SEMAFOR 2020 - cyberbezpieczeństwo potrzebuje sojuszników

Za nami kolejna edycja konferencji SEMAFOR – XIII Forum Bezpieczeństwa i Audytu IT, organizowanej przez redakcję „Computerworld”. Prelegenci nie zawiedli - wydarzenie obfitowało w wystąpienia pełne eksperckiej wiedzy w zakresu ochrony danych, zarządzania bezpieczeństwem informacji, audytu i prawnych aspektów cyberbezpieczeństwa.

Tegoroczna konferencja SEMAFOR 2020 przebiega w cieniu pandemii koronawirusa – wydarzenie, początkowo planowane na marzec 2020 r. w wyniku wprowadzonych obostrzeń epidemiologicznych zostało przeniesione na wrzesień. Po raz pierwszy jest też realizowane w trybie hybrydowym: uczestnicy mogli słuchać wystąpień na żywo, jak również za pośrednictwem transmisji online.

Tematu COVID-19 nie dało się uniknąć również i w wystąpieniach prelegentów, tym bardziej, że cyberprzestępcy skwapliwie wykorzystywali epidemię do przeprowadzania ataków. Koronawirus stał się dla cyberprzestępców szansą na dodatkowe zyski czego dowodem jest obserwowany w ostatnim czasie wzrost liczby kampanii phishingowych, malware i ransomware oraz liczby złośliwych domen powiązanych z epidemią.

Zobacz również:

  • Biały Dom chce wzmocnić kontrolę nad sztuczną inteligencją
  • Rosja użyła technologii rozpoznawania twarzy. Chce wiedzieć, kto był na pogrzebie Nawalnego

Dość wspomnieć, że

wartość strat ponoszonych w wyniku działalności cyberprzestępców w 2019 r. FBI oszacowało na 3,5 mld dolarów.

Największym zagrożeniem pozostaje inżynieria społeczna – ludzie są łatwym celem z uwagi na naturalną skłonność do ufania innym. Cecha ta, choć szlachetna, stanowi również słabość, której oszuści i hakerzy nie wahają się wykorzystywać – mówił w trakcie swojego wystąpienia na konferencji Michael Crandall, wicedyrektor w ISSA Colorado Springs Chapter.

Bezpieczeństwo w czasach pandemii

Pandemia spowodowała, że zmienił się krajobraz gospodarczy Polski i świata, a wiele przedsiębiorstw z dnia na dzień straciło klientów. Najwięksi przegrani to koncerny motoryzacyjne, biznesy z branży gastronomicznej i przewozów pasażerskich. Z drugiej strony mamy wygranych – dostawców sprzętu medycznego, firmy farmaceutyczne, producentów żywności i chemii gospodarczej, przewoźników cargo, wreszcie – dostawców usług cyfrowych, zarówno komercyjnych (Netflix) jak i biznesowych (Zoom).

Tomasz Łużak, ekspert ds. cyberbezpieczeństwa w T-Mobile Polska zwracał uwagę na implikacje, jakie niesie pandemia dla sektora ICT. To przede wszystkim skokowy wzrost zapotrzebowania na sprzęt i usługi teleinformatyczny, rozbudowa powierzchni centrów danych i znaczny wzrost ruchu w sieciach operatorów telekomunikacyjnych. Przykładowo, tylko w jednym tygodniu czerwca br. wymiana danych w sieci stacjonarnej T-Mobile, w porównaniu z referencyjnym okresem w lutym, była większa – w zależności od pory dnia o 168 % (w sieci mobilnej o 50 %).

SEMAFOR 2020 - cyberbezpieczeństwo potrzebuje sojuszników

Tomasz Łużak, ekspert ds. cyberbezpieczeństwa w T-Mobile Polska

Nowa rzeczywistość sprzyja też rozwojowi nowych modeli biznesowych a także zmianom w podejściu do cyberbezpieczeństwa jako całości. Jak wskazywał przedstawiciel T-Mobile, security nie jest już postrzegane jako obciążenie czy koszt, tyle że inwestycje w tym obszarze warto przeprowadzać w stabilnych czasach a nie w momencie kryzysowym, takim jak pandemia. Podobnie ma się rzecz z transformacją cyfrową – w wypadku części przedsiębiorstw wirus przyśpieszył te procesy, w innych skłonił decydentów do rozpoczęcia cyfryzacji. A najlepiej wyszły na tym przedsiębiorstwa, które o transformację biznesu zatroszczyły się wcześniej.

Lekcja dla biznesu, jaka wynika z tych faktów, jest następująca – transformacja chmurowa zmieniła sposób dostępu do zasobów aplikacyjnych, a cyberbezpieczeństwo musi za tą zmianą nadążyć.

Zdalny dostęp i zdalna praca oznaczają konieczność ściślejszej kontroli użytkowników, na przykład poprzez przyjęcie zasady Zero Trust i wprowadzenie przywilejów koniecznych oraz zabezpieczeń jak najbliżej chronionych zasobów. Mechanizmy bezpieczeństwa powinny zresztą być co najmniej dwa – jeden działający na poziomie sieci, drugi na urządzeniu końcowym. Firmy nie obejdą się też bez planów ciągłości działania na wypadek kryzysu – podkreślał Tomasz Łużak.

