Łańcuch dostaw – kluczowe zagadnienie cyberbezpieczeństwa
Agencja ENISA przygotowała aktualizację raportu dotyczącego zagrożeń sektora cyberbezpieczeństwa w perspektywie lat 2024 – 2030. Tak, na pierwszym miejscu znalazła się tam kwestia zabezpieczenia łańcucha dostaw. Dla osób patrzących na kwestie zabezpieczenia ciągłości działania to nie jest zaskoczenie. Zagrożenie działaniami wojennymi, kondycja finansowa dostawców, demografia (w tym imigracja), regulacje prawne – te i inne czynniki 'sprzyjają’ temu, aby dostawy nie były w pełni zabezpieczone.
Napisałem – 'dla osób patrzących na kwestie zabezpieczenia ciągłości działania to nie jest zaskoczenie’. Ale nie wszyscy te problemy identyfikują w jednakowy sposób. Miałem ostatnio dyskusję na in, gdzie podałem problem upadających dostawców firm motoryzacyjnych jako jeden z czynników zakłócających ciągłość dostaw. Co dyskutanci wskazywali jako przeciwdziałanie temu zagrożeniu? Zmianę politykę EU w ramach Zielonego ładu i branży motoryzacyjnej.
Jeżeli krótkookresowy zagrożenia planujemy rozwiązać poprzez zmianę regulacji politycznych, to chyba nie tędy droga do zapewnienia ciągłości działania np. fabryki (bo mówimy tu o perspektywie 0,5 – 2 m-cy maksymalnie – potem 'leżymy’). Jak zobaczyłem po tej dyskusji, nie dla wszystkich jest to jasne. Jest to o tyle niepokojące, gdyż jesteśmy (?) w trakcie implementacji DORA i NIS2. Ta pierwsza regulacja w zasadzie w całości dotyczy właśnie zabezpieczenia łańcucha dostaw w branży finansowej, a druga w całości dotyczy dostawców kluczowych usług. Czyli mamy wszyscy nad czym pracować…
Co zostało wskazane w raporcie jako kolejne zagrożenia? Pierwsza dziesiątka jest następująca:
Jak widać po przedstawionej liście, kolejnym 'zagrożeniem’ jesteśmy my – brak wiedzy, umiejętności, podatni na dezinformację i błędy. Druga dziesiątka podsumowania też mówi o tym, że to ludzie (operatorzy, użytkownicy) systemu muszą się cały czas uczyć i dostosowywać do zmieniającego się błyskawicznie otoczenia. I to jest jedno z naszych wyzwań – przygotować kadrę do właściwej reakcji na możliwe zagrożenia.
Grzegorz Pająk
Nowy kodeks postępowania w ochronie danych osobowych
Audyt stron internetowych
