Bezpieczeństwo w chmurze: współodpowiedzialność, AI i najczęstsze błędy migracyjne

Z Miłoszem Jankowskim, Leaderem obszaru Business Development Account Cybersecurity Products w T-Mobile Polska Business Solutions i Damianem Kozłowskim, Product Ownerem Cloud & Innovation w T-Mobile Polska rozmawiamy o towarzyszących migracji do chmury wyzwaniach bezpieczeństwa, szansach i zagrożeniach związanych z wykorzystaniem AI, kwestii podziału odpowiedzialności między klientem i dostawcą usług chmury obliczeniowej, a także dobrych praktykach związanych z dostosowaniem środowisk IT do dzisiejszych realiów cyberbezpieczeństwa.

Czy przeniesienie firmowych zasobów IT do chmury automatycznie oznacza gwarancje bezpieczeństwa?

Damian Kozłowski (D.K.): W dzisiejszych czasach żadna organizacja i żaden dostawca nie mogą zagwarantować 100% poziomu bezpieczeństwa. Historia zna przykłady bardzo dobrze zabezpieczonych organizacji, które uległy mniej lub bardziej przewidywalnym atakom.

Dlatego tak ważne jest wypracowanie właściwego modelu podziału odpowiedzialności. Stworzenie go w szczególny sposób powinno obejmować usługi oferowane w oparciu o chmurę obliczeniową.

Jeśli zatem chcemy związać się z jakimś dostawcą różnego rodzaju usług chmurowych, to przeanalizujmy proponowane nam zapisy umowne, aby móc jednoznacznie określić jakie kwestie leżą w gestii dostawcy, a za które odpowiedzialny jesteśmy my, jako klient.

Na jakie zagrożenia warto zwrócić uwagę na etapie planowania migracji do chmury?

Miłosz Jankowski (M.J.): Proces migracji do chmury jest dość złożony. Dlatego tak ważne jest holistyczne spojrzenie na kwestie ochrony w ramach całego procesu. To z kolei oznacza konieczność spojrzenia na kwestie bezpieczeństwa z różnych perspektyw – technicznej, organizacyjnej, biznesowej i prawnej. Wszystkie aspekty zmierzające do zapewnienia najwyższego poziomu bezpieczeństwa powinny być integralnym elementem całego projektu i wszystkich jego etapów, a nie tylko dodatkiem, który można odłożyć na koniec.

Najważniejsze znaczenie ma w tym kontekście kwestia zaplanowania prac. Często jest bowiem tak, że cele biznesowe i cele technologiczne projektu niekoniecznie są ze sobą zbieżne. Często nie udaje się osiągnąć założonych kryteriów sukcesu. Są one wręcz nierealne i wewnętrznie sprzeczne. Wymagania związane z bezpieczeństwem i odpornością dodatkowo komplikują tę układankę. Niezbędne jest takie poukładanie priorytetów w fazie przygotowania, aby faktycznie odpowiadały celom i możliwościom organizacji.

Co więcej, o cyberbezpieczeństwie powinniśmy myśleć wielowarstwowo – w kontekście użytkownika, danych i aplikacji, które zresztą powinny podlegać ochronie także podczas procesu migracji. Nie mniej ważna jest też konieczność weryfikacji, czy ustalone na etapie przygotowania projektu migracji założenia są realne do wykonania. Warto też zwrócić uwagę na to, czy aplikacja, którą przenosimy do chmury będzie się odpowiednio i zgodnie z naszymi założeniami zachowywała w nowym środowisku. Tego typu analizy należy przeprowadzić jeszcze przed rozpoczęciem migracji.

Jako T-Mobile Polska Business Solutions dzielimy się z klientami naszą wiedzą i doświadczeniem. Jesteśmy w stanie doradzić jak z perspektywy dzisiejszych wyzwań cyberbezpieczeństwa powinna wyglądać migracja oraz utrzymanie rozwiązań chmurowych. Dobrym wstępem jest tu, audyt środowiska. Wspieramy klientów także w kontekście monitorowania środowisk i zarządzania incydentami – Miłosz Jankowski, Leader obszaru Business Development Account Cybersecurity Products w T-Mobile Polska Business Solutions.

