Z Andrzejem Pakulskim, dyrektorem Departamentu Bezpieczeństwa Banku w Kredyt Bank SA, rozmawia Rafał Jakubowski.

Eksperci reprezentujący firmy informatyczne ostrzegają, że niewielu specjalistów zdaje sobie sprawę ze skali zagrożeń dla systemów informatycznych. Tymczasem słyszymy o ryzyku ataków terrorystycznych w Polsce. Jak ocenia Pan poziom przygotowania polskich przedsiębiorstw do tego typu sytuacji?

Niestety, niewiele polskich firm ma choćby zręby polityki bezpieczeństwa czy planów zachowania ciągłości działania. Odkąd staliśmy się ośrodkiem referencyjnym dla dostawców, którzy pomagali nam realizować projekty z zakresu bezpieczeństwa, odwiedzają nas przedstawiciele zakładów przemysłowych. Oni zaczynają praktycznie od zera, a zainteresowanie tematem wynika tylko z faktu, że wymaga tego partner zagraniczny albo nowy właściciel.

Na ogół jednak świadomość skali zagrożeń jest zatrważająco niska.

Bankowość, ubezpieczenia, telekomunikacja - te sektory zdecydowanie wyróżniają się na tle innych. Decydują o tym powszechność świadczonych usług, a także liczne regulacje prawne, które zobowiązują do podejmowania pewnych działań. Dla firm z tych sektorów bezpieczeństwo jest postrzegane również jako obszar walki z konkurencją.

Dlaczego Pańskim zdaniem tak mało firm inwestuje w bezpieczeństwo? Przecież ludzie oglądają wiadomości, docierają do nich informacje o kłopotach przedsiębiorstw, które nie zabezpieczyły należycie swoich zasobów.

Po części winna jest dekoniunktura. Wszystkie przedsiębiorstwa zostały zmuszone do cięcia kosztów. To spowodowało, że inwestycje w systemy bezpieczeństwa zostały wstrzymane. Przecież nikt nie zrezygnuje z zakupu surowców do produkcji, raczej odłoży na później projekt polityki bezpieczeństwa. Zarządy wielu firm zakładają, że skoro do tej pory nic się nie stało, to może nie zdarzy się jeszcze przez kilka lat. A przecież z faktu, że nic się nie stało, wynika zwiększone prawdopodobieństwo, że coś się wydarzy.

Czy bardzo odbiegamy pod tym względem od innych krajów?

Nie, wbrew temu, co nieraz starają się nam wmówić dostawcy, nie jesteśmy wyjątkiem na mapie Europy czy świata. Na zachodzie Europy jest wprawdzie trochę lepiej ze stosowaniem systemów bezpieczeństwa, ale różnice nie są drastyczne. Sporo dzieli nas natomiast od Stanów Zjednoczonych. Musimy jednak pamiętać, że to właśnie tam zrodziły się idee związane z tworzeniem planów zachowania ciągłości działania.

Polska przez długi czas znajdowała się poza listą celów organizacji terrorystycznych. Zmieniło się to wraz ze zwiększoną aktywnością naszego kraju w obszarze polityki zagranicznej. Akcja w Polsce zyskałaby obecnie znacznie większy rozgłos w mediach niż jeszcze kilka lat temu. Ale to nie jedyny powód, dla którego Polska weszła w orbitę zainteresowań terrorystów. Wyższy poziom zagrożenia bierze się także z rosnącej zasobności polskich przedsiębiorstw. Coraz więcej jest firm, które mogłyby być atrakcyjnym celem ataków.

Co zrobić, żeby odpowiednio się zabezpieczyć?

Z pewnością nie można odkładać pracy nad podnoszeniem bezpieczeństwa, mówiąc "jakoś to będzie". W miarę możliwości trzeba przynajmniej minimalizować zagrożenia. Jeśli firmy nie stać na kompleksowy projekt, powinna skoncentrować się na rozwiązaniach organizacyjnych. W tym obszarze można zdziałać naprawdę dużo stosunkowo niewielkim kosztem. Z pewnością nie można w tym przypadku mówić, że projekt przekracza możliwości finansowe.

Należy wskazać zagrożenia i przedstawić plan ich minimalizacji. Podjąć próbę wykazania korzyści, jakie się pojawią w związku z polityką bezpieczeństwa. Zwrot z inwestycji w bezpieczeństwo wykazać trudno, ale jest to możliwe.

Co konkretnie można zrobić?

Można zacząć od budowania świadomości pracowników. To nie pociąga olbrzymich nakładów.