PIIT: Cyberbezpieczeństwo 2023 roku – wyzwania i szanse

Miniony rok przyniósł wiele wyzwań dla branży cyberbezpieczeństwa, związanych głównie z rosnącą liczbą cyberzagrożeń oraz pogłębiającym się deficytem specjalistów na tym rynku. W 2022 roku do CERT Polska zgłoszonych zostało ponad 320 tys. przypadków zagrożeń cyberbezpieczeństwa. Głównymi zagrożeniami, z którymi w poprzednim roku musiały mierzyć się firmy są m.in. złośliwe oprogramowania, oszustwa internetowe czy kradzież danych. Pomimo wielu zagrożeń rozwój cyberbezpieczeństwa daje ogromne możliwości oraz szanse nie tylko dla współczesnych przedsiębiorstw, ale także dla całego społeczeństwa. Jaki będzie 2023 rok w cyberbezpieczeństwie, jakich należy spodziewać się wyzwań, jakich zagrożeń i jakie są szanse przed nami?

Ten rok może być trudny głównie ze względu na to, że czeka nas ogromna ilość regulacji unijnych obejmujących rynek teleinformatyczny. W związku z tym powstaje pytanie, na ile jesteśmy przygotowani, zarówno w firmach teleinformatycznych oraz tych, które wykorzystują informatykę do swoich biznesów, do wdrożenia nowych rozwiązań. Kolejną kwestią jest również to, czy Polska będzie gotowa do wdrożenia dyrektyw, np. dotyczącej odpowiedzialności za sztuczną inteligencję, które wymagać będą implementacji do prawa krajowego. Możemy powiedzieć, że mamy do czynienia z tsunami legislacyjnym i będzie to ogromne wyzwanie zarówno dla legislatorów, ale przede wszystkim dla firm i przedsiębiorców.

Równocześnie kończą się pewne regulacje krajowe, w szczególności dotyczące sektora telekomunikacyjnego i firm świadczących usługi różnego rodzaju w tym zakresie. Wchodzą zupełnie nowe obowiązki, są w tej chwili także dyskutowane przepisy nakładające ze względów bezpieczeństwa dodatkowe wymagania retencyjne na te podmioty. Dla dużych podmiotów telekomunikacyjnych nie jest to co prawda nic nowego, chociaż rozszerza to ich zakres obowiązków, ale dla małych podmiotów świadczących usługi telekomunikacyjne bądź dostępu do internetu może być to poważny problem. Pozostaje pytanie, w jaki sposób przełoży się to na koszty ich usług, a w efekcie na klienta końcowego. Oczywiście nie ulega wątpliwości, że pewne kwestie w tym zakresie należy doprecyzować i zmienić, ponieważ możliwość złapania takiego złodzieja, który posługuje się usługami informatycznymi w celu niecnych praktyk jest niezwykle ważna, natomiast należy się zastanowić, czy państwo powinno przekładać na firmy wszystkie wiążące się z tym obowiązki.

Drugi obszar związany jest ze środkami unijnymi: nową perspektywą finansową a także Krajowym Planem Odbudowy. KPO przekłada się najbardziej w naszym sektorze na kwestie związane z cyberbezpieczeństwem i z bezpieczeństwem usług administracji publicznej. Nowa perspektywa związana jest także niestety z naszą niską pozycją, jeżeli chodzi o usługi publiczne - według rankingów sytuacja Polski w tym zakresie się nie poprawia.

Rozsądne wydatkowanie środków europejskich jest ważne, ale wisi nad nami także wizja utworzenia Agencji Informatyzacji, która będzie państwową osobą prawną. Z jednej strony mamy deklaracje Cyfryzacji KPRM, Ministra Janusza Cieszyńskiego, że agencja nie będzie służyć odebraniu komercyjnym podmiotom rynku usług na rzecz administracji publicznej, jednak w świetle zapisów dotyczących Agencji, nie do końca tak to wygląda. W projekcie założono, że możliwość świadczenia usług na rzecz Agencji będą mieli jedynie przedsiębiorcy będący osobami fizycznymi, którzy realizować będą usługi publiczne. Jednocześnie warto wskazać, że zgodnie z projektem każde ministerstwo będzie miało możliwość przekazać budowanie usług na rzecz tego ministerstwa do Agencji Informatyzacji i bezpośrednio ją opłacać.

