To był intensywny, pełen emocji wrześniowy piątek. Za nami druga konferencja „Security First”, organizowana przez „Computerworld” oraz polski oddział stowarzyszenia ISSA. Ze względu na utrzymujący się stan epidemii odbyła się całkowicie w formule online. Przez ponad 6 godzin 18 prelegentów zapoznawało 610 uczestników z aktualnym stanem wiedzy i najnowocześniejszymi rozwiązaniami w zakresie szeroko pojętego cyberbezpieczeństwa. W trakcie konferencji eksperci reprezentujący firmy partnerskie byli dostępni na czacie w 9 Strefach Partnerskich. Partnerami generalnymi wydarzenia były firmy: Citrix, Fortinex, Hostersi, IBM, OpenBiz. Strategicznymi Fujitsu i T-Mobile, zaś merytorycznymi COIG, KEMP i OVHCloud. Patronat medialny sprawował Instytut Audytorów Wewnętrznych IIA Polska. Jak pokazała konferencja, tematyka bezpieczeństwa w sieci jest obszerna: obejmuje zaprzęgnięcie sztucznej inteligencji do roli stróża i analityka, cloud i edge computing, blockchain, kwestie dotyczące zarządzania i logistyki etc. Pandemia przyspieszyła procesy transformacji cyfrowej, uświadamiając zarazem firmom i użytkownikom wagę kwestii bezpieczeństwa danych.

Zobacz galerię zdjęć z konferencji

Zobacz również:

• Jak całościowo chronić zasoby w chmurze
• Apple Wunderlust - iPhone 15 i inne - relacja z premiery

Od zera do zaufania

Firma nie może istnieć bez komunikacji (czy to zewnętrznej, czy wewnętrznej), a wymogiem wymiany jest zaufanie, w tym wypadku tożsame z bezpieczeństwem. Jakakolwiek wymiana informacji czy danych może stać się okazją dla hakera. Od czasu kiedy pandemia wymusiła błyskawiczne przejście na zdalną komunikację, przyspieszając migrację do chmury, robotyzację i wiele innych procesów, dla absolutnie każdej organizacji kluczowe okazało się umożliwienie dostępu z dowolnego miejsca i urządzenia do dowolnej aplikacji, przy jednoczesnym zachowaniu zasad bezpieczeństwa wykraczających poza uwierzytelnianie i autoryzację użytkowników. Dlatego konferencję rozpoczęło wystąpienie na temat modelu Zero Trust. Filipi Pires, znany badacz i specjalista cybersecurity z Brazylii, Global Research Manager w HackerSec zaczął od pytania, czy przejście na Zero Trust oznacza wymóg zmiany sposobu myślenia o cyberbezpieczeństwie. Czy naprawdę przeżywamy obecnie rewolucję w podejściu do bezpieczeństwa ICT? Otóż model Zero Trust przenosi ciężar uwagi na urządzenia, które uzyskują dostęp do zasobów. Bezustanne uwierzytelnianie użytkowników z zewnątrz i ich ciągła weryfikacja zgodności z regulacjami wewnątrz są warunkiem niezbędnym do zapewnienia bezpiecznego dostępu do zasobów – danych, systemów i aplikacji. Oznacza to, że każdy użytkownik i urządzenie łączące się z naszą siecią musi być dla nas identyfikowalne. Dla bezpieczeństwa niezbędne jest też opracowanie wyczerpujących a dokładnych procedur, przewidujących różne sytuacje. Zdaniem Piresiego, to jest clou podejścia Zero Trust. – Nie ufajcie sieci, zamiast tego oprzyjcie swój model zaufania na urządzeniach. Trzeba je oczywiście dobrze wybrać pod tym kątem – radził widzom Piresi. Podkreślał wagę planowania i zachęcał do rozpoczęcia od burzy mózgów. Im lepiej zaprojektowany system, tym okaże się bezpieczniejszy. W modelu Zero-Trust trzeba pomyśleć o wszystkim, zgrać urządzenia, ludzi, pracę, automatyzację i orkiestrację, widzialność i analitykę, sieci i dane. Przed wdrożeniem można system przetestować za pomocą narzędzi open-source’owych, np. Infection Monkey.

