Cyberbezpieczeństwo

Najważniejsze wyzwania związane z cyberbezpieczeństwem polskich firm

Debata ITwiz

Z osobami odpowiedzialnymi za bezpieczeństwo IT w firmach i administracji publicznej rozmawiamy o najważniejszych wyzwaniach związanych z ochroną danych osobowych, w tym wdrożeniem RODO; ochronie przed zagrożeniami wewnętrznymi, które – np. w bankach – stanowią aż 80% wszystkich naruszeń; prawie obywatela do prywatności; ochronie infrastruktury krytycznej i Ustawie o krajowym systemie cyberbezpieczeństwa; praktycznym wdrożeniu idei Security by Design; wykorzystaniu nowych technologii – Machine Learning i Artificial Intelligence – w systemach bezpieczeństwa oraz roli zespołów ds. bezpieczeństwa.

AUTOMATYZACJA W KONTEKŚCIE OCHRONY DANYCH OSOBOWYCH

Czy jesteście Państwo gotowi do RODO? Czy w waszych organizacjach to już zamknięty temat?

Włodzimierz Nowak, członek zarządu, dyrektor ds. prawnych, bezpieczeństwa i zarządzania zgodnością w T‑Mobile Polska (WN): Jeśli ktoś powie po 25 maja, że jest przygotowany w 100% do Rozporządzenia o Ochronie Danych Osobowych (RODO) i ma całkowicie zautomatyzowany ten proces, to na pewno mówi nieprawdę. W praktyce część czynności będzie prowadzona ręcznie i dopiero z czasem zostanie zautomatyzowana. Wszystko będzie zależało od tego, czego oczekiwać będą osoby, których dane przetwarzamy. Automatyzacja będzie odpowiedzią na te potrzeby.

Andrzej Sobczak, Resilience & Security Officer w Royal Bank of Scotland (AS): Proces adaptacji RODO będzie trwał jeszcze długo po wejściu w życie tego rozporządzenia. Będziemy zbierali doświadczenia. Pewne rozwiązania się sprawdzą, inne nie. Będziemy musieli odpowiedzieć na wymagania społeczne. Ważna okaże się też praktyka sądowa, która pokaże, co trzeba robić w pierwszej kolejności. Zmiana systemów będzie trwała długo.

Jolanta Malak, Regional Sales Director, Fortinet Polska (JM): Nasi klienci mają podejście systemowe. Rozmawiamy z nimi o koncepcji i architekturze rozwiązań przygotowujących do RODO. Firmy wypracowały już stosowne procedury, mimo legislacyjnego chaosu i niedookreślonych przepisów. Są też gotowe do wprowadzania zmian na bieżąco. Przede wszystkim chcą być przygotowane, aby – w razie incydentu – odpowiedzieć twierdząco na pytanie: „czy dołożyliście wszelkich starań, aby zabezpieczyć dane osobowe klientów”? Czytałam ostatnio, że pierwsze procesy – jeśli do nich dojdzie – nie będą służyły temu, aby nałożyć karę w wysokości 4% obrotów, ale aby zdyscyplinować firmy, które nie traktują nowych przepisów poważnie. Pierwsze miesiące mają być okresem przejściowym. Klienci swoje przygotowania do RODO zaczynają zwykle od podstawowych czynności, takich jak anonimizacjadanych, czy rozdzielenie zasobu kadrowego i finansowego od reszty danych. Dopiero potem rozpatrywane są bardziej wyrafinowane mechanizmy bezpieczeństwa.

RODO oraz Network and Information Systems Directive (NIS) wywarzają otwarte drzwi. W Stanach Zjednoczonych firmy już teraz mają wypracowane kodeksy postępowania zapewniające cyberbezpieczeństwo. Gdybyśmy konkretnie wskazali, jak powinna wyglądać ochrona danych, zarządzanie ryzykiem i ciągłością działania, wtedy każda firma byłaby gotowa na zmiany. Niestety u nas nikt nie ma odwagi dookreślić tych przepisów. Samo stwierdzenie: macie być odpowiednio zabezpieczeni, będzie pożywką dla kancelarii prawnych, które na tym będą chciały zarabiać – mówi Tomasz Szczepocki, oficer bezpieczeństwa systemów, Biura Informatyki i Łączności, Centralny Zarząd Służby Więziennej.

Grzegorz Niedospał, Cloud Platform Sales Manager, Utilities w Oracle Polska (GN): Firmy skupiają się na aspekcie identyfikacji danych. W pierwszej kolejności szukają odpowiedzi na pytania: jakie dane wrażliwe mamy i gdzie je przechowujemy. Te procesy mogą być stosunkowo łatwo zautomatyzowane. Natomiast na wdrożenie rozwiązań pozwalających zautomatyzować czynności związane z RODO – takich, jak zapominanie danych klientów – radzimy poczekać. Wciąż nie wiemy czego będzie od nas wymagało otoczenie. Zakładamy, że okres po 25 maja będzie na tyle spokojny, że ręczne działania będą wystarczające. Na automatyzację przetwarzania przyjdzie czas.

Z drugiej jednak strony wiele małych i średnich przedsiębiorstw pyta nas wprost: „nie czytaliśmy przepisów, co mamy zrobić”? Do tej pory ten temat tam nie istniał. Nie zwracali oni uwagi czy dane wyciekają, bo nie miało to bezpośredniego wpływu na ich działalność. RODO to zmieniło. Uświadamia im, że problem bezpieczeństwa danych dotyczy także firm z sektora MSP. Dlatego też radzimy: przede wszystkim zabezpieczajcie i szyfrujcie dane, zanim nawet zrozumiecie, jakie dane przetwarzacie. Niestety w niektórych mniejszych firmach wciąż są inne, bardziej pilne sprawy. W tym przypadku powinny się one zdać na duże firmy świadczące stosowne usługi – tzw. Managed Security Service Providers.

