Zapewnij bezpieczeństwo z NIS2 dla siebie i Twoich klientów

TRANSKRYPCJA WEBINARU:

Magda: Prośba do pierwszych osób, żeby dały informacje, czy wszystko odpowiednio słychać, widać. O, dzień dobry. O, cudnie. Bardzo się cieszę. W takim razie jeszcze dosłownie takie 30 sekund zaczekamy, bo to i tak na początek będę przedstawiała tutaj naszych prelegentów. Następnie już będziemy przechodzili do prezentacji. Dzień dobry. Dzień dobry. Dzień dobry. Dzień dobry. Dzień dobry.

Tak więc serdecznie witam na webinarze. Dla tych, którzy są z nami tutaj po raz pierwszy, FOTC to wiodący dostawca rozwiązań chmurowych. Specjalizujemy się w doradztwie technologicznym, usługach IT, danych i sztucznej inteligencji oraz w usługach zarządzanych. Naszym celem jest dostarczanie kompleksowych rozwiązań, które zapewniają bezproblemową implementację, integrację i wsparcie technologiczne.

I teraz już chciałabym państwa również serdecznie zaprosić do kontaktu z zespołem FOTC. Na koniec tego webinaru przygotowaliśmy dla państwa również taką drobną niespodziankę, więc zachęcam do pozostania do końca. Oczywiście jeżeli nie będą mogli państwo, proszę się nie przejmować. To wszystko zostanie też wysłane wraz z nagraniem. Jako partner Google Cloud oferujemy szeroki wybór pakietów wsparcia i doradztwa dopasowanych do różnych potrzeb. Dlatego z tą ofertą, którą za chwilkę do państwa przedstawimy, serdecznie zachęcamy do kontaktu. W razie pytań jesteśmy tutaj, aby pomóc.

Naszymi ekspertami są dziś Dominika oraz Damian. Dominika już od czterech lat pomaga w codziennym funkcjonowaniu firmom korzystającym z Google Workspace. Jej zadaniem jest wsparcie firm w zakresie wykorzystania narzędzi, optymalizacji kosztów i rozwoju w środowisku Google.

Damian zaś jest partnerem kancelarii Follow Legal. To prawnik, który świetnie łączy prawo z technologią, a jako certyfikowany chief AI officer doradza firmom jak strategicznie i zgodnie z przepisami wdrażać sztuczną inteligencję. Ma też duże doświadczenie praktyczne, między innymi jako inspektor ochrony danych w różnych organizacjach, w tym największym call centrum w Polsce oraz specjalizuje się w ochronie danych osobowych i budowaniu bezpiecznych systemów autoryzacji.

Z takich jeszcze technicznych kwestii to webinar będzie nagrywany, udostępniony dla państwa w ciągu czterech dni roboczych i tak jak wspomniałam, zapraszam do zaczekania z nami do końca, bo będzie promocja dla państwa przygotowana, jak i również zachęcam do zadawania pytań. Jak prelegent tylko będzie miał możliwość, odpowie w trakcie webinaru. Jeżeli nie, sesja Q&A jest na koniec zaplanowana. Tak więc chwilkę proszę o zaczekanie i na pewno ta odpowiedź zostanie udzielona. A już teraz przekazuję głos do Damiana i dziękuję państwu ślicznie. Życzę cudownie z nami spędzonego czasu.

Bezpieczeństwo IT i zarządzanie ryzykiem

Damian: Dzień dobry wszystkim. Dziękuję ci Magda za przedstawienie. Tak jak Magda wspominała, ja jestem prawnikiem, który jednak w swojej praktyce zawodowej skupił się na tematach związanych z bezpieczeństwem. Zaczęło się od danych osobowych. Później nam się pojawiło coraz więcej wymogów, a też klienci, z którymi pracuję, pracują najczęściej przy nowych technologiach.

Są to podmioty, które dosyć intensywnie wdrażają u siebie różne nowinki i rozwiązania techniczne. Są to też podmioty, które ze względu na profil prowadzonej przez siebie działalności, czy to przetwarzają dużą ilość danych osobowych, czy to tworzą albo stosują oprogramowanie, które jest obarczone sporym ryzykiem. I to ryzyko to jest chyba takie coś, taki element, który powinien tutaj być dla nas punktem wyjściowym i to ryzyko będzie nam się przewijało w zasadzie w każdym elemencie, a właściwie podejście oparte na ryzyku, na mitygowaniu tego ryzyka i na zarządzaniu tymże ryzykiem.

Dzisiaj będziemy sobie rozmawiali o dyrektywie NIS2. I teraz żebyśmy dobrze zrozumieli po co ta dyrektywa została wdrożona, uchwalona, bo ona właściwie jeszcze wdrażana w naszym kraju jest, ale do tego za chwileczkę sobie przejdziemy.

Żyjemy w takim środowisku teraz, kiedy to bezpieczeństwo cybernetyczne, bezpieczeństwo IT staje się coraz bardziej dla nas istotne. Generalnie jeszcze kilka lat temu kojarzyliśmy cyberataki i ataki hakerskie głównie z działaniem jakichś grup hakerskich, przestępców, którzy próbowali poprzez swoją działalność wyłudzać od przedsiębiorców czy od innych podmiotów okupy, wyłudzać jakieś środki. Natomiast w dzisiejszym naszym otoczeniu coraz częściej tego typu działalność jest albo działalnością o charakterze terrorystycznym, albo jest działalnością, która jest inspirowana albo prowadzona przez służby różnych państw w ramach tak zwanych wojen hybrydowych.

Skala i koszty cyberprzestępczości

Tutaj kilka liczb, które chciałbym przytoczyć. Tutaj widzimy, że globalne koszty cyberprzestępczości mają osiągnąć 10,5 biliona dolarów rocznie do 2025 roku, a polskie firmy są celem ataków hakerskich ponad 250 razy dziennie, co umieszcza nas w czołówce krajów Unii Europejskiej. Jesteśmy w top 5. Zwróćmy też uwagę jak szybko i gwałtownie następuje wzrost liczby ataków i rok do roku o 51% wzrosła liczba takich ataków.

Podobnie Ministerstwo Cyfryzacji, które jest takim podmiotem, które w Polsce zajmuje się nadzorowaniem tego typu kwestii. To jest miejsce, gdzie poprzez nas, poprzez CERT są zgłaszane przez firmy ataki, które miały miejsce na te podmioty i widzimy, że jest to wzrost 60% rok do roku i jest to ponad 627 000 zgłoszeń w 2024 roku, co powinno nam dawać obraz jak duży jest to problem i wydaje się, że ten problem będzie nam z roku na rok rósł.

Metody ataków i zagrożenie ransomware

Jeżeli chodzi o metody ataków, no to tutaj to, co jest dla nas istotne i to, co jest mocno adresowane przez dyrektywę NIS2, to są rzeczy związane z zastosowaniem ransomware. I tutaj widzimy, że w porównaniu z raportu, który cytujemy, rok do roku to jest 37% wzrostu i że ten ransomware to jest 44% wszystkich analizowanych naruszeń, a rok wcześniej było to tylko 32%.

Co do kosztów i wagi tych zdarzeń, oczywiście nie posiadamy tutaj pełnej informacji, jak wysokich okupów żądały te podmioty, które dokonywały ataków. No bo wiadomo, że część z tych podmiotów jest płacona, część nie jest płacona. Bardzo dużo organizacji ze względu czy to na zachowanie dobrego imienia, czy to ze względu na politykę firmy, po prostu nie ujawnia, że stało się podmiotem takiego ataku i też nie informuje, czy taki okup zapłaciło lub nie. Wynika to z różnych przyczyn, między innymi dlatego, że na przykład pod kątem księgowym w organizacji trudno jest później pokazać w księgach, że pieniądze wydało się na okup.

