Bierne czekanie na alert z monitoringu bezpieczeństwa to za mało

Z Patrykiem Gęborysem, dyrektorem Biura Cyberbezpieczeństwa w PZU rozmawiam o: cyberzagrożeniach, z którymi musi radzić sobie sektor finansowy; wyzwaniach bezpieczeństwa IT największego polskiego ubezpieczyciela; wykorzystywanych zabezpieczeniach; unikalnych możliwościach rozwoju kompetencji w obszarze CyberSec, a także o ryzykach związanych z większym otwarciem na chmurę publiczną i AI.

Czy dzisiejsza sytuacja geopolityczna przekłada się na wzrost zagrożeń wymierzonych w polski sektor finansowy?

Niewątpliwie tak. Powoduje, że skala ataków hakerskich w ostatnich latach znacząco się zwiększyła. Prawda jest jednak taka, że z tą sytuacją mamy do czynienia na tyle długo, że stała się dla nas – w pewnym sensie – nową normalnością. Jakkolwiek źle by to nie brzmiało, to jako organizacja musieliśmy zaadoptować się do nowej skali zagrożeń.

Nasza sytuacja nie jest wyjątkowa. Po napaści Rosji na Ukrainę z problemami wynikającymi z nowej skali ataków DDoS miał do czynienia cały sektor finansowy. Zdarzały się sytuacje, w których dostęp do kont bankowych był utrudniony. Nas to zjawisko także dotknęło, choć w mniejszym stopniu. Dość szybko udało nam się też zmitygować zagrożenia.

Dziś oczywiście nadal mamy do czynienia z podobnymi zagrożeniami, i to w skali nierzadko przewyższającej tę z roku 2022. Dysponujemy dziś jednak na tyle wyskalowanymi zabezpieczeniami, że zagrożenia typu DDoS nie są dla nas szczególnie dotkliwe. Oczywiście nie możemy tego typu rodzaju zagrożeń ignorować i musimy trzymać podniesioną gardę.

Podobnie jest z innego rodzaju atakami, np. ransomware. Niewątpliwie są to zagrożenia stanowiące poważne ryzyko operacyjne. Powszechnie znane są przykłady organizacji, które miesiącami nie były w stanie podnieść się po udanym ataku ransomware. Zagrożenia te są znane od dawna, mogliśmy więc zbudować dojrzałe zabezpieczenia i procedury w tym zakresie.

Zagrożenia ciągle jednak ewoluują.

To prawda. Niemal codziennie pojawiają się nowe zagrożenia i odmiany ataków. Trzeba być przygotowanym na nieprzewidywalne. Za tymi zmianami idą nowe wyzwania.

Przykładowo za zagrożeniami wymierzonymi w infrastrukturę krytyczną mogą dziś stać konkretne państwa. Tego typu ataki są więc bardziej zaawansowane i złożone. Są także prowadzone na większą skalę. Na to wszystko musimy być gotowi – zarówno w wymiarze konkretnych organizacji, jak i całych gospodarek.

Inny obszar stanowią ryzyka w zakresie integracji z partnerami biznesowymi i podwykonawcami w ramach całego łańcucha wartości. Musimy pamiętać, że nie działamy w próżni. Nawet, jeśli świetnie zabezpieczymy nasze własne środowisko, to nasz partner biznesowy ma tu potencjalnie mniejsze możliwości. Jego łatwiej jest więc zaatakować. W tym obszarze także trzeba być czujnym.

W tą problematykę wpisuje się też bezpieczeństwo łańcucha dostaw oprogramowania. PZU jest dużym twórcą oprogramowania. W naturalny sposób musimy więc zarządzać bezpieczeństwem naszego oprogramowania już na poziomie kodu aplikacyjnego.

Płynnie dochodzimy tu do konieczności zabezpieczenia sztucznej inteligencji. Wykorzystanie AI, a szerzej nowych technologii, jest jednym z fundamentów naszej strategii IT. Wymaga to jednak także optyki związanej z bezpieczeństwem, tym bardziej, że sztuczna inteligencja niesie za sobą ogromny potencjał, ale też nie mniejsze wyzwania, także w zakresie CyberSec.