Czy takie analizy powinny dotyczyć także wspomnianej odpowiedzialności za zapewnienie odporności i obsługę incydentów bezpieczeństwa?

M.J.: Oczywiście! W kontekście usług chmurowych kwestia odpowiedzialności za obsługę incydentów związanych z cyberbezpieczeństwem ma fundamentalne znaczenie dla odporności i zapewnienia ciągłości funkcjonowania.

Co ważne, poza odpowiedzialnością za działanie i ochronę poszczególnych aspektów związanych z użytkowaniem rozwiązania zbudowanego w oparciu o usługę chmurową warto zastanowić się też nad procesem monitoringu działania usług oraz wykorzystujących je procesów biznesowych, a także nad planem reagowania na ewentualne incydenty.

Faktem jest, że niemal każdy odpowiedzialny CIO czy CSO pracuje nad stworzeniem planów działania w sytuacjach kryzysowych, ale nie każdy weryfikuje ich funkcjonowanie. Jest to tym bardziej istotne w środowiskach zbudowanych na bazie zróżnicowanych technologii oraz usług zewnętrznych dostawców.

Niektóre firmy wymagają dostępności w trybie 24/7, bo każda minuta przestoju oznacza dla nich bardzo wymierne straty. W tego typu potrzeby dobrze wpisuje się oferowane przez nas rozwiązanie MetroCluster. Jego istotą jest rozciągnięcie infrastruktury klienta pomiędzy dwa niezależne centra danych połączone szybką siecią światłowodową. Dzięki temu, w przypadku awarii jednego z obiektów, całe środowisko w ciągu ułamka sekundy przełącza się na drugie centrum danych – Damian Kozłowski, Product Owner Cloud & Innovation w T-Mobile Polska.

Jak to wygląda w przypadku usług oferowanych przez T-Mobile Polska Business Solutions?

M.J.: Wszystko zależy od tego, w jaki sposób umówimy się z klientem. Mamy narzędzia i zespoły niezbędne do tego, aby monitorować i reagować na incydenty, działając na rzecz naszych klientów. Jesteśmy gotowi do proaktywnego, kompleksowego reagowania i wychodzimy naprzeciw potrzebom klientów.

Jak powinien wyglądać „idealny” model zarządzania odpowiedzialnością za cyberbezpieczeństwo dzieloną pomiędzy klienta i dostawcę usług cloud computig?

D.K.: Klasyczny model współodpowiedzialności opiera się na właściwym zabezpieczeniu i certyfikacji infrastruktury operatora pod kątem odporności, zdolności reagowania czy wysokiej dostępności. Oczywiście zasady odpowiedzialności za bezpieczeństwo powinny być również dostosowane do charakteru infrastruktury chmurowej wykorzystywanej do realizacji konkretnych usług, a także tego, czy mówimy o zasobach prywatnych czy współdzielonych.

Jako T-Mobile Polska Business Solutions jesteśmy w stanie przejąć odpowiedzialność za całą warstwę przetwarzania poniżej poziomu aplikacji klienta. Odpowiadamy zatem m.in. za konfigurację platformy chmurowej, obsługę maszyn wirtualnych, czy aktualizację środowisk operacyjnych.

Kwestie związane z zapewnieniem bezpieczeństwa aplikacji, dostępu, czy właściwej konfiguracji sieci najczęściej pozostawiamy klientom. Wszystkie decyzje w tym obszarze muszą być bowiem dobrze osadzone w strukturze i specyfice działania konkretnej organizacji. Na aspekt właściwej konfiguracji całego środowiska warto zwrócić szczególną uwagę, ponieważ nie są to kwestie oczywiste, zwłaszcza w przypadku chmury publicznej.