Robert Kanigowski, Kierownik ds. Bezpieczeństwa Informacji i Zarządzania Ciągłością Biznesu, Provident (RK): Co się wydarzy po 25 maja? Temat nie zniknie i nawet nie powinien. W biznesie ciągle powstają nowe produkty i procesy. Trzeba mieć nad tym kontrolę i sprawdzać, czy wszystko dzieje się zgodnie z literą prawa. Organizacje wdrażające RODO są na bardzo różnych etapach. Sporo firm dowiedziało się o tym dopiero 2-3 miesiące temu.

RODO: NIEJEDNOZNACZNE PRZEPISY I ICH INTERPRETACJA

WN: Problemem w dostosowaniu do RODO jest też brak ścisłej definicji danych osobowych. W pewnej konfiguracji nawet mój numer buta mógłby być tak zakwalifikowany. Ustawodawca nie doprecyzował tego, więc „testerzy systemu” będą wyciągać takie „smaczki”. Zobaczymy festiwal kreatywności i inteligencji kancelarii prawniczych, bo RODO zostawia za dużo miejsca na interpretację. Za wszystko odpowiada administrator danych. Będzie jak z kodeksem drogowym. Przekroczyłem prędkość, ale nikt mnie nie złapał, więc nic się nie stało. Jechałem 40 km na godzinę i wypadłem z drogi, policjant może uznać, że nie dostosowałem prędkości do panujących warunków. Podobnie może być z danymi osobowymi i dostosowaniem rozwiązań do RODO.

AS: Poprzednia ustawa o ochronie danych osobowych nie byłą aktualizowana od ponad 20 lat, a technologia zmienia się bardzo szybko. Precyzyjne zapisy równie szybko więc by się zdezaktualizowały. Dlatego legislatorzy poszli w stronę bardziej ogólnych zapisów. Pamiętajmy, że RODO bazuje na ocenie ryzyka. Mamy je analizować i adekwatnie zabezpieczać się do ryzyka. Kluczowa okaże się praktyka sądowa. Zobaczymy, jaka ona będzie.

JM: Mam nadzieję, że – zgodnie z obietnicami unijnymi – będzie łagodna, przynajmniej na początku.

Infrastruktura krytyczna to ok. 20-30% zasobów sieci w Polsce. Reszta znajduje się w naszych kieszeniach i domach. Wniosek jest oczywisty. Jeśli jestem wrogim państwem i nie chcę tracić zasobów na bezpośrednie przełamywanie zabezpieczeń infrastruktury krytycznej, wystarczy, że zawirusuję urządzenia obywateli. W ten sposób to oni będą atakowali tę infrastrukturę. Nasze bezpieczeństwo cyfrowe to nie jest tylko prywatna sprawa. Te zagrożenia roznoszą się podobnie jak biologiczne wirusy. Jeśli ktoś żyje niehigienicznie w sieci, to jest źródłem malware, spamu, ransomware dla w całej społeczności – mówi Włodzimierz Nowak, członek zarządu, dyrektor ds. prawnych, bezpieczeństwa i zarządzania zgodnością w T‑Mobile Polska.

AS: W Niemczech, Francji czy Wielkiej Brytanii są już powołane Urzędy Ochrony Danych Osobowych. Francuski opublikował jako pierwszy przewodnik, jak wdrażać RODO, z którego zresztą korzystała cała Europa. W Polsce do ostatniej chwili czekaliśmy na ustawę, którą Prezydent podpisał zaledwie 3 dni przed wejściem w życie Rozporządzenia o Ochronie Danych Osobowych! Mimo to, ostatnio na konferencji nasz regulator chwalił się, że jesteśmy najbardziej zaawansowani w całej Unii Europejskiej…

GN: Ryzyko przerzucone zostało w całości na administratorów danych osobowych. Można wierzyć w zapewnienia, że nie będzie restrykcji, ale w praktyce nie wszystko zależy od urzędów. Pojawią się wyspecjalizowane firmy, które będą chciały zarabiać na niejednoznacznych przepisach decydując się na drogę przed sądem cywilnym. Karę – czy jej brak – orzeknie sąd interpretując zasadność skargi. Jeśli będzie interpretował przepisy literalnie, to zapewnienia o łagodnych wyrokach nic nie pomogą. Z drugiej strony może skończy się tak, jak z przygotowaniami do roku 2000 i nie wydarzy się nic spektakularnego…

Tomasz Szczepocki, oficer bezpieczeństwa systemów, Biura Informatyki i Łączności, Centralny Zarząd Służby Więziennej(TS): Regulacje są na tyle ogólne, że nic z nich nie wynika. Mamy odpowiednio zabezpieczyć dane osobowe. To pozostawia duże pole do interpretacji. Tymczasem regulator powinien przekazać wytyczne. Mamy szereg norm i regulacji, które pozwalają odpowiednio zabezpieczyć dane osobowe, np. szyfrowanie. Gdyby nasz urząd tego typu procedury wskazał konkretnie, można byłoby mieć pewność, że jesteśmy gotowi.

W wielu służbach – szczególnie mundurowych – wspomniany rozmiar buta może być daną osobową. RODO oraz Network and Information Systems Directive (NIS) wywarzają otwarte drzwi. W Stanach Zjednoczonych firmy już teraz mają wypracowane kodeksy postępowania zapewniające cyberbezpieczeństwo. Gdybyśmy konkretnie wskazali, jak powinna wyglądać ochrona danych, zarządzanie ryzykiem i ciągłością działania, wtedy każda firma byłaby gotowa na zmiany. Niestety u nas nikt nie ma odwagi dookreślić tych przepisów. Samo stwierdzenie: macie być odpowiednio zabezpieczeni, będzie pożywką dla kancelarii prawnych, które na tym będą chciały zarabiać.

OCHRONA INFRASTRUKTURY KRYTYCZNEJ I UŻYTKOWNIKÓW

Nasz rząd właśnie przyjął ustawę o krajowym systemie cyberbezpieczeństwa. Czy dostosowanie się do niej to duże wyzwanie dla firm?