Należy wskazać, że jest to pewien element nacjonalizacji sektora IT w obszarze usług publicznych. Regulacja dotycząca ograniczenia liczby podmiotów, które będą mogły współpracować z Agencją może negatywnie wpłynąć na konkurencję na rynku usług IT. Czeka nas w związku z tym ważny sprawdzian w kontekście rozwiania wątpliwości co do funkcjonowania Agencji. W związku z rozszerzonymi możliwościami finansowymi Agencji ważne jest również to jak wyglądać będzie sytuacja bez pieniędzy unijnych przeznaczonych na usługi publiczne. Pozostaje pytanie, czy podmioty świadczące usługi będą miały szansę uzyskać zlecenia w drodze przetargów, czy będą miały je tylko podmioty nieświadczące usług, a dostarczające sprzęt. Nie ma też żadnego projektu, w którym to administracja publiczna sama produkować ma komputery, sprzęt czy urządzenia sieciowe, więc te firmy, które to dostarczają będą miały szansę zaistnieć jako dostawcy. Natomiast pozostaje pytanie, czy z kolei firmy, które zbudowały część usługową powinny przestać inwestować w budowę kompetencji niezbędnych do działań na rzecz sektora publicznego i skupić się tylko na sektorze komercyjnym. Na pewno 2023 rok powinien znaleźć na to odpowiedź. Brak jest jednak jednoznacznych deklaracji w tym zakresie, warto powiedzieć, że ten element powinien być zapisany w strategii ministra właściwego do spraw cyfryzacji. Powinna być także informacja skierowana bezpośrednio do rynku, czy to ministerstwo będzie budować za pomocą instytucji rządowych tego typu usługi i wtedy sektor komercyjny nie będzie inwestować w te obszary. Pozostaje jeszcze pytanie, co na to Komisja Europejska, która zawsze mówi, że ingerencja państwa za pieniądze unijne na rynku dojrzałych usług jest niedopuszczalna.

Taka sytuacja grozi marginalizacją polskich firm starających się o świadczenie usług w zakresie informatyzacji usług publicznych na rynkach europejskich. Jeżeli firmy nie będą mogły świadczyć takich usług na swoim własnym rynku, to jest oczywiste, że ich szansa na udział np. w postępowaniach przetargowych na rzecz innych państw europejskich automatycznie będzie ograniczona, gdyż nie będą mieli referencji z własnego rynku. Z tego punktu widzenia ten rok będzie na pewno istotny dla firm świadczących usługi informatyczne.

Kolejne kwestie, na które warto zwrócić uwagę związane są ze start-upami. Mimo tego, że wiele dzieje się w tym obszarze, to niestety należy przyznać, że polskie start-upy nie wyróżniają się na rynku europejskim czy światowym. Mamy oczywiście firmy piszące oprogramowania czy tworzące gry i one faktycznie utrzymują się na rynku, natomiast jeżeli myślimy o innowacyjnych start-upach, które mogą się przekształcić w podmioty o dużej kapitalizacji, to nasze dotychczasowe wysiłki nie przynoszą efektów. W związku z tym należałoby się zastanowić, co w nowej perspektywie finansowej, w szczególności w dystrybucji środków na tzw. działalność B+R, zmienić, żeby sytuacja się polepszyła. Zauważalna jest niestety cały czas tendencja, że młodzi polscy inżynierowie, absolwenci uczelni wyższych, wyjeżdżają na Zachód i tworzą tam niezwykle innowacyjne rozwiązania, natomiast w Polsce nie mogą realizować swoich pomysłów. A przecież to jest przyszłość biznesowa naszego kraju. Jeżeli mówimy, że Polska ma w którymś obszarze szukać szansy na rozwój PKB, to właśnie w innowacyjnych przedsięwzięciach. Należy się więc zastanowić, w jaki sposób ulokować środki przeznaczone na inwestowanie w innowacyjność, aby efektem była rzeczywista szansa na komercjalizację tych przedsięwzięć, szczególnie związanych ze sztuczną inteligencją.

