Droga do minimalizacji ryzyka

Organizacja bezpieczeństwa informacji w grupie takiej jak Deutsche Post DHL to nie lada wyzwanie. Group CISO David Thornewill von Essen, wyjaśnia swoją strategię.

Droga do minimalizacji ryzyka

David Thornewill von Essen, CISO Grupy Deutsche Post DHL, zarządza obszarem bezpieczeństwa informacji w największej na świecie firmie logistycznej. Fot. Deutsche Post DHL Group

Jakie cyberzagrożenia są obecnie szczególnie widoczne w Grupie Deutsche Post DHL?

Thornewill von Essen: Ogólnie rzecz biorąc, liczba ataków na całym świecie szybko wzrasta, zwłaszcza nasilają się ataki DDoS. Oczywiście jesteśmy również świadomi wielu ataków typu ransomware. Jak dotąd w pewnym stopniu nam ich oszczędzono. Ale oczywiście cyberprzestępcy zawsze próbują zaatakować i nigdy nie można być całkowicie odpornym. Można ustawiać zabezpieczenia, ale w jakiś sposób - zazwyczaj poprzez atak socjotechniczny - napastnikom zawsze udaje się uzyskać dostęp. To może przydarzyć się również nam.

Jak przygotować się na ewentualny atak ransomware?

Thornewill von Essen: Przede wszystkim chodzi o optymalną linię obrony, czyli odpowiednią technologię, szkolenia z zakresu bezpieczeństwa itd. Korzystamy m.in. ze sztucznej inteligencji. Na przykład, wykorzystujemy sztuczną inteligencję do wykrywania nietypowych ruchów danych. Ostatecznie jednak atak ransomware można porównać do trzęsienia ziemi. Przygotowujesz się, mając nadzieję, że do tego nie dojdzie. Ale kiedy już do tego dojdzie, trzeba być gotowym do szybkiego i prawidłowego działania, aby zminimalizować szkody i utrzymać działalność lub przynajmniej szybko ją przywrócić.

Zobacz również:

  • Jedna trzecia dyrektorów i menedżerów z branży cyberbezpieczeństwa rozważa odejście z pracy
  • Złośliwe oprogramowanie w obrazkach PNG. Jest go coraz więcej

Tak więc przygotowanie nie dotyczy tylko technologii obrony, ale także procesów zarządzania incydentami. Procedury odzyskiwania danych muszą być dopracowane i przećwiczone poprzez wewnętrzne symulacje. Każdy musi wiedzieć, co robić w razie wypadku - tak jak wszyscy pracownicy raz w roku biegają po schodach przeciwpożarowych, aby przeszkolić się na wypadek sytuacji awaryjnych.

Jak sprawić, aby w takiej sytuacji testowej wszyscy traktowali sprawę poważnie i brali w niej udział?

Thornewill von Essen: Istnieją różne rodzaje symulacji. Często mamy do czynienia z wybiórczym szkoleniem w bardzo konkretnym obszarze, ale są też większe projekty, czyli prawdziwe symulacje kryzysowe. Jestem dumny z tego, że niedawno wdrożyliśmy taką symulację kryzysową z udziałem 60 członków naszej najwyższej kadry kierowniczej. Mieliśmy do dyspozycji tylko trzy-cztery godziny, więc nie wszystko dało się dopracować w najdrobniejszych szczegółach, ale przyniosło to efekt. Ludzie zrozumieli, że sytuacja kryzysowa w IT nie jest tylko sprawą CISO czy IT.

W końcu w takim przypadku trzeba pomyśleć o wielu rzeczach, na przykład: co stanie się z pracownikami, gdy firma przestanie funkcjonować? Czy powinni oni pozostać w domu, czy też zostać przydzieleni do innego miejsca pracy? Trzeba projektować scenariusze na ten temat.

Załóżmy, że atak ransomware na Grupę Deutsche Post DHL zakończył się sukcesem. Jak wygląda ten proces w kontekście zarządzania kryzysowego?

Thornewill von Essen: To zależy od tego, co się stało i które systemy zostały zaszyfrowane. Istnieją bardzo różne plany w tym zakresie. Czy dotyczy to tylko urządzeń końcowych, czy również serwerów, na których kontrolowane są procesy w dużych firmach? Co może być jeszcze przetwarzane ręcznie i jak, w ekstremalnych sytuacjach awaryjnych, można szybko wyłączyć całe systemy, aby praca mogła być kontynuowana? Istnieją bardzo różne scenariusze, na które trzeba się przygotować.

W jakim stopniu zaangażowane jest najwyższe kierownictwo? W sytuacji kryzysowej ktoś musi podjąć decyzję na najwyższym szczeblu, na co jesteśmy gotowi i w którym momencie poddać się szantażystom, jeśli jest to konieczne ze względów ekonomicznych.

