Codziennie słyszymy o wzroście skali cyberzagrożeń i nowej, wykreowanej przez pandemię rzeczywistości. Zmiotła świat, w którym wyrośliśmy, przyspieszyła cyfryzację – według licznych ekspertów – nawet o 7 lat. Każda organizacja, aby przetrwać, musi szybko i płynnie adaptować się do nowych warunków. Jednocześnie musi zachować najwyższe standardy bezpieczeństwa, co jest wyzwaniem w dynamicznie zmieniających się okolicznościach. Jak sobie z tym wyzwaniem poradzić? Wielu odpowiedzi dostarczyła konferencja „Fortinet Security Day”, poświęcona tematyce cyberbezpieczeństwa.

Zarządzanie ryzykiem w sieci to jeden z fundamentów zapewnienia ochrony cybernetycznej systemów ICT/OT, a działania podejmowane w tym obszarze powinny wskazywać skutki potencjalnych zagrożeń cybernetycznych w kontekście różnych, możliwych źródeł i kierunków ataku. Jak to ujął Joe Robertson, Director of Information Security and EMEA CISO Fortinet w wystąpieniu zatytułowanym „Because Business is Anywhere, Cybersecurity Must Be Everywhere”. Wcześniej jednym z najważniejszych aspektów była lokalizacja, teraz bezpieczeństwo musi być po prostu wszędzie tam, gdzie biznes. Dodatkowo, cybersecurity nie sprowadza się do technologii - to technologia plus psychologia. Musimy rozumieć, jak myślą atakujący, co robią, jakie techniki stosują, a wiedzę tę przełożyć na stworzenie barier zabezpieczających, tak by wykryć, zablokować i poddać kwarantannie ich ataki.

W cybersecurity skupiamy się na atakującym – przewidujemy, gdzie jest i co zamierza uczynić – tłumaczył Joe Robertson. Przedstawił także budowę i działanie całego ekosystemu zabezpieczeń Fortinet. W uproszczeniu, Fortinet Security Fabric opiera się na adaptacyjnym zabezpieczeniu chmury. Nowy paradygmat polega na zabezpieczaniu totalnym – wszystkiego (tj. ludzi, przedmiotów, aplikacji), zawsze, w czasie rzeczywistym, a zasada zero trust jest stosowana wobec każdego urządzenia podłączającego się do sieci.

Holistyczne podejście do cyberbezpieczeństwa

Podczas dyskusji panelowej „Metody, narzędzia i doświadczenie – niezbędne elementy, z których korzystają menedżerowie zajmujący się cyberbezpieczeństwem” rozmawiano o rosnących wymaganiach wobec bezpieczeństwa i panujących trendach. Współczesna preferencja do zamknięcia wszystkiego w jednym logowaniu jest niezwykle trudna w przypadkach, kiedy trzeba objąć rozwiązaniem wiele systemów powstałych w różnych okresach, tworzonych przez inne zespoły. Dochodzą też problemy z dokumentacją. W świecie IT łatwiej jest bowiem stworzyć coś od zera. Mówił na ten temat Hubert Kozdęba, Dyrektor ds. IT, Felgenhauer Material Handling – jego zdaniem, systemy muszą być zunifikowane, to bez wątpienia obecnie najważniejszy aspekt. Należy zamknąć jak najwięcej możliwości dostępów w jednym systemie wieloskładnikowego logowania.

Dane to nie tylko poufność, ale też dostępność i integralność. W kontekście danych medycznych wszystkie 3 czynniki są kluczowe. Stąd holistyczne podejście – wyjaśniał Robert Tomaka, z-ca dyrektora Pionu IT ds. technologii z firmy Diagnostyka.

Zarządzanie ryzykiem implementowane jest na wielu płaszczyznach, a każda z nich zdaje się być potrzebnym elementem szerszego ekosystemu zapewnienia cyberbezpieczeństwa w przedsiębiorstwie. Na pierwszy plan wysuwają się kwestie związane z zapewnieniem ciągłości działania oraz zarządzaniem kryzysowym. Wraz z nasyceniem naszego życia przedmiotami stale podłączonymi do internetu – czy to będzie telefon, komputer w pracy, czy inteligentna lodówka - wzrasta podatność na cyberataki. Każda z tych rzeczy może zostać zhakowana, a my zaatakowani. Do mediów przebijają się głośne sprawy typu wykradzenie prywatnych fotografii hollywoodzkich aktorek, ale o wiele cenniejszym, bardziej strategicznym celem są np. sieci przesyłowe. Od wiosny wszyscy możemy czytać maile z prywatnych skrzynek ministrów i premiera. Czy fakt, że na razie ujawniane są przez – do dziś niezidentyfikowanych – cyberprzestępców w sumie sprawy obyczajowe, nie ujawniono nic, co by zagrażało bezpieczeństwu Polski, oznacza, że takich danych włamywacze nie zdobyli? Zagrożeń w sieci będzie coraz więcej, skoro spędzamy w niej już większość czasu, przenosimy wszystkie aktywności służbowe i prywatne.

