Nowe wyzwania bezpieczeństwa były tematem spotkania Klubu CIO w Gdańsku 24 czerwca. Na kanwie dyskusji powstają kolejne rekomendacje Klubu CIO dotyczące nowego podejścia do bezpieczeństwa. Spotkanie odbyło się dzięki uprzejmości Tadeusza Rogaczewskiego, dyrektora Biura Informatyki Grupy Lotos, w loży Lotosu na PGE Arena. Partnerem spotkania Klubu CIO była firma FancyFon.

Zaczęliśmy od dyskusji o bezpieczeństwie infrastruktury krytycznej – w tej części głównym bohaterem spotkania był Tadeusz Rogaczewski. Wymagania Lotosu związane z bezpieczeństwem infrastruktury krytycznej są wyjątkowe ze względu na strategiczne znaczenie spółki dla Polski. Ile z tego podejścia może zapożyczyć i zaadaptować stosownie do skali działalności, zagrożeń we wszystkich organizacjach? Uczestnicy dyskusji zgodzili się, że całościowe podejście i dynamiczne zarządzanie obroną jest dzisiaj wymogiem wobec zmienności zagrożeń.

Ciekawy wątek dyskusji stanowiła kwestia sieciowego – w sensie organizacyjnym – zabezpieczania firm. Mowa była o możliwościach i praktyce wspierania własnych zasobów i kompetencji bezpieczeństwa współpracą z zewnętrznymi, niezależnymi ośrodkami. Kilku uczestników dyskusji współpracuje w tym zakresie z NASK, jako dobry podmiot do współpracy podawano CERT ABW (Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL). tego typu współpraca musi uzupełniać wewnętrzną organizację bezpieczeństwa. Celem współpracy jest wypracowanie modus operandi – w oparciu o rekomendacje CERT oraz potrzeby biznesowe.

Z kolei współpracę w ramach własnych struktur łańcucha dostaw umożliwiają albo rekomendują rozwiązania bezpieczeństwa, w tym szczególnie rozwiązania dotyczące sfery mobilnej. Takie podejście pozwala niwelować przynajmniej częściowo różnice w dojrzałości i zaawansowaniu podejścia do bezpieczeństwa w ramach szerszej grupy podmiotów.

Sieciowy charakter dzisiejszych zagrożeń i zabezpieczeń wynika także ze trendu internet rzeczy. Rośnie liczba urządzeń komunikujących się pomiędzy sobą rośnie, tym samym rośnie podatności. Owo włączanie do komunikacji dotyczy także systemów przemysłowych, systemów zarządzających infrastrukturą. Wśród szefów IT, bezpieczeństwa a także wśród specjalistów, wiedza i świadomość tego, że można dotrzeć do takich najpilniej strzeżonych i separowanych systemów jest powszechna, od kiedy podano do wiadomości, że irańskie uranowe wirówki zostały zniszczone najprawdopodobniej przez wirus Stuxnet.

Sama konstrukcja bezpieczeństwa musi z kolei opierać się w coraz większym stopniu na interdyscyplinarności i zręcznym połączeniu różnych kompetencji – nie tylko informatycznych, dotyczących np. sieci, systemów dziedzinowych, baz danych, ale także biznesowych, socjologicznych i psychologicznych. Większość badań dowodzi, że klucz do bezpieczeństwa to sposób, w jaki określone są role i możliwości w ramach systemu bezpieczeństwa oraz świadomość użytkownika.

Bartosz Leoszewski, CEO FancyFon poprowadził dyskusję o szczególnie ważnym dzisiaj aspekcie bezpieczeństwa – mobilnej sferze prowadzenia biznesu. Przypomniał najważniejsze dziś uwarunkowanie – trend mobilny dla korporacji i firm oznacza, że pracownicy-użytkownicy oczekują dostępu do takich samych narzędzi i sposobów komunikacji, pracy, jak w życiu prywatnym. Dlatego wszelkie ograniczenia odbierają jako restrykcje i szukają sposobu aby je obejść. Około 30% naruszających bezpieczeństwo w kanale mobilnym czyni to świadomie. Bartosz Leoszewski zwrócił uwagę na cztery „mobilne” zagrożenia, wobec których staje IT to utrata urządzenia (dzisiaj – najczęściej smartfona), związane z tym atak i utrata danych, wspomniana świadoma skłonność do omijania zasad i procedur bezpieczeństwa, oraz wszelkie aplikacje, które stanowią kanał ataku. Problem można stopniować albo potęgować, jako że inną, codzienną praktyka firm jest fakt nieformalnego, ale faktycznego podziału polityki bezpieczeństwa na politykę ogólną, dla 95% użytkowników i „politykę VIP”, która jest dowolnie liberalna a zarazem dotyczy najważniejszych danych i rozwiązań firmy. Dopóki te przypadki nie ulegną zmianie, trudno będzie dyskutować ze stwierdzeniem, że złotówka zainwestowana w bezpieczeństwo mobilne – jest stracona.

W toku dyskusji udało się wstępnie sformułować kilka rekomendacji, które po zredagowaniu i zatwierdzeniu przez uczestników dyskusji uzupełnią rekomendacje wypracowane przez Klub CIO podczas spotkania w Warszawie.

Gdańskie rekomendacje dotyczyć będą m.in. przygotowania prawodawstwa do skutecznego ścigania sprawców cyberprzestępstw, także w ramach Unii Europejskiej oraz wprowadzenia do edukacji szkolnej problematyki bezpieczeństwa i „higieny” zachować w cyberprzestrzeni.