Współczesny krajobraz cyberzagrożeń stale ewoluuje, stawiając przed działami zakupowymi nowe wyzwania. W dobie rosnącej liczby ataków, zrozumienie tego, czy i jak cyberzagrożenia wpływają na procesy zakupowe, staje się konieczne. Odpowiedzi na te pytanie szukali uczestnicy panelu dyskusyjnego podczas drugiej edycji EBF Warszawa Procurement Festival.
Artykuł powstał na podstawie panelu dyskusyjnego „Cyberzagrożenia a procesy zakupowe”, przeprowadzonego podczas EBF Warszawa Procurement Festiwal 18-20.09.2024 r.
W dyskusji udział wzięli: Grzegorz Latosiński (Country Manager, Palo Alto Networks Poland), Przemysław Mądry (Dyrektor ds. Cyberbezpieczeństwa, Impel Group) oraz Robert Drzewiecki (Prezes Zarządu Defendex Industries). Moderował ją Michał Zajączkowski (Dyrektor ds. grup roboczych szkoleń i certyfikacji oraz uczestnik projektu Cyfrowy Skaut, ISSA Polska).
Jak cyberzagrożenia wpływają na procesy zakupowe?
Procesy zakupowe wymagają dziś znacznie większej ostrożności. Dotychczas często były przeprowadzane w sposób intuicyjny i powtarzalny. Składanie oferty, podpisywanie umowy, fakturowanie – to są elementy, w których istnieje realne zagrożenie. Znaczenie ma także to, z kim pracujemy, czy z jakich programów korzystamy.
Otwarte przetargi, choć zwiększają konkurencyjność, mogą jednocześnie ujawnić potencjalnym atakującym informacje o planowanych inwestycjach w zakresie cyberbezpieczeństwa.
Grzegorz Latosiński (Country Manager, Palo Alto Networks Poland) podkreślał, że:
Kupując w otwartym przetargu systemy cyberbezpieczeństwa, równocześnie pokazujemy światu, co kupujemy. Dlatego kluczowe jest to, do kogo wysyłamy zapytania, kto będzie wdrażał to rozwiązanie. Trzeba nie tylko wiedzieć, co kupować, ale także przemyśleć jak.
Ponadto współpraca z nowymi, nieznanymi wcześniej dostawcami może nieść pewne ryzyko. Zwłaszcza jeśli dotyczy zakupów istotnych komponentów (np. różnego rodzaju elementy techniczne), a my nie znamy procedur bezpieczeństwa wdrożonych przez danego dostawcę. Dlatego tak ważny staje proces weryfikacji i kwalifikacji dostawców, który co prawa może wydłużyć proces zakupowy, jednak daje zwrotnie kluczowe informacje.
O weryfikacji i kwalifikacji dostawców możesz przeczytać także w naszym artykule.
Rola ludzi w przygotowaniu organizacji na zagrożenia w sieci
Można powiedzieć, że najsłabszym ogniwem jest człowiek. Pomimo rozwoju zaawansowanych technologii, to wciąż my – ludzie jesteśmy najbardziej podatni na cyberataki. Przykładem jest phishing, czyli wyłudzanie informacji za pomocą spreparowanych wiadomości e-mail. To wciąż jedna z najskuteczniejszych metod wykorzystywanych przez cyberprzestępców. Wysoce spersonalizowane ataki, oparte na szczegółowej wiedzy o potencjalnej ofierze, są coraz trudniejsze do wykrycia, zwłaszcza dla osób nieposiadających specjalistycznej wiedzy.
Przemysław Mądry (Dyrektor ds. Cyberbezpieczeństwa w Impel Group) mówił, że:
Technologia i świadomość zagrożeń idą cały czas do przodu. Jednak trzeba pamiętać, że te same narzędzia działają po obu stronach. Są grupy wyspecjalizowanych hakerów, które potrafią dokładnie sprawdzić informacje o nas, a w konsekwencji przygotowują np. maila za jakimś poleceniem, idealnie skrojonego pod nas. A zatem uprawdopodobnionego. Niewykwalifikowana osoba może mieć trudność ze zidentyfikowaniem takiego ataku.
Należy także pamiętać o sztucznej inteligencji i jej możliwościach, które niestety niosą ze sobą również nowe zagrożenia. Algorytmy AI są coraz skuteczniejsze w generowaniu przekonujących treści, co może być wykorzystane do przeprowadzania bardziej zaawansowanych ataków phishingowych. Dlatego tak ważne jest, aby pracownicy potrafili krytycznie oceniać i weryfikować informacje otrzymywane z różnych źródeł. Lepiej dwukrotnie upewnić się, że to rzeczywiście nasz kontrahent zgłasza zmianę konta bankowego, niż zrobić przelew, który trafi na konto przestępców.
