Żyjemy w czasach niepewności. Jak biznes powinien przygotować się na najgorsze scenariusze cyberzagrożeń?

Paweł Dobrzański, dyrektor ds. bezpieczeństwa w T-Mobile Polska, mówi o niezbędnej w dzisiejszych czasach zmianie paradygmatu dotyczącego cyberbezpieczeństwa oraz o tym, jak współpraca z doświadczonym partnerem może ten proces usprawnić.

Według Gartnera, do 2025 roku 60% organizacji będzie wykorzystywać ocenę ryzyka cyberbezpieczeństwa jako główną determinantę przeprowadzania transakcji z podmiotami zewnętrznymi i angażowania się w biznes. To świadectwo czy zapowiedź dużej zmiany?

Nie jest to, wbrew pozorom, nic nowego. Firmy decydując się na transakcje czy partnerstwo, zawsze przeprowadzały analizę ryzyka, tyle że głównie w wymiarze finansowym. Chodziło o wiarygodność partnera, sprawdzenie jego historii czy kondycji finansowej. Obecnie doskonale widać, że to za mało. Cyberbezpieczeństwo stało się tak samo ważne, jak bezpieczeństwo finansowe. Lekceważenie tych kwestii może skończyć się fatalnie. Szczególnie, że liczba i częstotliwość ataków stale rośnie, a ich skutki mogą w wypadku braku odpowiedniej i szybkiej reakcji kosztować firmy i organizacje miliony, a nawet miliardy złotych. Zabezpieczeniem i wyrównaniem praw rynku powinno być ocenianie kontrahentów nie tylko na podstawie kondycji finansowej, lecz także certyfikacji w zakresie bezpieczeństwa.

Jakiej dojrzałości w obszarze CyberSec będzie wymagało stosowanie w praktyce takiego podejścia?

Zła wiadomość jest taka, że w zasadzie każda firma prędzej czy później zostanie zaatakowana. Pytanie tylko, jak poważne będą konsekwencje tego ataku. Czy dojdzie do przełamania systemów, czy nastąpi wyciek danych, czy może ich zaszyfrowanie. Skala konsekwencji zależy od determinacji atakujących, ale też tego, w jaki sposób zareagujemy, jak szybko go wykryjemy i podejmiemy działania, które pozwolą nam przywrócić kontrolę nad procesami, systemami i danymi.

Podstawowym narzędziem pozwalającym szybko ocenić odporność organizacji jest zgodność z dwiema normami – ISO 27001, związaną z bezpieczeństwem, oraz ISO 22301, związaną z ciągłością działania. Trzeba jednak podchodzić do nich w sposób nowoczesny. T-Mobile posiada certyfikację obu tych norm, przy czym oparte na nich strategie bezpieczeństwa i odtwarzania są ukierunkowane na usługi (Service Oriented), a nie tradycyjnie – na system (System Oriented). Pozwala to priorytetyzować działania w trakcie ataku lub awarii i szybciej powrócić do normalnego funkcjonowania.

Mamy świadomość tego, że nie wszystkie firmy są w stanie przeprowadzać regularne, skomplikowane audyty bezpieczeństwa. Dlatego klientom biznesowym proponujemy inne, bardzo przystępne rozwiązanie – Badanie Wrażliwości, które jest w stanie taką odporność na zagrożenia szybko zweryfikować i dopasować rozwiązania do możliwości danego przedsiębiorstwa. Dzięki nim, firma nie tylko jest bardziej odporna na cyberataki, ale też staje się bardziej wiarygodnym partnerem na rynku.

Pierwszy taki wspólny mianownik stanowiła na naszym rynku ochrona danych osobowych.

Jako operator telekomunikacyjny, T-Mobile przetwarza ogromne ilości danych. Wiemy, jak dbać o ich ochronę i jakie wymogi musimy spełniać my oraz nasi partnerzy. Audytujemy w tym zakresie firmy, z którymi współpracujemy. Nie widzimy większych problemów z implementacją rozporządzenia RODO. Strategicznym elementem cyberbezpieczeństwa jest zapewnienie ciągłości działania biznesu i umiejętne monitorowanie incydentów związanych z kluczowymi usługami, włączając w to ochronę danych. W tym pomaga Ustawa o Krajowym Systemie Cyberbezpieczeństwa, kodyfikująca wiedzę o incydentach i zarządzaniu nimi.

W zgodzie z nią zbudowana jest oferta komercyjna T-Mobile: mamy profesjonalne SOC (Security Operations Center), monitoring w trybie 24/7/365 i zespół ekspertów ds. cyberbezpieczeństwa. Badamy podatności, szkolimy pracowników, a także dostarczamy profesjonalne rozwiązania i systemy, dzięki którym możemy chronić klienta począwszy od telefonu komórkowego, a skończywszy na jego infrastrukturze w naszym Data Center.

