W zabezpieczaniu rozwiązań chmurowych doskonale sprawdza się strategia Zero Trust

Z Robertem Zyskowskim, członkiem zarządu i dyrektorem ds. technologii w Grupie Symfonia, rozmawiamy o:

• podejściu klientów do bezpieczeństwa danych w chmurze,
• tym, jak radzić sobie z wdrożeniem spójnych polityk bezpieczeństwa,
• cyberzagrożeniach,
• koncepcji Zero Trust w kontekście chmury,
• sposobach na podnoszenie cyberświadomości,
• a także tym czy GenAI może stać się zagrożeniem dla bezpieczeństwa danych w chmurze.

Jak – z Pana perspektywy – wygląda podejście firm do bezpieczeństwa danych w chmurze?

Organizacje widzą, że po przejściu do chmury nic nadzwyczajnego się nie dzieje. Wszystko jest wygodniejsze i tańsze. Częściej zresztą słyszymy o incydentach bezpieczeństwa dotyczących infrastruktury własnej, on-premise, niż o tych związanych z używaniem chmury.

Gdy rozmawiamy z klientami konserwatywnymi, takimi, którzy „wychowali się” na naszym oprogramowaniu, to początkowo rzeczywiście występuje u nich bariera psychologiczna. Jest ona związana głównie z obawami o to, czy coś się z ich danymi czasem nie stanie. Ale jeśli tylko użytkownicy ci odczują, że ich system działa szybciej, jest aktualizowany, monitorowany, zwiększyła się jego niezawodność, kopie danych wykonywane są automatycznie itd., to wspomniany lęk szybko znika.

Drugi typ naszych klientów, czyli ci, którzy od razu weszli w rozwiązania chmurowe, nie ma z tym żadnego problemu. To zupełnie nowe pokolenie, nieodczuwające obaw związanych z chmurą. Chmura jest dla nich normą, a nie nowością.

Jak wielu klientów korzysta z oferty Symfonia w chmurze?

Powoli zbliżamy się do 20-25% wszystkich naszych klientów. Tych mamy już ok. 45 tys. Lwia część tej grupy to użytkownicy Symfonii eBiuro, następcy bardzo kiedyś popularnej Symfonii Start Mała Księgowość.

Również nasze oprogramowanie klasyczne – Symfonia Finanse i Księgowość oraz Symfonia Handel – jest dostępne w chmurze. Tu mamy nadzieję przekroczyć liczbę 100 podmiotów korzystających z tej ich wersji do końca 2024 roku.

Według raportu Fortinet blisko 33% firm korzystających z chmury ma problemy z wdrożeniem spójnych reguł polityki bezpieczeństwa. Jak radzić sobie z tym wyzwaniem?

Przede wszystkim warto sięgać do sprawdzonych standardów, takich jak norma ISO/IEC 27017: 2015 czy CSA CCM v4. Każdy z tych standardów ma mocne strony. Każdy może być odpowiedni dla firmy rozpoczynającej przygodę z chmurą. Oczywiście, w zależności od jej specyficznych potrzeb i wymagań.

W dużej mierze pomóc może także nawiązanie współpracy z partnerem mającym doświadczenie we wdrażaniu tych standardów. Nieocenione będzie też wsparcie typu top down i bottom up procesu wdrożenia.

Co to oznacza?

Wdrożenie polityk bezpieczeństwa i uczynienie ich skutecznymi musi odbywać się w określony sposób. Po pierwsze, na poziomie zarządu powinna być osoba, która będzie „twarzą” wdrażanych polityk bezpieczeństwa.

Po drugie, samych polityk nie powinno wdrażać się tylko po to, aby otrzymać certyfikat. Chodzi raczej o to, aby miały one praktyczny, oddolny wymiar. Każdy z działów, w których wdrażane będą te polityki, musi wspierać ten proces i widzieć płynące z niego korzyści. Dzięki temu wdrożenie staje się prostsze, a polityka bezpieczeństwa wchodzi do DNA organizacji.

Z wielu raportów z branży cybersecurity wynika, że ataki ransomware są nadal największym zagrożeniem dla firm, niezależnie od ich wielkości. Jak chronić się przed nimi?

Nie przesadzę mówiąc, że z incydentami cyberbezpieczeństwa jest trochę tak, jak z katastrofami naturalnymi. Nie do końca da się je przewidzieć, ale warto mieć działające strategie, zmniejszające ryzyko wystąpienia incydentu. Są to: kopie bezpieczeństwa, aktualizacje czy działania edukacyjne, a także polityki reagowania na niego i zapewnienia ciągłości funkcjonowania.