WN: To bardzo potrzebna ustawa, która porusza istotne problemy. Powstała w wyniku kompromisu, który szczególnie widać w porównaniu z początkowymi założeniami. Znam je, bo pracowałem w Ministerstwie Cyfryzacji, gdy powstawały. Ustawa o Krajowym Systemie Cyberbezpieczeństwa spełnia wszystkie oczekiwania MON, MSWiA oraz naszych agencji takich, jak ABW. Zabrakło natomiast klarownego podziału kompetencji. Wydaje mi się, że można cyberprzestrzeń w sposób jasny podzielić. MON mógłby odpowiadać za obszar zagrożenia wojennego czy wojny, a w czasie pokoju za systemy czysto wojskowe. MSWiA i policja powinny koncentrować się na przestępczości – oszustwach w internecie, pornografii, itd. Z kolei ABW powinna odpowiadać z ochronę istotnych interesów państwa. Natomiast obszarem obywatelskim zajmowałoby się Ministerstwo Cyfryzacji.

Próbowałem oszacować proporcje tych obszarów. Infrastruktura krytyczna to ok. 20-30% zasobów sieci w Polsce. Reszta znajduje się w naszych kieszeniach i domach. Wniosek jest oczywisty. Jeśli byłbym wrogim państwem i nie chcącym tracić zasobów na bezpośrednie przełamywanie zabezpieczeń infrastruktury krytycznej, wystarczy skoncentrować się na urządzeniach obywateli. W ten sposób to oni będą nieświadomie atakowali tę infrastrukturę.

Zabezpieczenia techniczne to duże wyzwanie. Problemy z wyciekami danych też. Jednak poziom edukacji jest tak niski, że to właśnie tu trzeba kłaść największy nacisk. Bezpieczeństwa informacji trzeba uczyć dzieci już w szkole podstawowej. Technologia zaadaptowała się bardzo szybko. Teraz czeka nas długi proces dostosowywania społeczeństwa do jej skutków – mówi Jolanta Malak, Regional Sales Director, Fortinet Polska.

Nasze bezpieczeństwo cyfrowe to nie jest tylko prywatna sprawa. Te zagrożenia roznoszą się podobnie jak biologiczne wirusy. Jeśli ktoś żyje niehigienicznie w sieci, to jest źródłem malware, spamu, ransomware dla w całej społeczności. Spójrzmy na dwa kraje z technologicznej czołówki świata – Stany Zjednoczone i Izrael. W obu tych krajach jest największa liczba zawirusowanych komputerów, bo rządy tych państw skupiły się tylko i wyłącznie na ochronie infrastruktury krytycznej. Zasady cybernetycznej higieny powinny być egzekwowane. Jak? Jeśli nie spełniam minimum wymagań, to nie wolno mnie wpuścić do systemu bankowego albo platformy e-administracji. Gdy próbuję się zalogować do takiego systemu, dana organizacja powinna mi grzecznie odpisać: „nie aktualizował Pan oprogramowania, proszę to zrobić albo zapraszamy do okienka”.

JM: Może to jest odpowiedzialność bardziej po stronie operatora usługi?

WN: To prawda, ale tu mówimy o użytkownikach, którzy odrzucają wszystkie aktualizacje i zabezpieczenia. W takim przypadku poziom bezpieczeństwa spada tak nisko, że nie można go dopuścić do systemu. W T-Mobile koncentrujemy się na trzech obszarach, w których działamy i zapewniamy usługi: bezpieczeństwa wewnętrznego,bezpieczeństwa sieci oraz bezpieczeństwa naszych klientów.

OCHRONA PRZED ZAGROŻENIAMI WEWNĘTRZNYMI

GN: Dużo mówimy o użytkownikach zewnętrznych, ale bardzo ważni są też ci wewnętrzni. Z mojej perspektywy to ludzie wewnątrz organizacji są najsłabszym ogniwem. Wiele dużych firm nie ma wprowadzonych systemów i procedur chroniących je przed nierozważnym działaniem pracowników. Ci zaś mogą na swoich urządzeniach instalować, co zechcą. To jest prawdziwe ryzyko. Przez błąd człowieka do wewnątrz systemu dostanie się malware, który umożliwi atak na świetnie zabezpieczoną infrastrukturę krytyczną.

WN: Przede wszystkim nie należy próbować zabezpieczyć stanu zastanego. Jeśli państwo chce być bezpieczne, niech zobaczy powiazania w internecie ze światem zewnętrznym. Ukraina jest wtopiona w system rosyjski i dlatego jest łatwym celem ataku. Z kolei w Polsce mamy ograniczoną liczbę połączeń ze światem i możemy to monitorować. W T-Mobile koncentrujemy się na trzech obszarach, w których działamy i zapewniamy usługi: bezpieczeństwa wewnętrznego, sieci oraz naszych klientów.

AS: W naszym przypadku, czyli banku, największym problemem są pracownicy. Naruszenie dokonane przez użytkowników to aż 80% wszystkich incydentów. Jedynie 20 proc. stanowią przypadki prób fraudu, czyli zagrożenia zewnętrzne. Dużym problemem jest dla mnie opór przed zakazami. Podczas szkolenia dla nowych pracowników prezentuję długą listę zakazanych czynności. Reakcją jest oburzenie: Jak to? Nic nie mogę zrobić? Ale tak jest właśnie w sektorze finansowym. Musimy spełniać wysokie wymagania.

Jednocześnie świadomość wewnętrznych użytkowników jest niska. Jeden z ciekawszych przypadków, z jakim miałem do czynienia związany był z pytaniem od firmy prawniczej, która obsługuje nas w krajach Europy Zachodniej. Zaatakowano jej serwer pocztowy. Wówczas poprosili nas o przesyłanie im dokumentów na… Gmaila. Całe szczęście, że ktoś w banku podrapał się po głowie i zapytał Security, czy to przypadkiem nie jest OK?

JM: Usługa, której firmy poszukują w pierwszej kolejności, to zabezpieczanie korespondencji.  Dzięki odpowiednim rozwiązaniom można identyfikować i neutralizować przypadki, w których pracownik omyłkowo – lub nie – wyśle maila nie tam, gdzie powinien.

