Jak wygląda kwestia bezpieczeństwa w polskich firmach w kontekście ostatnich dwóch lat i wojny na Ukrainie?

Nieustannie trwa wyścig zbrojeń między producentami systemów ochrony i hakerami. Ostatnie miesiące to wzrost ryzyka związanego z cyberatakami do wręcz niebywałych poziomów, co zresztą jest odzwierciedlone obowiązującym poziomem alarmowym Charlie-CRP. Zagrożenie jest realne, ale jednocześnie nie zawsze towarzyszy mu adekwatny poziom świadomości, np. podobny do zrozumienia dla konieczności fizycznego zabezpieczenia firmy. Cyberbezpieczeństwo musi być krytycznym zagadnieniem na poziomie zarządu, który jest odpowiedzialny za budżetowanie. To zarząd musi zdawać sobie sprawę, że na tym polu nie może być kompromisów. Chronić trzeba się kompleksowo, inne podejście nie ma sensu. Dlatego musimy wrócić do pewnych pryncypiów. Pierwszym jest właśnie kompleksowość. Nie można podchodzić wybiórczo do infrastruktury IT i zabezpieczać tylko jej fragmenty. Przykładowo, przez niezabezpieczoną usługę DNS można wyprowadzić dane w taki sposób, że żaden klasyczny system bezpieczeństwa tego nie zauważy. Nie wystarczy też jednorazowo zrobić skan podatności. To musi być powtarzalny proces operacyjny, czyli identyfikacja, priorytetyzacja i aktualizacja, a następnie ponowna weryfikacja stanu obecnego. Taki proces jest tym bardziej konieczny, im serwerów czy innych urządzeń jest więcej – skutecznie zabezpieczyć można się jedynie w sposób strukturalny i zorganizowany. Czyli oprócz świadomości zagrożeń, kompleksowej ochrony należy przywiązywać szczególną wagę do procesów.

Czy dobre narzędzia wystarczą?

Zaryzykuję stwierdzenie, że ze względu na rozwój technologii systemy zaczynają być wtórne. Moim zdaniem w najbliższej przyszłości kluczowy nie będzie wybór i użycie konkretnego systemu, ale dostęp do fachowców, którzy potrafią nim zarządzać. Co da nam zakup technologii, której nie potrafimy wykorzystać? Brak kadr powoduje, że część klientów wykorzystuje zakupione systemy bezpieczeństwa w sposób podstawowy. To ogranicza zapewnianą przez nie ochronę, ponieważ wykorzystanie ich potencjału wymaga stałego nadzoru i reagowania na zmieniające się zagrożenia. Dlatego, moim zdaniem, klienci, którzy chcą się chronić, będą migrować w stronę usług zarządzanego bezpieczeństwa (stosowa-nych w różnych zakresach).

Jaka jest pana recepta na budowanie cyberbezpieczeństwa? Skąd brać wspomnianą kompleksowość?

Doradzając, zawsze bierzemy pod uwagę kilka zmiennych. Jedną z nich jest wielkość przedsiębiorstwa – kilkutysięczna organizacja z odpowiednimi zasobami cyberbezpieczeństwa powinna chronić się inaczej niż firma, która ich nie posiada. Jeśli klient nie ma specjalistów od bezpieczeństwa, to zaczynamy od przesunięcia suwaka w stronę zarządzanego bezpieczeństwa, gdzie możemy zaproponować kompleksowe podejście, obejmujące usługi zarządzania, dostarczenie i wdrożenie konkretnych rozwiązań oraz przekazanie niezbędnych kompetencji klientowi. W przypadku klientów posiadających własne zasoby szukamy dopełnienia ich kompetencji i narzędzi, tak aby paradygmat kompleksowości bezpieczeństwa był spełniony. Klasycznym przykładem jest tu chociażby wsparcie w usługach SOC-owych w trybie „po godzinach pracy”, w którym możemy zapewnić ciągłość monitorowania zdarzeń i reagowania na zdarzenia przy ograni-czonych zasobach klienta.

Ważna jest też krytyczność systemów oraz wrażliwość danych klienta – inaczej chroni się Fort Knox, inaczej sklep osiedlowy. Oczywiście sprowadza się to również do budżetu, który klient jest gotów przeznaczyć na zabezpieczenia. Nie spotkałem jeszcze klienta, który nie miałby w jakiejś formie wdrożonych systemów cyberbezpieczeństwa. Dlatego trzeba mądrze wykorzystać jego zasoby i wskazać te obszary, które wymagają doinwestowania. Nomios koncentruje się na procesach związanych z prawidłowym zarządzaniem infrastrukturą bezpieczeństwa cyfrowego. Staramy się je wpisać w procesy operacyjne i informujemy klientów, jak z naszego doświadczenia powinno wyglądać zarządzanie bezpieczeństwem.

Nomios koncentruje się na procesach związanych z prawidłowym zarządzaniem infrastrukturą bezpieczeństwa cyfrowego. Staramy się je wpisać w procesy operacyjne i informujemy klientów, jak z naszego doświadczenia powinno wyglądać zarządzanie bezpieczeństwem.