Mówiąc o bezpieczeństwie warto też wspomnieć o kopiach zapasowych. Kilka lat temu na rynku panowało przekonanie, że backup jest częścią usług chmurowych. Tymczasem nie jest to tak oczywiste. Obsługa kopii zapasowych najczęściej wymaga dokupienia lub skonfigurowania dodatkowych usług. Oczywiście niektórzy dostawcy oferują kopie zapasowe w standardzie, ale nie należy zakładać, że przeniesienie aplikacji lub danych do chmury publicznej automatycznie zapewni backup naszych danych.

Jakich typowych błędów związanych z cyberbezpieczeństwem albo samą migracją do chmury należy unikać?

D.K.: Przede wszystkim należy się do takiej migracji przygotować. Przeniesienie danych czy aplikacji do chmury obliczeniowej nie oznacza prostego przekopiowania działających zasobów w inne miejsce. Powinien to być bardziej złożony, realizowany świadomie projekt transformacji.

Każdy projekt zakładający przeniesienie części istniejącego środowiska do chmury powinien być poprzedzony kompleksową analizą i inwentaryzacją migrowanych zasobów. Tego rodzaju assesment jest niezwykle ważny. Pozwala ocenić które aplikacje jesteśmy w stanie przenieść do chmury, a których nie.

Dochodzimy tu do najczęściej popełnianych błędów. Moim zdaniem jednym z nich jest podejmowanie decyzji o przejściu do chmury w ciemno, bez należytego przemyślenia specyfiki istniejącego środowiska i zestawieniu jej z możliwościami wybranej platformy chmurowej. Znam wiele organizacji, w których odgórnie podjęto decyzję o przeniesieniu wszystkich – lub większości – aplikacji do chmury, a dopiero w trakcie faktycznej migracji okazało się, że większość procesów opiera się na starych aplikacjach, których nie jesteśmy w stanie w prosty sposób zmigrować do nowoczesnych środowiskach chmurowych.

Trzeba pamiętać, że migracja środowisk typu legacy wymaga często modernizacji takich aplikacji, przepisania ich w oparciu o nową architekturę. Co najczęściej wiąże się ze złożonym projektem IT, albo koniecznością wymiany aplikacji i zmiany istniejących procesów. Jest to najczęściej mocno angażujące dla użytkowników biznesowych.

Druga, istotna kwestia to zarządzanie kosztami chmury. W tym kontekście możemy nie tylko dostarczyć rozwiązanie, ale też doradzić w jaki sposób zoptymalizować koszty usług chmurowych. Warto pamiętać, że nie każda migracja musi opierać się na środowisku chmury publicznej. Ciekawą alternatywą może być chmura prywatna. Ten model stabilizuje koszty i upraszcza zarządzanie tym obszarem.

W jaki sposób podejść do budowy bezpiecznej architektury środowiska chmurowego? Czy zespół T-Mobile Polska wspiera klientów w takich działaniach?

M.J.: Oczywiście. Myślę, że w dzisiejszych czasach każdy, kto mierzy się z potrzebą opracowania architektury rozwiązań opartych na modelu chmury obliczeniowej przywiązuje dużą wagę do kwestii cyberbezpieczeństwa. Diabeł jednak tkwi w szczegółach. Analizy Gartnera pokazują, że nawet 95% wyzwań bezpieczeństwa rozwiązań chmurowych ma źródło w błędach konfiguracyjnych, administracyjnych i ogólnie, ludzkich. Są to zatem kwestie, na które trzeba zwrócić szczególną uwagę.

Pierwsza rzecz to zaplanowanie, wdrożenie i pilnowanie odpowiedniej konfiguracji w całym środowisku. Kolejna kwestia to zarządzanie tożsamością i wielowarstwowa ochrona użytkowników. Musimy również pamiętać o zapewnieniu skutecznego monitoringu bezpieczeństwa rozwiązań chmurowych, a także o zdolności reagowania na incydenty.

Ze względu na specyfikę usług chmurowych warto też pomyśleć o rozwiązaniach zabezpieczających przez skutkami ataków DDoS – zarówno na poziomie sieci, warstwy transportowej, jak i aplikacji.

