Jakie przeszkody stoją na drodze do cyberodporności organizacji? Specjaliści wskazują przede wszystkim na braki w zasobach

Niestabilna sytuacja geopolityczna na świecie i coraz częstsze ataki hakerskie wpłynęły na zwiększenie świadomości zagrożeń cybernetycznych. Co trzecia osoba uważa, że technologie open source związane z cyberbezpieczeństwem mają największą wartość dla przyszłości tej branży^[1]. Mimo to badania pokazują, że organizacje nie są w pełni przygotowane do zwalczania zagrożeń, a narzędzia służące do ochrony IT nie znajdują się na liście priorytetów pod względem planowanych inwestycji. Zaledwie 14,5 proc. organizacji przyznaje, że najwięcej swoich zasobów i środków finansowych przeznacza na cyberbezpieczeństwo. Jednocześnie co czwarta osoba nie jest w stanie wskazać, jakie narzędzia z tego obszaru są stosowane w jej firmie^[2]. Okazuje się, że przyczyn niskiej cyberodporności należy szukać nie w kosztach, a w braku odpowiednich zasobów i kompetencji.

Zróżnicowany poziom cyberodporności w organizacjach

Poczucie zabezpieczenia organizacji przed zagrożeniami cybernetycznymi jest zróżnicowane w zależności od branży. Odporność systemów informatycznych na działania naruszające bezpieczeństwo przetwarzanych w nich danych lub usług deklarują przede wszystkim liderzy pracujący w obszarach bezpieczeństwa IT (94 proc.), technologii w segmencie energetycznym (94 proc.) oraz zarządzania ubezpieczeniami i aktywami (89 proc.). Po drugiej stronie znajduje się branża rolnicza i spożywcza (38 proc.), system opieki zdrowotnej (62 proc.) oraz edukacja (67 proc.)^[3].

Jak zauważa Tomasz Dziedzic, CTO Linux Polska, duże poczucie cyberodporności zauważalne jest przede wszystkim w branżach szczególnie narażonych na ataki. Jednak przekonanie o bezpieczeństwie IT w firmie nie zawsze znajduje odzwierciedlenie w rzeczywistości.

– Mimo że świadomość zagrożeń jest coraz większa, nadal wiele organizacji podchodzi selektywnie do kwestii cyberbezpieczeństwa i zarządzania ryzykiem. Dobrze obrazują to działania podejmowane w związku z wdrożeniem w firmie nowych rozwiązań open source. Z badań wynika, że niemal 60 proc. przedsiębiorstw nie posiada list kontrolnych lub wytycznych dotyczących korzystania z otwartego oprogramowania^[4]. Być może dlatego przed skorzystaniem z nowych technologii zdecydowana mniejszość firm analizuje bezpośrednie zależności kodu, częstotliwość aktualizacji czy statystyki pobierania pakietów. Tymczasem ryzyko związane z użyciem oprogramowania open source należy oceniać przez pryzmat tych i wielu innych czynników, takich jak pochodzenie geopolityczne czy zmiany w licencjach, które mogą doprowadzić do ograniczenia dostępu do kodu – dodaje Tomasz Dziedzic, Linux Polska.

Główną barierą jest brak zasobów i kompetencji

Dane z raportu World Economic Forum pokazują, że główną barierą na drodze do cyberodporności organizacji jest brak zasobów i odpowiednich kompetencji. Uważa tak 32 proc. ekspertów ds. cyberbezpieczeństwa i 38 proc. liderów biznesowych. Kwestia ta jest jednocześnie jedyną, w której obie grupy są zgodne – w przypadku próby identyfikacji pozostałych wyzwań widoczne są duże rozbieżności. Osoby zajmujące się cyberbezpieczeństwem często wskazują na problem kosztów transformacji istniejących systemów i procesów (29 proc. odpowiedzi) i opór pracowników lub kierownictwa wobec zmian (25 proc.). Tymczasem liderzy biznesowi upatrują problemu w fakcie, że ryzyko cybernetyczne ich organizacji nie przekracza kosztu inwestycji.

Brak kompetencji w zakresie cyberodporności nie jest zaskakujący – raport The Linux Foundation pokazuje bowiem, że przeszkolenia deweloperów w zakresie bezpiecznego tworzenia oprogramowania wymaga zaledwie co szósta firma. Zastanawiający jest jednak fakt, że mimo to korzystanie z pomocy zewnętrznych ekspertów deklaruje jedynie 20 proc. ankietowanych^[5]. Jak podkreśla Radosław Klewin, Senior Solutions Architect w Linux Polska, wsparcie specjalistów byłoby dużym krokiem na drodze do bezpieczeństwa IT w przedsiębiorstwie.

– Oprogramowanie open source jest dla organizacji szansą na ograniczenie kosztów, zwiększenie efektywności działań i transformację cyfrową. Wybór, wdrożenie i utrzymanie odpowiednich rozwiązań wymaga jednak szeregu kompetencji, także tych dotyczących cyberbezpieczeństwa. Aby ułatwić ten proces, stworzyliśmy SourceMation – innowacyjną platformę do kompleksowej analizy ryzyka. Wiedzieliśmy jednak, że mimo wypełnienia luki na rynku narzędzi tego typu, musimy dodatkowo zapewnić firmom wsparcie merytoryczne i wdrożeniowe. Tak zrodziła się idea powołania Centrum Indywidualnego Wsparcia Technicznego. Nasi eksperci pomagają w zbadaniu, integracji oraz utrzymaniu otwartych projektów informatycznych, rozwiązując tym samym problem braków kompetencyjnych w organizacjach – dodaje Radosław Klewin, Linux Polska.

Nie ma jednego przepisu na cyberodporność

Przedsiębiorstwa na całym świecie różnią się od siebie wielkością, zakresem usług, zasobami specjalistów z różnych dziedzin, rodzajem wykorzystywanego oprogramowania i wieloma innymi czynnikami. Każde z nich jest także na różnych etapach rozwoju technologicznego. Dariusz Świąder, CEO Linux Polska, wskazuje, że zróżnicowanie potrzeb rodzi konieczność indywidualnego podejścia do analizy ryzyka.

– Jako Centrum Indywidualnego Wsparcia Technicznego SourceMation pochylamy się nie nad konkretnym produktem, a indywidualnym przypadkiem każdego klienta. Zdajemy sobie sprawę z kluczowych różnic między poszczególnymi organizacjami, dlatego punktem wyjścia w naszej pracy jest audyt oraz szczegółowa analiza techniczna i prawna. Dopiero po zapoznaniu się ze specyfiką firmy i jej potrzebami jesteśmy w stanie pomóc w wyborze najlepszych rozwiązań open source. Nasze działania obejmują także identyfikację ryzyk, dostosowanie środowiska do zmian oraz wdrożenie nowego lub modernizację istniejącego oprogramowania. Chcemy ponadto zwiększać świadomość technologiczną w organizacjach i dbać o rozwój kompetencji deweloperów i specjalistów odpowiedzialnych za kwestie cyberbezpieczeństwa. Dlatego organizujemy liczne szkolenia i webinary, a także dzielimy się swoim doświadczeniem podczas tematycznych konferencji – dodaje Dariusz Świąder, CEO Linux Polska.

 

 

^[1] The Linux Foundation, World of Open Source: Europe Spotlight 2023

^[2] Open Logic, Open Source Initiative, Eclipse Foundation, 2024 State of Open Source Report

^[3] World Economic Forum, Global Cybersecurity Outlook 2024

^[4] The Linux Foundation, World of Open Source: Europe Spotlight 2023

^[5] The Linux Foundation, World of Open Source: Europe Spotlight 2023