Compliance & Integrity Days: jak geopolityka wpływa na przedsiębiorstwa

- Integrity oparte na wartościach i compliance oparte na regułach pozwalają organizacjom nawigować w złożonym środowisku biznesowym, unikając pułapek, korupcji i nieuczciwości. W świecie, w którym zasady często są łamane, to właśnie te wartości są latarnią, która oświetla drogę do budowania wartości organizacji i trwałej reputacji. Można wręcz powiedzieć, że są one kluczem do wzmocnienia zaufania i zapewnienia długoterminowego sukcesu - mówił na wstępie konferencji prof. Bartosz Makowicz, założyciel Viadrina Compliance Center (VCC) na Europejskim Uniwersytecie Viadrina we Frankfurcie nad Odrą.

Geopolityka wkracza do organizacji

Do wydarzeń globalnych nawiązywali uczestnicy panelu „Biznes w cieniu konfliktów geopolitycznych: jak chronić organizację przed zagrożeniami hybrydowymi?”.

- Jeszcze kilka lat temu geopolityka była dla organizacji i biznesu czymś bardzo odległym, co analizowaliśmy głównie w kontekście strategicznych, długoterminowych scenariuszy. To się zmieniło już kilka lat temu - mówiła prowadząca dyskusję Anna Hoffmann-Szydłowska, radczyni prawna odpowiedzialna m.in. za compliance w Grupie Kapitałowej Amica.

Zgodził się z tym Mariusz Minkiewicz, adwokat z kancelarii CMS, który przytoczył badania, ukazujące geopolitykę jako główny czynnik ryzyka dla biznesu. Przedstawił także trzy obszary, które w jego ocenie zmieniły się najbardziej:

• Sankcje i kontrola eksportu - po rosyjskiej agresji na Ukrainę Unia Europejska przyjęła już 20 pakietów sankcji. Polityki sankcyjne stały się standardem, a przed akwizycją przedsiębiorstw prowadzona jest weryfikacja sankcyjna.
• Cyberzagrożenia - obok klasycznych cyberprzestępców pojawili się gracze państwowi, których celem nie jest tylko uzyskiwanie korzyści majątkowych, ale zakłócenie działalności państwa czy kluczowych przedsiębiorstw.
• Szeroko rozumiana obronność - zdarza się, że klienci kancelarii pytają o analizę ich sytuacji prawnej w przypadku ogłoszenia mobilizacji, a przedsiębiorcy, którzy dotąd nie zajmowali się sektorem obronnym, zaczynają się nim interesować. Zmieniło się też podejście organów państwowych do takich kwestii jak kontrola eksportu dronów.

- Do bezpieczeństwa podchodzi się zupełnie inaczej niż 5, 10 czy 15 lat temu - przyznał dr Piotr Hac, ekspert ds. bezpieczeństwa.

Paweł Dobrzański z T‑Mobile Polska, specjalista ds. bezpieczeństwa, przestrzegał jednak, by ostrożnie interpretować informacja na temat przyczyn incydentów.

Czy ataki na szpitale to element wojny hybrydowej? Na pewno w 100 proc. politycy powiedzieliby, że tak. A ja powiem, że nie. Po prostu szpitale to segment najgorzej zabezpieczony pod względem cyber. Te ataki nie są nastawione na destabilizację systemu państwowego, to działania obliczone na pieniądze. Gdyby szpitale były zabezpieczone tak jak banki, takich ataków by nie było. To nie są zaawansowane ataki, do których zdolne są superprzygotowane grupy APT (Advanced Persistent Threat - zaawansowane długotrwałe zagrożenie), inspirowane przez rosyjskie służby specjalne. To są ataki trzech studentów czy nawet gimnazjalistów - mówił.

Dr Piotr Hac podkreślił jednak, by wspomnianych „gimnazjalistów” nie lekceważyć.

- Trzeba pamiętać, że Rosja wykorzystuje grupy przestępcze, które w różny sposób mogą działać, by realizować określone operacje - mówił.

Analiza ryzyka, szkolenia i szybkie działanie

Paweł Dobrzański przyznał, że dochodzi do ataków inspirowanych geopolitycznie - zarówno cybernetycznych, jak i fizycznych. Opisał przypadek, w którym na teren obiektu firmowego dostała się osoba nieuprawniona, wykorzystując moment, gdy uwaga ochrony była skupiona na prowadzonych pracach. Osoba ta oznaczała elementy infrastruktury krytycznej.

- Mamy więc do czynienia z osobą bardzo dobrze przygotowaną, która działa w idealnym momencie, wchodzi niepostrzeżenie i oznacza elementy infrastruktury krytycznej, rysując odpowiednie znaki. To charakterystyczny modus operandi służb rosyjskich. Podobne działania obserwowano przed wybuchem wojny w Ukrainie - mówił.

Jak dodał, dzięki dobremu przeszkoleniu pracowników intruza udało się wykryć i zatrzymać.

- Z dokumentacji dochodzeniowej wynika, że ten człowiek właściwie nie istnieje. Nie ma miejsca zamieszkania, ma wyczyszczony telefon, brak jego historii, dokumenty wskazują, że jest z Białorusi, choć nie zna języka białoruskiego. Jednocześnie jest zbudowany jak zawodnik MMA - relacjonował.

Paneliści dyskutowali także o wpływie takich zdarzeń na procedury w organizacjach.

- Niedoszacowanym zagrożeniem jest podszywanie się pod inne osoby czy podmioty, w tym kluczowych menedżerów, w różnego rodzaju komunikatorach. Rafinerię można wyłączyć bombardując ją, ale można też wywołać fikcyjny alarm. Często niedocenianym zjawiskiem pozostaje również szpiegostwo, w tym pozyskiwanie osób do współpracy różnymi metodami - mówił dr Hac.

Mec. Mariusz Minkiewicz zwrócił uwagę na konieczność szybkiej reakcji na incydent. Przytaczał doświadczenia klientów, którzy zareagowali w porę i powiadomili organy ścigania, dzięki czemu odzyskali 100 proc. środków. - Ci, którzy zwlekali lub działali częściowo, musieli wyciągać wnioski po fakcie - dodał.

- Spójrzmy na najnowsze regulacje. Zarówno DORA, jak i NIS2 zaczynają się od analizy ryzyka, która wskazuje dalsze działania. Często mówi się o przeregulowanej Europie, ale w tym przypadku to jedyna droga. Musimy nie tylko wiedzieć o ryzyku, lecz także nim zarządzać. Zarząd musi być świadomy, jak zarządzany jest każdy element ryzyka, monitorować go i reagować na zmiany natychmiast. To nie jest tak, że robimy analizę w lutym i przez cały rok do niej nie wracamy - podsumował Paweł Dobrzański.