Trzeba też pamiętać, że zarządzanie bezpieczeństwem jest procesem ciągłym. Nawet jeśli dziś czujemy się bezpieczni i mamy zgodność z odpowiednimi wymaganiami, to jutro może pojawić się podatność, która okaże się krytyczna dla naszego środowiska IT. Wówczas proces budowania odporności będziemy musieli zacząć od początku.

Jak przeciwdziałać atakom ukierunkowanym konkretnie na środowiska chmurowe?

M.J.: Ataków wymierzonych w środowiska chmurowe faktycznie nie brakuje. Według jednego z dostawców ponad 25% wszystkich cyberataków jest związanych z chmurą obliczeniową. Mimo to panuje dość powszechne przekonanie, że chmura jest bezpieczniejsza od innych środowisk. Nie zawsze jest to prawda.

Tym większe znaczenie ma rzetelna analiza i ciągłe monitorowanie konfiguracji usług. W tym kontekście mamy do dyspozycji np. gotowe narzędzia, które zapewniają skanowanie konfiguracji rozwiązania chmurowego i – działając w sposób nie wymagający instalacji agentów – dostarczają informacji o tym, na jakie wektory ataku jesteśmy narażeni.

Jakiego rodzaju narzędzia i usługi rekomendujecie klientom?

M.J.: Zacząłbym od kwestii nietechnicznych. Jako T-Mobile Polska Business Solutions dzielimy się z klientami naszą wiedzą i doświadczeniem. Jesteśmy w stanie doradzić jak z perspektywy dzisiejszych wyzwań cyberbezpieczeństwa powinna wyglądać migracja oraz utrzymanie rozwiązań chmurowych. Dobrym wstępem jest tu, audyt środowiska.

Wspieramy klientów także w kontekście monitorowania środowisk i zarządzania incydentami. Mam tu na myśli konkretne technologie, jak SIEM czy XDR, ale także wsparcie naszego zespołu Security Operations Center. Jest to o tyle istotne, że naszym zapleczem jest infrastruktura operatorska, mamy zatem doświadczenie w odpieraniu naprawdę złożonych ataków o dużej skali. Posiadamy też dedykowane rozwiązania i programy podnoszenia świadomości pracowników w kontekście cyberbezpieczeństwa.

Czy usługi typu Disaster Recovery są takim narzędziem?

D.K.: Jak najbardziej. Dobrze wpisują się w potrzebę zapewnienia wielowarstwowych zabezpieczeń, o której wspominał Miłosz. Jednocześnie, konkretne wymagania względem systemów DRaaS – a więc parametry, takie jak RPO czy RTO – powinny odpowiadać charakterystyce działalności danej firmy.

Niektóre firmy, szczególnie z sektora finansowego czy e-commerce, wymagają dostępności w trybie 24/7, bo każda minuta przestoju oznacza dla nich bardzo wymierne straty. Dla takich organizacji sprawnie działające środowisko Disaster Recovery to ratunek ostatniej szansy, bo o zapewnienie najwyższej dostępności środowiska należy zadbać w inny sposób.

W tego typu potrzeby dobrze wpisuje się oferowane przez nas rozwiązanie MetroCluster. Jego istotą jest rozciągnięcie infrastruktury klienta pomiędzy dwa niezależne centra danych połączone szybką siecią światłowodową. Dzięki temu, w przypadku awarii jednego z obiektów, całe środowisko w ciągu ułamka sekundy przełącza się na drugie centrum danych. Dzięki temu T-Mobile MetroCluster zapewnia niespotykany poziom ochrony i komfortu klienta w zakresie zarządzania ciągłością działania.

W jaki sposób dyrektywa NIS2 podchodzi do kwestii wykorzystania usług chmury obliczeniowej?

D.K.: W toku dyskusji o NIS2 niejednokrotnie umyka nam istota tych przepisów, które są przecież związane przede wszystkim z koniecznością zapewnienia ciągłości działania. Tymczasem jest to kwestia wykraczająca poza zapewnienie wysokiego poziomu cyberbezpieczeństwa.