Wirtualny atak = realne problemy

Przykład z życia wzięty niefrasobliwego podejścia do kwestii cyberbezpieczeństwa podał Jakub Dysarz, naczelnik wydziału w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji. W jednym z wiejskich urzędów gminnych, zatrudniającym jednego informatyka, doszło do infekcji oprogramowaniem ransomware. To pokłosie braku świadomości zagrożeń oraz odpowiednich polityk bezpieczeństwa, w tym nieograniczonego dostępu do internetu. W rezultacie infekcji zaszyfrowane zostały dane istotne dla urzędu, w tym dane z systemu e-Deklaracje, dane GOPS, rejestry księgowe i kadrowo-płacowe, jak również dane klientów zakładu komunalnego.

Pojęcia ze świata IT, dla urzędników często abstrakcyjne, nabierają zupełnie innego wymiaru gdy przełożyć je na język realnych problemów. Skuteczny cyberatak może oznaczać opóźnienia w wypłatach pensji i świadczeń, niższą ściągalność podatków, utratę bazy dłużników, utratę danych projektów (również unijnych), ryzyko niezłożenia sprawozdań i odpowiedzialność prawną w związku z niedopełnieniem obowiązku RODO.

W małych miejscowościach ludzie dobrze się znają. Wobec tego gdy ciągłość działania urzędu jest zakłócona, a jednostka nie jest w stanie realizować zadań, problem wykracza poza obszar informatyki i cyberbezpieczeństwa, zyskując wymiar społeczny – podkreślał Dysarz.

Jak kupować usługi cyberbezpieczeństwa

Agnieszka Wachowska, radczyni prawna i partner w kancelarii Traple Konarski Podrecki i Wspólnicy, w trakcie swojej prelekcji na konferencji SEMAFOR zwróciła uwagę na problem, z jakim borykają się rodzimi operatorzy usług kluczowych.

Przypomnijmy, że podmioty takie, zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa, mają określone obowiązki związane z zapewnieniem odpowiedniej ochrony swoich usług. Należy do nich konieczność wdrożenia systemu zarządzania bezpieczeństwem w systemie informatycznym wykorzystywanym do świadczenia usługi kluczowej, stosowanie i aktualizacja dokumentacji dotyczącej cyberbezpieczeństwa, obsługa incydentów i zarządzenie nimi oraz przeprowadzanie audytów bezpieczeństwa systemu informatycznego.

W razie braku wewnętrznych kompetencji operator może zdecydować się na outsourcing, czyli podpisać umowę z zewnętrznym podmiotem świadczącym usługi cyberbezpieczeństwa. Niestety nawet w bardzo dużych organizacjach wykorzystuje się wzory umów na zakup standardowych rozwiązań IT, które nie do końca odpowiadają współczesnym potrzebom

– wskazywała Wachowska.

Sytuację dodatkowo komplikuje fakt, że w Polsce brakuje jednego, kompleksowego aktu prawnego regulującego wszystkie kwestie cyberbezpieczeństwa. Mamy, co prawda, wspomnianą ustawę o KSC, której towarzyszy masa aktów wykonawczych, jednak ramy regulacji wyznaczają dodatkowo przepisy o ochronie danych osobowych, ustawy o świadczeniu usług drogą elektroniczną i ochronie tajemnic prawnie chronionych oraz wybrane przepisy karne. Dodatkowych wskazówek można szukać w wytycznych sektorowych, na przykład rekomendacjach KNF, standardach i normach branżowych oraz wewnętrznych regulacjach przedsiębiorców.

Ustawa o KSC nie precyzuje, jakie usługi można zamawiać u zewnętrznego dostawcy. Mogą one dotyczyć zarówno realizacji ustawowych obowiązków, na przykład w zakresie audytu lub SOC, licencjonowania produktów zabezpieczających, jak i usuwania luk i podatności czy ubezpieczenia od incydentów cybernetycznych. Jedyny wymóg ciążący na operatorze to zawiadomienie organu właściwego ds. cyberbezpieczeństwa o zawarciu takiego kontraktu.

SEMAFOR 2020 - cyberbezpieczeństwo potrzebuje sojuszników

Agnieszka Wachowska, radczyni prawna i partner w kancelarii Traple Konarski Podrecki i Wspólnicy

Operator usługi kluczowej, który zdecyduje się na outsourcing cyberbezpieczeństwa, musi zadbać o to, by kontrakt regulował szereg aspektów. Oprócz tak oczywistych i podstawowych, jak przedmiot umowy i obowiązki stron, należy doprecyzować obowiązki informacyjne (raportowanie, audyty), kwestie bezpieczeństwa i poufności danych oraz przetwarzania danych osobowych i własności intelektualnej. Inne ważne elementy to sposób komunikacji stron, pełnomocnictwa, zapewnienie ciągłości świadczenia usług oraz odpowiedzialność i kary umowne, wreszcie – warunki zakończenia umowy i plan wyjścia. W umowie z zewnętrznym dostawcą można również zażądać tzw. wykonania zastępczego, uprawniającego zamawiającego do podjęcia określonych czynności na wypadek, gdy dostawca nie wywiązuje się z powierzonych zadań – podpowiada Agnieszka Wachowska.