Co jest dla mnie ważne, to jest to, bo nie wiem też z jakich państwo pochodzicie organizacji, że może się wydawać na pierwszy rzut oka, że hakerzy, że jakieś organizacje przestępcze będą starały się atakować tylko takie organizacje, które są największe, najzamożniejsze i że będzie to dotyczyło tylko, nie wiem, banków, ubezpieczycieli, telekomów i tak dalej. Nic bardziej mylnego.

Z tego co widzimy, w dużych przedsiębiorstwach ataki ransomware to jest 39% wszystkich naruszeń, a w małych i średnich przedsiębiorstwach jest to aż 88% naruszeń bezpieczeństwa. Z czego to wynika? Wynika to przede wszystkim z tego, że te kolosy, te takie duże firmy z reguły mają całe piony, które zajmują się obroną przed cyberatakami i wydają na to bardzo dużo środków, bardzo dużo pieniędzy. A w tych małych i średnich przedsiębiorstwach nie ma aż tak rozbudowanych systemów bezpieczeństwa, infrastruktury i tak dalej.

I to jest coś, o czym musimy pamiętać i zastanawiać się, jeżeli jesteśmy w MŚP i nie chcemy wydawać bardzo dużo pieniędzy na bezpieczeństwo, to żeby stosować i korzystać z takich rozwiązań, które pozwolą nam tym zarządzać, nie wydając dużo środków.

Wykorzystanie sztucznej inteligencji w atakach

Kolejna rzecz, która jest w tej chwili bardzo istotna, to jest to, że coraz więcej tych ataków, które polegają między innymi na phishingu czy na stosowaniu zabiegów socjotechnicznych, wybucha nam i rośnie ze względu na rozwój tak zwanej sztucznej inteligencji. 

Z tego co widzimy tutaj, w 2024 roku był wzrost 442% takich ataków. Na czym te ataki mogą polegać? Tutaj mamy wypisanych kilka takich rodzajów. One są tutaj podzielone przede wszystkim ze względu na kanał komunikacji, za pośrednictwem którego następują.

I muszę powiedzieć, że w mojej praktyce, według tego, co ja widzę u swoich klientów, rzeczywiście w ostatnim czasie takich prób ataku jest coraz więcej. Wynika to z tego, że te narzędzia, wspierane szczególnie przez AI, są coraz doskonalsze. Najczęściej u moich klientów wygląda to tak, że dostają maila, który wygląda na autentyczny, jest z adresu, który na pierwszy rzut oka wygląda bardzo autentycznie i prosi się tam na przykład o dokonanie jakiegoś przelewu, o instalację jakiegoś pliku, o kliknięcie jakiegoś linku i niestety takie rzeczy mają miejsce.

Wśród moich klientów ostatnio miał miejsce taki przypadek, który był już dosyć zaawansowany i rzeczywiście ci przestępcy sobie do tego sporo trudu zadali, a mianowicie u tego klienta był taki nieformalny do końca kanał komunikacji, to znaczy prezes zarządu dosyć często komunikował się ze swoimi ludźmi za pośrednictwem komunikatora i często wysyłał im głosówki. W tych głosówkach, jako że człowiek zabiegany, prowadził samochód i tak dalej, wydawał różnego rodzaju polecenia i proszę sobie wyobrazić, że jedna z głosówek mówiła, że była skierowana do księgowej i mówiła, że tam: „droga Krystyno, za chwilę dostaniesz maila z danymi do przelewu, więc proszę cię, klepnij szybko ten przelew, no bo on jest ważny i potrzebuję to, to i tamto”.

I co się okazało? Przestępcy na podstawie próbek głosu, które znaleźli w internecie, bo ten prezes był osobą, która dosyć szeroko się udzielała, dawała wywiady na YouTubie, też uczestniczyła w webinarach i tak dalej, za pośrednictwem sztucznej inteligencji stworzyli głos, który był bardzo, bardzo zbliżony do głosu prezesa. Gdyby nie zainstalowane w firmie procedury, które pomimo tego, że ta głosówka gdzieś tam się pojawiła, wymagały jakiejś dodatkowej autoryzacji, to ten przelew by z firmy wyszedł. Brzmiało to naprawdę nie do powtórzenia.

P: Dlaczego Polska jest w tym top 5?

Tutaj widzę, że na czacie się pojawiło pytanie, dlaczego Polska jest w tym top 5. No prawdopodobnie dlatego, że jesteśmy krajem, który jest położony w centralnej Europie. Jesteśmy tak naprawdę wschodnią rubieżą Unii Europejskiej. I tutaj ten nasz, ci nasi wschodni sąsiedzi nas mocno podgryzają dosyć często i coraz częściej się to ostatnio zdarza.

Zdarzają się próby ataków, czy to na naszą infrastrukturę, czy na wodociągi, czy na energetykę, czy na PKP. O niewielkiej tak naprawdę liczbie takich ataków jesteśmy informowani ze względu na to, jaką politykę mają nasze służby i nasze państwo. Natomiast wiemy doskonale, że takich ataków jest ostatnio coraz więcej.

Czym jest RANSOMWARE?

Przejdźmy sobie dalej. Tutaj pytanie takie ogólne: czym jest ransomware? Pewnie większość z was wie. Jeżeli nie, no to to jest takie złośliwe oprogramowanie, które działa w ten sposób, że klikniemy na jakiś link albo zainstalujemy jakiś plik, o którym podejrzewamy, że jest bezpieczny. W wyniku działania takiego oprogramowania następuje zaszyfrowanie plików na naszym komputerze czy w całej naszej organizacji i zwykle zwraca się do nas ktoś z żądaniem okupu.

Jest to szczególnie groźne, bo pamiętajmy o tym, że dla niektórych organizacji, dla większości organizacji brak dostępu do systemów, z których korzystają, każdy dzień braku takich dostępów to są bardzo wysokie straty. Dla większości firm kilka tygodni bez dostępu do tego powoduje tak naprawdę zamknięcie działalności i bankructwo.

NIS2 oraz ustawa o krajowym systemie bezpieczeństwa

I w tym momencie właśnie pojawia nam się NIS2 i ustawa o krajowym systemie cyberbezpieczeństwa. NIS2 jest takim podejściem, które ma zapewnić podstawowy, minimalny poziom bezpieczeństwa we wszystkich krajach członkowskich i jest to skierowane właśnie po to, aby walczyć z tymi zagrożeniami i skupia się tutaj na takich krytycznych, ważnych dla każdego kraju sektorach po to, aby nie destabilizować gospodarek czy państwa, czy sposobu funkcjonowania poszczególnych sektorów.

Dyrektywa weszła w życie w styczniu 2023 roku. Natomiast jako, że jest to dyrektywa, to po to, aż żeby ją wdrożyć skutecznie we wszystkich krajach członkowskich, konieczne jest też implementowanie ich za pośrednictwem aktów krajowych, w naszym przypadku ustawy. 

Niestety do dzisiaj jeszcze się nie doczekaliśmy uchwalenia tej ustawy. Prace trwają. Na stronach Sejmu można zobaczyć jak wygląda ten projekt i na jakim jest etapie. Jeszcze trwają prace nad tą ustawą.

Główne założenia i obowiązki NIS2

Tutaj pozwoliłem sobie wypisać kilka takich rzeczy, które są najistotniejsze i tak ogólnie opisują czym ten NIS2 właściwie jest i co jest w nim najistotniejsze. Tutaj istotne jest to, że wskazane są sektory i przedsiębiorcy, organizacje, które podlegają pod przepisy tej dyrektywy. Jest to aż 18 sektorów w zakresie usług publicznych i prywatnych i do tego sobie przejdziemy dalej. 