Tym, co nas wyróżnia, jest możliwość indywidualnego podejścia do każdego klienta i dopasowania dla niego zabezpieczeń. Dla każdego cyberbezpieczeństwo oznacza co innego. Nawet w tej samej branży klienci gdzie indziej postawią akcenty. My na to odpowiadamy, projektując rozwiązania dostosowane do indywidualnych potrzeb. Oferując skrojoną na miarę cyberodporność.

Analizy Gartnera pokazują też, że do 2025 roku 70% dyrektorów generalnych wprowadzi kulturę odporności organizacyjnej, aby przetrwać zbiegające się zagrożenia ze strony cyberprzestępczości, trudnych zjawisk pogodowych, niepokojów społecznych i niestabilności politycznej. W jaki sposób tę odporność należy rozumieć? Jak ją nabywać i mierzyć?

Model odporności, jaki budujemy w T-Mobile, opiera się na wielu poziomach. Musi uwzględniać nie tylko technologię i systemy, ale także aspekt ludzki. W tym miejscu kluczowym elementem jest kultura organizacyjna, w której dojrzałe cyberbezpieczeństwo ma swoje miejsce i jest uświadomione w całej firmie. W tworzeniu jej bardzo istotne jest, aby każdy pracownik rozumiał założenia, miał świadomość ryzyk i brał odpowiedzialność za bezpieczeństwo. Kolejnym elementem jest Security by Design, czyli konieczność planowania bezpieczeństwa już na etapie wdrażania lub projektowania nowych systemów w organizacji.

Wiele z tych elementów cyberbezpieczeństwa możemy zautomatyzować. Od sprawdzenia, czy dana aplikacja działa pod kątem bezpieczeństwa poprawnie, przez skanery podatności oraz wszelkiego rodzaju sondy pracujące w oparciu o określone reguły, dostosowujące działanie do zdefiniowanych scenariuszy. Musimy nadążyć za działaniami przestępców, którzy również korzystają z procesów automatycznych, pozwalających im tworzyć ataki na większą skalę. Dlatego na zautomatyzowany atak powinna w pierwszej kolejności odpowiadać automatyczna obrona. Niemniej jednak, człowiek powinien pozostawać w tym procesie na poziomie decyzyjnym.

Zatem ekspert jako ostateczny decydent działający w oparciu o kokpit do zarządzania cyberodpornością to jest wizja naszej przyszłości? Co definiuje odporność organizacji?

Jestem przekonany, że zmierzamy w tę stronę. Zautomatyzowane, wspierane przez AI systemy, zarządzane jednak przez człowieka.

W pierwszej kolejności powinniśmy zapobiegać atakom i odpierać je na jak najwcześniejszym etapie. Nasz Threat Intelligence powinien o nim uprzedzić i dać nam czas na przygotowanie odpowiednich reguł lub narzędzi. Bardzo ważna jest też współpraca z instytucjami krajowymi i międzynarodowymi. W Polsce jest to np. CERT, działający przy NASK, czy Rządowe Centrum Bezpieczeństwa, które dba o to, abyśmy – jako operator infrastruktury krytycznej – codziennie otrzymywali informacje, które mogą przygotować nas na ataki.

Warto też dodać, że żyjemy w bardzo dynamicznych czasach. Kilka lat temu nie musieliśmy mierzyć się z wyzwaniami, takimi jak ultra przyspieszona cyfrowa transformacja czy prowadzona na wielką skalę wojna cyfrowa. Dlatego do zbioru wszystkich działań, które definiują odporność organizacji, musimy dodać analizę ryzyka i zdolność do utrzymania ciągłości działania biznesu.

W jaki sposób T-Mobile jest w stanie dać wsparcie takim organizacjom? Na czym polega przewaga T-Mobile w tym obszarze?

T-Mobile jest w stanie przejąć w całości nadzór nad bezpieczeństwem każdej organizacji. Od działań edukacyjnych dla pracowników, bazując na własnych systemach kampanii phishingowych, poprzez wiele systemów i technologii filtrowania czy analizy sieci. Zanim aplikacja zostanie zainstalowana na telefonie czy innym urządzeniu, my już jesteśmy w stanie rozpoznać te zagrożenia i je odpowiednio wcześnie zablokować. Wykorzystujemy do tego nasz autorski system Cyber Guard®. Zyskał on w Polsce dość dużą popularność, wykrywając niebezpieczne systemy zainstalowane w telefonach. Nieskromnie powiem, że jesteśmy specjalistami od zabezpieczania urządzeń końcowych i nikt nas tutaj nie przebije.

