Po raz pierwszy renomowana konferencja „Security First” odbyła się w języku angielskim i objęła kraje Europy Środkowo-Wschodniej, m.in. Polskę, Węgry, Rumunię, Czechy, Słowację i Bułgarię, Litwę i Rumunię.

Security first można zintepretować jako security by design, czyli coraz powszechniejszym podejściem myślenia o bezpieczeństwie już na etapie projektowania. Od obowiązujących w danych okresach paradygmatów nie ma ucieczki. Upowszechnienie się pracy i komunikacji zdalnej, ale także cyberwojny uświadomiły dobitnie konieczność – bo już nie potrzebę – bezustannej ochrony wszystkich urządzeń podłączonych do sieci oraz każdego użytkownika, bez względu na jego stopień zaznajomienia z technologią czy przyzwyczajenia. Przeprowadzane od lat regularnie badania stosowanych haseł świadczą o totalnej porażce kampanii edukacyjnych w tym względzie. Nadal mnóstwo ludzi nie zachowuje cyberhigieny - ustawia banalne, krótkie, łatwe do odgadnięcia hasła, nie włącza weryfikacji wieloskładnikowej, posługuje się jednym hasłem do wszystkich swoich zasobów, łączy się np. z bankiem korzystając z publicznej, niezabezpieczonej wi-fi, i długo by jeszcze wymieniać…

Zobacz również:

• Apple Wunderlust - iPhone 15 i inne - relacja z premiery

Michał Kurek z KPMG i OWAS otwierające konferencję wystąpienie rozpoczął od przypomnienia obrazujących skalę niebezpieczeństwa statystyk z „Application Security Statistics Report (2017 WhiteHat Security), że około połowa aplikacji może zostać zhakowana, a naprawienie podatności aplikacji zajmuje średnio 126 dni dla błędów krytycznych, zaś 196 dni dla tych o wysokim ryzyku. Zarazem z badania „Barometr cyberbezpieczeństwa” wynika, że aż dla 59% polskich firm ryzyko IT jest całkowicie nieważne. Tymczasem istnienie podatności w aplikacjach jest symptomem choroby – problemów z procesami i administrowaniem w firmie. Opracowany OWASP przez ASVS (Application Security and Verification Standard) zasadza się na 3 poziomach wymogów bezpieczeństwa dla aplikacji: od wymaganych dla każdej, przez zawierające dane wrażliwe po aplikacje powiązane z krytycznymi systemami. Trzeba myśleć o przyczynach podatności, żeby wzmocnić ochronę, powtarzał Kurek.

Inaczej mówiąc, można porównać ten nowy paradygmat myślenia o cybersecurity do ofensywy podczas walki – samo reagowanie na poczynania cybergangów nie wystarczy. Bycie bezpiecznym oznacza wyprzedzać hakerów, nawet jeśli tylko o krok.

Dostęp i tożsamość w dobie pracy zdalnej

Właśnie ze wspomnianych powyżej powodów niezwykle istotnym elementem współczesnego krajobrazu cyberbezpieczeństwa jest zarządzanie tożsamością i dostępem.

Cezary Wieczorek, Vice President, Cloudware Polska rozmawiał z Wandą Żółcińską, redaktor naczelną „Computerworld” m.in. o tym, jak właściwie podejść w praktyce do zarządzania tożsamością i dostępem i pod jakim kątem oceniać dostępne narzędzia. Cezary Wieczorek tłumaczył: „W obecnych czasach podczas pracy z klientem najczęściej identyfikujemy cztery główne wyzwania dla bezpieczeństwa systemów IT. Pierwsze - zapewnienie bezpieczeństwa pracownikom zdalnym. Drugie - zabezpieczenie klientów. Trzecie - bezpieczeństwo kont adminów. Czwarte - urządzenia mobilne. To pociąga za sobą zabezpieczenie licznych systemów i aplikacji”. Bezpieczeństwo jest kluczowe. W dzisiejszych czasach klienci często przechodzą do zero-trust, co oznacza konieczność zabezpieczenia absolutnie wszystkiego - urządzeń i połączeń. Wieczorek przypomniał też, że najczęściej atakowane przez cyberprzestępców są konta administratorów. W dzisiejszych czasach klienci często przechodzą do zero-trust, co oznacza konieczność zabezpieczenia absolutnie wszystkiego - urządzeń i połączeń. Z pomocą przychodzi automatyzacja, ponieważ nawet nie kosztowne, co wręcz niemożliwe jest zrobienie tego wszystkiego manualnie. Nawet taki drobiazg jak tracenie czasu na wymyślanie haseł oznacza znaczną utratę produktywności, a najczęściej atakowane przez cyberprzestępców są konta uprzywilejowane. Zarazem bardzo ważnym elementem jest odpowiednie dostosowanie rozwiązań do specyficznych potrzeb organizacji, jej wielkości i sposobu pracy oraz posiadanych rozwiązań IT, on-premises i/lub w chmurze. Jako przykład nowoczesnego narzędzia do zarządzania tożsamością i dostępem, które podnosi poziom bezpieczeństwa całej organizacji i zapewnia wysoki poziom niezawodności wymieniono IBM Cloud Pak for Security. Na rynku jest już wiele dobrych, sprawdzonych rozwiązań, nie ma sensu budować w naszej firmie ekosystemu bezpieczeństwa od zera. Lepiej skupić się na własnym biznesie, a zabezpieczenie jego funkcjonowania – bo do tego mianownika można sprowadzić cyberbezpieczeństwo – powierzyć specjalistom, zaufanemu partnerowi. Problemem, już wspomnianym, pozostaje wybór rozwiązań adekwatnych dla naszej organizacji. Z tego obowiązku już nikt nas nie zwolni.