Wyobraźmy sobie hipotetyczną organizację, która dysponuje dwoma, niewielkimi centrami danych, z których korzysta na własne potrzeby i tam, w sposób redundantny przechowuje wszystkie dane. Taki model jest obecnie w pełni wystarczający biznesowo. Załóżmy, że oba te centra danych są ulokowane w jednym mieście na południu Polski.

Pomyślmy jednak jaki problem może mieć ta firma w obliczu potwornej powodzi, która w 2024 roku nawiedziła te regiony kraju. Dlatego właśnie tak ważne jest rzetelne podejście do kwestii zachowania ciągłości działania i wykorzystanie rozwiązań skutecznych, a nie tylko zapewniających zgodność z regulacjami. Nie wolno zapominać o fundamentach i zdrowym rozsądku.

Jak połączyć chęć wykorzystania usług cloud computing z wymogami w zakresie zapewnienia zgodności z regulacjami?

D.K.: Kwestie Compliance w kontekście chmury nie są dziś niczym nadzwyczajnym. Jeszcze kilka lat temu, kiedy na rynek wchodziły pierwsze, oparte na chmurze rozwiązania klasy EDR, regularnie pojawiały się pytanie o to jak i gdzie przetwarzane są dane dotyczące działania środowisk klientów. Był generalnie pewien problem z decyzyjnością.

Dziś wykorzystanie rozwiązań ochronnych opartych na modelu chmurowym jest naturalne. Stało się wręcz koniecznością. Nie możemy przecież polegać na antywirusach i zabezpieczeniach opartych na statycznych sygnaturach. Nowoczesne rozwiązania działają już na poziomie infrastruktury.

Poza tym, każdy liczący się dostawca usług chmury obliczeniowej musi działać zgodnie z polskimi i unijnymi przepisami. Efekt jest taki, że wszystkie organizacje, tak nasi klienci, jak i my, staramy się zapewnić najwyższy poziom bezpieczeństwa i zgodności z regulacjami.

Czy w takim razie usługi chmurowe mogą okazać się pomocne w zapewnieniu zgodności z wymogami dotyczącymi cyberbezpieczeństwa, takimi jak np. NIS2?

M.J.: Zdecydowanie. Istotne są tu dwa aspekty. Po pierwsze, dostawcy usług chmurowych muszą nie tylko spełniać wymagania określone normami ISO 27001 czy ISO 22301, ale też działać zgodnie z licznymi standardami i praktykami branżowymi. Poza tym, oferują zaawansowane narzędzia, które ułatwiają zapewnienie zgodności z regulacjami. Często są to rozwiązania zautomatyzowane. Dodatkowo upraszcza to działania mające na celu dostosowanie do wymogów prawnych.

Jak sztuczna inteligencja zmienia podejście do budowania odporności środowisk IT?

D.K.: W bardzo dużym stopniu. Obie strony – atakująca i broniąca się – korzystają już z AI. Atakujący wykorzystują sztuczną inteligencję do zautomatyzowania wielu operacji, np. na potrzeby ataków socjotechnicznych. Nie brakuje znanych przypadków użycia skradzionych zdjęć do spreparowania dokumentów wykorzystanych potem do różnego rodzaju nadużyć.

Dochodzimy więc do momentu, w którym musimy intensywnie zastanawiać się w jaki sposób zastosowań podobne rozwiązania AI, aby się bronić. Wspomniane wcześniej rozwiązania EDR, początkowo oparte na uczeniu maszynowym, dziś wykorzystują coraz bardziej zaawansowane algorytmy AI do przetwarzania ogromnych zbiorów danych w celu wykrywania anomalii na poziomie pojedynczych operacji lub wątków.

Z wykorzystaniem AI wiąże się też inna kwestia. Coraz więcej firm zaczyna używać modeli językowych. Stanowi to znaczące wyzwanie dla działów bezpieczeństwa, które muszą zastanowić się w jaki sposób te modele, dane i efekty pracy użytkowników zabezpieczać czy pozwalać pracownikom na używanie rozwiązań GenAI, czy też nie.