W administracji publicznej jest problemem dotarcie do użytkownika i uświadomienie mu, że ma działać zgodnie z RODO. Decydenci nie maja na to czasu. Własnych pracowników szkolę sam, ale muszę stwierdzić, że poziom ich świadomości nie rośnie zbyt szybko. W administracji idzie to bardzo opornie. Jeżeli dodatkowo nie ma odpowiedzialności indywidualnej, a odpowiada instytucja, czyli budżet, to niektórym pewne sprawy ciężko zrozumieć – mówi Bartosz Świekatowski, Inspektor Bezpieczeństwa Teleinformatycznego, Narodowy Instytut Zdrowia Publicznego.

TS: Rozmawiałem ostatnio z jednym CSO na temat bezpieczeństwa. Przyznał, że najważniejsza jest właśnie świadomość użytkownika w organizacji. Mamy kilka warstw bezpieczeństwa, także w kontekście dyrektywy NIS. Są to: procedury, kalkulacje ryzyka i ciągłość działania. To elementy, które powinniśmy już mieć wszyscy. Kolejne to monitoring ruchu, poczty i dokumentów w organizacji. To wszystko można kupić i skonfigurować.

Problemem są ludzie i ich świadomość. U nas w organizacji staramy się podnosić ich dojrzałość. Prowadzimy szkolenia dla użytkowników. W szkole brytyjskiej pokazuje się na obrazkach, czego nie robić w sieci i jak wykonywać czynności bezpiecznie. Na konkretnych przykładach pokazuje się, co działo się, gdy doszło do incydentu. W zeszłym roku z ponad 40 tys. zdarzeń o wyższym priorytecie bezpieczeństwa mieliśmy jedynie 2 incydenty. Świadomość użytkowników to kluczowy aspekt cyberbezpieczeństwa.

Najgorzej jest z osobami, które świadomie wywołują incydenty, wynoszą i przekazują dane. W obu przypadkach bardzo ważne są precyzyjne procedury, do których użytkownik może się łatwo dostosować.

WN: W takim przypadku łatwiej też egzekwować naruszenia…

TS: Tak, ale tylko jeśli pracownik postąpił niezgodnie z procedurą, to jest jego wina.

BEZPIECZEŃSTWO DANYCH W SEKTORZE PUBLICZNYM

Bartosz Świekatowski, Inspektor Bezpieczeństwa Teleinformatycznego, Główny Inspektor Sanitarny (BŚ): Reprezentuję instytucję zajmującą się zdrowiem publicznym. Nas dużo bardziej dotyka problematyka RODO niż ustawy o Krajowym Systemie Cyberbezpieczeństwa. W administracji publicznej jest problemem dotarcie do użytkownika i uświadomienie mu, że ma działać zgodnie z RODO. Decydenci nie maja na to czasu.

Kolejnym wyzwaniem jest wprowadzenie nowego oprogramowania w instytucji. Z tego co wiem, w ministerstwach i administracji procedury związane z bezpieczeństwem danych osobowych w większości są prowadzone ręcznie. Oprogramowanie kosztuje i decydenci argumentują, że nie ma na to pieniędzy. Jakiekolwiek usprawnienia wymagają więc lobbowania u szefa.

Mówi się o tym, że jeśli dane wrażliwe są przetwarzane masowo, to trzeba dokonać oceny ich skutków i ryzyka. My mamy np. dane dotyczące szczepień. Jesteśmy urzędem centralnym, ale podlega nam też 330 stacji Sanepidu w terenie. Wszystkie one przetwarzają dane wrażliwe. Merytorycznie podlegają one pod nas, ale organizacyjnie i finansowo pod wojewodów. Niedookreślone jest zatem, kto ma odpowiadać za szkolenia pracowników w terenie.

Dla mnie istotne jest, aby bezpieczeństwo było zaimplementowane w każdym obszarze organizacji. Deweloperzy zaś mają pisać od razu bezpieczny kod, a nie liczyć na łatanie go w późniejszym terminie. Elementy bezpieczeństwa należy wplatać we wszystkie procesy w firmie, wdrażać nowe zabezpieczenia i nieustannie szkolić pracowników. Osoby odpowiedzialne za bezpieczeństwo dalej będą występować w roli lidera wiedzy i kompetencji, ale poziom bezpieczeństwa w organizacji jest wyznaczany przez świadomość pojedynczych pracowników – mówi Robert Kanigowski, Kierownik ds. Bezpieczeństwa Informacji i Zarządzania Ciągłością Biznesu, Provident.

Własnych pracowników szkolę sam, ale muszę stwierdzić, że poziom ich świadomości nie rośnie zbyt szybko. W administracji idzie to bardzo opornie. Jeżeli nie ma odpowiedzialności indywidualnej, a odpowiada instytucja, czyli budżet, to niektórym pewne sprawy ciężko zrozumieć. Tak, więc i u nas będzie to robione ręcznie, a dopiero potem – gdy coś się wydarzy – będą wdrażane odpowiednie systemy. Jeśli jednak nikt nas nie złapie, to nie naprawimy błędów.

WN: RODO stawia sektor prywatny i administrację w różnych sytuacjach. W publicznym sektorze praktycznie nie ma penalizacji, nie ma więc presji na ich bezpieczeństwo. Jednocześnie to właśnie tam jest najwięcej danych.

JM: Tymczasem wiele wrażliwych danych jest wciąż zupełnie niezabezpieczonych, np. rejestr ksiąg wieczystych…

WN: …czy dane komorników.

BŚ: Ostatnio na śmietniku za dużym szpitalem znaleziono pełne teczki i dokumenty pacjentów wraz z danymi o ich zdrowiu…

WN: …a serwer z historiami chorób często stoi w przysłowiowym „magazynku ze szczotkami”, gdzie każdy może wejść.

JAK ZAGWARANTOWAĆ PRAWO OBYWATELA DO PRYWATNOŚCI?

AS: Wyłączenie administracji publicznej spod regulacji wydaje się z naszej perspektywy dziwne. Pamiętam, jak argumentowano, że urzędnicy mają inny rodzaj odpowiedzialności. Nie mogą przecież płacić kar, bo to przelewanie z jednej kieszeni do drugiej. Tymczasem w RODO na pierwszej stronie wielokrotnie wspomina się o podstawowym prawie obywatela do prywatności. W polskiej ustawie o tym zapomniano…

GN: Prywatność obywateli to pojęcie złudne. Prawo do niego co prawda mamy, ale nie wszyscy mamy świadomość, że dostępność informacji na nasz temat i możliwości ich analizy już dawno pozbawiły nas prywatności. Coraz więcej osób w Polsce ma w domu inteligentny licznik energii. Analizując te dane – które zapisywane są co kilka minut – można dokładnie odczytać, jak wygląda życie prywatne w naszym mieszkaniu. Można wywnioskować, kiedy przygotowujemy kolację, oglądamy telewizję, czy idziemy spać. To też dane, które trzeba chronić.