Sebastijan Čutura, CISO Community and Cyber Resilience Manager, European Cybersecurity Organisation (ECSO) zwrócił uwagę na brak współpracy między społecznościami zajmującymi się bezpieczeństwem cybernetycznym na poziomie UE. Zwłaszcza państwowe organizacje nie dysponują zasobem wiedzy specjalistycznej ani narzędziami, które mogłyby zapewnić odpowiednią ochronę. Tymczasem naruszenie przepisów w przedsiębiorstwie w jednym kraju często przenosi się na przedsiębiorstwo w innym państwie. Należy więc dążyć do współpracy transgranicznej i międzysektorowej z terminową wymianą informacji między organizacjami w Europie. Europejskiej Organizacji Cyberbezpieczeństwa stara się ułatwiać współpracę na poziomie Unii Europejskiej. Pamiętajmy, że sektor prywatny dysponuje informacjami o zagrożeniach i często znajduje się na pierwszej linii obrony, logiczne więc byłoby, aby sektor publiczny korzystał z jego know-how. Proaktywna i terminowa współpraca może ograniczyć potencjalne konsekwencje. Tak jak to się stało w Estonii, która wykorzystuje rozwiązania firmy Cloudflare do wzmocnienia swojego cyberbezpieczeństwa. Tonu Tammer, dyrektor wykonawczy CERT Estonia oraz Anatol Nikiforov, Enterprise Account Executive w Cloudflare pokazali uczestnikom konferencji, w jaki sposób Information System Authority of Estonia wykorzystuje Cloudflare do wzmocnienia swoich zabezpieczeń.

Jak się zabezpieczyć przeciwko atakom na łańcuchy dostaw?

Candid Wüest, VO of Cyber Protection Research w Acronis przywołał dane z raport Acronic „Cyber Protection Week Global Report 2022”. Pięć ataków, których firmy najbardziej się obawiają to: pishing, malware, wyciek i kradzież danych, ransomware oraz ataki na IoT. Aż 76% firm doświadcza przestojów w pracy wskutek działań cyberprzestępców. To realne straty biznesowe. Na podstawie rzeczywistych przykładów i zaprezentowanych podejść do rozwiązań prelegent pokazał główne tematy dotyczące zaufania. Unaocznił, gdzie firmy pokładają zbyt duże zaufanie w infrastrukturze IT i gdzie nadużywane są powszechne ślepe punkty, w tym ataki ransomware i eksfiltracja danych.

O technikach ofensywnych mówił także Fatih Emiral z firmy BTRIsk, odwołując się m.in. do koncepcji zero-trust i założenia, że haker albo już jest w naszej sieci, albo bezustannie ją atakuje. To czyni „polowanie na zagrożenia” jedną z rutynowych okresowych operacji bezpieczeństwa w dzisiejszych czasach. Potrzeba monitorowania punktów końcowych stale rośnie, jednak nie umniejsza to wartości przeglądów analitycznych w całej sieci, które mają na celu identyfikację potencjalnych sprawców w naszych sieciach. SIEM nadal jest i będzie niezbędnym narzędziem do monitorowania naszych sieci, choć sam w sobie nie jest wystarczający. Najsilniejszymi możliwościami narzędzia SIEM są jego funkcje agregacji analitycznej i przetwarzania strumieniowego danych rzeczywistych. Dzięki tym możliwościom jesteśmy w stanie zidentyfikować niektóre złośliwe działania w czasie rzeczywistym oraz przeanalizować wzorce zdarzeń z przeszłości, które są dobrymi oznakami złośliwych zachowań. Jak każde narzędzie, SIEM jest tak efektywny jak umiejętności jego użytkownika.

Interdyscyplinarne podejście do cyberbezpieczeństwa

Jak sprawić, by nasza organizacja była odporna na cyberzagrożenia? Viktorija Česonytė, Security Compliance Managera w litewskim Vinted, proponuje rewolucję klasyki, czyli pracę u podstaw, ale przy użyciu zdobyczy nauki. Należy zacząć od potrzeby biznesowej, argumentuje. Jest inżynierem i psychologiem, co przełożyło się na świeżość jej spojrzenia. Proponuje zaimplementowanie pozytywnej kultury wewnętrznej jako odpowiedź na nieuchronny opór przed zmianami – regułą jest opieranie się pracowników nawet kosmetycznym zmianom. Trzeba więc przygotować ich na tę zmianę, otulić kokonem, zapewnić poczucie – nomen omen – bezpieczeństwa, by zachowywali się bezpiecznie podczas korzystania z internetu. Aby organizacja była rezylientna, jej komunikacja wewnętrzna musi być klarowna i dobrze funkcjonująca. Pracownicy muszą jasno komunikować tak swoje potrzeby, jak i dostrzegane zagrożenia.

I cały czas pamiętać o zachowaniu bezpieczeństwa wymienianych informacji. Security first oznacza także think first, a automatyzacja nie zwalnia od myślenia, tylko wyzwala od żmudnych zadań.

Konferencję zorganizował Computerworld CEE we wpółpracy z ISACA i ISSA oraz dodatkowo merytorycznej współpracy z European Cybersecurity Organisation (ECS) i oddziałami regionalnymi ISACA (Istmabul, Lithuania, Romania, Budapest). Partnerami generalnymi były firmy Acronis oraz Cloudware. Partnerami strategicznymi: Cloudflare i T-Mobile. Partnerami merytorycznymi:

ING i Sophos. Patronat medialny nad konferencją objęły: CyberRanges, Enterprise Security, IIA Polska, OWASP, ISC Poland. W pierwszej międzynarodowej edycji wzięło udział ok. 360 uczestników z Polski i regionu CEE.