Z moich obserwacji wynika, że wiele polskich organizacji, zwłaszcza tych większych, stara się ograniczyć pracownikom dostęp do takich narzędzi. Głównie ze względu na braki edukacyjne i kompetencyjne. Bez pewnego poziomu świadomości w zakresie wykorzystania publicznych usług GenAI trudno mówić o odpowiedzialnym podejściu do bezpieczeństwa. Pracownicy nad wyraz chętnie zasilają takie modele wrażliwymi danymi firmowymi.

Z kolei organizacje, które decydują się na wykorzystywanie zamkniętych modeli językowych w sposób lokalny także muszą przywiązywać dużą uwagę do zabezpieczenia takiej infrastruktury. Coraz częściej mówi się bowiem o zatruwaniu modeli językowych, które – wykorzystane np. jako wsparcie w podejmowaniu istotnych decyzji w oparciu o zgromadzone dane – będą podpowiadać pracownikom całkowicie niewłaściwe działania. Wykrycie tego typu zagrożeń jest dość trudne, co oznacza, że musimy wzmocnić czujność.

Na szczęście są też narzędzia, które wykorzystują AI na korzyść strony broniącej się.

M.J.: To prawda. Przyznam, że przez długi czas myślałem, że sztuczna inteligencja to głównie tzw. buzzword. Nie dostrzegałem realnej wartości z tego typu rozwiązań. Niedawno zmieniłem zdanie. Dane pochodzące od dostawców usług chmurowych i operatorów infrastruktury pokazują, że wykorzystanie AI rzeczywiście w radykalny sposób skraca czas reakcji na incydenty bezpieczeństwa. Mówimy o zwiększeniu szybkości nawet o 60%.

Co więcej, AI pozwala znacząco zmniejszyć ilość błędów typu false positive, czyli fałszywych alarmów. Rozwiązania cyberbezpieczeństwa oparte na AI są więc nie tylko szybsze, ale też skuteczniejsze. To z kolei oznacza, że pozwalają zredukować koszty ochrony przy zapewnieniu równie wysokiego poziomu bezpieczeństwa. W tym kontekście nie dziwią prognozy Gartnera mówiące o tym, że do 2028 roku – więc całkiem niedługo – większość procesów cyberbezpieczeństwa zostanie zautomatyzowana właśnie z wykorzystanie AI.

Czy zespoły, które zajmują się rozwojem i utrzymaniem środowisk IT powinny zostać przeorganizowane w związku z tym, że firmy coraz częściej korzystają z usług chmury obliczeniowej i pojawiają się nowe zagrożenia wymierzone w takie środowiska?

D.K.: Moim zdaniem zdecydowanie tak. Dlaczego? Ponieważ w wielu, zwłaszcza dużych organizacjach, nadal funkcjonuje klasyczny, silosowy podział odpowiedzialności za rozwój, operacje, bezpieczeństwo i biznes. Pomiędzy te zespoły wchodzą kwestie wykorzystania AI. Takie rozproszenie odpowiedzialności przekłada się na niższą efektywność.

Z drugiej strony, w zespołach interoperacyjnych, a więc angażujących specjalistów z różnych obszarów dużo szybciej wykrywane są ograniczenia, niespójności czy zagrożenia związane z realizowanymi projektami. Dzięki temu, można dużo wcześniej zacząć prace nad rozwiązaniem takich problemów. Jest to trudny do przecenienia benefit.

Dla przypomnienia, u podstaw koncepcji DevOps stało założenie, aby zespoły, które zajmują się rozwojem oprogramowania musiały je potem utrzymywać, a więc poświęcą więcej uwagi do tego, aby zaprojektować rozwiązania, które będą łatwiejsze do obsługi. Analogicznych korzyści można poszukiwać w przebudowie podejścia do utrzymania środowisk IT.