Wygodnie jak w chmurze

Przedstawione przez Brazylijczyka podejście doskonale uzupełnia myślenie „cloud first”. Jakub Leszewski, Lead Networking Sales Engineer z Citrix opowiedział, na co zwrócić uwagę podczas pracy w chmurze. Aby dostęp do aplikacji i danych w pracy hybrydowej czy zdalnej był bezpieczny, potrzeba przemyślanej, najczęściej nowej architektury systemu. Dotychczasowe, przedpandemiczne narzędzia obniżały wydajność urządzeń i sieci, a sprawiając częstokroć użytkownikom niewygodę, niejako podprogowo zachęcały ludzi do omijania ich. A to już otwarcie furtki hakerom. Dobrze zintegrowane rozwiązania sieciowe i bezpieczeństwa zapewniają maksymalny poziom ochrony. Kluczowym elementem pozwalającym na synergię jest wspólne zarządzanie bezpieczeństwem i usługami sieciowymi. Jak i dlaczego to działa omówił na przykładzie rozwiązań Citrix, wypracowanych w odpowiedzi na problemy pracy zdalnej, nasilone przez pandemię. W tym trudnym dla wszystkich czasie zautomatyzowali się hakerzy (tzw. pishing automation), jak można więc pozostawać w tyle w tym wyścigu zbrojeń? – Idealne rozwiązanie to takie, o którym użytkownik nie myśli wcale, a dzięki któremu lepiej i wydajniej mu się pracuje. Aktualne wyzwania to jak poradzić sobie ze zdalnym dostępem, aby dać użytkownikom komfort i bezpieczeństwo pracy bez względu na to skąd i z jakiego urządzenia łączą się z pracą. Nasze rozwiązania mają pomagać użytkownikom w pracy poprzez zapewnienie im wygody, wydajności sprzętu i aplikacji.

Tomasz Sobol, Product Marketing Manager z OVH Cloud, podzielił się swoją wiedzą na temat jak wybrać odpowiedni poziom bezpieczeństwa chmury, kiedy droga do szczęścia na chmurze jest kręta i wyboista. Jego wywód można podsumować słowami per aspera ad astra. Pokazał krytyczne komponenty oceny CCoE, jak znaleźć równowagę pomiędzy efektywnością operacyjną, finansami i bezpieczeństwem.

Jak zapewnić bezpieczeństwo w chmurze, czyli Fortinet uczy spacerować po linie

Transformacja do chmury niesie ze sobą konieczność zmian w wielu innych obszarach działania. Bezpieczeństwo – serwerów, aplikacji, urządzeń i użytkowników jest jednym z nich. Większość firm woli pozostać w modelu hybrydowym, innymi słowy – na brzegu sieci. Nasze centra bezpieczeństwa muszą się zmienić, by wyeliminować ataki Tak więc, aby zapewnić odpowiedni poziom bezpieczeństwa, potrzeba spójności narzędzi używanych on premises i na home office. Paweł Wojciechowski, Business Development Manager z Fortinet i Albert Tischbierek z Hosterów pokazywali jak bezpiecznie przenieść się do chmury AWS. Rozwiązanie ma wbudowane AI i machine learning, uczy się zmian w aplikacji i przekłada na polityki. Jest dostępne w modelu SAS oraz w Fortiweb w pełnej wersji. – Fortigate na brzegu chmury daje spójność bezpieczeństwa – zapewniał Paweł Wojciechowski. – Fortinet Security Fabric dostarcza rozwiązania do bezpieczeństwa pracy w chmurze dla środowisk hybrydowych i umożliwiająca bezpieczeństwo wszystkich aplikacji, gdziekolwiek by nie były.

Wynika to ze zrozumienia modelu współdzielonej odpowiedzialności pomiędzy dostawcą a odbiorcą. Coraz częściej to usługobiorca jest odpowiedzialny za dane i bezpieczeństwo danych umieszczonych w użytkowanych usługach. Zyskuje na tym, że kupuje kompletną usługę, nie musi martwić się o pozyskanie, wyszkolenie i utrzymanie pracowników, o infrastrukturę, powierzchnię i masę innych rzeczy, jednak z różnych względów niemożliwe jest przeniesienie całej odpowiedzialności na usługodawcę.

Zwyżkujący trend: automatyzacja procesów bezpieczeństwa

– Obecnie nasze firmy i centra bezpieczeństwa są wręcz bombardowane niesamowitą ilością incydentów bezpieczeństwa, a z drugiej strony regulatorzy coraz bardziej zawężają ramy czasowe dla odpowiedzi – mówił Lech Lachowicz z ISSA Polska. Organizacje próbowały sobie z tym radzić, zwiększając zatrudnienie specjalistów. Ci jednak muszą wykonywać proste i po wielokroć powtarzalne zadania. Ta frustracja przekłada się na dużą rotację kosztownych przecież pracowników. Automatyzacja otwiera potencjał zasobów ludzkich. Ludziom pozostają najtrudniejsze zadania. Firmy chcą automatyzować coraz większą liczbę procesów, w tym detekcji i odpowiedzi na zagrożenia.

