CXO HUB CyberSec Chapter: w stronę nowego cyberbezpieczeństwa (skrót relacji)

Transformacja podejścia do cyberbezpieczeństwa przyspiesza, potrzebuje jednak dużo pracy nad świadomością w organizacjach i ich otoczeniu – mówili uczestnicy spotkania CyberSec Chapter.

Pierwsze spotkanie CXO HUB CyberSec Chapter w ramach cyklu o transformacji cyberbezpieczeństwa, zorganizowanego we współpracy z firmami TRECOM i Cisco, zgromadziło ponad 70 osób.  W sondzie CXO Insight, która dała pretekst do dysusji wypowiedziało się ponad 60 CXO. To dobry prognostyk przed kolejnymi spotkaniami.

Czy podejście do CyberSec się zmienia?

Rozmowa z Przemysławem Szuleckim, VP GSS, JP Morgan otworzyła nasze spotkanie. Oto kluczowe stwierdzenia Przemysława Szuleckiego:

• Jesteśmy na polskim rynku w przełomowym momencie budowania świadomości potrzeby zmian w CyberSec. Zależnie od firm i branży ten etap zmiany jest w różnym stopniu zaawansowany. Zmiana świadomości cyberzagrożeń i cyberbezpieczeństwa powinna dotyczyć również naszego otoczenia. To wymaga naszego zaangażowania także poza pracą, np. na uczelniach.
• Wchodzimy w okres turbulencji. Co dzień będziemy stawać w obliczu całkowicie nowych rodzajów ryzyka dla aplikacji, procesów. To najbardziej prawdopodobna wizja przyszłości CyberSec.
• Zmianie powinna przyświecać racjonalność – zarządzanie ryzykiem adekwatne do sytuacji organizacji. Bez rychtowania armat na wróble.

Skuteczne strategie CyberSec

Jeśli zmiana podejścia do cyberbezpieczeństwa jest potrzebna – to warto rozważyć, co z kapitału doświadczenia rozwoju cyberbezpieczeństwa da się przenieść do nowej rzeczywistości. W dyskusji na ten temat udział wzięli Beata Mycer, CIO w firmie Ultimo, wcześniej m.in. CISO w Credit Agricole, Piotr Skibiński, CISO w Polkomtel, Artur Czerwiński, dyrektor ds. technicznych w Cisco, Łukasz Nawrocki, inżynier bezpieczeństwa w Trecom i   Przemysław Szulecki, VP GSS, JP Morgan.

Beata Mycer skomentowała m.in. zagadnienie możliwości osiągniecia jednego, uniwersalnego standardu cyberbezpieczeństwa.

• Mamy do czynienia z cyberbezpieczeństwem różnych prędkości – adekwatnie do potrzeb i możliwości firm – które utrzyma się także w nowym paradygmacie. Możliwym i pożądanym wspólnym mianownikiem powinno być pojęcie bezpieczeństwa informacji, które obejmuje wszystkie aspekty, od bezpieczeństwa danych, po bezpieczeństwo infrastruktury.
• Język i komunikacja są niezbędne dla rozwoju CyberSec, nie tylko świadomości, ale i wykonania przyjętych celów. Poprzeczkę warto – a nawet trzeba – postawić jak najwyżej. Prostym, jasnym językiem polskim muszą mówić wszyscy zaangażowani w sprawy bezpieczeństwa i biznesu. Poza swoją enklawą, gdzie język ekspercki jest potrzebny, trzeba porozumiewać się dobrym językiem polskim, prostym i logicznym.

Łukasz Nawrocki mówił o zmianie z perspektywy integratora, jakim jest Trecom: “Na etapie rozmowy o narzędziach służących zmianie, staramy się przekonywać, że zmiana nie ma charakteru punktowego, tylko ekosystemowy, gdzie wsparcie integratora jest wartością. Nadal często jest okazja i konieczność posłużenia się pewnym prostym uzasadnieniem. Przytaczam przykład zmiany poziomu szyfrowania ruchu w sieci. W 2015 r. według Google poziom zaszyfrowanego ruchu w sieci Web stanowił 30-50%, a obecnie, w 2021 – 85-95%. Pojawia się problem umożliwienia jego deszyfracji do potrzeb analizy zaawansowanych systemów cyberbezpieczeństwa. Jeśli klient nie ma tego świadomości i nie umożliwi tego, to inwestycja w drogie rozwiązanie będzie chybiona – 95% ruchu nie będzie analizowana”.

