CyberbezpieczeństwoCIORynek

CXO HUB CyberSec Chapter: Firmy wobec cyberbezpieczeństwa

Podejście do inwestycji w cyberbezpieczeństwo można podzielić z grubsza na kilka głównych typów. Kryterium ich definicji stanowią intencje, świadomość, decyzyjność. Scharakteryzujmy je krótko, wspominając na koniec także o konsekwencjach. Te przekładają się bowiem na odporność wobec cyberzagrożeń.

CXO HUB CyberSec Chapter: Firmy wobec cyberbezpieczeństwa

Kwestiom tym poświęcone jest spotkanie 8 grudnia 2021 r., pierwsze z cyklu spotkań CXO HUB CyberSec Chapter poświęconych przemianom w cyberbezpieczeństwie, które realizujemy wspólnie z firmę TRECOM i Cisco. Jest im także poświęcony pierwszy z sondaży, których wyniki będą zasilać nasze dyskusje. W badaniu tym uzyskamy ogólne spojrzenie CIO, CSO i innych CXO na kwestie własnego poczucia bezpieczeństwa, samooceny kompetencji czy wreszcie próbę oceny swojego modelu budowy i inwestycji w ten obszar.

W ramach naszego cyklu kontynuujemy serię publikacji. Po pierwszym artykule wyjaśniającym jego cele i celowość samej transformacji CyberSec, idziemy krok dalej. Na potrzeby badania i naszej dyskusji pokusiliśmy się o scharakteryzowanie czterech głównych typów podejścia do bezpieczeństwa i inwestowania w jego rozwój.

Typologia inwestycji w bezpieczeństwo

  • Pierwszy to w zasadzie anty-typ. Reprezentuje go całkiem liczne grono firm, które nie zabezpieczają się w żaden sposób. Nie mają dowodu, że do ich zasobów się włamano. Może mają poczucie, że nie są atrakcyjnym celem dla hakerów? Ale z większym prawdopodobieństwem można przyjąć, że nie mają świadomości, iż ich infrastruktura została już zinfiltrowana.
  • Drugi typ to biegun przeciwległy. Nadmiarowe inwestycje w bezpieczeństwo. To częsta sytuacja, kiedy zakup narzędzi ma zrównoważyć dawne zaległości w nakładach na cyberbezpieczeństwo. Impulsem może być na przykład jakiś incydent, włamanie. Wyrzut sumienia nakazuje wówczas wybierać najbogatsze opcje rozwiązań czy pakietów usług. Zaletą, w oczach firm reprezentujących takie podejście, jest i to, że doskonale skraca ono proces selekcji, a w zasadzie decyzyjny. Kryterium w dużym uproszczeniu brzmi – wydać maksymalnie budżet na rozwiązanie. Przy okazji pomijając zwykle wydatki na kompetencje. W efekcie potencjał rozwiązań wykorzystywany jest częściowo lub zgoła minimalnie.
  • Trzeci typ, to inwestycje zuniformizowane, podlegające standardowi korporacyjnemu w polskim oddziale międzynarodowej firmy. Jest on ustalany w zagranicznej, zewnętrznej kwaterze głównej. Z rozdzielnika nakazuje się wdrożenie zestawu określonych rozwiązań i ich konfigurację w określony sposób. Zwykle standardy te są wyśrubowane ale zarządzanie nimi na najwyższym poziomie jest poza zakresem zadań lokalnego cyberbezpieczeństwa. Można dyskutować o efektywności doboru tych narzędzi, może przecież nastąpić jakaś nadmiarowość. Ale jest to dyskusja teoretyczna, bo decyzje pozostają poza zasięgiem lokalnych bezpieczników.
  • Czwarty typ, można określić jako przeciętny. Umiarkowany budżet na cyberbezpieczeństwo warunkuje powściągliwy rozwój kompetencji tego obszaru. Posiada określony standard i strategię, realizowane poprzez zestaw wykorzystywanych rozwiązań. Wyzwaniem w tym wypadku jest rozwój sytuacji w otoczeniu. Wraz ze scyfryzowaniem biznesu rośnie zakres zadań, obszarów, zagadnień do ochrony. Firmy te odczuwają rosnącą presję na swoje cyberbezpieczeństwo. W zależności od świadomości reagują szybciej lub wolniej. Bardziej lub mniej adekwatnie. Reakcja polega na próbie dostosowania swojego cyberbezpieczeństwa, wdrożenia określonych rozwiązań.

Czynniki, które kształtują cyberbezpieczeństwo

Aby ocenić odporność poszczególnych typów cyberbezpieczeństwa, trzeba określić jeszcze, które czynniki dziś przede wszystkim tę odporność testują i definiują.

