O specyfice zagrożeń, na które narażone są organizacje publiczne i jednostki administracji rządowej, różnicach i podobieństwach względem sektora komercyjnego, potrzebie przejrzystości oraz o tym, czego w podejściu do bezpieczeństwa IT sektor publiczny powinien uczyć się do organizacji biznesowych mówi Jennifer Byrne, Chief Security Officer for the Worldwide Public Sector w firmie Microsoft.
Jennifer Byrne, Chief Security Officer for the Worldwide Public Sector w firmie Microsoft
Czym, w kontekście bezpieczeństwa IT, sektor publiczny różni się od komercyjnego?
Różnic jest kilka. Po pierwsze inne są zagrożenia, na które narażone są organizacje rządowe. W zakresie cyberbezpieczeństwa dostrzegamy wiele nowych form ataków skierowanych właśnie przeciwko organizacjom publicznym. W obszarze administracji publicznej specjalizuje się dość szerokie grono cyberprzestępców.
Ataki wymierzone w sektor publiczny mają jednak dodatkowy wymiar. Instytucje rządowe powinny śledzić różne rodzaje potencjalnie niebezpiecznych aktywności, które z zasady nie są podobne do zagrożeń, z jakimi mają do czynienia np. banki. Jeśli wziąć pod uwagę bank, czy inne przedsiębiorstwo biznesowe, to ich celem jest przede wszystkim ochrona własności intelektualnej, a także danych pracowników i klientów. Sektor publiczny jest zobligowany do troski o te same obszary, jednak w szerszej skali – musi chronić obywateli, lokalne firmy i własne instytucje. Dodatkowym problemem są działania o charakterze politycznym.
Po drugie, dostrzegamy konieczność nawiązania szerokiej, międzynarodowej współpracy mającej na celu rozwiązanie problemu braku – związanej z bezpieczeństwem – standaryzacji w sposobie komunikacji organizacji publicznych z różnych krajów. Tymczasem wymiana informacji dotyczących charakterystyki obserwowanych działań potencjalnie niebezpiecznych jest niezbędna. Cyberprzestępcy bardzo rzadko działają przecież z terytorium kraju, w którego infrastrukturę wymierzone są ich działania. Tego rodzaju wymiana informacji wykracza poza dotychczas istniejące mechanizmy typowe dla międzynarodowych organizacji, czy zwykłych relacji dyplomatycznych. Obserwujemy, że do dyskusji nad utworzeniem ram wymiany danych dotyczących zagrożeń cyfrowych włączają się kolejne międzynarodowe organizacje. Nadal jest to jednak stosunkowo świeży temat.
Tymczasem – zgodnie z wyliczeniami Światowego Forum Ekonomicznego – koszty działań cyberprzestępców drastycznie rosną. W 2020 roku ataki przełamujące posiadane rozwiązania bezpieczeństwa IT będą kosztowały światową gospodarkę nawet 3 bln USD. Ataki wymierzone w sektor komercyjny – firmy takie jak Home Depot, czy Sony Entertainment pokazują jak wymierne mogą być to straty.
Jakiego rodzaju dane są szczególnie newralgiczne z perspektywy sektora publicznego?
Przede wszystkim – dane osobowe i wszelkie formy cyfrowej identyfikacji. Ich ochrona nie jest jednak zadaniem łatwym. Bank dysponuje pewnym zbiorem wybranych danych o klientach, który zwykle tylko częściowo pokrywa się z informacjami posiadanymi przez firmę handlową. Z kolei placówki ochrony zdrowia mają dostęp do jeszcze innego zakresu danych osobowych. Organizacje rządowe zwykle dysponują wszystkimi tego rodzaju danymi. To pokazuje poziom zagrożeń.
Z jakich narzędzi powinny korzystać organizacje sektora publicznego, aby chronić własne zasoby informatyczne?
Nie ma tu wielu różnic w porównaniu z sektorem komercyjnym. Infrastruktura wykorzystywana przez organizacje państwowe jest bowiem praktycznie taka sama, jak ta, stosowana w firmach. Różna z pewnością jest skala. Jednak, przynajmniej biorąc pod uwagę tradycyjne rozwiązania bezpieczeństwa, to samo podejście sprawdzi się w organizacjach publicznych i komercyjnych. W kwestii nowoczesnych rozwiązań jest podobnie. Działając w świecie wzajemnie integrowanych, rozproszonych rozwiązań i danych przetwarzanych poza lokalną infrastrukturą potrzebne jest nowe podejście – niezależnie od charakteru działalności danej organizacji.