Cechą charakterystyczną NIS2 jest to, że powinien taki przedsiębiorca sam sprawdzić, czy on podlega pod NIS2 i wpisać się do rejestru podmiotów kluczowych lub ważnych. Należy wprowadzić system, który będzie zarządzał systemem bezpieczeństwa i będzie zapewniał ciągłość działania naszej organizacji.

Mamy tutaj dosyć duże zaostrzenie wymogów dotyczących bezpieczeństwa. Mamy tutaj właśnie dużo o podejściu opartym na ryzyku, które polega na identyfikacji tych ryzyk, na zarządzaniu tymi ryzykami, na opracowywaniu procedur, które mają zadziałać w przypadku, jeżeli takie ryzyka się zmaterializują. To oczywiście wiąże się z tworzeniem dokumentacji, procedur i klucz tutaj tego NIS2 to jest to, że wszelkie incydenty naruszenia bezpieczeństwa w tych organizacjach, które podlegają NIS, podlegają obowiązkowej notyfikacji i są bardzo krótkie terminy. Podobne zresztą jak w RODO. Powinniśmy też te swoje systemy bezpieczeństwa audytować, badać i co jest również istotne, powinniśmy szkolić nasz personel.

Tak jak zobaczycie w dalszej części prezentacji, większość tych przypadków naruszeń i błędów, które się pojawiają, incydentów bezpieczeństwa, wynika z błędów ludzkich, czy to z jakichś zaniechań, czy to z niedbałości, czy to po prostu z niewiedzy. Dlatego ja bardzo zachęcam do szkolenia personelu, szczególnie z tych związanych z socjotechniką, czyli w jaki sposób rozpoznać, że to jest próba wyłudzenia, że to jest phishing, że być może ten mail wcale nie przyszedł od mojego prezesa, a być może ten plik, który dostałem do zainstalowania niosący korzyści wcale nie jest taki fajny, jak nam się wydaje.

P: Skąd mam wiedzieć, czy jesteśmy kluczowym lub ważnym podmiotem?

Jeżeli chodzi o to kto podlega pod NIS, no to mamy tutaj… tutaj jest pytanie od pana Pawła skąd mam wiedzieć czy jesteśmy kluczowym lub ważnym i właśnie teraz do tego przejdziemy. Mamy tutaj różne kryteria. Jednym kryterium jest kryterium wielkości i tutaj to kryterium wielkości też wynika z tego niejako z połączenia… autorzy tej dyrektywy uznali, że jeżeli jakiś podmiot działa w takim sektorze, który jest szczególnie istotny dla bezpieczeństwa i jest podmiotem dużym, czyli zatrudnia co najmniej 250 pracowników, ma przychody na poziomie minimum 50 milionów euro, no to prawdopodobnie on dla tego rynku, dla tej grupy usług, którą reprezentuje, jest kluczowy i wtedy taki podmiot podlega pod NIS2.

Mamy również podmioty ważne, które są mniejsze, czyli mają od 50 do 249 pracowników i 10 milionów przychodu. I oni z kolei są podmiotami ważnymi, które mają trochę mniej obowiązków niż te kluczowe, ale dalej podlegają pod NIS.

Jest również taka sytuacja, w której mali i średni przedsiębiorcy również mogą podlegać pod NIS2. I to są takie dwie podstawowe sytuacje, czyli jedna to jest taka, jeżeli są w łańcuchu dostaw, jeżeli są podwykonawcą, jeżeli są dostawcą dla któregoś z tych podmiotów, które są kluczowe lub ważne i podlegają pod NIS, no to również ci przedsiębiorcy z MŚP mogą podlegać pod te wymogi.

Natomiast mogą również podlegać bezpośrednio, czyli jeżeli organ nadzorczy uzna, że pomimo tego, że ten podmiot jest niewielki, ma mniej niż 50 pracowników, ale usługi, które świadczy są bardzo ważne, są kluczowe, są istotne dla utrzymania danego sektora gospodarki. Nie wiem, wyobraźmy sobie, że jest jakaś niewielka firma technologiczna, która jednak prowadzi jakieś duże centrum przetwarzania danych albo jest firmą, która zapewnia jakieś usługi telekomunikacyjne, które są bardzo istotne, no to ona również może zostać uznana za kluczową i może również podlegać pod NIS.

Podmioty kluczowe a podmioty ważne

I tutaj mamy też troszeczkę bardziej szczegółowo. Tutaj zwróćmy uwagę, że podmioty kluczowe to może być, tak jak mówiłem, zarówno duży, średni jak i mały przedsiębiorca, jeżeli prowadzi szczególną działalność, którą mamy tutaj wpisaną po lewej stronie, a po drugiej stronie mamy wpisane jakby takie sektory, w których te podmioty kluczowe się pojawiają, czyli to jest energetyka, transport, bankowość, rynki finansowe, ale też ochrona zdrowia, ale też takie rzeczy, które zapewniają takie bytowe rzeczy dla społeczeństwa, czyli na przykład zapewnienie wody pitnej czy na przykład odbiór ścieków. Co jest istotne, infrastruktura cyfrowa, czyli na przykład centra danych czy operatorzy chmurowi, czy też zarządzanie usługami tymi informatycznymi, telekomunikacyjnymi, to są takie sektory, które w dobie dzisiejszej gospodarki są uznawane za kluczowe.

Natomiast podmioty ważne to są ci przedsiębiorcy, którzy nie są kluczowymi. I tutaj mamy trochę inne sektory. Tutaj mamy takie sektory jak usługi pocztowe i kurierskie, gospodarowanie odpadami, pewne sfery produkcyjne, czyli to są takie produkty, które są szczególnie istotne dla gospodarki, a także chemia, żywność, ale też dostawcy usług cyfrowych, czyli na przykład platformy sieci społecznościowych, dostawcy wyszukiwarek i tak dalej.

Zarządzanie incydentami bezpieczeństwa i zgłaszanie

I teraz króciutko, co to jest incydent bezpieczeństwa, no bo to też jest kluczowe dla stosowania NIS2. Czyli mamy już sytuację, że stwierdziliśmy, że na podstawie tych kryteriów, które są, działamy w takim i takim sektorze. Nasza działalność na tym i na tym polega. Jesteśmy zobowiązani do stosowania NIS2. W związku z tym podejmujemy różne czynności, czyli wdrażamy sobie jakąś dokumentację, oceniamy ryzyko, wyznaczamy osobę, która jest odpowiedzialna za to, między innymi wdrażamy sobie taką procedurę, która dotyczy zarządzania incydentami bezpieczeństwa i badamy sobie, co tym incydentem może być. No i tutaj mamy wypisane takie sytuacje, które tym incydentem poważnym mogą być. Czyli to jest coś, co powoduje lub może powodować na przykład wstrzymanie na pewien czas działalności przez nas, ale też może to stanowić na przykład jakiś wyciek danych, tego typu sytuacje.

I to co jest dla nas istotne, powinniśmy takimi incydentami zarządzać. Powinniśmy wiedzieć jak się w takiej sytuacji zachować. Powinniśmy robić dokumentację takiego incydentu, badać dlaczego on wystąpił, podjąć później działania, żeby zminimalizować jego skutki i zastanowić się, co zrobić, żeby w przyszłości taki incydent nie miał miejsca. Jeżeli mieliśmy jakąś lukę w zabezpieczeniach, jeżeli popełniliśmy na przykład lukę w zabezpieczeniach albo mieliśmy niezaktualizowane oprogramowanie, no to powinniśmy to doprowadzić do porządku.

