Cyberprzestępcy nie śpią
Cieszy nas fakt, iż polskie firmy są coraz bardziej świadome tego, że cyberprzestępcy nie śpią, i są gotowe stanąć do tego „wyścigu zbrojeń” – mówi Marcin Marczewski, prezes zarządu Resilia Sp. z o.o.
Temat cyberbezpieczeństwa jest bardzo modny w ostatnim czasie. Co jest jego sednem?
– Cyberbezpieczeństwo to bardzo złożone pojęcie i jest ono różnie rozumiane przez różnych odbiorców. Osoby indywidualne skupiają się na poczuciu bezpieczeństwa oraz ochronie ich danych osobowych i prywatności. Dla przedsiębiorców natomiast jest to zapewnienie dostępności świadczonych w Internecie usług biznesowych o znaczeniu krytycznym, a także ochrona danych poufnych poprzez stosowanie różnego rodzaju rozwiązań. W rozumieniu państwa pojęcie to wiąże się z ochroną obywateli, przedsiębiorstw oraz infrastruktury krytycznej, a także systemów komputerowych przed atakami lub naruszeniem ich integralności, poufności bądź dostępności. W mojej ocenie cyberbezpieczeństwo to podobszar szeroko rozumianego bezpieczeństwa informacji, obejmujący wiele zagadnień. Wśród nich są: bezpieczeństwo operacyjne, bezpieczeństwo sieci, aplikacji, rozproszonych systemów komputerowych. To ogół działań, jakie podejmuje dana organizacja w celu zmniejszenia skutków ewentualnych ataków cyberprzestępców.
Czy firmy widzą potrzebę wprowadzania rozwiązań z zakresu cyberbezpieczeństwa w swoich organizacjach?
– Z moich obserwacji wynika, że coraz więcej firm ma świadomość wartości informacji, które przetwarzają, oraz krytyczności oferowanych usług. Spółki takie decydują się na wdrożenie odpowiednich rozwiązań i zaplanowanie w swoich budżetach prac związanych z cyberbezpieczeństwem. Nie bez znaczenia jest również fakt, że zapewnienie cyberbezpieczeństwa jest wymagane przez wiele państwowych organów nadzoru, np. Ministerstwo Cyfryzacji, które jest odpowiedzialne za koordynowanie spełnienia wymagań Ustawy o krajowym systemie cyberbezpieczeństwa. Bardzo często właśnie takie wymagania sprawiają, że firmy zaczynają się tym obszarem interesować lub go doskonalić.
Jaka jest sytuacja w zakresie cyberbezpieczeństwa w innych krajach, a jak to wygląda w Polsce?
– W krajach Europy Zachodniej i na świecie temat cyberbezpieczeństwa zaczął być traktowany jako istotny zdecydowanie wcześniej niż w Polsce. Być może powodem była większa świadomość globalnych zagrożeń wywołanych konfliktami pomiędzy państwami, bardziej zaawansowaną walką o uzyskanie przewagi konkurencyjnej itp. W Polsce przez lata temat bezpieczeństwa informacji, a następnie cyberbezpieczeństwa, był traktowany przez zarządy firm jak zło konieczne, wiążące się z dużą liczbą inwestycji. Obecnie dzięki coraz ostrzejszym wymaganiom, np. związanym ze wspomnianą Ustawą o krajowym systemie cyberbezpieczeństwa, oraz świadomości realności zagrożeń, o których słyszymy niemal codziennie, sytuacja mocno się zmienia, a cyberbezpieczeństwo staje się tematem coraz większego zainteresowania i tak zwanym must have.
Czy polskie organizacje są gotowe na wdrażanie rozwiązań z zakresu cyberbezpieczeństwa?