Cyberbezpieczeństwo a regulacje prawne
Ważnym dokumentem w obszarze cyberbezpieczeństwa jest dyrektywa NIS2 (Network and Information Systems Directive 2), która jest nowelizacją Dyrektywy NIS z 2016 roku. To dokument dotyczący cyberbezpieczeństwa państw członkowskich Unii Europejskiej oraz podmiotów działających na obszarze UE, w sektorach o wysokim stopniu krytyczności[i].
NIS2 kładzie nacisk na odpowiedzialność wszystkich członków organizacji, od zarządu po pracowników. Wraz z rosnącą świadomością zagrożeń, pojawia się wiele nowych wyzwań, które wymagają kompleksowego podejścia, w tym także w zakresie współpracy z dostawcami. Wymóg odpowiednich środków bezpieczeństwa dotyczyć będzie całych łańcuchów dostaw, czyli każdej firmy współpracującej z przedsiębiorstwem, którego ta dyrektywy dotyczy bezpośrednio.
Jak przygotować organizację
Nawiązując do myśli przewodniej EBF Warszawa 2024 „Ludzie, Procesy, Technologia”, warto podkreślić, że cyberbezpieczeństwo to nie tylko kwestia technologii, ale przede wszystkim ludzi i procesów.
Aby skutecznie chronić się przed cyberatakami, organizacje powinny:
- Inwestować w szkolenia pracowników, szczególnie te dotyczące bezpieczeństwa w sieci.
Podnoszenie świadomości pracowników na temat cyberzagrożeń jest bardzo ważne, ponieważ ludzie nadal, pomimo licznych kampanii czy informacji o różnych atakach, nie wiedzą lub nie wierzą, że sami mogą stać się celem.
- Przeprowadzać regularne audyty bezpieczeństwa.
Dzięki temu można odpowiednio wcześnie wyłapać luki w zabezpieczeniach i podjąć odpowiednie działania. Warto także pamiętać o aktualizacjach systemów i robić je na bieżąco. W ten sposób można uniknąć wielu ryzykownych biznesowo sytuacji, ponieważ cyberprzestępcy z pewnością wykorzystują dostępne szanse, w tym właśnie luki w zabezpieczeniach systemów, np. systemów operacyjnych.
- Stawiać na rzetelną współpracę z dostawcami.
Budowanie zaufanych relacji z dostawcami rozwiązań IT jest niezbędne do zapewnienia bezpieczeństwa systemów.
- Być przygotowanym na incydenty.
Opracowanie polityki bezpieczeństwa, czyli planu reagowania na incydenty cybernetyczne jest jednym z najważniejszych elementów strategii bezpieczeństwa. Jest to przewodnik, co zrobić w przypadku wystąpienia zdarzenia, ważne jest także, aby była ona odpowiednio zakomunikowana pracownikom. Sama polityka nie wystarczy – to ludzie muszą o niej być poinformowani i wiedzieć, jak z niej skorzystać.
- Dostosowywać się do ciągłych zmian.
Budowanie skutecznego systemu cyberbezpieczeństwa to proces wymagający ciągłego doskonalenia. Organizacje muszą być gotowe na szybkie reagowanie na pojawiające się nowe zagrożenia. Technologia cały czas się rozwija, przykładem jest choćby sztuczna inteligencja i jej możliwości. Cyberprzestępcy nieustannie udoskonalają swoje metody, dlatego organizacje także muszą być gotowe na nowe wyzwania. To właśnie dlatego tak ważna jest stała kontrola zabezpieczeń.
Jak powiedział w takcie prelekcji Robert Drzewiecki (Prezes Zarządu Defendex Industries):
Cyberbezpieczeństwo jest jak wielki oceaniczny tankowiec, a hakerzy są jak piraci na małych łodziach – szybcy i zwinni. Musimy więc nauczyć się równie szybko i zwinnie reagować, aby być krok przed nimi.
Pamiętajmy, że cyberbezpieczeństwo to odpowiedzialność nas wszystkich. Tylko dzięki wspólnym wysiłkom możemy skutecznie przeciwdziałać cyberatakom i chronić nasze dane.
[i] Serwis informacyjno-usługowy dla przedsiębiorcy, dostęp 25.10.2024 r.