Niezbędne staje się ponowne zdefiniowanie podejścia do bezpieczeństwa IT i określenie nowych priorytetów. Często podkreślam, że dziś to nie infrastruktura, ale użytkownik jest nową granicą organizacji. Przy braku odpowiednich zabezpieczeń zagrożeniem może być dowolna aplikacja mobilna. Powoduje to, że organizacje publiczne powinny spojrzeć na kwestię bezpieczeństwa z szerszej perspektywy, podobnie – jak oceniać nowe technologie w roli narzędzia pozwalającego modernizować sposoby działania, czy interakcji z klientami. Sektor publiczny nie może stać w miejscu. W skali świata są oczywiście instytucje publiczne, które rozumieją w jaki sposób – za sprawą nowych technologii – można zmieniać system wyborczy, ułatwiać rozliczenia podatkowe, sprawniej reagować na sytuacje kryzysowe, czy lepiej zarządzać ruchem ulicznym.
Sektor publiczny rożni się jednak – ze względu na skalę działania i skalę odpowiedzialności – od sektora prywatnego. Agencje rządowe, poza ochroną własnego środowiska IT powinny być odpowiedzialne za gromadzenie i rozpowszechnianie informacji o zagrożeniach. Widać tymczasem, że następuje płynna i szybka ewolucja zagrożeń. Przestępcy często wykorzystują jeden zestaw narzędzi w bardzo nietypowy sposób. Chęć ich uporządkowania staje się źródłem ogromnych ilości danych dotyczących rodzajów i obszarów zagrożeń. Potrzebne są inwestycje w standaryzację – tak, aby powstał wspólny język pozwalający zrozumieć charakterystykę zagrożeń niezależnie od kraju i gromadzić oraz udostępniać dane na ich temat w czasie rzeczywistym.
Jak bardzo zróżnicowany jest poziom dojrzałości w reprezentowanym przez instytucje rządowe podejściu do bezpieczeństwa IT?
Różnice występują choćby ze względu na sytuację geopolityczną. Są też kraje, które mocno starają się, aby sprawnie wykorzystywać nowe technologie. Wiele zależy tu też od kwestii legislacyjnych. Przykładowo, przyglądając się modelowi chmury obliczeniowej, trudno mówić o jednolitych wzorcach. Niektóre kraje dysponują rozwiązaniami ułatwiającymi wdrażanie cloud computing, inne – nie. W Microsoft staramy się promować podejście ułatwiające wykorzystanie tego modelu, jako potencjalnego źródła wielu korzyści na poziomie administracji, ale też pojedynczych obywateli.
Generalnie, poziom świadomości w zakresie bezpieczeństwa w sektorze publicznym nie jest zadowalający. Widać to choćby na przykładzie podejścia do wdrażania aktualizacji oprogramowania – co nie dotyczy tylko rozwiązań Microsoft, ale także wielu innych narzędzi. Jednym z największych problemów agencji rządowych jest zwlekanie z modernizacją posiadanych rozwiązań. Faktem jest, że z perspektywy specjalisty ds. bezpieczeństwa dużo bardziej interesujące jest analizowanie nowych, zaawansowanych typów zagrożeń, jednak prawda jest taka, że zdecydowana większość zagrożeń, z jakimi mamy do czynienia opiera się na znanych powszechnie lukach w oprogramowaniu. Nowsze wersje aplikacji są zawsze bardziej odporne na istniejące ataki niż ich starsze odpowiedniki. Nie ma w tym nic odkrywczego.
Brak systematyczności we wdrażaniu poprawek i aktualizacji podnosi skalę zagrożenia. Dla instytucji publicznych systematyczność w tym zakresie zwykle jest sporym wyzwaniem. Oczywiście w sektorze komercyjnym także obserwujemy to zjawisko. Jednak w przypadku organizacji biznesowych potencjalne ryzyka związane z naruszeniami bezpieczeństwa są dużo bardziej widoczne i kwantyfikowane, co w naturalny sposób zwraca uwagę także na kwestię systematycznego wdrażania poprawek.
