Branża energetyczna jest drugim po administracji publicznej sektorem najczęściej atakowanym przez cyberprzestępców. 16 proc. cyberataków wymierzonych jest właśnie w tę branżę. Dlatego też polski sektor energetyczny powinien jeszcze mocniej zaangażować się w budowę spójnego systemu cyberbezpieczeństwa i realizować kompleksowe podejście do budowy kultury cyberbezpieczeństwa. To jeden z głównych wniosków płynących z raportu „Cyberbezpieczeństwo polskiego przemysłu. Sektor energetyczny" przygotowanego przez Instytut Kościuszki.

To właśnie na sektorze energetycznym, ze względu na potencjalne katastrofalne skutki cyberataku dla infrastruktury, zdrowia i życia obywateli, ale także funkcjonowania gospodarki, czy potencjału obronnego państwa, spoczywa ogromna odpowiedzialność za zapewnienie bezpieczeństwa. Dlatego tak ważne jest, by kwestia ta była traktowana priorytetowo przez wszystkie podmioty działające na rynku”mówi Dominik Skokowski z Instytutu Kościuszki, odpowiedzialny za przygotowanie raportu.

Według autorów opracowania, operatorzy infrastruktury krytycznej w naszym kraju stoją przed koniecznością budowania wyspecjalizowanych zespołów reagowania na incydenty komputerowe CERT/CSIRT. Z uwagi na potencjalnie katastrofalne skutki cyberataków dla mienia, zdrowia i życia mieszkańców, podmioty sektora energetycznego powinny również tworzyć centra operacji bezpieczeństwa (SOC – Security Operations Center) w celu efektywnego przeciwdziałania cyberatakom.

Wyzwaniem dla polskiego sektora energetycznego jest też odpowiednia adaptacja do unijnego prawodawstwa, przede wszystkim Dyrektywy NIS (w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej) oraz Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Dyrektywa NIS, zdaniem autorów raportu, powinna być traktowana jako zestaw wymogów minimalnych w obszarze poziomu bezpieczeństwa sieci i systemów informatycznych a nie jako ostateczny punkt odniesienia.

W raporcie poruszone zostały także zagadnienia związane z odpowiednim zarządzaniem ryzykiem cybernetycznym. Zwrócono poza tym uwagę na kwestię tworzenia rozwiązań odpowiednich dla potrzeb cyberubezpieczeń.