRA, specjalizuje się w zakresie certyfikacji systemów zarządzania)