Czym różnią się wyzwania w obszarze bezpieczeństwa IT w sektorze finansowym od tych, dotykających inne branże?

Odkąd pamiętam – a zajmuję się bezpieczeństwem IT od przeszło 20 lat – sektor finansowy zawsze był na szpicy, jeśli chodzi o wykorzystanie technologii, ale też związanych z tym wyzwań. Podobnie telekomunikacja. Różnica jest taka, że branża finansowa przetwarza wrażliwe dane, a operatorzy telekomunikacyjni zapewniają infrastrukturę krytyczną dla bezpiecznego funkcjonowania państwa.

Sektor ubezpieczeniowy jest być może mniej eksponowany rynkowo niż bankowość. Ryzyka związane z niedostępnością usług są być może mniejsze. Ale na nas także ciąży ogromna odpowiedzialność za wrażliwe dane finansowe i osobowe.

Czy zakres działalności PZU w sposób bezpośredni i liniowy przekłada się na skalę wyzwań CyberSec, a może zależności są tu mniej oczywiste?

W przypadku PZU sytuacja jest szczególna. W grupie kapitałowej mamy nie tylko działalność ubezpieczeniową, ale także bankową czy inwestycyjną. Zdajemy sobie zatem sprawę z ryzyka i odpowiedzialności.

Nie chciałbym, aby to zabrzmiało jak samochwalstwo, ale w obszarze cyberbezpieczeństwa poprzeczkę stawiamy bardzo wysoko. Mamy dobrych, doświadczonych ludzi, zarówno po stronie zespołów odpowiedzialnych za CyberSec, jak i w obszarze IT. Co więcej, bardzo dobrze układa się współpraca między nimi.

Moim zdaniem, funkcjonowanie PZU jest świetnym przykładem na to, jak należy w rozproszonych grupach pracować nad osiągnięciem wspólnych celów. W naszym przypadku takim celem jest dostarczanie najlepszych usług klientom w sposób zapewniający ich dostępność oraz bezpieczeństwo danych.

Dużą staranność przykładamy także do zabezpieczenia procesów i systemów wykorzystywanych przez agentów – współpracowników i partnerów biznesowych.

W jaki sposób kwestie związane z cyberbezpieczeństwem są umocowane w strategii i działalności operacyjnej PZU?

Nasza strategia IT jest dziś mocno nakierowana na rozwój i wykorzystanie nowych technologii po to, aby jeszcze lepiej wspierać działalność biznesową. Jak już wspomniałem, użycie nowoczesnych rozwiązań oznacza często wyjście poza strefę komfortu i poznanie nowych obszarów, które wymagają zaopiekowania także w wymiarze cyberbezpieczeństwa. Jest ono w oczywisty sposób istotnym elementem tych planów.

Dostrzegamy ryzyka, ale stwarzają one też ciekawe perspektywy na rozwój personalny pracowników. To naprawdę intrygujące, pionierskie projekty, a więc unikalne możliwości na poszerzenie wiedzy i horyzontów. PZU to miejsce, które daje możliwość zetknięcia się z prawdziwymi wyzwaniami w skali niespotykanej na polskim rynku.

Szukamy i będziemy szukać osób, które będą nam pomagały wchodzić w te nowe obszary zarówno w kontekście samych technologii, jak i ich zabezpieczenia.

Na jakich zasadach zespoły CyberSec współpracują z zespołami IT w poszczególnych domenach biznesowych PZU?

Jako komórka odpowiedzialna za cyberbezpieczeństwo na bieżąco współpracujemy z zespołami IT, które z kolei wspierają zespoły biznesowe. Działając niejako na zapleczu jesteśmy wsparciem dla tych zespołów, które dostarczają konkretne technologie dla biznesu. Dbamy, aby rozwiązania, z który będą korzystać poszczególne jednostki biznesowe PZU były odpowiednio zabezpieczone i spełniały odpowiednie standardy.

Wspólnie definiujemy też procesy związane np. z bezpiecznym rozwojem czy utrzymaniem oprogramowania. Z mojej perspektywy bardzo ważne jest też m.in. umiejętne testowanie oraz weryfikacja zabezpieczeń naszych środowisk IT. Są więc to kwestie nakierowane w większym stopniu na technologię niż na sam biznes. Choć oczywiście są to zagadnienia ściśle ze sobą powiązane.