AI i ciągły monitoring zdarzeń są nieodzowne

Według Łukasza Chudygi, Dyrektora Biura Projektowania i Wdrażania Rozwiązań ICT, T-Mobile Polska S.A., kompleksowa odpowiedź na wyzwania związane z cyberbezpieczeństwem to Shared Managed Security Services. – Powstrzymujemy ataki już na poziomie sieci i nie jest to proste działanie na DNS, ale prawdziwa analiza danych sieciowych – mówił. Biorąc pod uwagę liczbę ataków, taka analiza staje się niemożliwa bez AI, machine learning oraz analizy danych w czasie rzeczywistym. Jest to zajęcie bez wątpienia nużące i wyczerpujące dla człowieka.

Jak administratorzy IT mogą ułatwić sobie życie tłumaczyła też Klaudyna Busza-Kujawska z Kemp Polska, przedstawiając zalety rozwiązania Kemp Load Master. Ma ono jak zapewnić zwiększenie bezpieczeństwa aplikacji, jednocześnie ułatwiając życie użytkownikom. Czyni to m.in. poprzez load balancing, czyli równoważenie obciążenia IT, wsparcie dla najnowszych metod, centralne zarządzanie certyfikatami, ukrywanie serwerów aplikacyjnych i inne.

Jeden za wszystkich i dla wszystkich – rozwiązanie IBM

„Jeden, by wszystkimi rządzić; jeden, by wszystkie odnaleźć, czyli dlaczego IBM Cloud Pak for Security jest jedynym narzędziem potrzebnym w SOC” – to tytuł wykładu Tomasza Zalewskiego, specjalisty Security IT w IBM. Pokazał możliwości nowoczesnej platformy rozwiązań cyberbezpieczeństwa Cloud Pak for Security, którą IBM oparł na nowoczesnej technologii open shift. Klient wybiera spośród mnóstwa aplikacji (np. do analizy danych, pomagające odeprzeć cyberataki, śledzenia incydentów, analizy ryzyka) te, które potrzebuje i otrzymuje rozwiązanie dopasowane do swoich potrzeb. Dostaje wszystko w jednym rozwiązaniu. – Dostrzegliśmy, że problemem we współczesnej sieci cyberbezpieczeństwa jest jej złożoność. Operator SOK musi czasem korzystać z kilkunastu, czy nawet kilkudziesięciu narzędzi. Nie tylko trudno o wyszkolenie i utrzymanie takiego specjalisty, ale i część jego czasu pracy jest marnowana podczas przełączania się i wykonywania czynności, które można by z powodzeniem zautomatyzować. Zrobiliśmy to.

Czy automatyzacja procesów bezpieczeństwa pozwoli na zmniejszenie zatrudnienia? Niekoniecznie. Takie obawy pojawiały się już kiedy wynaleziono mechaniczne krosno tkackie, maszynę parową, a w XX w. robota. Za każdy razem to model pracy się zmieniał, a zatrudnienie ogółem wzrastało. Przemodelowanie pracy uwalnia zasoby ludzkie i tak to też wygląda w tym przypadku. Operator SOC traci czas na zbierania danych i przełączanie się w multum aplikacji. Dzięki korzystaniu z jednej zintegrowanej platformy faktycznie mógłby oszczędzać czas, a dzięki temu zyskałby przestrzeń dla trudniejszych, niemożliwych do zautomatyzowania, zarezerwowanych dla człowieka zadań.

Nieco więcej „od kuchni” działanie SOC przybliżył Marek Ujejski z COIG S.A. rozprawiając się z mitami i przekonaniami na temat pracy analityków SOC.

A jak bezpieczeństwo IT wygląda w sektorze państwowym?

