CXO HUB CyberSec Chapter. Jeśli transformacja CyberSec, to jaka?

Ruszamy z nowym programem CXO HUB. W listopadzie, dzięki współpracy z firmami Cisco i TRECOM rozpoczyna działalność CyberSec Chapter. W obrębie CXO HUB powstaje społeczność zorientowana na badanie, wymianę doświadczeń i formułowanie dobrych praktyk w zakresie bezpieczeństwa. Program otwiera się zarazem szerzej na osoby spoza grona szefów IT, odpowiedzialne za technologię, biznes i bezpieczeństwo.

Głównym tematem debaty, wokół której organizujemy tę nową społeczność, są zmiany zachodzące w cyberbezpieczeństwie. Lepsze uchwycenie istoty tej zmiany możliwe będzie dzięki angażującemu, pogłębionemu podejściu o charakterze strategicznej debaty. Oś programu stanowi cykl spotkań online, zintegrowany z badaniami wśród ekspertów i decydentów bezpieczeństwa. Wyniki badań trafią na nasze łamy i „na stół” podczas samych spotkań. Będziemy relacjonować przebieg debaty rozpisanej na kilka miesięcy i różne działania, zmierzające do wypracowania pogłębionego, unikalnego raportu. Jego premierze towarzyszyć będzie podsumowujące spotkanie na żywo, które pozwoli zrekapitulować przebieg programu i być może wyznaczyć kolejne propozycje tematów i dyskusji.

Rozmawiamy o zmianach w cyberbezpieczeństwie w trzech wymiarach stanowiących trzy filary programu:

• transformacja podejścia do cyberbezpieczeństwa w firmach i po stronie dostawców;
• perspektywy jego konwergencji i standaryzacji – zarówno rozwiązań, jak i modeli operacyjnych;
• kluczowe uwarunkowania prawne jako katalizator zmiany – tu dyskutować planujmy w kontekście zmian wprowadzanych przez KSC.

W podsumowaniu pokusimy się natomiast o nakreślenie modelu cyberbezpieczeństwa przyszłości, ze szczególnym uwzględnieniem modelu usługowego, jego potencjału i ograniczeń.

Czy podejście do cyberbezpieczeństwa się zmienia?

W pierwszej kolejności spróbujemy wspólnie ocenić obecne podejście do cyberbezpieczeństwa i przesłanki do jego zmiany. Mamy do czynienia z wyraźnym wzrostem znaczenia tego obszaru. Gwałtownie rosną potrzeby związane z zapewnieniem bezpieczeństwa firm. Przyczyny są znane – nastąpiło przyspieszenie cyfryzacji gospodarki, występuje też szereg nowych zjawisk rynkowych, w sferze technologii czy nawet natury społecznej. Wymieńmy choćby kilka.

Mamy na przykład do czynienia z dynamicznym rozwojem narzędzi cyberbezpieczeństwa. Postęp wyraża się m.in. dużym zróżnicowaniem rynku dostawców. Dostępna jest oferta przynajmniej kilkudziesięciu dostawców globalnych i zapewne porównywalnej liczby krajowych. Trwa więc wyścig do adaptacji technologii najlepiej wspierających systemy i politykę bezpieczeństwa, na miarę potrzeb. Druga strona medalu tej różnorodności to pewnego rodzaju rozstrojenie norm i brak transparentności. W ramach tej różnorodności pojawia się bowiem wiele produktów i rozwiązań luźno niekiedy albo „na kredyt” powiązanych ze standardami rozwiązań i frameworków bezpieczeństwa. Definicje klas rozwiązań stały się w związku z tym nadmiernie liberalne i pojemne. Rosnąca świadomość znaczenia bezpieczeństwa wśród firm zderza się więc z wyzwaniem wyboru rozwiązań efektywnych i skutecznych. Pod szyldem SOAR, EDR czy SIEM marketing niektórych dostawców plasuje rozwiązania o bardzo różnych parametrach i funkcjonalnościach. Dodatkowym wyzwaniem jest adaptacja do systemów bezpieczeństwa technologii sztucznej inteligencji i uczenia maszynowego, np. do analizy zachowania użytkowników i urządzeń (UEBA). Ich wykorzystanie może przynieść wiele korzyści. Wymaga jednak świadomego i ukierunkowanego zastosowania – aby np. poprzez integrację z innymi rozwiązaniami, właściwie ów potencjał wykorzystać.