  1. Po pierwsze, takim czynnikiem jest nietransparentność na rynku rozwiązań cyberbezpieczeństwa. W chwili obecnej kilkudziesięciu, około 80 dostawców globalnych oferuje kilkaset narzędzi i rozwiązań. Dodajmy drugie tyle polskich dostawców. Wyzwanie samo w sobie stanowi porównanie ofert, kiedy już firma określi co jest jej potrzebne (choć to nie jest regułą – patrz typ 2). Trudność pogłębia dość swobodne podejście do definicji rozwiązań i standardów. Czy wiemy na pewno, na czym polega kanon rozwiązania klasy EDR (End-Point Detection and Responce) albo jakie funkcje musi zapewniać platforma SOAR (Security Orchestration, Automation and Responce)? Kto wie, które z rozwiązań SIEM (Security Information and Event Management) jest rozwiązaniem nowoczesnym, a które to legacy SIEM, które przyniesie więcej problemu niż pożytku?
  2. Po drugie, cyberataki to dzisiaj profesjonalna, choć nielegalna gałąź rynku. Po drugiej stronie znajdują się najczęściej eksperci o kompetencjach co najmniej równych lub wyższych od kompetencji specjalistów bezpieczeństwa zatrudnionych w firmie. Dlatego ich rozwiązania są w stanie przełamać każde rozwiązanie antywirusowe czy firewall. Złośliwy kod potrafi przeniknąć do każdej organizacji. Wyzwaniem hakerów jest następnie rozpoznać szybko i trafnie zasoby, które chcą przejąć. Jest to newralgiczna faza. Niedługi, ale dostateczny czas na zidentyfikowanie ataku i wykonanie skutecznych akcji, które go zatrzymają. Najtrudniejszym elementem cyberbezpieczeństwa jest więc ustalenie, czy podejrzana aktywność w sieci, taka jak przenoszenie dużej ilości danych, jest zwyczajnym działaniem użytkownika czy też działaniem hakera. Analizowanie tych danych bez pomocy AI jest czasochłonne i wymaga dużej liczby ekspertów bezpieczeństwa, których brakuje na rynku. Za pomocą uczenia maszynowego system bezpieczeństwa potrafi zapewnić kompletną i wzajemnie połączoną analizę między różnymi działami firmy. Umożliwia tym samym nawet mniej wyspecjalizowanemu personelowi nauczenie się, jak radzić sobie z atakami hakerów.
  3. Po trzecie, co wynika z punktu drugiego, w dzisiejszym podejściu do cyberbezpieczeństwa przyjmuje się, że nie da się odgrodzić organizacji nieprzebytym murem. Rozwiązania do ochrony połączenia sieciowego firmy ze światem są bardzo skuteczne, odsiewają z pewnością ponad 99% ataków, prób phishingu, zaimplementowania złośliwego kodu. Jednocześnie, ten 1% ataków, które przenikną, staje się w klasycznym podejściu ruchem dopuszczonym, „legalnym” w ramach obowiązującej polityki bezpieczeństwa. Rozwiązania broniące „granicy” nie ingerują w ruch pomiędzy urządzeniami i zasobami wewnątrz firmy i na zewnątrz. Nie trzeba dodawać, że wszelkie próby przemieszczania się i namnażania złośliwego kodu nie są w zakresie zainteresowania ani działania tych rozwiązań.  Najtrudniejszym elementem cyberbezpieczeństwa jest więc ustalenie, czy podejrzana aktywność w sieci, taka jak przenoszenie dużej ilości danych, jest zwyczajnym działaniem użytkownika czy też działaniem hakera. Analizowanie tych danych bez pomocy AI jest czasochłonne i wymaga dużej liczby ekspertów bezpieczeństwa, których brakuje na rynku. Za pomocą uczenia maszynowego system bezpieczeństwa potrafi zapewnić kompletną i wzajemnie połączoną analizę między różnymi działami firmy. Umożliwia tym samym nawet mniej wyspecjalizowanemu personelowi nauczenie się, jak radzić sobie z atakami hakerów.
    Monitorowaniem tego, co dzieje się „za murem” muszą zająć się więc inne, nowe systemy. To one, na podstawie nietypowego zachowania użytkowników czy urządzeń wszczynają alarm i przeciwdziałają próbie przejęcia firmy, która jest już w toku. Rozwiązania klasy SIEM, systemy User and entity behavior analytics (UEBA,) czy IT Governance, Risk Management and Compiance (/IT GRC) platformy orkiestracji SOAR dobrze wywiązują się z tych zadań, ale są kosztowne a ponadto wymagają integracji i ekspertów do obsługi. Rozwiązaniem wówczas stanowią pojawiające się powoli rozwiązania zintegrowane. Ich wybór oznacza prostsze wdrożenie, oszczędność na integracji i zwykle – obsłudze, ponieważ dostarczane są także w modelu usługowym. Przykładem takiego holistycznego i skutecznego rozwiązania jest platforma SecureVisio firmy eSecure.
  4. Po czwarte, cyfryzacja firmy zwiększa presję na systemy obronne. Cyfryzacja dotyczy coraz większej liczby procesów biznesowych, produkcyjnych. Adaptowane są modele działania, jak zdalna czy hybrydowa praca oraz architektury, jak chmury obliczeniowe, które stwarzają nowe obszary wymagające zabezpieczenia.
  5. Po piąte i szóste – kompetencje bezpieczeństwa są coraz bardziej deficytowe, a nawet bardzo bogate firmy wiedzą, że cyberbezpieczeństwo nie jest ich podstawową działalnością. Dlatego w bezpieczeństwie rozwija się model usługowy. Jego adaptacja to kolejne wyzwanie dla firm. Oznacza wybór odpowiednich usług i ich dostawcy, zintegrowanie z własnymi zasobami oraz łagodzenie ryzyka utraty kompetencji strategicznych cyberbezpieczeństwa, prowadzącej do uzależnienia od dostawcy.  Kwestie doboru długofalowego partnera, który będzie dysponował odpowiednio licznymi zespołami specjalistów, ale także kompetencjami doradczymi, konsultingowymi, jest bez wątpienia wyzwaniem.

