Open source w sektorach szczególnie narażonych na cyberataki. Eksperci radzą, jak przeciwdziałać zagrożeniom

Według raportu Open Source Maturity in Europe z 2024 roku na otwartych rozwiązaniach najbardziej mogą skorzystać branża IT (37 proc. odpowiedzi), administracja rządowa (36 proc.) i edukacja (30 proc.)^[1]. Wielu ekspertów wskazuje ponadto na możliwości zastosowania oprogramowania open source w służbie zdrowia, telekomunikacji, samorządach czy usługach finansowych, a więc w sektorach kluczowych dla funkcjonowania państwa. Systemy informatyczne organizacji działających w tych obszarach są jednym z głównych celów ataków cybernetycznych. Jak zatem przeciwdziałać zagrożeniom nasilającym się w czasach niestabilnej sytuacji geopolitycznej, jednocześnie wykorzystując potencjał open source na drodze do cyfrowej transformacji? Na to pytanie odpowiadają eksperci cyberbezpieczeństwa z Linux Polska.

W sektorze finansowym jest nad czym pracować

W powszechnym przekonaniu wykorzystanie otwartych rozwiązań w usługach finansowych wiąże się z podejmowaniem szczególnych środków ostrożności. Wskazują na to sami przedstawiciele tego sektora, którzy spośród dostępnych technologii open source za najważniejsze uznają te związane ze sztuczną inteligencją (45 proc. odpowiedzi) oraz cyberbezpieczeństwem (32 proc.)^[2].

Większa świadomość zagrożeń nie powinna dziwić, w końcu z roku na rok rośnie liczba ataków hakerskich, a część z nich jest nagłaśniana przez media. Tym bardziej zaskakują dane, z których wynika, że kwestia bezpieczeństwa open source w sektorze usług finansowych wymaga zdecydowanej poprawy. Badania z 2024 roku pokazują, że 39 proc. organizacji z tego obszaru posiada wewnętrzne wytyczne dotyczące korzystania z OSS. Tyle samo firm przeprowadza formalny proces oceny komponentów OSS, a zaledwie 36 proc. dysponuje odpowiednimi narzędziami do skanowania bezpieczeństwa czy sprawdzania licencji^[3]. Tomasz Dziedzic, Chief Technology Officer w Linux Polska, podkreśla, że analiza pojedynczych czynników ryzyka jest lepsza niż zupełna bierność, jednak kluczowe sektory powinny działać kompleksowo.

– Według danych Ministerstwa Cyfryzacji liczba ataków cybernetycznych w Polsce wzrosła o 100 proc. względem roku 2023 i o 200 proc. w porównaniu do roku 2022. Szacunki zakładają, że do końca grudnia zostanie przekroczona liczba 100 tys. Liczby te pokazują wyraźnie, że bezpieczeństwo IT powinno być dla organizacji priorytetem. Hakerzy wykorzystują różne sposoby na zdobycie dostępu do systemów i danych. Z tego względu konieczna jest przekrojowa analiza ryzyka. Mając na uwadze, że otwarte rozwiązania są coraz popularniejsze również w sektorze publicznym, stworzyliśmy SourceMation – system do analizy ryzyka oprogramowania open source, który nie ogranicza się do badania luk w kodzie. Narzędzie analizuje wiele czynników, które ze względu na aktualną sytuację na świecie są szczególnie ważne. Mowa o pochodzeniu geopolitycznym, częstotliwości aktualizacji, statusach licencji czy zależnościach między poszczególnymi komponentami – dodaje Tomasz Dziedzic, Linux Polska.

Czy DORA rozwiąże problem sektora finansowego?

Problem niewystarczającego przygotowania sektora finansowego na zagrożenia cybernetyczne został zauważony w Unii Europejskiej, czego efektem jest wejście w życie Rozporządzenia DORA. Obejmie ono wszystkie podmioty finansowe działające na terenie UE, co w opinii Dariusza Świądera, CEO Linux Polska, może znacząco poprawić ich bezpieczeństwo.

– DORA nakłada na organizacje finansowe obowiązki, których realizacja była do tej pory problematyczna, a w niektórych przypadkach nawet ignorowana. Stworzenie ogólnych ram dotyczących zarządzania ryzykiem ICT, wdrożenie odpowiednich procedur zgłaszania incydentów czy przeprowadzanie testów operacyjnej odporności cyfrowej z pewnością zwiększy poziom bezpieczeństwa podmiotów finansowych. Wyjątkowo ciekawe są przepisy zobowiązujące do zarządzania ryzykiem ICT przez cały okres współpracy z zewnętrznymi dostawcami usług. Wierzę, że dzięki nim organizacje będą bardzo uważnie podchodzić do współpracowników. Już na początku przyszłego roku przekonamy się, jak to zadziała w praktyce. Tymczasem dla organizacji, które nie rozumieją nowych wymogów lub mają problem z ich wdrożeniem, stworzyliśmy oprogramowanie DORIAN. Rozwiązanie wspiera proces zarządzania ryzykiem operacyjnym i pomaga spełnić wymagania określone w Rozporządzeniu DORA – dodaje Dariusz Świąder, Linux Polska.

Administracja rządowa jest mniej zabezpieczona niż branża IT?

Badania nie pozostawiają złudzeń - pod względem strategicznego podejścia do bezpieczeństwa open source administracja rządowa państw europejskich nie wypada najlepiej. Zdefiniowaną strategię korzystania z otwartych rozwiązań posiada jedynie 30 proc. jednostek rządowych (w branży IT odsetek ten wynosi 47 proc.), a jakikolwiek związek z organizacjami open source deklaruje zaledwie co dziesiąta^[4]. Według Radosława Klewina, Senior Solutions Architecta w Linux Polska, problem sektora publicznego często dotyczy również luk kompetencyjnych.

– Organizacja może dysponować licznymi narzędziami, procedurami lub technologiami, jednak na nic one się nie zdadzą, jeśli w zespole brakuje osoby wykwalifikowanej w zakresie cyberbezpieczeństwa. Jeśli firma nie planuje w najbliższym czasie zatrudnić takiego specjalisty, warto zwrócić się o pomoc do zewnętrznych ekspertów. Wiedzieliśmy, że wiele podmiotów może potrzebować wsparcia we wdrożeniu, utrzymaniu lub rozwijaniu wybranych rozwiązań open source. To właśnie tymi zadaniami zajmuje się Centrum Indywidualnego Wsparcia Technicznego SourceMation. Eksperci z naszego zespołu nie tylko dbają o wszystkie procesy wdrożeniowe, lecz także doradzają tym klientom, którzy nie do końca wiedzą, jakie rozwiązania będą najlepsze dla ich organizacji – dodaje Radosław Klewin, Linux Polska.

Według szacunków każdego tygodnia w Polsce jest przeprowadzanych niemal 2 tys. cyberataków. Szczególnie zagrożone są organizacje działające w kluczowych sektorach – publicznym, finansowym czy energetycznym. Analiza ryzyka i przeciwdziałanie zagrożeniom cybernetycznym powinno być dzisiaj jednym z kluczowych elementów strategii każdej firmy.

 

^[1] Linux Foundation, raport Open Source Maturity in Europe, Milestones, Opportunities, and Pathways in 2024, s. 17

^[2] Fintech Open Source Foundation, raport The 2024 State of Open Source in Financial Services, s. 23

^[3] Fintech Open Source Foundation, raport The 2024 State of Open Source in Financial Services, s. 15

^[4] Linux Foundation, raport Open Source Maturity in Europe, Milestones, Opportunities, and Pathways in 2024, s. 18