– Nie da się jednoznacznie odpowiedzieć na to pytanie. Z doświadczeń spółki Resilia z ostatnich miesięcy wynika, że gotowość jest różna. Obserwując to, co działo się wśród polskich przedsiębiorstw przed 25 maja 2018 roku, zauważam, że wiele spółek stanęło na wysokości zadania i zdążyło zakończyć prace nad dostosowaniem do wymagań RODO. Z drugiej strony dostrzegam wiele przedsiębiorstw, które na chwilę obecną nie są nawet świadome odpowiedzialności, jaka na nich spoczywa w obszarze tak ugruntowanym w Polsce i Europie, jak ochrona danych osobowych, i w których nie podjęto żadnych działań w tym obszarze. Cieszy nas jednak fakt, iż polskie firmy są coraz bardziej świadome tego, że cyberprzestępcy nie śpią, i są gotowe stanąć do tego „wyścigu zbrojeń”.
Jakie obszary powinny być w szczególności objęte tymi zagadnieniami?
– Przede wszystkim mówiąc o cyberbezpieczeństwie, musimy spojrzeć na organizację globalnie. Do najważniejszych obszarów należy zarządzanie bezpieczeństwem informacji, w tym wiedza, jakie informacje przetwarzamy i jaką mają one dla nas wartość. Ponadto kluczowe są obszary zarządzania bezpieczeństwem baz danych, aplikacji www oraz mobilnych, systemów rozproszonych i sieci komputerowych. Nie można zapominać oczywiście o bezpieczeństwie pracowników, zapewniając im regularne szkolenia podnoszące świadomość dotyczącą zagrożeń z obszaru cyberbezpieczeństwa. Prace z zakresu cyberbezpieczeństwa powinny dotyczyć wszystkich tych obszarów, bo tylko w taki sposób możemy skutecznie chronić firmę przed potencjalnymi atakami oraz minimalizować ich skutki.
Czy RODO i cyberbezpieczeństwo to tematy, które można połączyć? Jeśli tak, to jak można powiązać rozwiązania z tych obszarów?
– Bezpieczeństwo danych osobowych to przede wszystkim ochrona praw i wolności tzw. podmiotów danych, czyli każdego z nas w sytuacji, gdy przekazujemy je firmom i innym organizacjom. Polega na zapewnieniu, że dane osobowe nie wpadną w niepowołane ręce, że nie zostaną utracone albo zafałszowane. Jeżeli te dane osobowe są przetwarzane w Internecie – w tzw. cyberprzestrzeni – to działania w zakresie cyberbezpieczeństwa pozwalają nam je lepiej chronić. Dlatego można powiedzieć, że w praktyce ochrona danych osobowych zawiera w sobie istotne elementy działań związanych z cyberbezpieczeństwem. W wielu firmach, które badaliśmy na zgodność z RODO, fakt posiadania rozwiązań systemowych w zakresie cyberbezpieczeństwa, takich jak wdrożenie wymagań normy ISO/IEC 27001 czy NIST powodował, że w zasadzie niewiele więcej było do zrobienia. Pozostawało tylko dostosować warstwę zgodności z przepisami prawa i opisać to, co już jest robione w kontekście wdrożonych zabezpieczeń.
Jakie ryzyka są związane z cyberbezpieczeństwem i jak do tego zagadnienia należy podejść?
– Gdy słyszę o ryzykach, na myśl przychodzą mi te związane z aktywnością cyberprzestępców. W ostatnim czasie bardzo popularne stały się ataki ransomware, które pozwalają na zaszyfrowanie stacji roboczej użytkownika, a następnie żądanie od swojej ofiary opłacenia okupu w zamian za odszyfrowanie systemu. Przykładami tego typu ataków są dobrze znane Petya czy WannaCry. Z moich obserwacji wynika, iż nadal bardzo skutecznym atakiem jest też tzw. phishing, który nakłania ofiarę do wpisania danych uwierzytelniających, służących do logowania, do specjalnie spreparowanych domen, łudząco przypominających oryginalne. Celem ataku jest kradzież tych danych.