Firmy pod presją

W przypadku organizacji pierwszego typu, wszystkie powyższe zjawiska i wyzwania są poza obszarem ich percepcji. Właściwie firmy te wymagają przebudzenia – wydarzenia, które zmieni ich nastawienie. Niestety to z reguły będzie przykre doświadczenie, np. włamanie i przejęcie zasobów firmy, które skutkuje przestojem, zatrzymaniem działalności lub koniecznością zapłaty okupu. Taki wstrząs w organizacji może też wywołać np. zwolnienie dyscyplinarne w efekcie włamania i kradzieży danych osób decyzyjnych, którym przypisana była odpowiedzialność za bezpieczeństwo.

Z kolei w przypadku organizacji trzeciego typu, zarządzaniem bezpieczeństwa zajmują się z kolei zewnętrzne czynniki.

Organizacje typu drugiego są skłonne do nadmiarowych inwestycji. Mogą nie posiadać kompetencji do oceny własnych potrzeb. Rosnąca złożoność cyberbezpieczeństwa może skłonić je do zmiany nastawienia i racjonalizację. Zależnie od sytuacji może to być dobrowolne lub wymuszone przyspieszenie dojrzewania. Podążanie utartą ścieżką będzie pogłębiać sytuację, w której posiada konkurujące źródła prawdy. To z kolei prowadzi do erozji zaufania do narzędzi bezpieczeństwa i obniża ich skuteczność.

Adaptowanie do sytuacji w organizacjach najpowszechniejszego czwartego typu, podlega także presji. Budżet bezpieczeństwa z trudem może sprostać wyzwaniom związanym z zakupem i integracją nowej klasy rozwiązań, a do ich obsługi – zatrudnieniem specjalistów o odpowiednich kompetencjach.

Alians dla bezpieczeństwa

Podsumowując: wybór narzędzia lub zestawu narzędzi adekwatnych do potrzeb oraz możliwości na dziś i jutro firmy jest poważnym wyzwaniem. Dodanie takich elementów, jak na przykład rozwiązania oparte o AI, czyni ten wybór jeszcze bardziej złożonym.

Koszt cyberbezpieczeństwa rozumianego w sposób nowoczesny, całościowy – rośnie. Obejmuje on bowiem także rosnący koszt kompetencji bezpieczeństwa. Przy jednoczesnym deficycie takich kompetencji na rynku.

Ale wobec wyzwań cyfryzacji biznesu nie ma alternatywy dla podnoszenia poziomu skutecznego zabezpieczenia. Kosztowy wymiar takiej transformacji łagodzi na szczęście wspomniana możliwość adaptacji rozwiązań zintegrowanych – zapewniających zintegrowane funkcje wielu silników, szybciej wdrażanych oraz pozyskiwania zasobów bezpieczeństwa w modelu usługowym.

W cyberwojnie prowadzonej dziś przez działy bezpieczeństwa w obronie biznesu, firmy muszą szukać zaufanych sojuszników. Zadaniem zaufanego partnera jest zapewnienie świadomego doboru efektywnego podejścia i narzędzi. Czasem – poprzez wsparcie zdroworozsądkowej, pragmatycznej intuicji swoją wiedzą i doświadczeniem. Kiedy indziej – wprost, poprzez wykazanie, czego unikać, jaka logika powinna przyświecać takiemu wdrożeniu. To odpowiedzialność zaufanego partnera.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.