Jeżeli ten incydent powstał w wyniku błędu ludzkiego, no to zastanówmy się. Być może te procesy, które mamy nie są wystarczająco dobre. Może trzeba gdzieś wprowadzić jakąś podwójną weryfikację, a przede wszystkim być może nie szkolimy we właściwy sposób ludzi. Dlatego oni te błędy popełniają. Może trzeba po prostu bardziej zwrócić uwagę na pewne zdarzenia, na przykład zwrócić większą ich uwagę na te możliwości fishingu czy jakichś prób wyłudzeń.

Jeżeli jesteśmy przy tych incydentach, to bardzo duży nacisk w NIS2 jest położony na to, żeby te incydenty zgłaszać. Wynika to z tego, że nasze organy państwa chciałyby wiedzieć o tym, że te incydenty mają miejsce. Jeżeli nie będziemy tego zgłaszać, no to nie będzie rząd wiedział o tym, że na przykład taki atak hakerski może mieć miejsce na jakiś określony cały sektor, albo może po prostu na całą naszą gospodarkę, albo że ktoś nas właśnie atakuje. Jeżeli nie będziemy tego raportować, służby nie będą wiedziały, co się dzieje i w jaki sposób mogą tutaj reagować.

To co jest istotne, mamy bardzo krótkie czasy, mamy max 24 godziny od wykrycia incydentu na zgłoszenie tego i nawet jeżeli nie wiemy tak do końca, czy ten incydent jest, czy nie, jeżeli mamy tylko podejrzenie, nie znamy jeszcze jego skutków, to i tak ja zalecam, zalecał będę zgłaszanie tego. Później mamy w ciągu 72 godzin uzupełnić to, co udało nam się ustalić w tym czasie. No i w przypadku jakichś poszczególnych organów tych nadzorczych, one mogą żądać jakichś okresowych raportów od nas, ile incydentów miało miejsce, na czym polegały i tak dalej, i tak dalej. No i powinniśmy też złożyć sprawozdanie końcowe w ciągu miesiąca od zgłoszenia takiego naruszenia, jak ono się zakończyło, szczegółowy opis, jakie zastosowane środki zaradcze i co zrobimy, żeby w przyszłości się bronić przed takimi zdarzeniami.

Gdzie zgłaszać incydenty i weryfikacja kontrahentów

Gdzie zgłaszać takie incydenty? To jest rzecz, która jeszcze nie jest ustalona, ponieważ nie mamy jeszcze ustawy. Natomiast prawdopodobnie będzie to CERT NASK. Tak jest w projekcie. Jest strona, na której już dzisiaj można, na stronie CERT-u zgłaszać wszelkie incydenty. One nawet nie są związane z NIS2. Jeżeli u was w firmie coś się zadziało, macie jakiś atak hakerski, próbę wyłudzenia, zachęcam do zgłaszania takich rzeczy. Moim klientom to doradzam i ja też to robię, bo im więcej osób będzie zgłaszało tego typu incydenty, tym jest większa szansa, że organy państwa, że służby znajdą źródło takiego zdarzenia.

P: Jak bezpiecznie weryfikować kontrahentów, żeby mieć pewność, czy oni podlegają pod NIS2 i czy w związku z tym również mamy taki obowiązek, czy takie podmioty powinny o tym informować?

To jest tak: jeżeli my jesteśmy podmiotem, który jest obowiązany do stosowania NIS2 i mamy kontrahentów, którzy są dla nas istotni i są w naszym łańcuchu dostaw, no to my będziemy mieli obowiązek, żeby pewne rzeczy na nich przerzucić. No bo my jesteśmy odpowiedzialni za to, żeby ta nasza usługa działała w sposób nieprzerwany i bezpieczny.

I jeżeli do działania przez nas na przykład potrzebna jest przestrzeń serwerowa, jakieś centrum przetwarzania danych i tak dalej, no to ten nasz dostawca powinien wiedzieć o tym, że my jesteśmy podmiotem podlegającym pod NIS2 i że on musi robić u siebie odpowiednie rzeczy, czyli też dbać o to bezpieczeństwo, przynajmniej w takim stopniu, w jakim my dbamy i też powinien na przykład nas informować o tym, jeżeli u niego jakiś taki incydent, naruszenie ma miejsce.

Kierownik ds. cyberbezpieczeństwa i konsekwencje

Przejdźmy dalej. Tutaj jest istotna rzecz, czyli to są osoby odpowiedzialne za cyber security. NIS2 nakłada na nas taki obowiązek, żebyśmy zatrudnili, powołali tak zwanego kierownika do spraw cyberbezpieczeństwa. To jest troszeczkę taki odpowiednik inspektora ochrony danych, tylko trochę więcej, bo inspektor ochrony danych generalnie dba o to, żeby to wszystko działało i było zgodne z rozporządzeniem. Natomiast ten kierownik do spraw cyberbezpieczeństwa trochę więcej musi robić, czyli tak jak widzimy podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu nadzoru systemu zarządzania bezpieczeństwem informacji. Planuje środki finansowe na to, przydziela zadania z zakresu bezpieczeństwa i tak dalej, i tak dalej. Co istotne, też taka osoba powinna mieć odpowiednie kwalifikacje do tego i przynajmniej raz w roku kalendarzowym powinna przejść odpowiednie szkolenie z zakresu wykonywania obowiązków NIS2.

To jest istotne i generalnie tutaj zwracam uwagę, że po pierwsze dla organizacji jest dobrze taką osobę mieć. Po drugie, gdyby się okazało, że w naszej organizacji doszło do jakiegoś takiego poważnego naruszenia incydentu i organ zdecyduje się nas skontrolować i będzie pytał co się wydarzyło, no to też musimy wykazać, że taką osobę w organizacji mamy i że ona posiada odpowiednie doświadczenie.

Z czym to się wiąże? Konsekwencje nieprzestrzegania NIS2. No niestety jak zwykle wiąże się to z karami finansowymi. Jeżeli te podmioty kluczowe nie przestrzegają tych wytycznych, które są zawarte w NIS2, nie zgłaszają incydentów, na przykład nie powołają tego kierownika, nie szkolą personelu, zachowują się w sposób, który jest niezgodny z NIS2, no to mamy tutaj kary sięgające 10 milionów euro lub 2% całkowitego rocznego obrotu przedsiębiorstwa. Podmioty ważne, czyli te, które są o półkę niżej, mają 7 milionów lub 1,4%.

I to co jest też istotne i to co powinno zawsze zwrócić uwagę osób kierujących przedsiębiorstwem, członków zarządu, to tutaj też przewidziana jest osobista odpowiedzialność tych organów zarządzających. Jeżeli prezes zarządu nie zadbał o to, żeby na przykład takiego kierownika powołać, to może również dostać karę finansową on jako osoba, a nie tylko firma jako organizacja.

P: Czy na wprowadzenie tych zmian są przewidziane jakieś środki państwa albo darmowe szkolenia? 

Ja o tym nie wiem. Być może jeżeli się pojawi już ustawa, to jakieś programy takie będą miały miejsce. Natomiast na dzisiaj czegoś takiego nie ma. Dobrze, z mojej strony to tyle. Jeżeli będą się pojawiały jeszcze jakieś pytania, to jeżeli starczy nam czasu, to odpowiemy na nie jeszcze na koniec po części Dominiki. Także ja bardzo dziękuję i Dominika, bardzo proszę ciebie.

Praktyczne bezpieczeństwo w Google Workspace

Dominika: Damian, to jeszcze tylko cię poproszę o właśnie o ekran. Dzień dobry. Ja nazywam się Dominika, jestem customer success specialist w FOTC i tak jak tutaj Magda wspomniała, od czterech lat pomagam naszym klientom. W ubiegłym tygodniu zresztą wraz z Damianem byliśmy na Google Summit w Warszawie. No i jak rozmawiałam z ludźmi, przedstawiałam się skąd jestem, często widziałam zakłopotanie na ich twarzach.