Istnieje mnóstwo sposobów na przeprowadzenie cyberataku. Należy pamiętać, iż pomimo inwestycji w sprzęt oraz zabezpieczenia cyberprzestępcy mogą wykorzystać nieświadomość naszych pracowników i to z ich pomocą przeprowadzić udany atak. Jak można temu zapobiec? Przede wszystkim stale podnosić świadomość pracowników. Przypominać im o różnych metodach ataków socjotechnicznych oraz przy pomocy testów symulujących takie ataki pokazywać, jak się przed nimi bronić.
Czy istnieją branże, które nie potrzebują wprowadzenia rozwiązań z zakresu cyberbezpieczeństwa?
– Są to wszystkie organizacje, które nie korzystają z komputerowego przetwarzania informacji, w tym w sieci. Problem w tym, że takiej nie znam. Każda organizacja powinna posiadać rozwiązania w zakresie cyberbezpieczeństwa. Oczywiście powinny one być dostosowane do indywidualnych potrzeb, m.in. rodzaju przetwarzanych danych, krytycznych usług, wielkości organizacji, rodzaju prowadzonej działalności. Innych rozwiązań potrzebują międzynarodowe korporacje, posiadające bardzo rozbudowane infrastruktury teleinformatyczne, a innych niewielkie sklepy internetowe. Należy pamiętać, iż każdy może stać się ofiarą cyberprzestępców, a jeśli padniemy ofiarą ataku, jego skutki mogą być zarówno finansowe, jak i wizerunkowe, te zaś niekiedy mogą doprowadzić nawet do upadku organizacji.
Czy złożoność problemów związanych z cyberzagrożeniami wymaga uczestnictwa ekspertów, czy w zasadzie każda organizacja sama może sobie poradzić z problemem?
– Jak już wspominałem, obszar cyberbezpieczeństwa jest bardzo złożony. Do prawidłowego zarządzania nim niezbędny jest doświadczony ekspert lub wręcz grupa ekspertów specjalizujących się w różnych dziedzinach. Nie ma znaczenia, czy będzie to zewnętrzny konsultant, czy pracownik wewnętrzny. Decydując się na uporządkowanie obszarów związanych z bezpieczeństwem, najwyższe kierownictwo spółek powinno powierzyć te zadania osobie kompetentnej.
Jak pana zdaniem wygląda dostępność ekspertów w zakresie cyberbezpieczeństwa?
– Na rynku dostępnych jest bardzo wiele osób, które mogą pomóc w pewnych aspektach dotyczących bezpieczeństwa informacji. Ważne jest jednak, aby taki temat w organizacji był prowadzony przez osobę, która jest w stanie objąć swoim podejściem całość organizacji i różne poziomy szczegółowości problemów cyberbezpieczeństwa. Zdobycie tak szerokiej wiedzy jest niezwykle trudne i wymaga wielu lat nabierania doświadczeń. W efekcie nie jest łatwo pozyskać do pomocy osoby o takich kompetencjach – z praktycznym doświadczeniem, a nie wyłącznie z dobrymi zdolnościami marketingowymi do sprzedaży takich usług.
W jaki sposób świadome podejście do cyberzagrożeń wpływa na organizację i jej stabilność?
– Sama świadomość nie wystarczy, ważne jest działanie, ciągłe utrzymywanie i sprawdzanie oraz udoskonalanie obszarów wpływających na bezpieczeństwo. Warto tu wspomnieć o konieczności wykonywania cyklicznych audytów, opracowania polityki bezpieczeństwa, wdrożenia procesów zarządzania informacją i dokumentacją w firmie, o testach bezpieczeństwa systemów oraz o symulacjach ataków w obszarze social engineering. Dopiero wszystkie te elementy pozwalają właściwie chronić organizację przed ewentualnymi atakami oraz minimalizować ich skutki, które – jak wspominałem – mogą doprowadzić nawet to upadku firmy.
Czy można powiedzieć, że w Polsce jest obecnie popyt na cyberusługi?