W strukturze naszej organizacji funkcjonuje też dedykowany dział odpowiedzialny za bezpieczeństwo informacji. Jego zadaniem jest m.in. kategoryzacja danych i wskazywanie tych, które powinny podlegać szczególnej ochronie. Naszym zadaniem jest objęcie wskazanych zbiorów zabezpieczeniami adekwatnymi do ich znaczenia, ryzyk czy regulacji.

Jakie są relacje między bezpieczeństwem informacji i cyberbezpieczeństwem?

Generalnie, podział obowiązków jest prosty. W cyberbezpieczeństwie chodzi o zabezpieczenie technologii oraz przetwarzanych i gromadzonych w ramach niej danych. Bezpieczeństwo informacji jest pojęciem szerszym, bo odnosi się do informacji w ogóle.

W naszej gestii jest dostosowanie mechanizmów zabezpieczeń IT do kategorii danych oraz skali ryzyka. Bronimy naszej organizacji nie tylko przed celowanymi zagrożeniami, jak ataki hakerów, ale też przed mniej spektakularnymi wyzwaniami, jak awarie.

Jak wspomniałem, duże znaczenie mają regulacje. To ważne, ponieważ pojęcie odporności cyfrowej mówi o obronie przed atakami, ale też o konieczności utrzymania ciągłości i dostępności usług.

Jakiego rodzaju narzędzia mają kluczowe znaczenie dla możliwości realizacji tych zadań?

Wchodząc w meandry tej pracy warto sobie uświadomić, że dziś zagrożeń jest tak wiele i są one tak złożone i wielowektorowe, że ochrona musi być wielowarstwowa. W szczególności dotyczy to dużych organizacji. Ważną składową wielowarstwowego podejścia są oczywiście dobrej klasy narzędzia techniczne.

W PZU mamy do dyspozycji najlepsze, dostępne na rynku rozwiązania. Co ważniejsze, potrafimy z nich skorzystać. Na koniec dnia o cyberodporności organizacji decydują przede wszystkim ludzie: pracownicy, którzy stosują się do reguł i specjaliści, którzy potrafią zrobić najlepszy użytek z dostępnych technologii czy narzędzi. Mamy takich ludzi.

Istotna jest także kwestia właściwej organizacji procesów ochrony. Z jednej strony, dysponujemy własnym zespołem wywiadowczym Threat intelligence, który analizuje zagrożenia pojawiające się w cyberprzestrzeni. Monitorujemy sytuację, aby przewidywać na co zwrócić uwagę, po jakie narzędzia sięgnąć, by zaadresować pojawiające się zagrożenia. Staramy się zawsze być o krok przed cyberprzestępcami. Dlatego śledzimy m.in. Darknet. Pozyskane dane zasilają nasze systemy obronne oraz bazy wiedzy.

Z mojego punktu widzenia bardzo ważny jest też proces Threat Hunting, wyszukiwanie zagrożeń w naszych systemach. Dzięki niemu posiadamy wiedzą o tym, na jakie potencjalne ataki powinniśmy zwrócić szczególną uwagę. Oczywiście nasze systemy detekcyjne i prewencyjne sygnalizują, a następnie blokują większość zagrożeń. Ale staramy się proaktywnie poszukiwać sygnałów o tym, że coś mogło nam umknąć. Threat Hunting to jedna z kluczowych funkcji, którymi powinna dysponować dziś każda organizacja. Bierne czekanie na alert z monitoringu bezpieczeństwa to za mało.

Dlaczego takie procesy są dziś niezbędne?

Dzięki nim znajdujemy rzeczy, których żadne rozwiązania monitoringu nie są w stanie wykryć. Na szczęście do tej pory nie pojawiły się krytyczne podatności. Pojawiają się jednak pewne nieprawidłowości, na które musimy zareagować.