Wtedy pytałam, z czego korzystacie w swojej firmie wysyłając maile, za pomocą czego tworzycie dokumenty, gdzie wrzucacie kalkulacje albo jak się spotykacie. No i odpowiedzi były takie, że mamy Gmail, mamy dokumenty, mamy arkusze, mamy Meet, czyli właśnie te narzędzia, które wchodzą w skład pakietu Google Workspace, w którym ja się specjalizuję.

I to o czym chciałabym dzisiaj powiedzieć przy współpracy tutaj z Damianem… moja część jest mniej teoretyczna, jest bardziej praktyczna, dlatego że bezpieczeństwo, zwłaszcza bezpieczeństwo internetowe, nie dotyczy tylko mnie, dotyczy każdego z osobna, każdej firmy, każdego pracownika i to nie tylko NIS. Mamy inne regulacje, które już są obowiązujące, takie jak RODO czy też DORA, z każdym dniem pojawiają się nowe, więc naszym zadaniem jako tutaj użytkownika internetu, użytkownika właśnie pakietu Google Workspace jest przede wszystkim bycie świadomym, że pewne elementy wymagają naszej dodatkowej uwagi.

Koszty naruszeń i błąd ludzki

I tutaj Damian już pokazywał pewne statystyki, natomiast ja pozwoliłam sobie przygotować statystyki, które są… myślę, że dotyczą trochę bardziej nas wewnętrznie, bo z bezpieczeństwem internetowym jest trochę jak z przebieganiem przez ulicę. Możemy przebiec 100 razy, 1000 razy, nic się nie wydarzy. Natomiast wystarczy jedno zdarzenie, które zaważy na naszym zdrowiu, życiu, a w przypadku naszej firmy również na finansach.

W 2023 roku według raportu IBM Security średni globalny koszt naruszenia danych wyniósł prawie 4,5 miliona dolarów i to bez ataków ransomware, o których właśnie Damian wcześniej wspominał. Są to poważne koszty i wtedy jak słyszymy takie informacje, jak widzimy takie statystyki, zawsze wydaje nam się, że akurat nas to nie dotyczy. Mimo że z każdym dniem, co tydzień dostajemy informacje czy to z jakichś takich ogólnych państwowych źródeł, czy chociażby ze stron typu Niebezpiecznik, gdzie wymieniane są właśnie wycieki danych, wycieki list kontaktów i często haseł. Wydaje nam się, że nie, to nie dotyczy mojej firmy. Dotyczy i niestety często jest tak, że właśnie powodem tych ataków jest zwyczajnie błąd ludzki. Nie jest to błąd związany z tutaj z jakimś złym działaniem. Często wynika ze zwykłego przeoczenia, braku wiedzy, niezauważenia.

I właśnie tutaj wychodzi nam naprzeciw Google Workspace, czyli zestaw narzędzi, taki całościowy, który nie tylko pozwala nam na współpracę pomiędzy sobą, pomiędzy pracownikami naszej firmy, ale też z góry zakłada, że ten błąd ludzki jest najważniejszym czynnikiem, który może powodować pewne braki w bezpieczeństwie i zabezpiecza nas na takim trochę wyższym poziomie. 

Google Workspace jest platformą o bardzo wysokim bezpieczeństwie w swojej bazowej warstwie. Zależy to jednak od tego, w jaki sposób skorzystamy z narzędzi, które są nam dane.

Ja w swojej praktyce współpracy z firmami wiem, że często pomimo tego, że mamy pewne ustawienia, mamy narzucone pewne ustawienia chociażby wymogami prawnymi, nie są one spełniane. 

Takim dobrym przykładem jest kwestia przetwarzania danych. Już od kilku lat powinniśmy te dane przetwarzać na terenie Unii Europejskiej. Wymaga tego między innymi RODO. Ta opcja dostępna jest w pakietach Google Workspace od pakietu Business Standard, czyli prawie że taka basicowa. Natomiast na pytanie gdzie przetwarzacie dane osobowe często odpowiedź jest: nie wiem, powinniśmy mieć zaznaczone, powinniśmy mieć to zrobione, mamy chyba w Europie. Więc mamy narzędzia, które daje nam Google Workspace, musimy z nich tylko korzystać.

Codzienne sytuacje zagrożenia i sieci Wi-Fi

I tutaj jeżeli rozmawiamy właśnie o bezpieczeństwie, jesteśmy tak bezpieczni jak nasze najsłabsze ogniwo. Pomyślmy o łańcuchu. Mimo że całościowo wydaje nam się, że mamy zabezpieczone komputery, mamy antywirusy, mamy regulacje, które być może tutaj dostarczają właśnie firmy takie jak Damiana, które narzucają nam pewne obowiązki. W praktyce często zdarza się, że jedno działanie, działanie naszego pracownika może spowodować, że konsekwencje dotkną naszej firmy.

Mówimy o pracownikach, natomiast jestem pewna, że samodzielnie też często napotykamy na tego typu elementy, które mogą mieć wpływ na nasze działanie. Ja w ubiegłym tygodniu osobiście otrzymałam maila od firmy dostarczającej energię z prośbą o dopłacenie niewielkiej kwoty do faktury. Oczywiście był to atak. Tutaj można było to zauważyć chociażby w adresie e-mail, który przyszedł. Natomiast hakerzy czy firmy, które atakują nas, bo to też są firmy, są coraz mądrzejsze, coraz dokładniej badają nasze potrzeby, to jak działamy po to, żeby dotrzeć z tym atakiem, z tymi działaniami i uderzyć tam, gdzie najbardziej będzie nas bolało.

Tak jak wspominałam, w ubiegłym tygodniu była w Warszawie. Wracałam pociągiem do siebie do domu. W trakcie jazdy pracowałam, pracowałam na komputerze, korzystałam ze swojego internetu, z telefonu. Czy był stabilny? Niezbyt. Czy przyszło mi do głowy, żeby skorzystać z Wi-Fi dostarczanego przez Koleje Polskie? Oczywiście, że tak. Natomiast czy to było bezpieczne? Niespecjalnie.

I tutaj to, o czym ja chcę wam opowiedzieć, to właśnie takie codzienne sytuacje, w których z których składa się nasze życie, życie naszych pracowników, ten czas, który spędzają w pracy i elementy, na które my możemy wpłynąć jako właściciele firm, jako administratorzy po to, żeby z góry zabezpieczyć się przed takimi wydarzeniami. 

Łatwo sobie wyobrazić sytuację, w której jedziemy do innego miasta, my lub nasi pracownicy, na spotkanie z klientem, ale musimy jeszcze odpisać na maila albo musimy sprawdzić prezentację. Więc siadamy w McDonaldzie, zamawiamy kawę, otwieramy komputer i logujemy się do  publicznej sieci Wi-Fi, która może, ale nie musi spowodować to, że nasze dane wyciekną gdzieś na zewnątrz. Natomiast to, co dostarcza nam Workspace, to właśnie narzędzia, które pozwolą nam z góry zabezpieczyć się przed takimi wydarzeniami.

Przykłady ataków i aplikacje zewnętrzne

Tak jak tutaj już wcześniej mieliście na prezentacji, najsłabszym ogniwem wszystkich zabezpieczeń jest właśnie człowiek. Często te błędy, które związane są z bezpieczeństwem wynikają z działania poszczególnych osób. I pomimo, że mamy pewne regulacje w firmach, bo każda firma powinna takie regulacje mieć, albo są ignorowane, albo nie mamy wpływu na to, jak zachowają się na co dzień nasi pracownicy. I tutaj, tak jak wspomniałam, może być to logowanie się do publicznej sieci Wi-Fi naszymi danymi firmowymi. Może być to kwestia otrzymania maila. To są takie przykłady, z którymi mamy do czynienia na co dzień.