W tym roku media zdominowały tematy Nowego Polskiego Ładu i Krajowego Planu Odbudowy. Oba dotkną sfery IT i cyberbezpieczeństwa, a w założeniu wzmocnią je i rozbudują. Joanna Karczewska, audytor SI i Inspektor Ochrony danych z 40-letnim doświadczeniem z warszawskiego oddziału ISACA podzieliła się z uczestnikami konferencji wnioskami z audytu i raportu na temat stanu cyberbezpieczeństwa Polski. Przeanalizowała dokumenty i stan faktyczny aż o 12 lat wstecz, do Rządowego Programu Ochrony Cyberprzestrzeni na lata 2009-2011. Wnioski mogą być dla niektórych kontrowersyjne (być może), lecz dla większości, zwłaszcza dla specjalistów IT nie są zaskoczeniem (niestety). Wszystkie kontrole NIK na przestrzeni tych 12 lat potwierdziły, że na ambitnych założeniach się skończyło (przypomnijmy, że od ponad roku nie ma już Ministerstwa Cyfryzacji, jego funkcje wchłonęła KPRM). Co rok, dwa lata powstaje nowy dokument o narodowej strategii cyberbezpieczeństwa, nigdy jednak nie rozpoczęto realizacji. Regularnie, co kilka lat całą strategię i budowę systemu bezpieczeństwa naszego kraju w sieci zaczyna się na nowo, od zera. Audyt wykazał, że poziom cyberbezpieczeństwa Polski pozostaje na niskim poziomie. W oficjalnej Strategii Cyber RP nie osiągnięto nawet drugiego celu szczegółowego: podniesienia poziomu bezpieczeństwa. W Maturity Model DS5 Polska pozostaje na poziomie 1: dostrzeżenie potrzeby bezpieczeństwa IT.

Ze słów audytorki wyziera smutny fakt, że najwyraźniej cały ciężar i wszystkie wyzwania w zakresie cyberbezpieczeństwa polski rząd pozostawił do rozwiązania sektorowi prywatnemu. Jeden NASK nie czyni wiosny. Uruchomiony przez Ministerstwo Cyfryzacji program PW Cyber założył partnerstwo z sektorem prywatnym. Wśród kilkunastu firm, które podjęły współpracę jest IBM.

Perspektywę norweską pokazała Paulina Waltita, Polka pracująca w norweskiej państwowej firmie Statkraft. Jej wystąpienie dotyczyło budowania struktury bezpieczeństwa IT z wykorzystaniem systemu CIS Controls. Było to case study.

Potem Łukasz Węgrzyn, Partner i Szef Praktyki Technologie Kochański & Partners przypomniał o tym, że Komisja Europejska szykuje Digidal Operational Resiliance Act (w skrócie DORA), czyli rozporządzenie w sprawie odporności sektora finansowego. Jego wstępna wersja (draft) została opublikowana rok temu, 24 września 2020. Jego obowiązywanie nie wymaga dodatkowych ustaw prawa krajowego. Akt posługuje się zasadą proporcjonalności, tj. zakres wymagań i obowiązków nałożonych na podmioty nadzorowane jst różny w zależności od rodzaju, skali i znaczenia danego podmiotu nadzorowanego. DORA wprowadza naczelną zasadę odpowiedzialności zarządu za zarządzanie ryzykiem związanym z ICT, która jest oparta na podejściu jakościowym i ostateczna. Na członków zarządu nakłada obowiązek regularnych szkoleń w zakresie bezpieczeństwa IT i nadzorować ryzyko IT. Mecenas zreferował rozwiązania wprowadzane przez DORA, m.in. obowiązkowe testy odporności cyfrowej.

Najpierw pomyśl, potem działaj, czyli o tym jak podejście agile sfejbsukizowało bezpieczeństwo w IT i co z tym należy zrobić