Prywatność obywateli to pojęcie złudne. Prawo do niego co prawda mamy, ale nie wszyscy mamy świadomość, że dostępność informacji na nasz temat i możliwości ich analizy już dawno pozbawiły nas prywatności. Coraz więcej osób w Polsce ma w domu inteligentny licznik energii. Analizując te dane – które zapisywane są co kilka minut – można dokładnie odczytać, jak wygląda życie prywatne w naszym mieszkaniu. Można wywnioskować, kiedy przygotowujemy kolację, oglądamy telewizję, czy idziemy spać. To też dane, które trzeba chronić – mówi Grzegorz Niedospał, Cloud Platform Sales Manager, Utilities w Oracle Polska.

AS: Przecież na Facebooku ludzie sami raportują: wstałem, zjadłem kanapkę, czekam na autobus…

GN: …lub że wyjechałem i nie będzie mnie 3 tygodnie…

WN: …klucz zaś leży pod wycieraczką.

JM: Niedawno przechodziłam w centrum handlowym obok telebimu, na którym wyświetlana była reklama. Promocja polegała na tym, że podając imię, nazwisko i adres, można było dostać kupon o wartości 10 zł. Przed telebimem była kolejka. Każdy godził się zdradzić informacje na swój temat, w tym adres wraz z informacją, że nie ma go akurat w domu. Ludzie mają bardzo niską świadomość danych osobowych i tego, w jaki sposób przestępcy mogą zrobić z nich użytek. Podobny przypadek: na urządzeniach mobilnych dostępne są aplikacje, które oferują rabat o równowartości 20 zł w zamian za przekazanie wszelkich danych osobowych dostępnych na telefonie.

Zabezpieczenia techniczne to duże wyzwanie. Problemy z wyciekami danych też. Jednak poziom edukacji jest tak niski, że to właśnie tu trzeba kłaść największy nacisk. Bezpieczeństwa informacji trzeba uczyć dzieci już w szkole podstawowej. Technologia zaadaptowała się bardzo szybko. Teraz czeka nas długi proces dostosowywania społeczeństwa do jej skutków.

WN: Jest światło w tunelu RODO. Obecnie administrator danych musi na życzenie wskazać, skąd ma nasze dane osobowe. Kiedyś wręcz handlowano danymi. Teraz się to ucywilizuje. Firmy, które dostały je nie od nas i bez naszej zgody będą musiały je wykasować, bądź narażą się na odpowiedzialność.

AS: Ale już znalazły na to sposób. Na pytanie skąd macie moje dane osobowe, pracownik call center odpowiedział mi ostatnio – nie mamy osobowych tylko kontaktowe.

JM: Firmy w Stanach Zjednoczonych, których biznes nie jest zależny od klientów w Europie, zabezpieczają się przed RODO blokując wszystkie adresy IP z Europy.

Z mojej perspektywy to ludzie wewnątrz organizacji są najsłabszym ogniwem. Naruszenie dokonane przez użytkowników to aż 80% wszystkich incydentów. Jedynie 20 proc. stanowią przypadki prób fraudu, czyli zagrożenia zewnętrzne. Tymczasem wiele dużych firm nie ma wprowadzonych systemów i procedur chroniących je przed nierozważnym działaniem pracowników. Ci zaś mogą na swoich urządzeniach instalować, co zechcą. To jest prawdziwe ryzyko. Przez błąd człowieka do wewnątrz systemu dostanie się malware, który umożliwi atak na świetnie zabezpieczoną infrastrukturę krytyczną – mówi Andrzej Sobczak, Resilience & Security Officer w Royal Bank of Scotland.

Na jednej z poprzednich debat opowiedziano historię polskiej firmy, która zdecydowała się zrezygnować z programu lojalnościowego i wykasować dane klientów zamiast płacić za przygotowania do RODO i ponosić ryzyko.

JM: RODO zmusza firmy do weryfikacji wartości biznesowej przechowywanych danych. Jeśli nie widzą one efektu działań marketingowych, to teraz łatwiej im podjąć decyzję o rezygnacji z części zasobów. Takich firm jest jednak niewiele. Raczej stosuje się podejście na zasadzie: zobaczymy, co się będzie działo – mamy procedurę wewnętrzną, więc się przygotowaliśmy.

SECURITY BY DESIGN

WN: Świadomość cyberbezpieczeństwa będzie ewoluować. Obecnie kształcimy inżynierów projektujących urządzenia i systemy. Dopiero po zakończeniu przez nich pracy do działania przystępują specjaliści od bezpieczeństwa. Nie jest to zgodne z obowiązującym obecnie modelem Security by design. Tymczasem Smart TV z mikrofonem i kamerą to szpieg w domu. Niedługo – jak u Orwella – będziemy chować się w rogu pokoju, bo tam nas telewizor nie zobaczy.

Bezpieczeństwo to stan świadomości. Konstruktor jakiegoś urządzenia musi wiedzieć, jakie jego aspekty bezpieczeństwa ma wziąć pod uwagę. Tak nie jest, tymczasem wchodzimy w erę internetu rzeczy. W świecie IoT przez jeden czujnik można dostać się do wszystkich danych zgromadzonych w naszej sieci. Miałem kiedyś okazję spotkać się z człowiekiem projektującym inteligentne żarówki. Zapytałem go, dlaczego nie posiadają one modułu zapewniającego bezpieczeństwo, tym bardziej, że – jak stwierdził – ten dodatkowy koszt wyniósłby zaledwie 5 eurocentów. Dlaczego więc nie zdecydowali się na to? Bo nikt nie prosił o ich dołożenie…

TS: Tymczasem mieliśmy już do czynienia z atakiem na żarówki WiFi. Podobno 99% urządzeń internetu rzeczy jest niezabezpieczonych. Protokoły są na tyle świeże, że nie przewiduje się zabezpieczeń. One mają działać jak najprościej. Po prostu się łączą z siecią, bez zabezpieczeń.