– Według moich obserwacji, jako eksperta w dziedzinie bezpieczeństwa i odporności biznesu, popyt na usługi z zakresu cyberbezpieczeństwa jest duży. Coraz większa świadomość spółek, a także informacje płynące ze świata na temat dużych cyberataków, zachęcają do podjęcia inwestycji i uporządkowania tego obszaru. Na zwiększone zainteresowanie cyberusługami wpływają również uregulowania prawne, zarówno unijne, jak i krajowe. Wymuszają one na przedsiębiorcach podjęcie konkretnych kroków i spełnienie wielu wymagań.
Jak wygląda to w porównaniu z rynkiem poza Polską?
– Polska wciąż jest rynkiem bardzo młodym, natomiast coraz lepiej konkurujemy z Europą, również pod względem cyberbezpieczeństwa. Wpływa na to m.in. wzrost gospodarczy, a także nieustanny wzrost zainteresowania tematyką, czego przejawem są m.in. szkolenia, kierunki studiów, kampanie społeczne etc.
Na jakie koszty powinna się przygotować średniej wielkości firma, chcąc podejść do zarządzania cyberbezpieczeństwem w sposób profesjonalny i efektywny?
– Cyberbezpieczeństwo jest ciągle uciekającym celem, dlatego nie można określić górnej granicy kosztów. Warto korzystać z systemowego podejścia do utrzymywania cyberbezpieczeństwa. To pozwoli na bieżące balansowanie między koniecznymi inwestycjami w tym obszarze a odpowiedzią na ryzyko w cyberprzestrzeni. Chociaż inwestycje technologiczne często są ważne i zasobochłonne, to należy pamiętać, że najbardziej kluczowe w cyberbezpieczeństwie jest zatrudnianie – wewnętrznie lub zewnętrznie – osób, które posiadają odpowiednie kwalifikacje oraz kompetencje, a także są w stanie dostosować konieczne wydatki do rzeczywistych potrzeb. Takie osoby są też same z siebie głównym kosztem w tym obszarze.
Od czego zależą te koszty?
– Koszty uzależnione są od wielu czynników: liczby pracowników, procesów biznesowych, lokalizacji fizycznych i logicznych, złożoności infrastruktury IT itp. Najważniejsze jest jednak to, czy spółka podejmowała wcześniej jakiekolwiek kroki w obszarze cyberbezpieczeństwa i jakie zabezpieczenia obecnie posiada. Jeżeli do tej pory nie poczyniono żadnych działań chroniących firmę przed cyberprzestępcami, wówczas wymagane nakłady finansowe mogą być duże.
Czy obsługę zarządzania cyberbezpieczeństwem należy przekierować na zewnątrz organizacji, czy lepiej zatrudnić specjalistę wewnątrz organizacji?
– Tu nie ma najlepszego modelu działania. Jeśli firma jest mała i nie chce ponosić kosztów na rozwój kompetencji w tym zakresie, może skorzystać z modeli outsourcingowych czy body leasingu. Mówi się jednak o tym, że koordynacja kwestii związanych z bezpieczeństwem powinna być prowadzona przez pracownika organizacji.
I w zasadzie podstawowe pytanie: czy to się opłaca?
– Na to pytanie dają odpowiedź realne sytuacje z życia dotyczące ataków malware WannaCry i Petya na wielkie korporacje. W wyniku cyberataków ich operacyjna działalność na długi czas została sparaliżowana, przynosząc ogromne straty finansowe i wizerunkowe wskutek braku możliwości świadczenia usług. Odpowiadając na to pytanie, tak, to musi się bardzo opłacać organizacjom, które chcą zdobywać rynek, rozwijać swoje produkty i jednocześnie utrzymywać poziom cyberryzyka na akceptowalnym poziomie.
Rozmawiał Jacek Markowski
Marcin Marczewski, prezes zarządu Resilia Sp. z o.o.
nie spią wręcz tylko czyhają na błedy firm i luki informatyczne. Dobrze że nasza świadomość rośnie i możemy brać udział w zkoleniach na co uważać i co robić. Bezpieczeństwo watro oczywićie chronić zarówno poprzez wsparcie specjalistów jak i np programy do zarządzania it typu nvision które są ogólnodostępne na rynku