Thornewill von Essen: Rada Nadzorcza jest mocno zaangażowana. Jako CISO podlegam bezpośrednio naszemu CEO, Frankowi Appelowi. I to on zaproponował tę symulację z udziałem 60 najlepszych menedżerów. Należy pamiętać, że poważny cyberatak może z dnia na dzień całkowicie zamknąć firmę, co widzieliśmy kilka lat temu w przypadku konkurencji. Wiemy: nikt nie jest w stu procentach bezpieczny. Dlatego też jesteśmy zainteresowani minimalizacją ryzyka, nawet jeśli nie możemy go całkowicie wykluczyć.

Dlaczego raportuje Pan do CEO, a nie do CIO?

Thornewill von Essen: To pytanie jest dyskutowane w wielu firmach, ale u nas w ogóle się nie pojawiło, ponieważ nie mamy grupowego CIO. Jest ku temu dobry powód: jesteśmy szeroko rozgałęzioną, globalną firmą z oddziałami w ponad 220 krajach i terytoriach. Mamy więc kilku CIO, którzy mogą pracować w dużej mierze niezależnie pod względem operacyjnym.

Jednak taka decentralizacja nie ma sensu w przypadku cyberbezpieczeństwa. Ostatecznie atakowane są marki, a nie poszczególne działy. Atakujący najprawdopodobniej obrali sobie za cel całą Grupę Deutsche Post DHL, a nie poszczególne działy, takie jak Supply Chain, Global Forwarding, Express czy DHL Freight. Dlatego tak ważna jest równomierna i konsekwentna organizacja obrony we wszystkich oddziałach grupy na szczeblu centralnym. Oczywiście może to przybierać różne formy w poszczególnych oddziałach, gdzie realizowane są różne modele biznesowe.

Jak firma organizuje zadania CISO w Grupie? Czy zostało utworzone centralne biuro CISO?

Thornewill von Essen: Przewodzę Centralnemu Biuru CISO, w którym podejmowane są decyzje dotyczące tematów takich jak zarządzanie, regulacje lub System Zarządzania Bezpieczeństwem Informacji (ISMS) jako całość w organizacji. Odpowiadamy również za komunikację, świadomość i symulacje - np. phishingu.

Co dwa lata upewniamy się, że wszyscy z 250 000 pracowników posiadających konta e-mail przechodzą szkolenie. Co trzy lub cztery tygodnie odwiedzamy także różne jednostki biznesowe, aby edukować i zapewnić profilaktykę. Podobnie zarządzamy ryzykiem związanym z łańcuchem dostaw we wszystkich obszarach, dlatego uważnie przyglądamy się, czy nasi partnerzy z łańcucha dostaw spełniają nasze wymagania w zakresie bezpieczeństwa.

Czy utworzył Pan centralne Centrum Operacji Bezpieczeństwa (SOC) z globalną odpowiedzialnością?

Thornewill von Essen: Grupa Deutsche Post DHL zatrudnia wewnętrznego dostawcę usług IT, który jest odpowiedzialny za wewnętrzne centra danych i sieci. Zapewnia również deweloperów, którzy mogą być powoływani lub zlecani przez oddziały. W ramach tej jednostki IT Services funkcjonuje Centrum Cyberobrony (CDC), czyli nasz SOC. Odpowiada za całą firmę.

Gdzie wyznacza Pan granice odpowiedzialności swojego Biura CISO? Czy do zakresu Pana odpowiedzialności należy również bezpieczeństwo fizyczne, np. systemy kontroli dostępu oraz ochrona danych?

Thornewill von Essen: Za ochronę danych odpowiada dział prawny i dział zgodności z przepisami, ale ściśle współpracujemy z naszymi kolegami. Bezpieczeństwo fizyczne z kontrolą dostępu itp. jest również oddzielone od naszych zadań. Ale również tutaj ściśle ze sobą współpracujemy.

Czy jako CISO zarządza Pan różnymi obszarami biznesowymi?

Thornewill von Essen: Nie, mamy centralne biuro, które zajmuje się zadaniami związanymi z zarządzaniem, a następnie w każdym dziale jest osobny CISO. Podlegają oni odpowiedniemu dyrektorowi ds. informatyki. W przypadku konfliktu interesów lub napięć, mogę interweniować i mediować jako Group CISO z linią raportowania bezpośrednio do CEO.

Grupa Deutsche Post DHL zatrudnia wielu programistów. Security by Design i podejście DevSecOps są tam już prawdopodobnie praktykowane. Jak duży wpływ mają tu CISO?

Thornewill von Essen: Są w zasadzie blisko deweloperów, szczególnie tam, gdzie DevSecOps został już wprowadzony. Nie trzeba dodawać, że nasi eksperci ds. bezpieczeństwa są zaangażowani w proces CI/CD i testy kodu.