Należy pamiętać, że mamy w Polsce firmy budujące zaawansowaną robotykę na podstawie elementów sztucznej inteligencji, ten obszar będzie się rozwijać i ten rok będzie kluczowy, jeśli chodzi o zajęcie pozycji na rynku europejskim. Polskie firmy mają wiele innowacyjnych rozwiązań, np. w obszarze 5G, ale też zauważyć można, jak trudno się twórcom tego oprogramowania i tej technologii przebić i otrzymać wsparcie w postaci środków przeznaczonych na innowacyjność. Wydaje się, że niezauważane jest to, że jesteśmy jedynym krajem w tej części Europy, który ma pełen stos technologiczny 5G, stworzony przez firmy komercyjne, i pomimo tego nie jesteśmy w stanie przeznaczyć środków na rozwój i zbudować z 5G naszej dźwigni na rynku europejskim czy światowym.

Ostatnim elementem, o którym warto wspomnieć są kompetencje specjalistów. Ten rok także pod tym względem może okazać się przełomowy i kluczowy. Są pieniądze na edukację i trzeba je wykorzystywać, natomiast największym wyzwaniem wydaje się być zrozumienie, że wydawanie pieniędzy unijnych na szkolenia i kompetencje powinno być zawsze związane z niezależnym egzaminem potwierdzającym nabycie tych kompetencji. To jest element, o który walczymy od dawna. Udział w szkoleniu nie świadczy jeszcze o tym, że w tym obszarze nabyte zostały kompetencje, dlatego tak ważne jest ich potwierdzenie. W zakresie kompetencji należy wpisać do wymogów prawnych, np. dotyczących audytów czy zatrudniania osób o podwyższonych kompetencjach w obszarach cyberbezpieczeństwa, te kompetencje, które już są w naszym rejestrze kwalifikacji rynkowych. Dzisiaj to niestety nie funkcjonuje w taki sposób i wydajemy ogromne pieniądze na szkolenia, których efekty polegają tylko na tym, że znana jest nam liczba osób przeszkolonych i z tej wiedzy kompletnie nic nie wynika.

Stworzony Polski System Kwalifikacji oraz System Jednostek Certyfikujących, nad którymi opiekę sprawuje minister właściwy do tych spraw, to systemy otwarte, rynkowe, zbudowane zgodnie z zasadami i standardami dotyczącymi m.in. tworzenia, opisywania czy nadawania kwalifikacji, które nie pozwalają na budowanie monopoli w tym zakresie. Teraz jest najwyższy czas, żeby ten system zaktualizować w zakresie wymagań prawnych w rozporządzeniach.

Na koniec warto wspomnieć o szansach, jakie nas czekają w tym roku. Wszelkie nabyte już kompetencje, umiejętności oraz dostępne narzędzia, które mają w swoich zasobach polskie firmy są właśnie ogromną szansą w 2023 roku w obszarze cyberbezpieczeństwa. Mamy rozpoczęte aktywności w kluczowych obszarach, takich jak blockchain, sztuczna inteligencja czy kryptografia i te właśnie dziedziny rozwijane są także na polskich uczelniach. To jest potencjał, który powinniśmy wykorzystać - trzeba tylko zbudować pod to odpowiednią transmisję biznesową.

Wiesław Paluszyński, Wiceprezes Polskiej Izby Informatyki i Telekomunikacji, Prezes Polskiego Towarzystwa Informatycznego.