WN: Dobra wiadomość jest taka, że my już jesteśmy w stanie monitorować: modemy, telefony, tablety i internet rzeczy. Będziemy musieli to robić. Przez sensor w żarówce można bowiem zhakować cały Smart Home.

TS: Zamki otwierane telefonem już są sprzedawane.

Bezpieczeństwo to stan świadomości. Konstruktor jakiegoś urządzenia musi wiedzieć, jakie jego aspekty ma wziąć pod uwagę. Tak nie jest, tymczasem wchodzimy w erę internetu rzeczy. W świecie IoT przez jeden czujnik można dostać się do wszystkich danych zgromadzonych w naszej sieci. Miałem kiedyś okazję spotkać się z człowiekiem projektującym inteligentne żarówki. Zapytałem go, dlaczego nie posiadają one modułu zapewniającego bezpieczeństwo, tym bardziej, że – jak stwierdzili – ich koszt wynosił zaledwie 5 eurocentów. Dlaczego więc nie zdecydowali się na to? Bo nikt nie prosił o ich dołożenie… – mówi Włodzimierz Nowak.

WN: Hakerzy stają się coraz bardziej wyrafinowani. Potrafią manipulować adresami. Z jednego wysyłają malware, który przełamuje zabezpieczenia, a na inny przesyłają wykradzione dane. Kolejny etap włamania to czyszczenie rejestru, aby zatrzeć ślady. A autonomiczny transport to kolejne wyzwanie.

Świetlaną przyszłość przed sobą ma usługa zarządzania bezpieczeństwem: obiektów, domów, biur. Teraz mamy zaledwie pojedyncze urządzenia IoT. Za kilka lat każdy z nas będzie miał ich setki. Jeśli nie będą one zabezpieczone, narazimy się na hakowanie totalne. Taka usługa będzie bardzo pożądana, bo będzie to związane z dużym problemem społecznym. Zatrudniona firma przez nas firma zarządzająca naszym cyberbezpieczeństwem będzie musiała zmieniać regularnie nasze hasła, w tym te w urządzeniach IoT, a także monitorować ruch i sprawdzać zabezpieczenia. Po 2020 połowa urządzeń podłączonych do sieci to będzie Internet of Things.

JM: Firmy produkujące urządzenia sterowane przez internet bardzo szybko zdobywają rynek, jednocześnie wprowadzając do sieci kolejne elementy wpływające na bezpieczeństwo. Podstawowym zabezpieczeniem w instalacjach domowych powinna być segmentacja sieci.

WN: Segmentacja sieci to jedyny sposób na internet rzeczy. Trzeba odizolować część urządzeń. Bo jeśli wszystko włączamy bezpośrednio do jednej sieci, mamy do czynienia z ogromną liczbą zagrożeń. Segmentacja dużo ułatwia.

WYKORZYSTANIE MACHINE LEARNING I ARTIFICIAL INTELLIGENCE

GN: Jesteśmy w takim momencie, gdzie wszystko musimy sprowadzić do analizy predykcyjnej anomalii, które występują. Nie będziemy się bez tego w stanie obronić. Kolejny krok to systemy bezpieczeństwa oparte na Machine Learning, które będą analizować środowisko oraz wychwytywać i analizować każdą anomalię. Hakerzy są coraz lepsi, mają coraz lepsze rozwiązania. Specjaliści od bezpieczeństwa muszą też szukać nowych rozwiązań. To swego rodzaju wojna. Jeśli nie uzbroimy się w najbardziej zaawansowane systemy, to zawsze będziemy krok za przestępcami. Ludzie muszą się uczyć na błędach, ale koszt popełnienia tych błędów zawsze będzie niewspółmierny. Nawet najbardziej surowa kara dla osoby za naruszenie bezpieczeństwa nie będzie adekwatna do potencjalnej szkody dla organizacji i systemu. Dlatego analiza predykcyjna oparta o Machine Learning jest potrzebna.

JM: Pracujemy już nad wykorzystaniem Sztucznej Inteligencji, gdy przygotowujemy produkty zabezpieczające klientów we wszystkich aspektach cyberprzestrzeni.

AS: Rozmawiając o sztucznej inteligencji w kontekście bezpieczeństwa, pamiętajmy, że druga strona też ma dostęp do tej technologii i też będzie ją stosowała. Gdy mówimy o Social Engineering- czyli namawianiu ludzi do robienia szkodliwych dla nich, ale korzystnych dla nas rzeczy – musimy zdać sobie sprawę, że sztuczna inteligencja też będzie na to podatna. Niezależnie od tego, ludzie pozostaną najsłabszym ogniwem cyberbezpieczeństwa. Ludzki mózg jest bowiem tak skonstruowany, że chcemy pomagać innym. Nie zawsze dostrzegamy przy tym ciemną stronę mocy. Rośnie tylko stopień złożoności problemu.

JM: Obie strony używają tych samych środków. Pytanie, kto skuteczniej je zastosuje. Sytuacja jest asymetryczna niestety z korzyścią dla atakujących. My musimy zabezpieczyć wszystkie miejsca, oni potrzebują odnaleźć tylko jedną lukę. Bez nowych technologii nie jesteśmy w stanie niczego zrobić. Trzeba pamiętać, że nie chodzi o zwykłych spamerów, ale o zorganizowane grupy przestępcze. Nasza firma dostarcza rozwiązania na całym świecie i mamy szeroki obraz ryzyka. Widzimy też strefy wpływów cyberprzestępców. Obserwujemy różnicę w atakach na rynki finansowe, zakłady ubezpieczeniowe. Ataki dostosowywane są do tego, jak działa firma i w jaki sposób można wyciągnąć z niej pieniądze. Nowe zagrożenia pojawiają się w każdej chwili. Dlatego polecam wyłączenie usług lokalizacyjnych w telefonie oraz korzystanie z VPN. Musimy być świadomi, że wszystkie informacje o nas można wykorzystać w złej wierze.