Warto rozważyć wdrożenie modelu Zero Trust, który zakłada, że żadna osoba, urządzenie ani system nie jest godny zaufania. Nawet jeśli znajduje się wewnątrz sieci firmy. Kluczowe zasady tego podejścia to: weryfikacja tożsamości, minimalne uprawnienia, brak granic organizacji, ciągłe monitorowanie oraz testy, testy i jeszcze raz testy. Wszystko to w 100% nie ochroni nas przed atakiem ransomware, ale istotnie zmniejszy ryzyko wystąpienia incydentów cyberbezpieczeństwa.

Jak chmura pasuje do koncepcji Zero Trust?

Stwarza idealne warunki do wdrożenia koncepcji Zero Trust, gdzie tradycyjne modele ochrony perymetrycznej są niewystarczające (to koncepcja bezpieczeństwa informatycznego, w której kluczowe elementy systemu komputerowego są chronione za pomocą warstw zabezpieczeń rozmieszczonych wokół nich – przyp. red.). Dzięki temu zarówno chmura, jak i wspomniana koncepcja są doskonale dopasowane do siebie i wzajemnie się uzupełniają.

W środowisku chmurowym tradycyjne granice organizacji stają się rozmyte, a zasoby rozproszone. Podejście Zero Trust zakłada, że nie ma zaufanych granic, a każde połączenie i dostęp muszą być weryfikowane.

Kolejna kwestia to tożsamość jako klucz do dostępu. W chmurze to tożsamość użytkownika lub urządzenia jest kluczowa dla kontroli dostępu. Zero Trust opiera się zaś na silnej weryfikacji tożsamości, a nie zabezpieczeniach tzw. końcówek, np. naszych komputerów.

Chmura wymusza też ograniczenie zaufania do minimum. Zasoby i użytkownicy znajdują się poza tradycyjnymi granicami organizacji. Podobnie jak Zero Trust, które zakłada, że nie należy ufać niczemu i nikomu domyślnie. Każdy dostęp musi być dynamicznie weryfikowany.

Chmura charakteryzuje się ciągłymi zmianami. Dodajemy w niej nowe usługi, aplikacje, kolejnych użytkowników i urządzenia. Dokładnie tak samo jak strategia Zero Trust, która wymaga ciągłej weryfikacji i adaptacji do tych dynamicznie zmieniających się warunków.

Środowisko chmurowe wymaga również ciągłego monitorowania wspomnianych aktywności oraz szybkiej reakcji na incydenty. Idealnie uzupełnia się to z koncepcją Zero Trust, która kładzie nacisk na detekcję i reakcję, a nie tylko na prewencję.

Cyberprzestępcy nie stosują już typowych włamań na nasze konta. Coraz częściej dochodzi do przejmowania dostępu do naszych subskrypcji czy profili i korzystania z naszych kont. Jak się przed tym bronić?

Nie ignorujmy monitów IT dotyczących aktualizacji naszych systemów i okresowej zmiany hasła. Stosujmy tylko sprawdzone i profesjonalne oprogramowanie, tzw. managerów haseł. Zdaję sobie doskonale sprawę, że wygodnie jest zapamiętać hasło w przeglądarce, ale mimo wszystko, zachęcam do stosowania managera haseł. Kolejne podstawowe zabezpieczenie to oczywiście uwierzytelnianie wieloskładnikowe MFA.

Na jakie jeszcze techniki hakerów warto uważać? Jak się przed nimi zabezpieczać?

Warto przytoczyć tu słynny incydent dotyczący użycia GenAI z lutego 2024 roku. Pracownik działu finansowego w międzynarodowej firmie w Hongkongu został oszukany i nakłoniony do wypłacenia 25 mln USD na rzecz cyberprzestępców. Wykorzystali oni technologię DeepFake, udając podczas wideokonferencji CFO tej firmy.

Biorąc pod uwagę fakt, że wspomniany ransomware jest już „normą”, techniki typu DeepFake przenoszą problem cyberbezpieczeństwa na zupełnie inny poziom. Są dużo trudniejsze do wykrycia. A jest ich niestety coraz więcej.

Przykładowo, może to być kontaktowanie się poprzez WhatsAppa i namawianie do zapłacenia faktury w imieniu przełożonego. Takie działania ze strony przestępców wymagają wdrożenia jeszcze bardziej restrykcyjnych polityk bezpieczeństwa, np. podwójnego zatwierdzenia czy weryfikacji tożsamości. Zwłaszcza że najgorsze jest przed nami.

Poza oprogramowaniem i aspektami technicznymi warto podnosić świadomość pracowników, którzy są często najsłabszym ogniwem systemu. Na co ich uczulać i jak szkolić, aby zminimalizować ryzyko potknięć?

Szkolenia dotyczące cyberbezpieczeństwa w pewnym sensie stają się nowym szkoleniem BHP. Są obowiązkowe dla wszystkich pracowników. Coraz więcej firm stosuje nawet coroczne szkolenia wraz z tzw. quizem zaliczającym.