Dla części klientów ważna jest także metodyka wdrażania systemów bezpieczeństwa w skomplikowanych organizacjach. Ta metodyka jest wyróżnikiem Nomios. Im bardziej rozbudowany i złożony jest system, tym częściej jego potencjalnie negatywny wpływ na funkcjonowanie kluczowych systemów przedsiębiorstwa może doprowadzić do zamrożenia albo wycofania jego wdrożenia, czyniąc go nieefektywnym z perspektywy zapewnienia cyberochrony. Dobrym przykładem jest Web Application Firewall (WAF). Źle wdrożony i utrzymywany WAF może doprowadzić do blokady komunikacji między aplikacją a jej użytkownikami. Efektem tego jest paraliż procesów biznesowych firmy. Aby tego uniknąć, firmy bez odpowiedniej wiedzy w temacie wdrażają WAF bez uruchamiania na nim reguł blokujących. Jest to więc wdrożenie pozorne, nieprzynoszące korzyści z perspektywy bezpieczeństwa cyfrowego. Dlatego odpowiednie kompetencje i doradztwo zaczynają być równie krytyczne jak zakup samego systemu.

Jak poszczególne sektory podchodzą do kwestii cyberbezpiczeństwa?

Bardzo różnie, zależnie od swojej specyfiki danej branży. Dobrym przykładem jest tu sektor przedsiębiorstw produkcyjnych, dla których bezpieczeństwo kojarzy się nieodłącznie z BHP, a nie z zabezpieczaniem się przed zagrożeniami cyfrowymi. Dla firm produkcyjnych kluczowe jest zachowanie ciągłości działania i bezpieczeństwa fizycznego pracowników, czasami nawet kosztem kompromisów w zakresie bezpieczeństwa cyfrowego. Przy czym kompromisy w zakresie tego ostatniego stają się dla nich coraz bardziej kosztowne. Dlatego poszukują partnerów, którzy, poza znajomością rozwiązań cyberbezpieczeństwa, rozumieją specyfikę ich działalności oraz są w stanie dobrać odpowiednie narzędzia i procedury ich wdrażania w środowisku produkcyjnym. Jako Nomios mamy już kilkuletnie doświadczenie we współpracy z takimi firmami i udaje nam się skutecznie połączyć właściwą ochronę z zapew¬nieniem ciągłości działania linii produkcyjnych, tak istotnej dla naszych klientów.

Czy wieloletnie doświadczenia w zapewnieniu ciągłości procesów znajduje odzwierciedlenie w waszym SOC24?

Działając w ramach Grupy Nomios, w SOC24 obsługujemy również klientów zagranicznych. Mamy możliwość obserwowania i analizowania ataków, które nie pojawiły się w Polsce, a można się spodziewać, że z czasem będą wymierzane w nasze rodzime firmy – to nasza przewaga. Usługi SOC muszą być użyteczne, muszą być dostosowane do potrzeb klienta, a nie odwrotnie, na to zwracamy szczególną uwagę. Ważnym elementem jest także ich wdrożenie. W Nomios uważamy, że to gwarantuje końcowy sukces u klienta: klienta trzeba przeprowadzić przez proces wdrożenia tak, żeby usługa wnosiła wartość. Bardzo pomaga nam w przypadku SOC24 to, że stoi za tym nasza ogromna wiedza wdrożeniowa z zakresu cyberbezpieczeństwa.

Mówi pan o wieloletnim i bogatym doświadczeniu, ale sama nazwa Nomios może być dla wielu anonimowa. Dlaczego zdecydowaliście się na zmianę nazwy firmy i co daje wam to nowe rozdanie?

W 2012 r. w Polsce powstały dwie firmy: Infradata i DIM System. Pierwsza, jako część międzynarodowego integratora, koncentrowała się na rozwiązaniach sieciowych, w tym bezpieczeństwie. Druga zajmowała się bezpieczeństwem cyfrowym. W 2019 r. Infradata zakupiła DIM System. Z mojego punktu widzenia to było świetne uzupełnienie kompetencji. W październiku 2021 r. nastąpiła zmiana nazwy firmy na Nomios, co jest odzwierciedleniem naszego dążenia do koncentracji na rynku europejskim w zakresie cyberbezpieczeństwa. Od dawna mieliśmy w ramach Infradata francuską spółkę Nomios, która wyrobiła sobie nieznaną w Polsce, ale rozpoznawalną w Europie markę właśnie w obszarze cyberbezpieczeństwa.

Obecnie mamy inne ekosystemy do zabezpieczenia niż jeszcze parę lat temu. Jak sprostać takim wyzwaniom?

Będąc częścią międzynarodowego integratora, mamy dostęp do wiedzy i wiemy, co dzieje się w Europie. Dzięki temu możemy budować doświadczenie, wykorzystując wiedzę z krajów, gdzie rynki są bardziej zaawansowane, np. w zakresie wykorzystania chmury. Koncentrujemy się na zabezpieczaniu i umożliwianiu połączeń pomiędzy infrastrukturą klienta a chmurą. Pracujemy z klientami, którzy wykorzystują rozwiązania hybrydowe, takimi, którzy „idą” całkowicie w chmurę lub też budują własną. W każdym z tych obszarów sposoby zapewnienia bezpieczeństwa są nieco inne i trzeba je odpowiednio budować, opierając się na dostępnych na rynku rozwiązaniach. Coraz częściej oprócz dotychczas stosowanych rozwiązań on-premise oraz hybrydowych pojawiają się także scenariusze zapewniania bezpieczeństwa opartego wyłącznie na rozwiązaniach dostawcy chmury, o których nie można zapominać, biorąc pod uwagę obserwowany w zachodnich krajach trend do przenoszenia wszelkich systemów do dostawców usług chmurowych.