Przetwarzają państwo miliardy danych dziennie – w ujęciu statystycznym część z nich dużo mówi o obecnych trendach. Podczas konferencji „Security First” we wrześniu 2021 r. mówił pan o 4 mln ataków dziennie w obszarze B2B i 8 mln takich sesji na rynku B2C. Czy te liczby teraz wzrosły?

Dla uściślenia, te dane dotyczyły rynku mobilnego. Dzisiaj te statystyki można pomnożyć przez dwa. Zmienia się ich ilość, ale także ich specyfika. W większości są to wszelkiego rodzaju crawlery, czyli sesje śledzące, podróżujące po wielu urządzeniach mobilnych, których celem jest szybka identyfikacja urządzenia i zbudowanie zbioru po „ciemnej stronie mocy”. Zbiór ten może być wykorzystany już do konkretnego ataku. W świecie mobilnym dostrzegamy mało ataków spersonalizowanych, najczęstsze są to wrogie działania na dużą skalę. Przestępcom zależy nie tylko na kradzieży środków finansowych, ale również tożsamości ofiar. Obserwujemy też, że wiele funkcji aplikacji komercyjnych jest na pograniczu „właściwego zachowania” w stosunku do klienta. Działają one podobnie jak złośliwe oprogramowanie, zbierają dane agresywnie i przez długi czas śledzą urządzenia użytkowników.

Państwo wychwytują wszystkie tego typu działania?

Tak, ale posługujemy się tylko danymi statystycznymi. Obserwacja i analiza takich trendów są kluczowe, ponieważ pozwalają nam przygotować skuteczną obronę dla nas i naszych klientów przed zagrożeniami mogącymi zdestabilizować sieć. Uważnie śledzimy także te źródła w internecie, ukierunkowane na działania przestępcze. Przykładem są zróżnicowane i zmienne ataki DDoS, które mogą być bardzo szkodliwe. Coraz częściej mamy do czynienia z działaniami, których celem nie jest szantaż czy próba wymuszenia wpłat, ale wyłącznie destrukcja lub sprawdzenie naszych zabezpieczeń. To nowe zjawisko, które obserwujemy na taką skalę. Obserwujemy także ataki skierowane bezpośrednio na nasze usługi operatorskie, których celem jest uniemożliwienie świadczenia ich naszym klientom. Atak na całą infrastrukturę danej usługi operatorskiej może mieć ogromne, negatywne skutki, dotykające milionów usługobiorców. Dla przykładu podam, że niedawno w ciągu jednego popołudnia zanotowaliśmy sześć niemalże jednoczesnych, poważnych ataków DDoS, obliczonych na destabilizację masowej usługi operatorskiej. Wszystkie te ataki udało się oczywiście skutecznie zmitygować.

Realizujemy zaawansowane usługi w ramach Security Operations Center, obserwujemy i analizujemy bardzo wnikliwie każdy rodzaj zagrożenia. Uderza nas ewolucja ataków w trakcie ich trwania oraz synchronizacja kilku ataków jednocześnie. Na szczęście nie są w stanie zdestabilizować naszej infrastruktury, działają jako testy sprawdzające naszą odporność. Tego rodzaju ataki mogą pojawić się w przyszłości i musimy być na nie w każdej chwili przygotowani. W ostatnim czasie wnikliwie analizowaliśmy charakterystykę bardzo poważnych ataków na infrastrukturę ukraińską. Z naszch obserwacji wynika, że ich potencjał jest ogromny i nie należy go lekceważyć. W takich okolicznościach warto pamiętać, że jednym z najważniejszych elementów cyberobrony jest umiejętność szybkiego odtworzenia swojej infrastruktury i zachowania ciągłości działania. Kluczowe jest wcześniejsze przewidzenie możliwości utraty podstawowego centrum przetwarzania danych i świadome wycofanie się na pozycję zapasową. Gdy jesteśmy na to odpowiednio przygotowani, takie przełączenie nie będzie miało negatywnego wpływu na pracę systemów czy świadczonych przez nas usług. W tym miejscu warto zwrócić uwagę na możliwości, jakie w tym względzie dają rozwiązania zapasowego centrum danych, realizowane np. w modelu as a service.

Jakie są narzędzia cybersecurity dla „użytkownika przyszłości”? W jaki sposób państwo je tworzą, tak aby wyprzedzać przyszłe zagrożenia?

To dla nas priorytetowe zagadnienie. Mamy narzędzia do obrony przed aktualnymi zagrożeniami, ale musimy się przygotować na to, co nadejdzie. Szefowie bezpieczeństwa muszą brać pod uwagę wiele scenariuszy, nawet tych mało prawdopodobnych. Staramy się stosować zasadę: oczekuj najlepszego, ale przygotuj się na najgorsze.

W kwestiach związanych z atakami DDoS ważne są: obserwacja, analiza i dostosowywanie systemów, uczenie ich. Pracujemy też nad rozwiązaniami ochrony urządzeń mobilnych przed szkodliwym oprogramowaniem. Niedługo będziemy oferować kolejne narzędzie tego typu. Będzie to rozwiązanie działające całkowicie w sieci, którego skuteczność możemy porównać do ochrony infrastruktury największych korporacji. Ważną rolą operatora jest również filtrowanie sieci, które ochroni klienta, zanim zagrożenie zetknie się z jego zasobami. Oczywiście ostateczna decyzja dotycząca ochrony leży po stronie każdego odbiorcy naszych usług.