Efektywność CyberSec

Zagadnienie efektywności CyberSec także powinno być czynnikiem stymulującym zmianę. Rozmawialiśmy o tym w dalszej części spotkania. Artur Czerwiński mówił o ewolucji efektywności rozwiązań bezpieczeństwa. Ich żywiołowy rozwój ma dobrą, ale i złą stronę. “Zdecydowanie przybywa narzędzi cyberbezpieczeństwa. Wiąże się z tym problem ich obsługi. O ile w miarę płynnie można rozwinąć kompetencje od obsługi rozwiązań antywirusowych do EDR, to pojawiają się też całkiem nowe klasy narzędzi. Jeszcze kilka lat temu nikt nie mówił o CASB (Cloud Security Acccess Broker) czy zabezpieczaniu kontenerów. Dziś są dostępne, ale niedostępni są specjaliści, którzy mogliby wykorzystać ich potencjał. Obsłużyć, skalibrować, skorelować, zinterpretować i dostarczyć organizacji obraz niebezpieczeństwa kompromitacji. Jedynym wyjściem, jeśli chcemy efektywnego wykorzystania nowych narzędzi jest automatyzacja” – mówił Artur Czerwiński.

Łukasz Nawrocki zwrócił uwagę, że pod hasłem poprawy efektywności dokonuje się obecnie selekcja, konsolidacja rozwiązań bezpieczeństwa: “Chęć optymalizacji efektywności jest uwarunkowana świadomością. Często w branżach zaawansowanych jako integrator towarzyszymy w rozwiazywaniu problemów wysokiego poziomu – automatyzacji, optymalizacji, przyspieszenia procesów. Natomiast z klientami z branż niestymulowanych regulacjami ani potrzebą biznesową, rozmowy mają inny charakter. Działy bezpieczeństwa są niedofinansowane, borykają się z brakami kadrowymi i kompetencyjnymi a problemy przed którymi stoją są bardzo konkretne Wówczas często wychodzimy naprzeciw jako operator SOC-a”.

Przemysław Szulecki powrócił do kwestii wieloaspektowego oddziaływania na zmianę podejścia do CyberSec.

• Efektywność rozbija się o zasoby. Utrzymanie niezbędnej wiedzy wewnątrz organizacji jest drogie, to wiedza ekspercka. Należy więc poddać pod zastanowienie – czy korzystanie z zewnętrznych centrów kompetencji nie będzie po prostu lepsze i efektywniejsze, także dla całego wspólnego ekosystemu cyfrowej gospodarki.
• Z drugiej strony zewnętrzne ośrodki kompetencji cyberbezpieczeństwa mogą się nadmiernie konsolidować. Wówczas, kiedy rynek skurczyłby się do 2-3 depozytariuszy wiedzy – to staliby się oni zasobami krytycznymi. Nie ma już wówczas mowy o powierzenie własnego ryzyka na zewnątrz.

Decyzyjność i sprawczość cybersec

Czy nowe cyberbezpieczeństwo potrzebuje więcej autonomii i decyzyjności? Piotr Skibiński zwrócił uwagę, że zagadnienie wyposażenia w decyzyjność może być pochodną kultury organizacyjnej i sytuacji firmy.

• Im wyższa pozycja cyberbezpieczeństwa, tym łatwiej pewnie rzeczy przeprowadzić, ale też większa odpowiedzialność. Nawet, jeśli pojawi się świadoma współodpowiedzialność w firmie. Decyzyjność i pozycja w firmie są ważne, ale firma ma przynosić zyski i kluczowym gwarantem zysku są liderzy biznesowi, którzy te zyski przynoszą. To przestroga – aby nie popaść w klasyczną pułapkę, kiedy to bezpieczeństwo staje się hamulcowym inicjatywy, innowacji. To ostatecznie biznes musi zdecydować jakie ryzyko jest w stanie podjąć, ale powinien to robić świadomie.
• Obok decyzyjności musi być i ścieżka eskalacyjna – aby porozumiewać się kolejnymi poziomami, aż do decyzji zarządu wobec prezentowanego ryzyka danych przedsięwzięć.