Jakiś czas temu bardzo popularnym sposobem, bardzo popularnym atakiem, bo otrzymałam kilka telefonów w ciągu jednego tygodnia z podobną sytuacją, był przypadek, w którym podobnie jak Damian tutaj wspominał, firmy otrzymały maila od rzekomo prezesa do działu księgowości z prośbą o wykonanie przelewu. I tutaj jeśli chodzi o dane prezesa, to akurat było dość proste. Większość firm ma reprezentację w KRS-ie, łatwo to sprawdzić, jest to ogólnie dostępne. Natomiast często działy finansowe mają bardzo podobne maile, czyli finanse małpa nazwa firmy, księgowość małpa nazwa firmy.

I tym konkretnym przypadku, który opisuję, przychodził mail z adresu prezesa, w którym na przykład dodana była jedna kropka pomiędzy imieniem a nazwiskiem, więc mail wydawał się bardzo prawdopodobny z prośbą o wykonanie przelewu, z prośbą o tutaj dopłacenie, bo akurat gdzieś tam brakło. Tego typu ataki zostały zablokowane przez księgową dzięki temu, że wzięła telefon, zadzwoniła, potwierdziła, czy faktycznie takie zlecenie było ze strony prezesa i udało się to zablokować. Natomiast w następnym tygodniu otrzymałam kilka podobnych telefonów od firm, które również miały tego typu ataki bezpieczeństwa na ich bezpieczeństwo, na ich infrastrukturę. I padało pytanie, skąd wzięły się te dane, czyli skąd te firmy, te osoby, które wykonały tego typu działanie wiedziały jakie mamy maile, jak wygląda nasza komunikacja wewnątrzfirmowa.

I tutaj właśnie wchodzi kwestia bezpieczeństwa. O ile wszyscy wiemy, że hasła powinny być chronione, że powinniśmy mieć dwustopniowe logowanie, to często to bezpieczeństwo jest najsłabsze w sektorach, o których w ogóle nie myślimy. 

Dla przykładu Google daje nam możliwość logowania się kontem do aplikacji zewnętrznych, do aplikacji, do stron. Jestem pewna, że każdy z nas miał do czynienia z tego typu logowaniem i po prostu klikał jak leci wszystkie tutaj zaznaczał wszystkie ptaszki, zezwalał na to co było tam zapisane bez szczegółowego czytania.

I często się dzieje, że aplikacje, które z pozoru wydają się zupełnie niegroźne, na przykład aplikacja obsługująca mapy na naszej stronie internetowej może mieć dostęp do listy naszych kontaktów. Taki przypadek mieliśmy u jednego z naszych klientów i ta aplikacja pobierała listę kontaktów wewnętrznych firmowych, która potem posłużyła między innymi właśnie do ataków phishingowych na tę firmę.

Jeśli korzystamy z Google Workspace w konsoli administracyjnej możemy zajrzeć, przyjrzeć się właśnie tym aplikacjom, które są tam wymienione, z których skorzystali nasi pracownicy. I o ile często są to właśnie aplikacje znane albo takie, z których faktycznie korzystamy do wykorzystania w naszej pracy, zdarza się, że są to również aplikacje, które niekoniecznie chcielibyśmy kojarzyć z naszą firmą.

Tutaj dobrym przykładem jest podczas wyborów, kiedy pracownik zalogowany do strony publikował treści związane z wyborami polityczne kontem firmowym, więc od razu było to powiązanie z firmą. Ale zdarzają się też aplikacje, które oprócz tego, że pobierają nasze dane albo otrzymują dostęp do naszych dokumentów, również mogą spowodować, że zostaniemy obciążeni dodatkowymi kosztami.

I tutaj przykładem może być pracownica działu marketingu, która posiadała dostęp do firmowego konta GCP Google Cloud i testowała jedną z aplikacji. My tym kontem firmowym również się opiekowaliśmy jako FOTC i zauważyliśmy, że w ciągu weekendu zostało wydane kilkanaście tysięcy złotych, które zostały ściągnięte właśnie przez działania w tej aplikacji. W poniedziałek zablokowaliśmy te działania, zgłosiliśmy to administratorowi. Okazało się, że nie było to planowane i tutaj firma została obciążona kosztem. Więc takie z pozoru niegroźne działania, które tutaj był to test aplikacji, które nie wydają się groźne na pierwszy rzut oka, mogą spowodować, że faktycznie nasza firma zostanie obciążona kosztami czy fizycznymi wynikającymi z niedotrzymania jakiejś ustawy, czy właśnie związanymi z chociażby z naszym wizerunkiem.

Zarządzanie dostępem do dokumentów

Czy jeżeli obsługujemy Google Workspace, pytanie jest takie, czy wiemy komu udostępniamy dokumenty? Wydaje mi się, że wiele firm z mojej praktyki, przynajmniej tak wynika, udostępnia dokumenty, udostępnia pliki, nie zawsze zatrzymując ten dostęp. Zdarzyło się, że jak przygotowywaliśmy audyt dla jednej z firm, okazało się, że ta firma konkretnie udostępniła wszystkie swoje zasoby innej firmie, która przygotowała dla nich pozycjonowanie i stronę internetową. Natomiast było to 5 lat temu, więc te dostępy zostały nadane. Ktoś zapomniał je odebrać. W międzyczasie w tej drugiej firmie też zmieniali się pracownicy. Nie można powiedzieć, żeby było to działanie bezpieczne.

Innym przykładem takim z praktyki, który również może mieć zastosowanie czy może zostać zablokowany przez odpowiednie ustawienia konsoli administracyjnej, była sytuacja, w której pracownik wybrał się do kuzyna, potrzebował na szybko sprawdzić maile, zalogował się do swojego konta firmowego, pobrał dane, natomiast zapomniał się wylogować i zostawił otwarty sprzęt z dostępem osób trzecich. Ta sytuacja również nie skończyła się dobrze.

Podobnym przykładem jest możliwość udostępniania, pobierania poczty albo taka aplikacja, która nazywa się dysk na komputer, czyli pobierania danych na komputer stacjonarny bez kontroli nad tym, co to za komputer, co to za narzędzie i czy faktycznie pracownik ma prawo na to narzędzie pobierać. Jeśli nie zablokujemy tego wcześniej, jeśli nie zaplanujemy takiej sytuacji, to właśnie może się zdarzyć, że takie działanie zostanie wykonane.

Tutaj oprócz samych ustawień, które mamy w ramach Google Workspace, wchodzimy też my jako FOTC, czyli właśnie partner Google’a, który opiekuje się klientami i wspiera ich w codziennym działaniu. Często zdarza się, że nasze działy IT, nasze zasoby są niewielkie albo mają w tym konkretnym czasie, a często jest to długi czas, inne rzeczy, którymi powinny się zajmować i zwyczajnie nie ma przestrzeni na to, żeby zająć się faktycznie bezpieczeństwem od takich zupełnych podstaw.

I w tym wypadku my możemy wspomóc chociażby oferując support, czyli taki zdalny działy IT, który pomoże w monitorowaniu, w kontrolowaniu środowiska Workspace i pokryje właśnie wszystkie te sektory, na które na co dzień nie mamy czasu. 

Tutaj dobrym przykładem zastosowania właśnie supportu jest przykład, w którym pracownik w piątek o godzinie 22:00 udostępniał dużą liczbę plików poza organizację. Nasz administrator, który pełnił dyżur 24-godzinny, zauważył co się dzieje, zgłosił to firmie, która korzystała z tego supportu i jak się okazało pracownik w poniedziałek planował się zwolnić, odejść do konkurencji i po prostu przekazywał sobie dane, zostawiał je na później. Więc w takich sytuacjach tutaj akurat mogliśmy wesprzeć tę firmę. Pomagamy też w ustawieniach Workspace, bo zdajemy sobie sprawę, że jest tego dużo. Nie zawsze firmy mają czas, nie zawsze administratorzy też są w ten sposób wyszkoleni, żeby wiedzieć co zastosować, co ustawić, co jest najważniejsze. Od tego jesteśmy my, żeby właśnie pomóc.