Problemem młodych ludzi jest bezgraniczne zaufanie do technologii. W firmie musieliśmy np. odciąć Google Translate. Młodzi pracownicy wysyłali tam całe, wewnętrzne dokumenty! Podłączyliśmy więc tę usługę do systemu Data Leakage Prevention. Wówczas zaczęli oni tłumaczyć dokumenty telefonem, kierując go na ekran swojego komputera. Nie mieli świadomości, że jest to poważne zagrożenie, że nasze dane wychodzą poza system bankowy – mówi Andrzej Sobczak.

WN: Znany był przypadek amerykańskich żołnierzy w polskich bazach, którzy ćwiczyli wykorzystując aplikację korzystającą z GPS w ich telefonie. Wywiad rosyjski mógł potencjalnie widzieć dokładnie np., że dowódca tej jednostki armii USA robi trzecie okrążenie wokół bazy.

BEZPIECZEŃSTWO ROZWIĄZAŃ WYKORZYSTYWANYCH W CHMURZE

JM: Warto w tym kontekście wspomnieć o bezpieczeństwie danych w chmurze. Klienci chętnie korzystają z aplikacji chmurowych z uwagi na ich liczne zalety Są wygodne i mają elastyczny model kosztowy. Jednak prawda jest taka, że najpierw boimy się nowych rozwiązań, a potem – gdy się do nich przekonamy – w ogóle już nie myślimy o bezpieczeństwie. Mniej niż 10% aplikacji oferowanych w modelu cloud computing jest przygotowanych do pracy w sposób bezpieczny. Dodatkowo klienci korzystają nawet z kilku różnych rozwiązań chmurowych. W USA większe firmy korzystają średnio z 13 dostawców usług, które pozwalają im dokonywać analizy zbieranych danych w chmurze. To duże wyzwanie dla ich systemów bezpieczeństwa.

WN: Nie można bujać w obłokach przechowując dane w chmurze. Chmura jest ok, pod warunkiem, że dane są szyfrowane. Inaczej to jest chodzenie po linie.

JM: Chmura generuje też zjawisko Shadow IT. Rośnie ryzyko, że ktoś z działu biznesowego znajdzie nową aplikację obsługującą dane w chmurze i sam ją podłączy do systemu IT swojej organizacji.

AS: W mojej pracy to koszmar. Mamy dobry proces monitorowania dostawców, ale marketing czy komunikacja zewnętrzna kupują usługi w chmurze, bo są tańsze. Ostatnio wysłali do jednej z tego typu platform dane wszystkich pracowników. I zawsze padają argumenty, że „mamy XXI wiek i nie możemy wszystkiego robić e-mailem”.

GN: Shadow ITto jest to, co instalujemy na własnych komputerach, ale też to, na jakie witryny wchodzimy w pracy. Przecież wchodząc na stronę w przeglądarce możemy zainstalować program, któremu damy dostęp do danych na dysku.

ROLA ZESPOŁÓW CYBERBEZPIECZEŃSTWA

Czy zespoły bezpieczeństwa mogą być odseparowane od reszty organizacji?

WN: W pewnym zakresie powinny działać niezależnie. Nie muszą być lubiane. Muszą za to pod innym kontem niż biznes patrzeć na system. Jest to istotne dla bezpieczeństwa wewnętrznego. Odseparowane musi być też bezpieczeństwo klientów. Na naszą ideologię działania składają się takie aspekty, jak: jak największa szybkość działania sieci, zapewnienie jak najwyższego poziomu jej bezpieczeństwa, a gdyby jeszcze udało się zastosować model Security by Design, to byłoby super.

Jesteśmy w takim momencie, gdzie wszystko musimy sprowadzić do analizy predykcyjnej anomalii, które występują. Nie będziemy się bez tego w stanie obronić. Kolejny krok to systemy bezpieczeństwa oparte na Machine Learning, które będą analizować środowisko oraz wychwytywać i analizować każdą anomalię. Hakerzy są coraz lepsi, mają coraz lepsze rozwiązania. Specjaliści od bezpieczeństwa muszą też szukać nowych rozwiązań. To swego rodzaju wojna. Jeśli nie uzbroimy się w najbardziej zaawansowane systemy, to zawsze będziemy krok za przestępcami – mówi Grzegorz Niedospał.

TS: W Centralnym Zarządzie Służby Więziennej mamy oddzielną usługę internetu dla osadzonych. O ile w innych krajach w Europie osadzeni mają dostęp do publicznej sieci, to u nas jedynie do wydzielonego i monitorowanego przez nas jej fragmentu. To jest rozwiązanie zgodne z ideą Security by design. Jednocześnie wynika z ustawodawstwa i bezpieczeństwa osadzonych. Co roku dostajemy raport o odwiedzanych witrynach. Jedną z najpopularniejszych jest serwis scigani.policja.gov.pl.

RK: Dla mnie istotne jest, aby bezpieczeństwo było zaimplementowane w każdym obszarze organizacji. Deweloperzy zaś mają pisać od razu bezpieczny kod, a nie liczyć na łatanie go w późniejszym terminie. Elementy bezpieczeństwa należy wplatać we wszystkie procesy w firmie, wdrażać nowe zabezpieczenia i nieustannie szkolić pracowników. Osoby odpowiedzialne za bezpieczeństwo dalej będą występować w roli lidera wiedzy i kompetencji, ale poziom bezpieczeństwa w organizacji jest wyznaczany przez świadomość pojedynczych pracowników.

AS: Nasi eksperci od zabezpieczeń prowadzą akcję edukacyjną w szkołach. Dzieci są zaskoczone, że trzeba myśleć o tym, co się robi w sieci, że trzeba zabezpieczać komputer i smartfon. Tego typu wiedzy brakuje. Szkoła nie ma tego w programie, nawet w programie informatyki.