Różnorodności na rynku rozwiązań towarzyszy deficyt kompetencji bezpieczeństwa. Na rynku brak ekspertów reprezentujących doświadczenie, nawet duży budżet wcale nie jest dziś wystarczającym sposobem na pozyskanie i utrzymanie takich osób w organizacji. Deficyt utrudnia świadomy, właściwy wybór. W efekcie wiele decyzji prowadzi do pozyskiwania rozwiązań nieintegrujących systemu bezpieczeństwa w całość. Z kolei nawet dobry wybór nie jest gwarancją powodzenia w budowie odpornych systemów bezpieczeństwa odpowiadających wyzwaniom czasów. Deficyt kompetencji oznacza bowiem niemożność wykorzystania w pełni potencjału nowych rozwiązań.

Osobną kwestią jest ranga cyberbezpieczeństwa w planach inwestycyjnych firm. Pomiędzy skrajnymi, minimalistycznymi albo nadmiarowymi podejściami do inwestycji jest obszar do wyznaczenia pragmatycznego, efektywnego finansowania w oparciu o kompozycję różnych środków i zasobów wewnętrznych i zewnętrznych.

Pytanie podstawowe brzmi więc: jakie są perspektywy zmiany obecnego podejścia do cyberbezpieczeństwa w takich warunkach. A w ślad za nimi idą bardziej szczegółowe zagadnienia. Czy kryteria efektywności zmieniają się, tak, jak zmieniają się obszar działania i narzędzia dostępne firmowym siłom bezpieczeństwa? Które elementy dzisiejszego podejścia mogą w związku z tym zostać aportem wniesione do docelowego, nowego modelu? W jaki sposób zmieni się model inwestycji w cyberbezpieczeństwo? Jaką rolę do odegrania będą mieli partnerzy? W jaki sposób gospodarować posiadanymi kompetencjami, utrzymywać je i pomnażać? Czynniki te wpływają na takie kwestie, jak świadomość i obieg informacji o bezpieczeństwie w organizacji. Wytworzenie nowych kanałów i protokołów komunikacji wydaje się niezbędne, jeśli na przykład w życie wchodzić mają koncepcje Zero Trust. Czynniki te decydują także o tym, jakim zakresem sprawczości i decyzyjności dysponować będą osoby odpowiedzialne za cyberbezpieczeństwo.

Konsolidacja rynku Cybersec

Konsekwencją wymienionych powyżej zjawisk są zmiany w samej strukturze systemów bezpieczeństwa. Widoczny jest już trend do konsolidacji rozwiązań, integracji ich w ramach platform. Korzyścią jest uproszczenie ich obsługi, automatyzacja szeregu zadań i procesów. Zdejmuje to z działu bezpieczeństwa szereg zadań powtarzalnych i żmudnych, albo zwyczajnie przekraczających możliwości przetworzenia przez ludzi ze względu na wolumen i ograniczenia poznawcze oraz niedostatek doświadczenia i wiedzy.

Zarazem w działanie systemów włączane szerzej są całe organizacje, aktywnie definiujące np. znaczenie poszczególnych zasobów czy procesów. Ich właściciele powinni najlepiej orientować się w wartości tych zasobów i procesów dla firmy. Z drugiej strony pełną logiczną mapę powiązań między nimi pomagają stworzyć same rozwiązania. Takie powiązanie i rozłożenie odpowiedzialności docelowo prowadzi do skutecznego, efektywnego cyberbezpieczeństwa. Takie też wymogi nakładają na przedsiębiorców regulacje prawne, jak choćby nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wprost transponuje na regulacje frameworki i praktyki zalecane przez międzynarodowe agencje i podmioty jak ENISA, MITRE, NIST a wynikające z dyrektywy europejskiej NIS. Nowe rozwiązania i platformy współpracują też z krystalizującymi się albo wykrystalizowanym już podmiotami nowoczesnego schematu bezpieczeństwa, jak znane SOC, CSIRT czy nowy ISAC (Information Security Analysis Center – ISAC).

Obok wspomnianego więc angażowania w zagadnienia bezpieczeństwa organizacji, następuje też wyodrębnienie i rozbudowa pewnych funkcji do wspomnianych ośrodków. Otwiera to z kolei pytanie o model ich budowy czy finansowania. Całość nurtu związanego z konsolidacją zbiega się z dojrzewaniem świadomości i poziomu cyberbezpieczeństwa w firmach, częściowo przynajmniej stymulowanego przez ramy prawne oraz platformizację. Obok wymiaru konsolidacji funkcji w sieci współpracujących, skomunikowanych i uporządkowanych rozwiązań, zapowiada to także mocniejsze wejście wszelkiego rodzaju modeli usługowych. Uzupełniać one będą spektrum możliwości skutecznej obrony firm i podmiotów w świecie cyfrowym. Bardzo ciekawie przedstawiają się też możliwości indywidualizacji, dostosowań wystandaryzowanych systemów. Pole manewru jak zawsze i we wszystkich obszarach technologii wyznaczać będą posiadane kompetencje.