CSO potrzebuje sojuszników

Krajobraz zagrożeń jest dynamiczny. Ale, jak podkreślał Tomasz Jedynak, Cybersecurity Sales Manager w Cisco Systems, to wcale nie znaczy, że w ratowaniu sytuacji pomoże implementacja kolejnych systemów zabezpieczających, zwłaszcza bez zapewnienia im platformy wymiany informacji o incydentach.

Standardowy sposób działania działów informatycznych to poszukiwanie rozwiązań dla coraz to nowych problemów. Antidotum na zagrożenie ze strony robaków i trojanów ma być kupowanie licencji na oprogramowanie antywirusowe, popularyzacja urządzeń mobilnych skłania do inwestycji w oprogramowanie Mobile Device Management, do zabezpieczenia (również fizycznego) danych firmowych stosuje się systemy backupu i szyfrowania, i tak dalej. A koszty działu IT rosną.

„Inwestujemy nie w to, co trzeba. Hakerzy dawno zauważyli, że łatwiej kogoś zachęcić do współpracy niż przebijać się przez systemy bezpieczeństwa” – zwracał uwagę Paweł Wałuszko, Business Development Manager i doradca ds. cyberbezpieczeństwa w firmie TestArmy. Do wycieku danych przyczyniają się bowiem głównie incydenty i zagrożenia „wewnętrzne”, przede wszystkim tzw. insider threats i błędy ludzkie. Obejście mechanizmów zabezpieczeń, jak wynika z badań m.in. Canona i Verizona, zajmuje w tym rankingu dopiero 3. miejsce.

Paweł Dobrychłop, szef pionu Security w Staples Polska, wskazywał, jakie praktyki – na przykład z perspektywy specjalisty ds. cyberbezpieczeństwa czy CSO – stosować, by podnosić poziom bezpieczeństwa w organizacji.

Piastując te stanowiska można bowiem, często nieświadomie, popełniać błędy, które utrudniają zrozumienie potrzeb w zakresie cyberbezpieczeństwa. Chodzi m.in. o rewolucyjne pomysły i dążenie do radykalnych zmian, utrudniających firmie prowadzenie działalności. Modernizacja architektury bezpieczeństwa, nawet jeżeli uzasadniona, nie może na raz dotykać zbyt wielu elementów, bo żadna firma nie jest gotowa na tak poważną jednorazową inwestycję środków i zasobów. Z tego powodu należy swoje oczekiwania dostosować do potrzeb organizacji.

Po drugie, w zrozumieniu znaczenia cyberbezpieczeństwa nie pomaga rzucanie biznesowi kłód pod nogi i odrzucanie pomysłów na nowe produkty czy usługi. Rolą specjalisty jest informowanie o ryzyku i ewentualnie proponowanie rozwiązań alternatywnych, a nie podejmowanie decyzji w zakresie strategii przedsiębiorstwa.

„’Bezpiecznik’”to doradca, który ma pokazywać zalety, wady i koszty. Bezpieczeństwo jest jednym z elementów prowadzenia biznesu, ale to zarząd decyduje, ile bezpieczeństwa chce mieć w organizacji”
– podkreślał Dobrychłop.

Ponadto informacjom o zagrożeniach, przekazywanym przez dział bezpieczeństwa, może brakować kontekstu, obejmującego na przykład konkretne umiejscowienie w infrastrukturze, potencjalny wpływ na funkcjonowanie firmy oraz przewidywane straty. Zarząd chce wiedzieć, czy firma jest bezpieczna, a jeżeli nie, to czy należy podjąć decyzję zarządczą lub budżetową w celu zarządzania ryzykiem – zaznaczył Cezar Cichocki, Szef Centrum Kompetencyjnego w OpenBIZ.

Dlatego, zdaniem Pawła Dobrychłopa można z inicjatywami z obszaru cyberbezpieczeństwa próbować na przykład „podłączać się” pod inne, większe projekty. Warto szukać w organizacji sojuszników – sprawić, by cyberbezpieczeństwo nie było wyłącznie domeną czy zakresem odpowiedzialności informatyków. Tę odpowiedzialność należy w pewnym sensie przerzucić na wszystkich członków organizacji i stworzyć w ten sposób odpowiednią kulturę bezpieczeństwa.

Pomogą w tym szkolenia i certyfikacje, które poprawią poziom świadomości pracowników w zakresie cyberbezpieczeństwa oraz audyty, rozumiane nie jako sprawdzian wiedzy ale droga do optymalizacji procesów biznesowych – ocenił Paweł Wałuszko.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200