No właśnie, w jakich obszarach sektor publiczny mógłby uczyć się podejścia do bezpieczeństwa od sektora komercyjnego?
Gdybym miała wskazać jeden sektor, który w skali świata najlepiej radzi sobie z ochroną przez zagrożeniami IT, wskazałabym na sektor bankowo-finansowy. Jego sprawność nie ma jednak nic wspólnego z technologią. Niezależnie od branży powszechnym problemem okazuje się uzasadnienie inwestycji w bezpieczeństwo. Trudno jest tu bowiem policzyć stopę zwrotu z inwestycji. Czy jeśli wydam milion dolarów na bezpieczeństwo będę bezpieczniejsza? Jak to sprawdzić? Z mierzeniem ryzyka bardzo dobrze radzą sobie firmy ubezpieczeniowe. Takie organizacje rozumieją w jaki sposób budować modele ryzyka finansowego pozwalające im uzasadnić inwestycje w bezpieczeństwo. Wydaje mi się, że to jest przykład działania, za którym powinny podążać wszystkie inne sektory – także, a może przede wszystkim administracja publiczna. Nie chodzi o to, że osoby odpowiedzialne za bezpieczeństwo nie rozumieją, które technologie byłyby odpowiednie dla ich organizacji – często brak im umiejętności uzasadnienia takich inwestycji.
Natomiast jeśli spojrzeć na sektor bankowości, to jest on zwykle jednym z pierwszych użytkowników nowych technologii – także z zakresu bezpieczeństwa. Banki chętnie współpracują z dostawcami rozwiązań bezpieczeństwa i angażują się w rozwój funkcjonalności. Potrafią też precyzyjnie definiować własne wymagania funkcjonalne i zabiegać o ich wprowadzenie do finalnych rozwiązań. To idealny model – i przykład działania dla innych sektorów.
Przede wszystkim jednak organizacje rządowe i publiczne powinny wdrażać technologie pilnując ryzyka. Nie mówimy o jego ograniczeniu, ale o zarządzaniu ryzykiem. Każda decyzja biznesowa to kalkulacja ryzyka. Takie podejście powinno mieć zastosowanie także w sektorze publicznym. Zarządzanie ryzykiem pozwala m.in. określić które dane są istotne, a które mniej ważne. To otwiera drogę do budowania nowoczesnej – opartej na analizie ryzyka – architektury bezpieczeństwa IT i pozwala decydować, które zbiory danych możemy bezpiecznie przenieść do chmury obliczeniowej, a także jakie innowacje możemy wdrażać.
Jakiego rodzaju działania wspierające promowanie zagadnień bezpieczeństwa IT w sektorze rządowym podejmuje Microsoft?
Od lat wychodzimy z założenia, że każda nowa technologia, zanim zostanie wdrożona – musi zyskać zaufanie użytkowników. Z tego powodu, we wczesnych latach XXI wieku zawiesiliśmy rozwój systemu Windows, aby nauczyć się jak rozwijać oprogramowanie w sposób gwarantujący bezpieczeństwo. Dziś podejście do bezpieczeństwa jest zaszyte w każdej linijce kodu naszego oprogramowania, w każdym procesie, czy funkcjonalności. Jesteśmy także aktywnie zaangażowani w rozwój standardów dotyczących bezpieczeństwa i nie tylko.
Bardzo ważnym wymiarem jest dla nas także przejrzystość. Trzymając się przykładu cloud computing, początkowo model ten był postrzegany jako pewnego rodzaju pudełko, do którego wkładało się pewne dane, otrzymując na wyjściu inne. Zasada przejrzystości zmienia takie postrzeganie technologii. Zdajemy sobie sprawę, że klienci ufają tylko rozwiązaniom, które znają. Dlatego Microsoft angażuje się w promowanie rozwiązań technologicznych. W szczególności dotyczy do instytucji rządowych, do których kierujemy inicjatywę Government Security Program.
Od ponad dekady współpracujemy z organizacjami rządowymi z całego świata prezentując im nasze podejście do bezpieczeństwa IT. Nasza otwartość sięga kodu źródłowego, który jesteśmy gotowi – wspólnie z klientami – analizować pod kątem bezpieczeństwa, jak również danych technicznych i informacji analitycznych związanych z zagrożeniami.