Dyrektorzy ds. bezpieczeństwa informacji w poszczególnych działach podlegają swoim dyrektorom ds. informatyki. Jak wyobraża sobie Pan współpracę?

Thornewill von Essen: Komitet ds. Bezpieczeństwa Informacji (ISC) został powołany około 15 lat temu, a ja jestem jego przewodniczącym od 2011 roku. Dwa lata temu z tej roli zostałem mianowany Group CISO. Dwa razy w tygodniu organizujemy krótką naradę z udziałem wszystkich CISO, abyśmy mogli porozmawiać o codziennych sprawach, na przykład o drobnych incydentach lub nowych scenariuszach zagrożeń i incydentach.

Jak zapewnić harmonizację procesów w różnych obszarach CISO?

Thornewill von Essen: Robimy to za pomocą naszego Modelu Docelowego Bezpieczeństwa Informacji, którego pierwszą wersję opracowaliśmy w 2013 roku. W tym czasie poszczególne spółki Grupy Deutsche Post DHL miały jeszcze różne wytyczne dotyczące procesów, a także zakupu produktów IT oraz produktów związanych z bezpieczeństwem IT. Znormalizowaliśmy i całkowicie usystematyzowaliśmy to poprzez Model Docelowy Bezpieczeństwa Informacji - od polityki, poprzez nasze cele, aż po konkretne wytyczne, które chcemy zastosować, aby osiągnąć te cele.

Aktualizujemy go co sześć miesięcy. Następnie przechodzi on przez różne komitety i jest podpisywany przez CISO, CIO i zarząd. Co sześć miesięcy zmiany nie są tak duże, ale po trzech, czterech latach można już sporo osiągnąć.

W tym roku doszło do spektakularnych ataków na łańcuch dostaw oprogramowania, napędzanych przez luki w powszechnie stosowanych produktach oprogramowania dla przedsiębiorstw, takich jak Kaseya i SolarWinds. Co to oznacza dla zakupów oprogramowania w Pana firmie? Czy CISO angażuje się w te działania?

Thornewill von Essen: Ściśle współpracuję z naszym centralnym działem zakupów. Wspólnie stale rozwijamy nasz kodeks postępowania w zakresie bezpieczeństwa informacji, którego musi przestrzegać każdy dostawca. W przeszłości wysyłaliśmy dostawcom IT arkusze kalkulacyjne, które musieli wypełniać raz lub dwa razy do roku, ale teraz automatyzujemy to.

Potrzebujemy czegoś w rodzaju publicznego ratingu, abyśmy mogli lepiej ocenić dostawcę. Jeśli coś się wydarzy, wszyscy dowiadujemy się o tym szybko, a nie sześć miesięcy później, kiedy szkody zostały już wyrządzone.

Jak Grupa Deutsche Post DHL poradziła sobie w kwestii bezpieczeństwa IT po przeniesieniu wielu pracowników do pracy w domu w związku z pandemią?

Thornewill von Essen: Opanowaliśmy to całkiem dobrze. Kiedy pandemia wybuchła w marcu 2020 roku, wciąż używaliśmy Skype'a w siedzibie firmy, więc było kilka wąskich gardeł. Jednak poradziliśmy sobie z tym pragmatycznie, tymczasowo wyłączając funkcję wideo i komunikując się tylko na ścieżce audio, aby infrastruktura sieciowa mogła poradzić sobie z obciążeniem.

Wyposażyliśmy wszystkie laptopy i komputery stacjonarne przeznaczone do użytku w home office w szyfrowanie, a także wydaliśmy pewne wytyczne dla pracowników na home office: nie wolno na przykład podłączać prywatnych urządzeń do sieci firmowej. Ogólnie rzecz biorąc, poszło stosunkowo dobrze. Oczywiście zawsze trzeba podkreślać, jak mają się zachowywać pracownicy.

Co według Pana będzie największym wyzwaniem w dziedzinie bezpieczeństwa IT w ciągu najbliższych dwóch, trzech lat?

Thornewill von Essen: Ryzyko tkwi w wielu różnych wymaganiach, jakie stawiają nam klienci, a zwłaszcza w łańcuchu dostaw. Dotyczy to z jednej strony naszych dostawców IT, ale przede wszystkim wszystkich dostawców i partnerów, z którymi współpracujemy.

Kolejną kwestią związaną z bezpieczeństwem jest rosnąca gotowość firm do otwierania swoich systemów. Jeśli masz lukę w zabezpieczeniach, rozprzestrzenia się ona coraz szybciej wśród atakujących. Druga strona nie zauważa od razu, czy certyfikat wygasa, czy konfiguracja SSL nie jest optymalnie ustawiona, ale to się zmienia. Musisz nauczyć się reagować tak szybko, jak to możliwe.

Artykuł pochodzi z CSO Deutschland

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200