Bazując na długoletnim doświadczeniu oraz wiedzy naszych ekspertów, możemy zaoferować klientom doradztwo oraz bardzo szerokie portfolio usług, w tym wspomniane już Badanie Wrażliwości i Security Operations Center. Posiadamy też największą w Polsce sieć centrów przetwarzania danych. Niedawno otworzyliśmy w Warszawie jedno z najnowocześniejszych Data Center, spełniające wszystkie normy bezpieczeństwa.

Natomiast w ramach usług chmurowych oferujemy usługę Disaster Recovery as a Service, dzięki której klienci mają możliwość awaryjnego odtworzenia środowiska biznesowego na georedundantnej infrastrukturze T-Mobile. To sprawia, że nawet w sytuacji wystąpienia ataku cybernetycznego, dane firmowe są bezpieczne, a ciągłość biznesu pozostaje niezagrożona.

Chciałbym również podkreślić, że tworząc usługi, wprowadziliśmy w życie zasadę „sell what you use, use what you sell”. Dzięki temu sprzedajemy tylko to, co sami byśmy chcieli kupić. Potrafimy też spojrzeć oczami klienta i zrozumieć jego potrzeby. Bazując na naszej wiedzy oraz spektrum działania, jesteśmy w stanie przewidzieć lub wyobrazić sobie takie scenariusze zagrożeń, które dopiero nadejdą.

Rozumiem, że posiadając tak duże doświadczenie, znacie również te złe scenariusze wydarzeń?

Tak, obecnie codziennie mamy do czynienia ze skomplikowanymi atakami na naszą infrastrukturę i niemalże za każdym razem jest to coś nowego, co wzbogaca naszą wiedzę. Pod koniec 2021 roku doświadczyliśmy największego ataku DDoS na operatora. Był to zupełnie nietypowy, wielowymiarowy atak o niespotykanej dotąd skali i dynamice. Mimo wysokiego wolumenu oraz nietypowego charakteru, udało nam się go całkowicie zmitygować. Każde tak trudne doświadczenie wzbogaca wiedzę i zdolność do obrony.

Działamy na dużą skalę, zabezpieczamy kilkanaście milionów klientów, więc dokładnie wiemy o czym mówimy. Obecnie, poza operatorami, nie ma podmiotów, które mają tak szeroką wiedzę i doświadczenie, dlatego warto nam zaufać.

Najwyższy poziom to w tej ofercie swoista konteneryzacja modeli biznesowych, pozwalająca relokować działalność firmy i odtworzyć jej funkcje w innym miejscu, innymi środkami.

Ostatnie wydarzenia, w szczególności wojna na Ukrainie, pokazały, że nie ma granicy w budowaniu scenariuszy pozwalających przetrwać najgorsze. Konieczne stało się wprowadzenie procedur przetransferowania operacyjnego do sąsiedniego kraju albo nawet na inny kontynent. Opierają się one na umiejętności „konteneryzacji” firmy, zdolności relokacji do innego miejsca na świecie. To rozwiązanie jesteśmy w stanie zapewnić naszym najbardziej wymagającym klientom.

To poziom dla wizjonerów, liderów, górnego decyla organizacji? Czy jest to może nowy standard i mainstream w cyberbezpieczeństwie?

Zdecydowanie staje się to standardem. Przynajmniej w wypadku dużych firm. Jeśli ktoś tego tak nie dostrzega, to znaczy, że przespał istotną zmianę na rynku. Poziom złożoności nowego podejścia do cyberbezpieczeństwa jest przy tym na tyle wysoki, że organizacje nie są w stanie poradzić sobie z nim samodzielnie, chyba że zagadnienia sieciowe i CyberSec stanowią podstawę ich działalności. Nowy paradygmat cyberbezpieczeństwa zakłada, że trzeba polegać na tych, którzy zajmują się tym na co dzień.

Jaki w Polsce jest odbiór takiego podejścia?

Rośnie odzew i zrozumienie, obserwujemy wzrost zainteresowania wszelkimi kompleksowymi rozwiązaniami. Co ważniejsze, widzimy też gotowość do rozważania i testowania różnych scenariuszy, przede wszystkim na poziomie korporacyjnym.

Firmy zaczynają rozumieć, że najgorsze to dać się zaskoczyć. Osoba kierująca działem cyberbezpieczeństwa musi być dzisiaj wizjonerem, posiadać bogatą wyobraźnię. Musi przewidywać możliwe zagrożenia wynikające również ze zdarzeń geopolitycznych oraz posiadać zdolności przywódcze i analityczne, aby umiejętnie zarządzać priorytetami, a także elastycznie dostosowywać model pracy do zmieniających się okoliczności. Motto, które powinno przyświecać każdemu, to „Oczekuj najlepszego, ale przygotuj się na najgorsze”.