Najważniejszym elementem krajobrazu niebezpieczeństw cybernetycznych od lat pozostaje wzrost skali i złożoności cyberprzestępczości. W ciągłej grze w kotka i myszkę przestępcy zwykle o krok wyprzedzają ofiary – firmy i użytkowników indywidualnych – oraz cyfrowych strażników, czyli służby i dostawców narzędzi ochronnych. Jak oszacowali analitycy Gartnera, w 2019 r. światowe wydatki na cyberbezpieczeństwo wyniosły ok. 100 mld dolarów.

Polskie firmy też mają sporo do nadrobienia w zakresie cyberbezpieczeństwa. Jak wynika z danych zebranych przez firmę KPMG na potrzeby najnowszego badania „Barometr cyberbezpieczeństwa”, w 15 % przedsiębiorstw odpowiedzialność za bezpieczeństwo nie jest przypisana do żadnej jednostki organizacyjnej. W 45 % takie obowiązki ciążą na dziale informatycznym, co znaczy, że nie istnieją tam wydzielone działy zajmujące się wyłącznie ochroną infrastruktury.

Zobacz również:

• Rosja użyła technologii rozpoznawania twarzy. Chce wiedzieć, kto był na pogrzebie Nawalnego
• Ta ustawa przybliża moment, w którym TikTok zostanie zablokowany w USA

Jak mówił Michał Kurek, partner w firmie KPMG i specjalista ds. cyberbezpieczeństwa, jeden z prelegentów „Security First”, na to wszystko nakłada się stosunkowo świeży problem braku wiedzy o bezpieczeństwie chmury. Ankietowani przez KPMG mieli problem z identyfikacją używanych w ich organizacjach usług (IaaS, PaaS itp.). Tymczasem to właściwa inwentaryzacja zasobów oraz odpowiednie zrozumienie procesów i danych, które umieszcza się w chmurze, pozwalają dobrać optymalne narzędzia do ich ochrony.

Firmy mają co prawda pewne usprawiedliwienie – cyberbezpieczeństwo to obszar, gdzie trudno zbudować kompetencje i utrzymać je. Biorąc pod uwagę kadrowe niedobory takich fachowców na rynku łatwo sobie wyobrazić, że dla wielu organizacji utrzymanie pracowników-specjalistów w zakresie bezpieczeństwa cybernetycznego jest nie lada wyzwaniem.

Ponadto, jak zwrócił uwagę Marcin Kobyliński, przewodniczący Komisji Rewizyjnej, ISSA Polska, rośnie liczba przepisów odnoszących się do kwestii cyberbezpieczeństwa lub bezpieczeństwa danych (w Polsce należą do nich na przykład ustawa o Krajowym Systemie Cyberbezpieczeństwa czy ustawa o ochronie danych osobowych). W dodatku regulacje zawarte w odrębnych aktach nakładają się, co jeszcze bardziej utrudnia organizacjom zarządzanie incydentami cyberbezpieczeństwa.

Kluczowe wyzwanie w zarządzaniu bezpieczeństwem to zachowanie równowagi między inwestycjami a ryzykiem, jakie stwarzają.

Do efektywnego ograniczania ryzyk cybernetycznych w organizacji niezbędny jest odpowiedni dialog na linii biznes – bezpieczeństwo. Brak komunikacji lub ograniczenie się tylko do realizacji celów swojego departamentu prowadzi do zaburzeń. Nowe inicjatywy biznesowe są niepotrzebnie blokowane, co może osłabiać kondycję finansową spółki.

Wtedy bezpieczeństwo jest dla biznesu przysłowiową kulą u nogi: działy operacyjne nie widzą potrzeby komunikacji z IT/security, nie chcąc po raz kolejny usłyszeć odmowy lub krytyki pomysłów na nowe wdrożenia czy projekty istotne z punktu widzenia biznesu. Z drugiej strony biznes może „pruć do przodu” nie oglądając się na ryzyko i potencjalnie narażając na szwank firmowe dane i infrastrukturę.

Dział bezpieczeństwa zrobiłby lepszą robotę, proponując racjonalne rozwiązania wspierające realizację projektów i zabezpieczające aspekt security. „Tak funkcjonujący dział cyberbezpieczeństwa staje się dla biznesu partnerem godnym zaufania, a biznes mając takie wsparcie chętniej sięgnie po właściwe technologie” – podkreśla Kurek.

A i tak przy każdym nowym projekcie najlepiej pomyśleć o zapewnieniu bezpieczeństwa tak wcześnie, jak to możliwe. Odpowiednio szybkie zaadresowanie tej kwestii zmniejszy koszty usuwania z systemu ewentualnych błędów na późniejszych etapach produkcji czy wdrożenia. Bo z punktu widzenia cyberbezpieczeństwa właściwie postawione pytanie nie brzmi dziś, czy ktoś zaatakuje moją organizację?” ale „Kiedy to nastąpi?”. A jeszcze lepsze podejście to przyjęcie, że atak już miał miejsce.

Jak zdobyć cyfrową zbroję

Dbałość o cyberbezpieczeństwo nie powinna sprowadzać się do wdrażania najlepszych dostępnych rozwiązań bezpieczeństwa i zatrudniania specjalistów. Zresztą, z tymi systemami też bywa różnie, bo w architekturze bezpieczeństwa firm z sektora enterprise może funkcjonować nawet i kilkadziesiąt różnych produktów. A złożoność architektury i zalew incydentów opóźniają zdolność odpowiedniej – i szybkiej – reakcji. Firmy muszą opracować modele dojrzałości cybernetycznej swoich centrów SOC (Security Operaton Center), co pozwoli zoptymalizować obsługę incydentów, szczególnie przy ograniczonych zasobach. Model taki zakłada trzystopniowe oszacowanie stanu infrastruktury w podziale na pracowników, procesy i narzędzia, i na tej podstawie lepiej zaplanować strategię ochrony.