Uznany za jednego z najlepszych specjalistów w skali globalnej, uhonorowany tytułem Tenable Guariad, Cezar Cichocki, Szef Centrum Kompetencyjnego, OpenBIZ pokazywał jak zaprojektować systemy bezpieczeństwa IT, aby były – według jego słów – jak elegancja i przemyślana układanka, a nie groch z kapustą. Cichocki tłumaczył, dlaczego główny problem bezpieczeństwa wynika ze struktury IT, czyli podziału na bańki. W szczególności wprowadzenie paradygmatu agile i Devopsów spowodowało, że systemy zaczęły się dzielić na bańki, wewnątrz których panowały wprawdzie funkcjonalność i bezpieczeństwo, natomiast zaczyna znikać pełen obraz sytuacji. To bardzo niebezpieczne, ponieważ małe problemy w pojedynczych bankach mogą przerodzić się w ogromny problem dla całej organizacji. To nie jest nowy problem, wystarczy spojrzeć jak analogiczne rozwiązywali automatycy już kilkadziesiąt lat temu. Drugim wymienionym przez niego niebezpieczeństwem jest nadmierne, wynikające zapewne z entuzjazmu, szpikowanie procesów nowymi technologiami, bez zastanowienia się czy są potrzebne i przede wszystkim bezpieczne. Tania elektronika z Chin to radość dla księgowych, ale czy przed zakupem zastanowiono się nad potencjalnymi zagrożeniami wpuszczania niesprawdzonych urządzeń IoT do naszej sieci? Czy aby na pewno nie mają żadnych innych, niewiadomych klientom funkcji? Czy możemy zajrzeć do ich oprogramowania? – Nie wstawiajmy niesprawdzonych urządzeń do sieci przemysłowej, tam gdzie sterujemy napięciem, zasilaniem, przesyłem energii czy ruchem ulicznym, bo konsekwencje mogą być tragiczne. Systemy muszą być szczelne, a bezpieczeństwo na styku bezwzględnie zapewnione. Bezpieczeństwo to nie zwykła suma składników, dlatego tak ważny jest pełen ogląd sytuacji. W bezpieczeństwie algorytm wzrostu zagrożeń jest geometryczny – przestrzegał Cezar Cichocki. Optymalnym rozwiązaniem jest rozdzielenie OT od IT.

Z kolei Wojciech Wróbel, Business Development Manager Data Protection, Fujitsu Technology Solutions rozpoczął od przypomnienia, aby robić minimum 3 kopie danych na 2 różnych nośnikach, z czego nie mniej niż jedną kopię w bezpiecznej lokalizacji zdalnej. Jego prelekcja koncentrowała się wokół nowych wyzwań dla bezpiecznego przechowywania danych w architekturze Edge-Core-Cloud na przykładzie konsolidacji platform Data Protection. Podobnie jak przedmówcy zaprezentował kompletne, wygodne dla użytkownika rozwiązanie ETERNUS CS8000. Jest odporny na cyberataki, ponieważ pracuje z dedykowanymi systemami operacyjnymi, umożliwia tworzenie kopii danych niepodatnych na zośliwe oprgramowanie i zapisu danych na nośnikach taśmowych, ma budowane fukncje WORM (Write-Once-Read-Many) dla różnych technologii.

Kontrola i planowanie bezpieczeństwa IT. 10 grzechów krytycznych

Chyba nikt nie lubił kartkówek w szkole, a miały nie być łapaniem nas na gorącym uczynku, lecz pokazaniem nauczycielowi, gdzie znajduje się w procesie nauczania. Dzięki sprawdzianom, kontrolom, audytom ludzie i organizacje wiedzą, co mogą poprawić, jak stać się lepszymi. Dlatego na naszej konferencji nie mogło zabraknąć audytorów.

Iwona Bogucka, Prezes Instytutu Audytorów Wewnętrznych IIA Polska mówiła o znaczeniu ładu informatycznego dla organizacji. Przypomniała, że składa się nań dobrze zaprojektowana struktura, przywództwo, monitoring, planowanie i zarządzanie ryzykiem oraz oczywiście – audyt. – Dzięki audytorom firma dowie się, czy zarządzanie technologią informatyczną wspiera realizację strategicznych celów organizacji – mówiła.

Konferencję zamknął Marcin Marciniak, Manager i Implementation Exper z EY Business Consulting z listą 10 najgorszych błędów, które firmy mogą popełnić przy wdrożeniu systemów bezpieczeństwa, na czym owe błędy polegają i jakie są ich skutki. Kwestie, które wymieniał, pojawiały się już wcześniej: hurraoptymistyczny i niewłaściwy dobór technologii, złe posługiwanie się usługami (zwłaszcza chmurowymi), brak planowania i testów („ślepa wiara w możliwości narzędzi”), braki w procedurach, nieszczelności w obiegu informacji, podstawowe braki w wiedzy – np. wdrożenie aplikacji bez procesu utrzymania wiedzy (czasem o istnieniu aplikacji wie jedna osoba w firmie), wdrożenia bez kooperacji z innymi działami w firmie, niespójne procesy (w tym zarządzania bezpieczeństwem, brak współużywania istniejących narzędzi, braki w procedurach obsługi.

Na trzecią konferencję „Security First” przyjdzie nam poczekać rok. Czy spotkamy się już po pandemii? Czy będziemy mądrzejsi i ostrożniejsi w sieci?