Audyt bezpieczeństwa i ochrona danych

Natomiast powinniśmy przede wszystkim sprawdzić co jest nie tak. I tutaj przychodzi nam z pomocą audyt bezpieczeństwa NIS, o którym Damian wspominał wcześniej. Oprócz tego, że narzuca konieczność dbania o te incydenty, narzuca też konieczność właśnie audytowania się i sprawdzania, w jakim momencie jesteśmy teraz, co jest nie tak, co powinniśmy poprawić. My akurat sprawdzamy 237 punktów ryzyka w samym Workspace, więc jak widzicie jest tego dość sporo. I sprawdzamy ze stanem faktycznym, czyli jak to wygląda, jak powinno wyglądać. A na takiej sesji poaudytowej dopracowujemy szczegóły, bo zdajemy sobie sprawę, że nie każda firma musi mieć akurat zastosowane wszystkie opcje, które są zalecane, bo może to wynikać zwyczajnie z ich działania. Natomiast warto o tym myśleć. Warto dbać o te ustawienia, które są.

Warto też zabezpieczać się na takim trochę wyższym poziomie. Czyli tutaj chociażby przykładem dobrym mogą być reguły DLP, czyli takie reguły, które zapobiegają wyciekaniu danych. I o ile mamy standardowe reguły dotyczące danych osobowych, takich jak numer dowodu, takich jak PESEL, o tyle możemy je też bardziej sprecyzować i to właśnie tutaj rozmawiamy z klientami często i wspomagamy ich w takim działaniu, do rzeczy, które są faktycznie dla nas ważne. Mamy firmę produkującą słodycze. Oni właśnie w regułach DLP wrzucili sobie wszelkie receptury po to, żeby one też nie mogły być udostępnione na zewnątrz. I tutaj nawet nie tyle jest to kwestia bezpieczeństwa, co po prostu tajemnicy firmowej.

Wspominam o firmie, która udostępniała swoje foldery na zewnątrz przez 5 lat. Takich sytuacji jest więcej. Natomiast po to, żeby to faktycznie sprawdzić, możemy pomóc właśnie wykonując audyt dysku, czyli przygotowując taki raport, co, komu, gdzie, jak jest udostępnione, w jakich ilościach, co pomoże nam w zweryfikowaniu i ewentualnie zablokowaniu pewnych działań.

W tym miejscu wspomnę jeszcze, że w samym Workspace już dawno mamy wprowadzoną taką opcję, która pozwala na na przykład określanie na jak długo pewien plik, który udostępniamy ze swojego dysku może być udostępniony tej osobie, do której go wysyłamy. Natomiast nie wszyscy wiedzą, że taka opcja jest albo że można z niej skorzystać. A jest to dość kluczowe, jeżeli udostępniamy wrażliwe dane, wrażliwe foldery z naszej firmy.

Więc jeśli nie wiemy, że taka opcja jest, skorzystajmy ze szkoleń. NIS narzuca szkolenia dla pracowników naszej firmy, o których wspominał Damian. Narzuca też konieczność szkolenia administratorów i tu możemy pomóc, możemy was wesprzeć, przygotować zakres zarówno dla pracowników jak i dla administratorów i zadbać o to, żeby w praktyce nauczyć pracowników waszych firm jak powinni się zachowywać w konkretnych sytuacjach zagrożenia, zagrożenia bezpieczeństwa.

Na koniec mamy też nowe narzędzie, które ostatnio się pojawiło i jest to nieco bardziej zaawansowane narzędzie, które w odróżnieniu od takiego audytu jednorazowego pomaga szczególnie dużym firmom na co dzień w działaniu w zakresie bezpieczeństwa danych, ich kontroli, synchronizacji i zarządzania. Można z niego skorzystać. Można też na co dzień z nami się skontaktować z osobami takimi jak ja, które tutaj wspierają was w Workspace. Pokażemy, poinformujemy, wskażemy wam też kierunki, którymi warto się zainteresować, jeżeli chodzi o narzędzia, z których korzystacie przecież na co dzień, po to, żeby właśnie było bezpieczniej.

Tutaj dla uczestników webinaru, jeżeli chodzi o FOTC, przygotowaliśmy też taką promocję, czyli na wybrany produkt, o którym tutaj wspominam, jest 40% rabatu. Jeśli odezwiecie się do nas po webinarze, możemy wam pomóc faktycznie się zabezpieczyć. Magdo, oddaję ci głos.

Sesja pytań i odpowiedzi (Q&A)

Magda: Tak, dziękuję w ogóle ślicznie. Chciałabym serdecznie podziękować prelegentom za bardzo ciekawe wystąpienia. To była naprawdę ogromna dawka praktycznej wiedzy. Z tego co widziałam na czacie, pozostało jeszcze kilka pytań, więc już jest tutaj… jakbyśmy mogli jeszcze na chwilkę do nich wrócić i na nie odpowiedzieć. A były to pytania między innymi od pani Joanny. Tutaj ponowiła pytanie, ponieważ z prezentacji nie była pewna. Damian, skąd ma pani Joanna wiedzieć, czy są podmiotem kluczowym lub ważnym, czy są jakieś kryteria? Tak bym mogła tylko poprosić o powtórzenie.

P: Skąd mam wiedzieć, czy jesteśmy podmiotem kluczowym lub ważnym? Czy są jakieś kryteria?

Damian: Okej, to tutaj sprawa nie jest tak do końca prosta, bo to zależy… trzeba byłoby sobie zrobić taki trochę test, czyli to zależy zarówno od wielkości przedsiębiorstwa, czyli od przychodów, od ilości zatrudnionych ludzi, oraz od tego w jakim sektorze gospodarki i czym się tak dokładnie pani firma zajmuje.

Ja przyznam, że my dla swoich klientów przygotowaliśmy taki arkusz testowy, który pomaga sprawdzić, czy jesteśmy takim podmiotem, czy nie. Ja sobie pozwolę go tutaj wam pokazać. Wyłączysz Dominika, proszę. Okej, dobra. (Część widoczna na nagraniu 50:00 min) To jest dosyć rozbudowany Excel, który jest tutaj i on tak naprawdę odnosi się do tych wymogów, które są określone w NIS, czyli idziemy zarówno od liczby pracowników, od przychodów, sumy bilansowej i wybieramy tutaj zgodnie z załącznikami do NIS2 jakie usługi dokładnie świadczymy, czy jesteśmy na przykład instytucją kredytową albo które usługi z infrastruktury cyfrowej świadczysz.

I generalnie to wszystko tak działa, że gdybyśmy sobie wypełnili ten załącznik cały i odpowiedzieli na wszystkie pytania, które tutaj są, to na końcu dostajemy wynik: podlegasz pod NIS albo nie podlegasz pod NIS. Gdybyście państwo byli zainteresowani jakimś doradztwem w tym zakresie albo też na przykład nabyciem wzoru dokumentów, które dotyczą wdrażania NIS, w tym na przykład jest ta ankieta, to ja bardzo proszę o kontakt mailowy. Pewnie dane, namiar do mnie, Magda, w podsumowaniu gdzieś tam wszystkim wyślesz i wtedy możemy porozmawiać i my takie tego typu dokumenty, które umożliwiają zrobienie łatwego testu udostępniamy.