W podobny nurt wpisuje się też proaktywne testowanie poszczególnych elementów tworzących nasze środowisko IT. Wychodzę z założenia, że poszukiwanie podatności to jedno, a sprawdzanie czy zmiany zachodzące w dynamicznym przecież środowisku nie powodują nowych luk, to drugie.

Podobnie, testowanie ma kluczowe znaczenie pod kątem wykrywania podatności. Trzeba pamiętać, że nawet jeśli sprawdzimy jakiś system i on nie ulegnie żadnym zmianom, to mogą pojawić się podatności czy luki na poziomie stosu technologicznego, które oznaczają określone ryzyka. Proaktywne poszukiwanie podatności realizujemy w sposób zautomatyzowany, ale poszczególne systemy są także regularnie sprawdzane przez naszych specjalistów – nie zatrzymujemy się zatem tylko na narzędziach, ale słabych punktów w naszych zabezpieczeniach szukamy też w oparciu o doświadczenia i wiedzę ludzi.

Strategia IT w PZU zakłada szersze niż dotąd wykorzystanie usług dostępnych w modelu chmury publicznej. Czy ta decyzja oznacza także nowe zadania w obszarze CyberSec?

Jak najbardziej. Na taki kierunek rozwoju naszej infrastruktury składa się szereg kwestii, także tych wynikających z polityki dostawców oprogramowania. Na koniec dnia jednak wykorzystanie konkretnej technologii to decyzja biznesowa. Moją rolą jest zapewnić, abyśmy – niezależnie od wyboru konkretnej drogi rozwoju IT, czy będzie to model on-premise, chmura obliczeniowa, czy rozwiązanie hybrydowe – byli w stanie identyfikować i kontrolować ryzyka.

Każdy z tych modeli ma swoją specyfikę i wyzwania. W kontekście szerokiego otwarcia na model publicznej chmury obliczeniowej wyzwaniem staje się większa ekspozycja na ryzyko błędów konfiguracyjnych. Znane są przykłady organizacji, które doświadczyły m.in. wycieków danych na skutek błędnie określonych parametrów lub dostępów do środowisk cloud computing. To niewątpliwie obszar, który musimy dobrze zaadresować.

Drugim takim obszarem jest konieczność zabezpieczenia się przed nadmiernym przywiązaniem do jednego dostawcy, a więc – w kontekście odporności – choćby zapewnienia dostępności usług wobec braku łączności z wybranym dostawcą usług cloud. Takie przypadku także są znane.

Trzecia kwestia dotyczy zabezpieczenia naszych danych, które będą w chmurze gromadzone i przetwarzane. Tutaj akurat rozwiązania są znane. Potrzebny jest choćby przemyślany backup, o który jednak łatwiej jest zadbać w odniesieniu do całkowicie lokalnego środowiska. W modelu chmurowym te możliwości są różne u poszczególnych dostawców, ale też w zależności od rodzaju wybranych usług. Nad tym wszystkim należy zastanowić się już na etapie decyzji o migracji i wyboru dostawcy.

Odrębną kwestią pozostaje strategia wyjścia z chmury, której wymaga m.in. rozporządzenie DORA. Szerokie otwarcie na wykorzystanie usług cloud powoduje zatem konieczność rozważenia wielu kwestii, których w modelu on-premise nie ma.

Mówi się, że cyberbezpieczeństwo coraz częściej przypomina wojny robotów. Automatyzacja jest kluczem do działania po obu stronach barykady. Czy systemy cyberbezpieczeństwa mogą i powinny działać autonomicznie?

Rzeczywiście. O automatyzacji dużo się mówi, ale wydaje mi się, że jest to Święty Graal cyberbezpieczeństwa. Automatyzacja jest niezbędna, bo skoro ataki są dziś skalowane przy użyciu AI, to obrona także powinna z takich mechanizmów korzystać. Według mnie jednak, takie narzędzia mogą stanowić wsparcie w pracy specjalistów, ale w najbliższym czasie nie będą w stanie ich zastąpić. Chodzi o to, podobnie jak w innych obszarach, gdzie pojawia się możliwość wykorzystania AI, aby odciążyć ludzi od powtarzalnych zadań. Dlatego duży nacisk kładziemy na to, żeby dzięki automatyzacji nasi specjaliści zyskiwali czas na bardziej kreatywne zadania zamiast obsługi prostych incydentów bezpieczeństwa.