Model usługowy w cyberbezpieczeństwie

W toku naszej dyskusji następnym elementem będzie zmierzenie się z koncepcją modelu usługowego w bezpieczeństwie. Jakkolwiek jego rozwój jest wobec potrzeb i uwarunkowań ze wszech miar pożądany, nasza dyskusja może przybliżyć ramy, założenia dotyczące jego skutecznej adaptacji. Punktem odniesienia może być z pewnością krajobraz prawny po wejściu w życie nowelizacji ustawy o KSC. Przypisane tam odpowiedzialności i dopuszczalne sposoby ich wypełniania dają wyobrażenie o możliwych scenariuszach. Warto pamiętać też, że zmiana ta posiada też aparat finansowania, tj. nowela KSC zsynchronizowana jest z uruchomieniem środków zarezerwowanych w KPO na doposażenie ośrodków SOC i CSIRT. Nadaje to oczywiście dyskusji o transformacji cyberbezpieczeństwa na poziomie firmy bardzo konkretny wymiar.

Możliwa dzięki modelowi usługowemu standaryzacja i adaptacja szeregu niedostępnych funkcji, np. ze względu na brak deficytowych kompetencji, otwiera też pole do funkcjonowania w szerszym, systemowym kontekście bezpieczeństwa. Jego cechą będzie rozproszenie niektórych rodzajów ryzyka, zagrożeń, pomiędzy wspólne instytucje i narzędzia do ochrony i informacji.

Dostępne już w formie subskrypcyjnej np. SOC jako usługa, dają z kolei możliwość porównania, wychwycenia słabych i mocnych cech tego podejścia i parametrów, na które trzeba zwrócić uwagę wybierając konkretną ofertę.

W jakim stopniu upowszechnienie modelu usługowego zmieni wydajność cyberbepieczeństwa, przyspieszy poprawę poziomu zabezpieczeń jest zagadnieniem, które można już powoli modelować. Warto zapewne też zastanowić się jakie nowe podatności systemowe kryją się za tym rozwiązaniem, a może – jakie są warunki dobrej implementacji, integracji zewnętrznych usług bezpieczeństwa pozwalającej owych podatności unikać.

Przed nami zatem bardzo ciekawe i angażujące aktywności.

CXO HUB CyberSec Chapter we współpracy z firmami TRECOM i Cisco 2021/2022

• 8 grudnia 2021 – spotkanie online “Transformacja podejścia do cyberbezpieczeństwa”
• 12 stycznia 2022 – Ewolucja cybersec: konwergencja i standaryzacja
• 2 marca 2022 – Model usługowy w cyberbezpieczeństwie

Każde ze spotkań online poprzedzi sondaż zsynchronizowany z jego tematyką. Planujemy zbieranie ok. 50-70 odpowiedzi na 5-7 pytań, aby dynamicznie i sprawnie dostarczać „paliwa” dla naszych dyskusji. Formuła spotkań zakłada w agendzie wystąpienia, panele i otwarte dyskusje. Stawiamy, podobnie jak w przypadku spotkań CXO HUB, na włączanie jak najszersze wszystkich uczestników spotkania. Zaproszenie do CXO HUB CyberSec Chapter i udział oznacza też zawsze zaproszenie do głosu – wyrażenia opinii, skomentowania, dyskusji czy pytania.

Będziemy relacjonować przebieg spotkań na łamach magazynu ITwiz i na stronie CXOHUB.pl, uzupełniać materiały w celu wytworzenia na koniec cyklu syntetycznego raportu. Zwrócimy się z prośbą do uczestników o pomoc w zredagowaniu na zasadzie peer review.

W kwietniu odbędzie się premiera raportu. Planujemy organizację spotkania na żywo CXO HUB CyberSec Chapter „CyberSec as a Service?”, podczas którego oprócz ciekawej agendy nawiązującej do dotychczasowej tematyki oraz prezentacji naszego wspólnego raportu będziemy mogli spotkać się, aby nawiązać relacje w ramach naszej społeczności/ Posłuży temu część mniej oficjalna, koktajlowa. W naturalny sposób – na co ogromnie liczymy – uda się może wówczas pomówić także o kontynuacji takiej formuły działania.