Magda: Tak, tak, tak. Na pewno właśnie jeszcze w podsumowaniu wraz z nagraniem, które państwo otrzymają oprócz tej zniżki, która była na koniec, to też kontakty do prelegentów również będą. Tak więc będę serdecznie zachęcała do kontaktu.

Damian: To ja jeszcze odpowiem może na to, co jest z mojej działki. O, byłabym wdzięczna bardzo. Tak, pojawiło się pytanie od pana Darka, czyli czy każda firma 250 osób jest podmiotem kluczowym.

P: Czy każda firma zatrudniająca 250 osób jest podmiotem kluczowym?

No nie jest. To jest jeden z warunków, czyli musimy mieć 250 osób plus musimy świadczyć usługi, które są uznane za kluczowe, które są właśnie na przykład w tej tabeli, którą wam przed chwilą pokazywałem wymienione. Czyli jeżeli macie powyżej 250 osób i prowadzicie nie wiem, jesteście elektrownią, no to tak, będziecie kluczowi. Jeżeli dostarczacie wodę pitną dla ludności i jesteście powyżej 250 osób, 50 milionów euro przychodu, tak, będziecie kluczowi. Sam fakt, że jesteście powyżej 250 osób o tym nie przesądza.

P: Obsługujemy Meta Ads i performance dla jednego z ważnych lub kluczowych podmiotów. Czy NIS2 również będzie nas obowiązywał?

Damian: To zależy, co wy tak dokładnie tam robicie. Moim zdaniem nie. No bo jeżeli Meta polega na tym, że wygenerujecie klientów dla tego klienta, dla tego waszego kontrahenta, no to to raczej nie ma wpływu na utrzymanie przez nich ciągłości działania i tak dalej. Gdybyście byli dla nich dostarczycielem całego jakiegoś oprogramowania, na którym oni działają, to wówczas tak.

P: Czy firmy świadczące usługi helpdesk i systemy dziedzinowe dla jednostek samorządu terytorialnego podlegają NIS?

Damian: Mogą podlegać. Bo sektor administracji publicznej jest wyszczególniony i podlega w NIS. To zależy jeszcze jakiego rodzaju to jest helpdesk i co robicie. Jeżeli okaże się, że ten helpdesk umożliwia ludziom, mieszkańcom danego terenu na przykład skorzystanie z usług, czyli na przykład uzyskania no nie wiem, generalnie takich rzeczy, które są potrzebne do codziennego funkcjonowania, to wówczas tak.

Tylko że pamiętajcie, że wy raczej nie będziecie wtedy podmiotem kluczowym, tylko po prostu będziecie w łańcuchu dostaw. Jeżeli ten podmiot administracji uzna, że wasze usługi, wasze usługi helpdeskowe gdyby były przerwane, gdybyście ich nie świadczyli, to ludzie nie mogą korzystać z tego, co im przysługuje w ramach tej organizacji, to wówczas powinien was poinformować i powinien w umowie przerzucić na was pewne obowiązki, które wynikają z NIS2, czyli obowiązek raportowania incydentów, obowiązek dbania o bezpieczeństwo i tak dalej, i tak dalej.

Natomiast nie dzieje się to automatycznie i z mojej strony…

Magda: Jeszcze dosłownie miałabym dwa pytanka tutaj, bo pojawiły się osiem nowe i to jest od pani Anny i od pani Anety. Zacznę od pani Anny, tutaj treść jest: 

P: Prowadzę dwa salony optyczne, z czego w jednym z nich mam podpisaną umowę z NFZ. Łącznie w całej firmie pracuje 10 osób. Czy skoro mam podpisaną umowę z NFZ, to nas to dotyczy, bo z góry, mimo skali działania, świadczę usługi lecznicze?

Damian: Czyli moim zdaniem nie, moim zdaniem nie, dlatego że tutaj ta liczba osób, które są zatrudnione… a jest tam w NIS napisane, że w przypadku podmiotów świadczących usługi lecznicze to tam też jest kryterium osób zatrudnionych i tam też jest chyba 250 osób, więc przy takiej skali uważam, że nie.

P : Co jeżeli moja firma nie podlega pod NIS, ale powinniśmy wypełnić te obowiązki ze względu na obsługiwanie klienta, który podlega, natomiast taki klient nas o tym nie poinformował? Jak dzielona jest wtedy odpowiedzialność?

Damian: Moim zdaniem tutaj jest odpowiedzialność po stronie tego podmiotu kluczowego albo ważnego i on powinien was poinformować i przerzucić na was pewne obowiązki. Wy nie musicie tego wiedzieć i ja raczej widzę tutaj odpowiedzialność podmiotu kluczowego albo ważnego.

Okej, dobrze. To ślicznie dziękujemy. Mojej działki chyba wszystko, więc ja się wyłączam.

P: Czy w wersji Google Workspace Starter możliwa jest regionalizacja danych, czy dopiero od wersji Standard jest to możliwe?

Domonika: Jest dopiero od wersji Standard. W wersji Starter nie jest dostępna, natomiast można się do nas odezwać po spotkaniu. Spróbujemy znaleźć jakiś sposób, żeby ten Standard też był osiągalny, bo między innymi optymalizacją kosztów u klientów też się zajmujemy.

Podsumowanie i zakończenie webinaru

Dominika: Ja tylko chciałam jeszcze dodać, bo tutaj zauważyłam pewną prawidłowość, to znaczy pytania dotyczące NIS, czy podlegamy, czy nie podlegamy, i jeśli nie podlegamy, no to już temat nas nie dotyczy. Ja bym chciała, żeby państwo wynieśli z tego webinaru przede wszystkim taką wiedzę, że temat bezpieczeństwa internetowego, czy to NIS, czy nie, dotyczy nas wszystkich. I tutaj nawet jeżeli się zdarzy, że nie podlegamy pod NIS, to możemy podlegać pod atak ransomware i zwyczajnie mieć zablokowane dane. Dlatego warto mieć tę świadomość i dbać o to bezpieczeństwo internetowe, czy podlegamy, czy nie podlegamy pod NIS, bo ono i tak nas będzie dotyczyło prędzej czy później.

Damian: Ja się zgadzam w pełni z Dominiką i to bezpieczeństwo zarówno pod kątem właśnie jakichś ataków i pod kątem strat finansowych, wizerunkowych i tak dalej jest dla każdego istotne. A pamiętajmy o tym, że na przykład w przypadku RODO nie ma żadnego kryterium i generalnie każdy, kto przetwarza dane, podlega przepisom RODO. Jeżeli mi zaniedbamy kwestie bezpieczeństwa i ze względu na to dane osobowe ulegną jakiemuś wyciekowi, no to też będziemy odpowiadali za to i tamte kary są również potężne.

Magda: Ja bym chciała jeszcze raz podziękować naszym cudnym prelegentom za wystąpienia i za tak szczegółowe przedstawienie tematu. Ten temat jest na tyle szeroki, że na pewno tych pytań pojawi się u państwa jeszcze od groma i dlatego serdecznie zachęcam do tego kontaktu. Tak jak wspomniałam, wszystkie informacje otrzymają państwo od nas w ciągu czterech dni roboczych. Tak więc jeżeli cokolwiek, zachęcamy, bo naprawdę tutaj współpracujemy z najlepszymi specjalistami, którzy są gotowi państwu i państwa firmom pomóc.

I już z tego miejsca chciałabym też serdecznie życzyć też miłego dnia. Już do końca tygodnia już niewiele zostało, tak więc mamy piękną jesień. Tak więc życzę państwu wszystkiego dobrego i jesteśmy jeszcze w całym kontakcie i zachęcam też do śledzenia naszych social mediów, bo tam będą pojawiały się też informacje o kolejnych webinarach. Dziękuję ślicznie wszystkim serdecznie. Dziękuję bardzo. Dziękuję.