PZU w coraz większym stopniu wykorzystuje sztuczną inteligencję. Jakie wyzwania w zakresie cyberbezpieczeństwa oznacza rosnąca skala użycia AI w biznesie?

Rosnącą rolę AI widać w praktyce. Obserwuję pewnego rodzaju pozytywne zachłyśnięcie się koncepcją agentów AI. Moją rolą jest niestety nałożenie na te ambicje ram bezpieczeństwa i zarządzania. Utrzymanie tego w ryzach jest ważne, bo wszystkie te eksperymenty kiedyś mogą zostać wyskalowane szerzej, do wykorzystania produkcyjnego. Muszą więc podlegać rygorom bezpieczeństwa. Dochodzimy tu jednak do odwiecznej dyskusji na temat równowagi między bezpieczeństwem, a funkcjonalnością.

Mówiąc o bezpiecznym korzystaniu ze sztucznej inteligencji warto wskazać przynajmniej dwa aspekty. Pierwszy z nich to bezpieczeństwo modeli AI, a więc kwestie związane z oceną czy nie mają błędów systemowych; nie wykazują stronniczości; są wyjaśnialne, etyczne i zgodne z regulacjami, jak choćby AI Act. W PZU za tego typu analizy odpowiada zespół Biura Zarządzania Informacją. W tym kontekście kwestie AI są tuż obok zagadnień związanych z przetwarzaniem i wykorzystaniem hurtowni danych.

Natomiast zadaniem mojego zespołu jest próba zrozumienia i kontroli przepływów informacji pomiędzy AI, a innymi elementami naszego środowiska IT. Musimy wiedzieć jakie dane trafiają do modelu AI, czy powinny tam trafić, ale też jakie informacje znajdują się na wyjściu i co się z nimi dzieje. W tym kontekście nie musimy zajmować się tym, jak faktycznie funkcjonuje model.

Kluczowego znaczenia nabierają natomiast kwestie związane z wymianą informacji. Dziś np. coraz ważniejsza staje się ocena przepływów danych pomiędzy agentami AI. Pojawia się tu szereg pytań: w jaki sposób agenci wymieniają między sobą informacje? Jak współpracują? Czy to nie powoduje zwiększonego ryzyka ujawnienia danych?

Mówimy o ryzykach technicznych bardzo niskiego poziomu. Wszyscy dziś uczą się wykorzystania AI – zarówno zespoły biznesowe, analitycy, jak i zespoły bezpieczeństwa. Cały rynek dopiero nabiera doświadczenia, tym bardziej, że rozwój technologii szybko idzie do przodu. Każdy tydzień to nowe otwarcie.

W jakich obszarach warto rozważyć wykorzystanie AI do wzmocnienia bezpieczeństwa IT?

Obiecujący jest model zakładający wzbogacanie istniejących narzędzi CyberSec o funkcje wykorzystujące możliwości dużych modeli językowych. Dzięki temu, w oparciu o doświadczenia dostawcy lub klienta, możliwe staje się znaczące przyspieszenie detekcji zagrożeń. Perspektywicznie wydają się też możliwości szerszego zaangażowania AI do analizy danych, raportowania, ale też oceny bezpieczeństwa środowisk i testów penetracyjnych.

Z drugiej strony, nie możemy zapominać o tym, że sztuczna inteligencja znajduje zastosowanie także w działaniach ofensywnych. Już dziś czas od wykrycia podatności do stworzenia eksploitu ją wykorzystującego to raptem kilka godzin, a nie dni czy tygodni, jak to było do niedawna. W efekcie, czasu na podjęcie działań defensywnych jest coraz mniej, co wymaga jeszcze lepszego definiowania priorytetów.

Na razie decydujące zdanie ma tu człowiek. Pewnie z biegiem czasu pojawią się coraz bardziej zaawansowane rozwiązania, ale czy będzie to pełna automatyzacja? Mam wątpliwości. Z pewnością pracy w CyberSec nie zabraknie. My stawiamy na silny rozwój w tym obszarze.