By chronić skutecznie, trzeba rozumieć, czym jest cyberbezpieczeństwo. Organizacja musi wiedzieć, co chce chronić, co jest dla niej wartością. Nie powinno się tu szukać dróg na skróty albo korzystać ze schematów. Bardzo często firmy mylnie uważają, że wdrożenie nowoczesnych technologii z najbardziej uznanych raportów rozwiąże wszelkie problemy. Niestety, nazwa na pudełku nie świadczy o skuteczności danego rozwiązania. Pracując przed laty z Lockheed Martin, usłyszałem zdanie, któremu jestem wierny do dzisiaj: Nie jest ważne, za pomocą jakiego narzędzia będziemy zapewniać bezpieczeństwo danemu klientowi, ważne jest to, że u nas 150 najwyższej klasy specjalistów pracuje tylko nad tym, by to narzędzie działało prawidłowo. Często się zdarza, że kupujemy coś, czego nawet do końca nie umiemy obsługiwać – dotyczy to zarówno zawansowanych systemów, jak i telefonu w naszej kieszeni.

Szefowie bezpieczeństwa muszą brać pod uwagę wiele scenariuszy, nawet tych mało prawdopodobnych. Staramy się stosować zasadę: oczekuj najlepszego, ale przygotuj się na najgorsze.

Na rynku pracy wciąż brakuje specjalistów w dziedzinie bezpieczeństwa. Jak firmy sobie z tym radzą, zwłaszcza w czasie, gdy poziom zagrożeń stale rośnie?

Przy braku odpowiednich zasobów warto znaleźć partnera, na którym można polegać. Specjaliści ds. cyberbezpieczeństwa często zmieniają pracę, nie chcą być związani z jednym określonym zestawem narzędzi, szukają wyzwań, a tych u operatora nie brakuje. Zresztą cyberbezpieczeństwo to zawód dla pasjonatów. Nie każdą firmę stać na zatrudnienie takich fachowców.

Dlatego warto szukać partnerów technologicznych, by móc korzystać w miarę potrzeby z usług najlepszych specjalistów, a na stałe utrzymywać – w ramach mniejszych kosztów stałych – usługi w postaci security as a service, np. SOC. Jeśli firma korzysta z usług partnerów, którzy tak jak T-Mobile mają ogromne doświadczenie, wiedzą, jak utrzymać ciągłość działania, są potężną siecią i mogą szybko przenieść dane w bezpieczne miejsce, jest w stanie zoptymalizować zarządzanie bezpieczeństwem.

Jak zmienia się podejście firm do zagadnień cyberbezpieczeństwa? Na co kładą teraz największy nacisk? Czy zmienia się model korzystania z rozwiązań cyberbezpieczeństwa?

Firmy muszą się skupiać na swoim zasadniczym biznesie, dlatego procesy takie jak zarządzanie danymi osobowymi coraz częściej odbywają się poza organizacją. Podobnie jest z bezpieczeństwem. Dążymy do tego, by utrzymywać stały poziom ceberbezpieczeństwa. Potrafimy zdefiniować minimalny zestaw reguł i zasad dla każdego klienta. Do automatycznych ataków, które występują coraz częściej, musimy dostosować automatyczną ochronę. Właśnie taki zestaw algorytmów dostarczamy naszym klientom.

Jakie są najważniejsze trendy związane z cyberbezpieczeństwem w ostatnim czasie? Co nas czeka w przyszłości?

Najsłabszym ogniwem jest człowiek, dlatego najpopularniejsze są wszelkiego rodzaju oszustwa. Odnotowujemy ogromny przyrost takich działań. Poza mailami (tzw. phishingiem) czy SMS-ami (tzw. smishingiem) pojawiają się coraz częściej zagrożenia związane z podszywaniem się pod rozmowy telefoniczne (tzw. spoofing Caller ID). Są to bardzo niebezpieczne ataki i niezwykle trudne w zwalczaniu. Rośnie też liczba ataków związanych z sytuacją geopolityczną, często nazywane dezinformacją. Są to próby destabilizacji sytuacji społecznej poprzez wywołanie paniki, która z kolei potrafi skutecznie destabilizować rynek, prowadzenie biznesu czy nasz sposób działania.

Osoba odpowiedzialna za bezpieczeństwo musi mieć dzisiaj holistyczne spojrzenie. Istnieje konieczność synchronizacji bezpieczeństwa fizycznego i cyberbezpieczeństwa. To musi być jeden sprawny system, świetnie reagujący na to, co może nadejść. Warto również umiejętnie spojrzeć na geopolitykę.

Świat przyspiesza i potrzebujemy szybko dostosowywać się do zmian – to jest kluczowe. Musimy patrzeć na biznes w szerokiej perspektywie, co pozwoli nam utrzymać biznes nawet w najgorszej sytuacji. Dlatego tak ważne są centra zapasowe i umiejętne zabezpieczanie infrastruktury.

Podsumowując, stale pojawiają się zupełnie nowe, coraz bardziej zaawansowane zagrożenia, a dla naszych klientów, bezpieczeństwo jest kwestią priorytetową. Jako T-Mobile jesteśmy w dobrej sytuacji, ponieważ możemy obserwować i analizować zdarzenia w masowej skali – dzięki temu znamy doskonale bieżące trendy, potrafimy przewidzieć przyszłe i zapewnić bezpieczeństwo sobie i organizacjom, dla których jesteśmy technologicznym partnerem.