Trzeba pamiętać, że firmowe dane mogą być powszechnie dostępne w bardzo prosty sposób – wskazywał Michał Sajdak, twórca portalu sekurak.pl. W internecie funkcjonują specjalistyczne wyszukiwarki interfejsów i urządzeń połączonych z siecią, takie jak Shodan i ZoomEye, za pomocą których można na przykład uzyskać dostęp do zapisów monitoringu. Z kolei Crt.sh to jedna z wyszukiwarek dla bazy certyfikatów domenowych (gdy tworzymy certyfikat, informacje o domenie twórcy, czy dacie ważności trafiają do bazy danych Certificate Transparency, dostępnej publicznie).

Napastnicy przed przeprowadzeniem ataku tworzą listę celów i analizują stan infrastruktury ofiar, by zaatakować najsłabsze jej elementy. Wystarczy jeden niewielki przyczółek, by zinfiltrować sieć i móc organizować kolejne ataki lub przez dłuższy czas wykradać z sieci dane.

Z tego powodu chroniący również musi znać wszystkie słabe ogniwa swojej architektury. „Warto przeprowadzać rekonesans swojej infrastruktury, chociażby pasywnie, przynajmniej raz na rok – samodzielnie, albo zlecając na zewnątrz” – zaleca Michał Sajdak.

Wreszcie, organizacje mogą – i powinny – korzystać z możliwości kooperacji z innymi podmiotami i jednostkami administracji publicznej. W Polsce platformą do takiej współpracy jest program PWCyber, uruchomiony w Ministerstwie Cyfryzacji na podstawie ustawy o KSC. PWCyber przewiduje partnerstwo z sektorem prywatnym mające pomóc w budowaniu odporności cybernetycznej. Uczestnictwo w programie jest dobrowolne i nie wiąże się ze zobowiązaniami finansowymi. Działania w ramach programu prowadzone są w formie uzgadniania wspólnych przedsięwzięć.

Jak mówił Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w resorcie cyfryzacji, prace zespołu mają przełożyć się na konkretne działania w zakresie Cyberbezpieczeństwa i promowanie innowacji w tym obszarze. Celem programu jest zarówno podnoszenie kompetencji administracji rządowej i samorządowej, jak i wymiana wiedzy o cyberbezpieczeństwie oraz przygotowanie i prowadzenie oceny i certyfikacji. W programie już uczestniczą takie firmy jak Microsoft, Samsung, Ericsson, Nokia, Cisco, IBM, Dell Technologies i Vmware. Do tego grona mają wkrótce dołączyć kolejne, w tym Amazon Web Services, Oracle i Trend Micro.

Bezpieczne OT

O ile tradycyjny świat informatyczny (bazy danych, chmura, przeróżne systemy biznesowe, np. ERP i CRM) jest pod względem bezpieczeństwa nieźle „ogarnięty”, to zupełnie nowy wymiar ochrony dotyczy sieci przemysłowych (OT). Tu zabezpieczenia wymaga automatyka przemysłowa, aparatura, zawory, silniki, elementy fizyczne, linie produkcyjne, systemy komunikacji między człowiekiem (operatorem), a systemami realizacji produkcji, SCADA, sterowniki PLC, protokoły przemysłowe…

„Przez lata świat OT był zupełnie odseparowany. Dziś biznes ma ogromną potrzebę na dostęp do informacji, po to by adekwatnie zarządzać łańcuchem dostaw czy zapotrzebowaniem energetycznym. Dziś te środowiska są połączone, więc dla środowisk OT pojawiają się te same zagrożenia, co dla IT i musimy zacząć coś z tym robić” – podkreślał w trakcie konferencji Wojciech Kubiak, dyrektor ds. Bezpieczeństwa teleinformatycznego w PKP Energetyka.

Dlaczego cyberbezpieczeństwo w przemyśle jest tak ważne? Bo przekłada się na realne zjawiska i wydarzenia w świecie fizycznym. Świat IT porusza dane wirtualne, które tam egzystują, a świat automatyki przemysłowej porusza urządzenia fizyczne. Nie bagatelizując sprawy, cyberprzestępstwo w świecie IT ma zwykle wymiar kradzieży – gdy właściciela zmieniają wirtualne pieniądze lub dochodzi do utraty danych. Ryzyko w świecie rzeczywistym polega na tym, że fizyczne urządzenie może wyrządzić komuś krzywdę.

Roland Kulanek, OT Champion Network and Security Services Poland, Rockwell Automation zwracał jednak uwagę, że nie da się całkowicie oddzielić świata OT od tego, co zasadniczo powinno być traktowane jako niezaufane, np. internetu czy firmowego intranetu. Tymczasem to właśnie z zewnątrz pochodzi większość ataków na infrastrukturę produkcyjną – stamtąd, gdzie funkcjonuje poczta elektroniczna, usługi zdalnego dostępu, itp.

Dodatkowo, zadanie intruzom ułatwiają często same przedsiębiorstwa, mylnie zakładając, że cyberprzestępcy nie rozumieją i nie interesują się systemami sterowania. Równie szkodliwe jest zakładania, że instalacje przemysłowe nie są celem ataków a jeżeli już do incydentu dojdzie, to przed zgubnymi następstwami chronią używane w organizacji systemy bezpieczeństwa, zapory sieciowe, itp.

A podsumowaniem pierwszej konferencji Security First niech będzie apel wygłoszony przez Joannę Karczewską, ekspertkę ds. cyberbezpieczeństwa i ochrony danych osobowych:

Nośmy cyfrowe maseczki. Na brak cyberbezpieczeństwa nie ma stuprocentowo pewnej szczepionki.