W Symfonii opracowaliśmy „ściągawkę” z cyberbezpieczeństwa oraz ciągłości działania. Obejmuje ona 16 zasad, których stosowanie istotnie minimalizuje ryzyko incydentów. Zasady te dotyczą m.in. dopuszczania do pracy osób wyłącznie przeszkolonych z zakresu cybersecurity; weryfikacji i szyfrowania danych; wykorzystania wyłącznie zaufanego oprogramowania oraz zabezpieczania dostępu do używanych urządzeń. Jest to taka polityka bezpieczeństwa w pigułce, którą można łatwo zastosować w praktyce.

Wdrożyliśmy także holistyczny program budowania świadomości w obszarze cyberbezpieczeństwa. Obejmuje on:
– onboarding – w ramach którego odbywają się szkolenia online z zakresu Polityk Bezpieczeństwa Informacji i Systemów czy Polityk Ciągłości Działania;
– newsletter – przekazujący bieżące informacje z zakresu bezpieczeństwa, m.in. dotyczące potencjalnych i zidentyfikowanych zagrożeń, nowych regulacji czy nowych technologii w Symfonii i bezpieczeństwie ich stosowania;
– kampanie antyphishingowe (wewnętrzne i zewnętrzne);
– szkolenia dedykowane i konsultacje – profilowane pod pracowników, konsultacje między działami;
– szkolenia przypominające z zakresu poszczególnych polityk bezpieczeństwa.

Co jest szczególnie ważne w kontekście cyberbezpieczeństwa dla pracowników stacjonarnych, a co dla tych pracujących zdalnie?

Dla pracowników stacjonarnych ważne jest fizyczne zabezpieczenie sprzętu. Komputery, serwery, urządzenia sieciowe powinny być chronione przed nieautoryzowanym dostępem. Druga ważna kwestia to kontrola dostępu do infrastruktury IT. Dotyczy to ograniczenia dostępu tylko dla uprawnionych osób.

Co do pracowników wykonujących obowiązki zdalnie, to dla nich kluczowe będzie przede wszystkim zapewnienie bezpiecznego połączenia z siecią firmową, np. poprzez VPN. Poza tym stosowanie silnych haseł i uwierzytelniania dwuskładnikowego MFA, kontrola i zabezpieczenie używanych do pracy urządzeń prywatnych oraz ochrona danych przed nieautoryzowanym dostępem w środowisku domowym.

Osobna, ale istotna kwestia, to szkolenia w zakresie bezpiecznych praktyk pracy zdalnej, np. rozpoznawania phishingu.

Czy dynamicznie rozwijająca się technologia GenAI może stać się zagrożeniem dla bezpieczeństwa danych w chmurze?

Wspomniany przeze mnie wcześniej przykład cyberoszustwa bazował właśnie na wykorzystaniu GenAI. Zagrożenia są więc jak najbardziej realne. Z drugiej strony jednak, ta sama technologia GenAI pozwala na błyskawiczne wykrywanie anomalii w naszych systemach. Dzięki niej możemy zatem dużo szybciej na nie zareagować.

Czeka nas swoista zabawa w policjantów i złodziei. Im bardziej wyszukane będą stawać się metody zabezpieczenia przed incydentami, tym bardziej oryginalne będą formy cyberataków. Możliwości GenAI na pewno będą w tym wykorzystywane. Dlatego też w rozwiązaniach chmurowych doskonale sprawdza się strategia Zero Trust, o której rozmawialiśmy wcześniej.

W mniejszym stopniu obawiam się natomiast zagrożeń płynących z wykorzystywania przez pracowników narzędzi GenAI. Korzystanie z nich w pracy odbywa się bowiem w wyizolowanej przestrzeni, gdzie do danych służbowych sięga się poza strefą internetu.

Jakie plany związane z rozwojem produktów w obszarze chmury i CyberSec ma Symfonia?

Tym klientom, którzy już zmigrowali na Symfonia ID i stosują innowacyjną metodę logowania – jednokrotne (SSO), zaproponujemy także możliwość uwierzytelniana dwuskładnikowego.

Kontynuujemy ponadto wdrożenie platformy monitorującej incydenty dotyczące wycieku poświadczeń oraz kompromitacji kont. Jest to rozwiązanie, które penetruje w tym celu Darknet. Zatem jeśli tylko pojawi się tam cokolwiek związanego z naszymi domenami, e-mailami czy naszym szefostwem, to platforma ta natychmiast nas o tym poinformuje. Będziemy wtedy mogli szybko zareagować.

W przyszłości tę usługę będziemy chcieli też udostępnić naszym klientom.