Nie musimy budować od nowa kosztownych programów i systemów poprawiających bezpieczeństwo cyberprzestrzeni kraju. Wystarczy trochę intelektualnego wysiłku i dyscypliny w powiązaniu z nowymi rozwiązaniami technicznymi. Trzeba na bieżąco dorównywać zmieniającemu się światu, także światu cyberprzestrzeni, śledzić pojawiające się nowości i związane z nimi zagrożenia oraz niezwłocznie odpowiednio na nie reagować.

Opublikowany w 2015 r. przez NIK raport dotyczący cyberprzestrzeni RP może przyprawić o trwogę. Myli się jednak ten, kto uważa, że kontrolerzy próbują zdyskredytować instytucje odpowiedzialne za wdrożenie systemu ochrony i nastraszyć społeczeństwo. Zamierzeniem Izby jest raczej uświadomienie wszystkim problemu, który nie leży tylko i wyłącznie w gestii informatyków. Oni jedynie powinni pomóc przeciwdziałać cyberprzestępczości technicznie. Bezpieczeństwo polskiej cyberprzestrzeni leży w gestii jej użytkowników, do których należą też oczywiście sami informatycy.

Kierunek działania i jednocześnie problem, na jaki wskazuje NIK, jest kluczowy. Podstawą powodzenia wszelkich działań dotyczących bezpieczeństwa informatycznego i bezpieczeństwa cyberprzestrzeni jest profesjonalne wykonanie analizy i oszacowania ryzyka w tym obszarze, a następnie wprowadzenie mechanizmów przeciwdziałania cyberprzestępczości. Niestety nigdy się to nie uda, jeśli wśród wszystkich pracowników różnych organizacji nie będzie zrozumienia pojęcia „zarządzanie ryzykiem”. Jeśli będą oni li tylko z przymusu wypełniać ankiety lub inne dokumenty, bez zrozumienia celu ich wypełniania i nie rozumiejąc, czym tak naprawdę jest ryzyko. Do tego dochodzi dodatkowy negatywny czynnik, czyli presja czasu. Doświadczenie zawodowe wskazuje na to, że właśnie w taki sposób odbywa się często analiza i szacowanie ryzyka, a potem w oparciu jej o wyniki zabezpiecza się systemy informatyczne, sterujące także cyberprzestrzenią.
A przecież to głównie świadomi pracownicy wiedzą, gdzie znajdują się słabe punkty w ich organizacji i nawet jeśli wiedza techniczna jest im obca, to potrafią wskazać kluczowe problemy, które często sami przez swoją nieświadomość generują. I są to nie tylko problemy wynikające z technicznego zabezpieczenia, ale głównie z nieprzemyślanych zachowań użytkowników cyberprzestrzeni.

Nawiązując do treści raportu NIK, można się zgodzić się z pojęciem „bezkosztowego” (nie licząc samych kosztów pracy) wdrażania zarządzania ryzykiem i szacowania ryzyka, pod warunkiem, że wykonywać go będą świadomi pracownicy dojrzalej organizacji, w której jest jasno określony wykaz aktywów ludzkich i informacyjnych, a także wyspecyfikowane procesy i znane wszystkim słabe punkty.
Pracownicy powinni zrozumieć, że zidentyfikowanie przez nich jak największej liczby obszarów ryzyka, działa na ich korzyść, a nie odwrotnie. Identyfikując ryzyko, po prostu nie mogą się bać. Panuje powszechne przekonanie, że ten, kto ma jak najmniej ryzyka u siebie, jest najlepszy, a jeśli wykaże ich za dużo, to mogą zostać wobec niego wyciągnięte konsekwencje służbowe. Nie ma nic bardziej błędnego. Wskazując ryzyko, pracownicy biorą pod uwagę wszelkie możliwe realne sytuacje, które mogą, ale wcale nie muszą wystąpić.  Mając wiedzę o zagrożeniach generujących ryzyko, mogą im przeciwdziałać i zapobiegać przed ich wystąpieniem. Bez zrozumienia podstaw i sensu zarządzania ryzykiem wśród pracowników organizacji, nie ma szans na skuteczne przeciwdziałanie cyberprzestępczości.

Drążąc temat kosztów, każda analiza i oszacowanie ryzyka kończy się planem postępowania z ryzykiem i tutaj już mogą pojawić się, czasem ogromne, koszty. Stosując jednak zasadę ALARP (tak wysokie, jak ekonomicznie uzasadnione), trzeba wybrać najkorzystniejsze ścieżki działania. Zakup sprzętu lub wykonywanie innych działań bez rzetelnej oraz świadomej analizy i oszacowania ryzyka, wykonanych przez pracowników własnej organizacji, nie ma sensu.
Choć niektóre konkluzje raportu mogą wydawać się przerażające, z doświadczenia wiem, że nie jest wcale tak źle. Problem leży po prostu w braku umiejętności powiązania posiadanej wiedzy z wiedzą dotyczącą zarządzania ryzykiem. Chodzi o to, aby nie tworzyć zupełnie nowych dokumentów, oderwanych od codziennego życia organizacji, tylko aby zrozumieć problemy, znaleźć zagrożenia, powiązać je z możliwymi do wystąpienia skutkami, przeprowadzić prostą analizę i oszacowanie ryzyka przy minimalnej ilości dodatkowej pracy administracyjnej i wykonywać to wszystko stale, w systemie ciągłym.

Ważne, aby stworzyć system zarządzania ryzykiem, który byłby nieodłączną częścią organizacji, a nie „czymś” zupełnie odrębnym i niezwiązanym z jej bieżącą pracą. Zarządzanie ryzykiem w organizacji to przecież nie żadna „wiedza tajemna” przeznaczona dla wybranych.
Jednym z elementów tego właściwego działania jest reakcja na incydenty. O incydentach należy informować wytypowane osoby, ale wiedza z nich płynąca powinna się natychmiast po zaistnieniu incydentu znaleźć w analizie i oszacowaniu ryzyka, aby przeciwdziałać czynnikom, jakie ten incydent wywołały. Powszechnym błędem jest niezrozumienie tematu i myślenie w następujący sposób: nie było incydentu, to nie ma ryzyka. Jak był incydent, to możemy go przeanalizować i zwiększyć bezpieczeństwo, a  jak nie było, to powinno się przewidzieć, że może się wydarzyć i wyprzedzić działaniami zabezpieczającymi.

Zakończę jednym zdaniem: nauczmy się zarządzać profesjonalnie ryzykiem w cyberprzestrzeni, zacznijmy od siebie, jako jej użytkowników, róbmy to świadomie, a zwiększymy bezpieczeństwo!