Wpływ dyrektywy NIS na zarządzanie cyberbezpieczeństwem

W 2016 roku Parlament Europejski przyjął dyrektywę Network and Information Systems (NIS), która nałożyła na kraje unijne szereg nowych obowiązków w zakresie ochrony cybernetycznej oraz ustalenia warunków współpracy w tym obszarze na poziomie państw członkowskich. Na mocy krajowych wytycznych operatorzy usług kluczowych np. sektora energetycznego, finansów, ochrony zdrowia oraz dostawcy usług cyfrowych zostali zobligowani do oceny ryzyka informatycznego oraz podjęcia środków mających na celu zapewnienie wymaganego poziomu bezpieczeństwa sieci. NIS2 rozszerza listę podmiotów objętych regulacjami o administrację publiczną, przemysł, sektor żywności i inne. Celem jest ograniczenie ryzyka incydentów cyberbezpieczeństwa, aby zapewnić ciągłość działania oraz wymagany, wysoki poziom bezpieczeństwa systemów teleinformatycznych. Fortinet zbadał stopień adaptacji NIS2 w Polsce* . Otóż 24% firm, które już dzisiaj podejmują działania w tym kierunku, zamierza zakończyć implementację dyrektywy NIS w ciągu 6 miesięcy. Niemal tyle samo (25%) planuje zrobić to w najbliższym roku, zaś kolejne 33% nie później niż za dwa lata. Zarządzanie cyberbezpieczeństwem zgodnie z dyrektywą NIS/NIS2 opiera się na pięciu kluczowych filarach. Wyniki badania pokazują, że każdy z tych obszarów traktowany jest z należytą uwagą, przy czym w pierwszej kolejności wytyczne dyrektywy NIS wdrażane są w obszarach kontroli dostępu (87% wskazań) oraz zarządzania ryzykiem (85%). W obszarach zarządzania zasobami oraz rejestrowania i monitorowania systemów teleinformatycznych regulacje NIS wdrożyło lub aktualnie wdraża po 76% badanych przedsiębiorstw. Prace nad zapewnieniem ochrony cybernetycznej poprzez segmentację (izolację) sieci prowadzi aktualnie lub zakończyło 74% ankietowanych firm. Szymon Poliński i Paweł Wojciechowski z Fortinet podczas wydarzenia przedstawili rekomendacje dla wymagań dyrektywy NIS.

Wdrożenia Fortinet z perspektywy klientów

W części „Jak rozwiązania Fortinet pomogły klientom” oddano głos między innymi Centrum Informatyki Resortu Finansów, które reprezentował Robert Panek, Dyrektor Departamentu Sieci, Usług i Monitorowania CIRF. Wdrożenie Fortinet dla Ministerstwa Finansów było głównie zmodernizowaniem infrastruktury sieci WAN. Zastosowano m.in. urządzenia Fortigate, FortiManager, FortiAnalyzer, FortiSIEM. W efekcie sieć WAN stała się o wiele mniej awaryjna, za to bardziej wydajna i efektywna, a nowe urządzenia dają wiele możliwości zarządzania i rozbudowy sieci WAN w perspektywie najbliższych lat.

Wielkość i stopień skomplikowania tego wdrożenia widać zwłaszcza, kiedy uświadomimy sobie, że tylko w tym roku złożono 19,6 mln PIT-ów przez internet, a resort finansów (wliczając w to administrację skarbową) to ok. 66 tys. pracowników. Obsługa administracji skarbowej to nie miejsce, w którym można pozwolić sobie na pospieszne czy nieprzemyślane ruchy.

Jak wykorzystać umiejętności życiowe w IT? Strategia himalaistki

Gościem specjalnym „Fortinet Security Day” była himalaistka Kinga Baranowska, zdobywczyni 9 ośmiotysięczników. Co może mieć wspólnego wyprawa w góry, czyli doświadczenie dosłownie do bólu realne, sprawdzenie możliwości ludzkiego organizmu z kwestią pracy w sieci i z sieciami? Himalaistka oprócz pokazania działającej na wyobraźnię fotorelacji z wypraw, pokazała ich przyziemność, projektową stronę. Na szczyt dotarł ten, kto z niego bezpiecznie powrócił, mówiła. Opowiadała, jak przygotować się na nieprzewidywalne sytuacje, o ogromnej roli pracy zespołowej i o sposobach aklimatyzacji do skrajnie trudnych warunków. Wymieniła najczęstsze problemy w zespołach prowadzące do niepowodzenia wypraw tj. brak zaufania i obawę przed konfliktem, brak zaangażowania i unikanie odpowiedzialności, no i w rezultacie nieprzywiązywanie wagi do wspólnego celu, jakim jest osiągnięcie szczytu. Tego, że potrzeba wiele wysiłku i przygotowań przed ruszeniem w Himalaje, wszyscy się spodziewają. Niekoniecznie natomiast tego, że należy bardzo dokładnie przygotować się na różne zaskakujące sytuacje, czy nawet niebezpieczeństwa, że należy wziąć ze sobą całe doświadczenie życia codziennego i codziennie starać się wydobywać z siebie to, co najlepsze, najbardziej ludzkie. Bowiem każdy krok w wysokich górach ma ogromną wagę, czasem to wręcz być albo nie być. Tak jak w sieci, czyż nie?

*Bezpieczeństwo sieciowe kluczowych przedsiębiorstw w kontekście dyrektywy NIS – badanie Computerworld