GN: Pokolenie, które tak naprawdę wyrosło na tabletach i smartfonach – obecni 14-15-latkowie – używają powszechnie aplikacji w rodzaju Snapchata, gdzie wiadomości mają po chwili zniknąć. Bardzo się dziwią, jak pokazuje się im, że te wiadomości gdzieś wciąż są zapisane. Potrzebujemy rozwiązań systemowych, aby to zmienić. Nie uczmy ich, jak zbudowany jest komputer, ale jak działa, czym jest internet, dlaczego dane tak trudno usunąć i dlaczego ich bezpieczeństwo jest tak ważne. Wtedy – jako pracodawcy – zaczniemy „dostawać” świadomych już użytkowników.

AS: Problemem młodych ludzi jest bezgraniczne zaufanie do technologii. W firmie musieliśmy np. odciąć Google Translate. Młodzi pracownicy wysyłali tam całe, wewnętrzne dokumenty! Podłączyliśmy więc tę usługę do systemu Data Leakage Prevention. Wówczas zaczęli oni tłumaczyć dokumenty telefonem, kierując go na ekran swojego komputera. Nie mieli świadomości, że jest to poważne zagrożenie, że nasze dane wychodzą poza system bankowy.

TS: Młodzi ludzie przestali dbać o swoje dane osobowe. Mają co prawda świadomość, że są one publiczne, ale po prostu zgadzają na wykorzystywanie danych. Widać to na przykładzie portali społecznościowych. Za pomocą przeprowadzonego za ich pośrednictwem „białego wywiadu” można się dowiedzieć bardzo wiele o większości osób.

WN: Często jednak także administratorzy czują się bezkarni, bo wiedzą, że nikt ich nie skontroluje. Nie ma nic gorszego niż niechlujny administrator używający hasła: np. admin1.

JM: I to jest odpowiedź na pytanie, czy bezpieczeństwo powinno być wydzielone w organizacji. Powinno, chociażby po to, aby nadzorować wspomnianych administratorów.

Rynek będzie zmierzał w kierunku ściślejszej współpracy. Konkurenci muszą nauczyć się współpracy w obszarze bezpieczeństwa, bo sami nie są już w stanie przetestować wszystkich systemów i scenariuszy. Na razie zaczynają współdzielić API, budować wspólne bazy informacji o atakach, czy tworzyć grupy dochodzeniowe – mówi Jolanta Malak.

AS: De facto musi być kilka warstw zabezpieczeń. W naszym banku każdy projekt musi otrzymać parafkę Security. Przychodzą czasem śmieszne rzeczy, ale wszystkimi musimy się zająć. Musimy też audytować bezpieczeństwo.

BŚ: Podczas szkolenia opowiadam o absolutnym zakazie „pożyczania” haseł. Tymczasem naczelnik mówi, że przecież komputery i tak są wspólne… Pewne rzeczy bardzo trudno egzekwować nie mając zielonego światła od szefostwa, chociażby w materii postępowań związanych z incydentami ochrony danych osobowych.

JM: Mam podobne rozmowy na temat zabezpieczania danych. Firma odpowiada: „jesteśmy transparentni –  dla ludzi, dlaczego mamy zabezpieczać dane?” Dopiero gdy pytam, czy dane dotyczące kadr też mają znaleźć się w sieci, zaczynają rozumieć problem.

WN: Pamiętam rozmowę z jednym z operatorów infrastruktury krytycznej. Tam system był skonstruowany tak, że produkcją zarządzano przez ERP, ERP miało moduł kadrowy, ten podłączony był do bramek wejściowych, które zaś były podłączone do kamer, a te bezpośrednio do Internetu. I tyle jeśli chodzi o bezpieczeństwo infrastruktury krytycznej. Bez kompleksowej ich oceny możemy narazić się na poważne kłopoty.

RYNEK SPECJALISTÓW DS. BEZPIECZEŃSTWA IT

RK: Chciałbym też zwrócić uwagę na duży problem, jakim jest dostępność specjalistów bezpieczeństwa IT na rynku. Nowe rozporządzenia i dyrektywy jeszcze bardziej „pustoszą” rynek. Właściwie nie ma teraz dostępnych specjalistów, a szukający pracy jeszcze wiele muszą się nauczyć.

TS: Infrastruktura krytyczna także wyssie ten rynek.

JM: Jest bardzo duży kłopot z inżynierami ds. bezpieczeństwa. Braliśmy udział w akcji dużej uczelni, gdzie prowadziliśmy zajęcia z bezpieczeństwa. Studenci wiedzieli, że po tego typu szkoleniu czeka na nich dobra praca, ale zupełnie nie byli zainteresowani tematem. W efekcie tylko dwie osoby spośród bardzo licznej grupy, zdały egzamin.

GN: Skoro nawet duzi gracze mają problem z pozyskaniem kadr z obszarów takich, jak bezpieczeństwo aplikacji czy baz danych, to tym bardziej małe firmy będą wybierać rozwiązania z zakresu bezpieczeństwa oferowane w modelu cloud computing. Jeśli wyklaruje się rynek chmurowy – a już teraz jest kilku dużych graczy – to ich możliwości zabezpieczenia będą niewspółmierne do tego, co może zrobić nawet największy ich klient samodzielnie. Taniej będzie kupić usługę bezpieczeństwa serwerowni niż inwestować we własną. Fizyczne zabezpieczenia w jednej z firm, które ostatnio odwiedzałem, były lepsze niż w siedzibie NATO.

JM: Rynek będzie zmierzał w kierunku ściślejszej współpracy. Konkurenci muszą nauczyć się współpracy w obszarze bezpieczeństwa, bo sami nie są już w stanie przetestować wszystkich systemów i scenariuszy. Na razie zaczynają współdzielić API, budować wspólne bazy informacji o atakach, czy tworzyć grupy dochodzeniowe.

WN: Dlatego tak niebezpieczny jest system, w którym firmy są karane kontrolą za raportowanie incydentów. To byłbyzły scenariusz,mam nadzieję, że tak nie będzie. U podstaw tego typu rozporządzeń leży to, że wszyscy powinnidzielić się informacją o atakach, aby inni mogli korzystać z tej wiedzy, nie warto wyważać drzwi które ktoś już wcześniej otworzył…

Rozmawiał Adam Jadczak
Notował Bartosz Ciszewski

Tagi

Podobne

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *