Mimo, ?e na temat bezpiecze?stwa IT wiemy ju? wiele, a, co wa?niejsze, wiemy jak si? zabezpiecza?, to nadal wiele firm traktuje potencjalne zagro?enia jako nieprawdopodobne i nie widzi potrzeby rozci?gni?cia szerokiej ochrony nad swoimi zasobami cybernetycznymi. Dlaczego tak si? dzieje? W jaki sposób mo?na u?wiadomi? osoby zarz?dzaj?ce, ?e inwestycja w cyberbezpiecze?stwo jest niezaprzeczalnie konieczna? O tym rozmawiam z Marcinem Gryg? oraz Arturem Bialikiem z Net-o-logy.
Przemys?aw Kucharzewski: Jakie s? najwi?ksze bol?czki i zaniedbania polskich firm w zakresie cyberbezpiecze?stwa?
Marcin Gryga, Architekt Bezpiecze?stwa IT: Cz?sto podczas spotka? z naszymi klientami zauwa?am stale powtarzaj?cy si? schemat w wielu dzia?ach IT. Zazwyczaj firmy dosy? dobrze radz? sobie w zakresie tradycyjnego IT, maj? odpowiednio wyszkolonych administratorów, programistów czy osoby zajmuj?ce si? helpdeskiem. Jednak kiedy zaczynamy rozmawia? o szeroko poj?tym bezpiecze?stwie, to sprawa wygl?da zupe?nie inaczej. Najwi?ksz? bol?czk? rodzimych firm jest brak odpowiednio wyszkolonych ludzi, co jest cz?sto powi?zane z problemami bud?etowymi w wieli organizacjach. Mamy tutaj do czynienia z b??dnym ko?em, poniewa? firmy wymagaj? od swoich pracowników zapewnienia odpowiedniej ochrony bez zapewnienia dost?pu do wiedzy o aktualnych zagro?eniach (brak szkole?), jednocze?nie tn?c bud?ety na rozwi?zania bezpiecze?stwa. Prowadzi to do nie tylko braków kadrowych (brak odpowiednio wyszkolonych ludzi z zakresu cyberbezpiecze?stwa), ale równie? do braku kluczowych systemów, które wspomog?yby pracowników w codziennych dzia?aniach. Musimy pami?ta?, i? nadal najbardziej skuteczn? metod? ataku na organizacj? jest email oraz strony www, a wi?kszo?? organizacji posiada jedynie bardzo podstawowe systemy chroni?ce te dwa wektory ataku. W naszym kraju wci?? mamy problem z wydawaniem pieni?dzy na rozwi?zania umo?liwiaj?ce ochron? w poszczególnych obszarach, w my?l zasady – przecie? nic si? do tej pory nie sta?o. Pozostaje otwarte pytanie: jak firmy s? przygotowane na potencjalny atak? Niestety, ale z mojej perspektywy sytuacja nie wygl?da najlepiej.
Artur Bialik, Mened?er ds. Bezpiecze?stwa IT, Netology: Najwi?ksz? bol?czk? jest klasyczne podej?cie wi?kszo?ci pracowników do kwestii cyberbezpiecze?stwa. Tak, jeste?my mo?e ?wiadomi, ?e w sieci czyha mnóstwo zagro?e?, tyle, ?e nie dotycz? one stricte nas. To wszystko mo?e si? wydarzy?, ale w firmie kolegi.
PK: Czy uwa?asz, ?e zagro?enia bezpiecze?stwa wynikaj?ce ze ?wiadomych albo nie?wiadomych dzia?a? u?ytkowników s? najwi?ksze?
MG: Zdecydowanie tak. W tej kwestii niewiele si? zmieni?o i to u?ytkownik ko?cowy jest najlepszym celem ataku. Dlaczego? Powód jest dosy? oczywisty – jeste?my tylko lud?mi, którzy pope?niaj? b??dy. Dobrze przygotowana kampania phishingowa jest bardzo trudna do zauwa?enia przez osob?, która nie ma do?wiadczenia w obszarze cyberbezpiecze?stwa. Dlatego ataki typu ransomware wci?? s? dosy? cz?ste i skuteczne. W mojej ocenie, firmy powinny po?o?y? wi?kszy nacisk na szkolenia pracownicze. Regularne szkolenia „End User Security Awareness” powinny by? norm?, ale niestety tak nie jest. Pami?tajmy, ?e stosowanie technologicznych ?rodków ochrony jest tylko cz??ci? ca?ego programu, a tak naprawd? u?ytkownik ko?cowy powinien znajdowa? si? w centrum takiego programu.
AB: Wi?kszo?? zagro?e? wynika z dzia?a? nie?wiadomych u?ytkowników. Oczywi?cie ?eruj? na tym rosn?cy w si?? cyberprzest?pcy. Jednak uwa?am, ?e tylko niewielki procent u?ytkowników ?wiadomie chcia?by w ten sposób zaszkodzi? swojej firmie.
PK: W jaki sposób organizacja jest w stanie zapewni? bezpiecze?stwo kluczowych systemów IT i samych urz?dze? ko?cowych?
MG: Jest to niezwykle interesuj?cy temat i zarazem dosy? obszerny. Wiele organizacji stosuje np. norm? ISO27001 jako potwierdzenie spe?niania wymaga? w zakresie bezpiecze?stwa informacji. W wielu firmach spotykam si? jednak z sytuacj?, ?e klient nie chce wdra?a? pe?nej normy i w takim wypadku zalecam implementacj? CIS Top20 lub NIST CSF. Uruchomienie kilku podstawowych regulacji znacz?co niweluje potencjaln? powierzchni? ataku na przedsi?biorstwo. Nasze firmy w bardzo wielu przypadkach maj? problem z najbardziej podstawowymi sprawami takimi jak np. inwentaryzacja urz?dze? pod??czonych do sieci i cz?sto nie s? w stanie wskaza?, z jakiego oprogramowania korzystaj? pracownicy. Dlatego na pocz?tek zalecam wykonanie kilku kroków, do których nale??: inwentaryzacja systemów dzia?aj?cych w sieci, inwentaryzacja oprogramowania, uruchomienie procesów zwi?zanych ze skanowaniem podatno?ci i ich naprawianiem, utwardzeniem tam, gdzie to mo?liwe systemów operacyjnych i ich konfiguracji oraz wdro?enie systemu do zbierania logów. Te dzia?ania to ?wietna baza do dalszych prac nad implementacj? bardziej zaawansowanych systemów, które docelowo pozwol? na zbudowanie Security Operation Center w firmie. Proces ten jest d?ugofalowy i zazwyczaj mo?e potrwa? nawet do 2 lat. Pami?tajmy, ?e uruchamianie kolejnych systemów (np. do ochrony analizy stacji ko?cowych – Endpoint Detection & Response) niesie za sob? konieczno?? zapewnienia odpowiednich zasobów ludzkich oraz ich przeszkolenia w tym zakresie.
AB: Budowanie ?wiadomo?ci w?ród wszystkich pracowników bez wyj?tku: od nocnego stró?a po prezesa. Notabene, ten drugi cz?sto lubi by? wy??czony z regu? bezpiecze?stwa w swojej organizacji, przez co stanowi ?atwy (i ?akomy) cel ataku. Generalnie, lepiej mie? 10 fa?szywych alarmów ni? jedno w?amanie. Dodatkowo szkolenia, pozorowane ataki a? do znudzenia tak, by przestrzeganie regu? bezpiecze?stwa sta?o si? rutyn? dla wszystkich pracowników
PK: Czy polskie firmy oszcz?dzaj? na bezpiecze?stwie IT?
MG: Na tak postawione pytanie mo?na odpowiedzie? w ró?ny sposób. Najpro?ciej uciec do popularnego “to zale?y”, bo zmiennych jest bardzo du?o. Tam, gdzie stosowane s? odpowiednie dyrektywy lub normy, sytuacja wygl?da zdecydowanie lepiej ani?eli w pozosta?ej grupie przedsi?biorstw. ?wietnym i pozytywnym przyk?adem jest tutaj sektor finansowy oraz bankowy. Po drugiej stronie mamy np. sektor produkcyjny, gdzie ca?y czas IT postrzegane jest tylko i wy??cznie jako koszt prowadzenia biznesu, a nie partner chroni?cy organizacj? i zapewniaj?cy jej ci?g?o?? dzia?ania. Wydaje mi si?, ?e oszcz?dno?ci, o których ju? wspomina?em, wynikaj? z braku ?wiadomo?ci zagro?e? i ich skutków u osób odpowiedzialnych za zarz?dzanie przedsi?biorstwami.
AB: Tak, bardzo rzadko spotykam firmy, które decyduj? si? np. na testy penetracyjne, pozorowane ataki z u?yciem socjotechniki etc. Znam wiele ca?kiem sporych firm, gdzie bezpiecze?stwo IT ko?czy si? na antywirusie, w porywach urz?dzeniu klasy UTM.
PK: Jak oceniasz ?wiadomo?? zagro?e? w?ród zarz?dzaj?cych firmami w Polsce?
MG: Tutaj sytuacja nie wygl?da najlepiej. Oczywi?cie wielu prezesów czy dyrektorów ma ?wiadomo?? istnienia obszaru cyberbezpiecze?stwa, natomiast wci?? u wielu z nich wyst?puje prze?wiadczenie, ?e skoro nic si? do tej pory nie sta?o, to problem realnie w ich organizacji nie istnieje. Wielokrotnie spotka?em osoby na stanowiskach kierowniczych lub dyrektorskich, które maj? problem z przebiciem si? do poziomu zarz?du w sprawie ?wiadomo?ci o zagro?eniach. Dlaczego tak jest? By? mo?e dlatego, ?e wci?? IT jest u nas traktowane w wi?kszo?ci firm jako koszt, który nie ma prze?o?enia na biznes organizacji.
AB: ?wiadomo?? ta oczywi?cie ro?nie. Media bran?owe b?yskawicznie (i z lubo?ci?) informuj? o wpadkach najwi?kszych graczy na rynku. Wówczas, gdy powiedzmy zarz?dzaj?cy ma?ym bankiem spó?dzielczym dowiaduje si? o problemach kluczowych graczy ze swego segmentu, to cz?sto u?wiadamia sobie, ?e mo?e by? znacznie ?atwiejszym celem dla cyberprzest?pcy.
PK: W jaki sposób naj?atwiej przekona? dyrektora finansowego, ?e nak?ady na cyberbezpiecze?stwo s? niezb?dne dla ci?g?o?ci dzia?ania organizacji?
MG: W Netology przeprowadzamy warsztaty dla dzia?ów IT, bezpiecze?stwa oraz osób zarz?dzaj?cych, w ramach których weryfikujemy dzia?aj?ce w organizacji procesy biznesowe. Procesy te s? mapowane z zasobami IT, nast?pnie analizujemy ryzyka powi?zane z ka?dym z zasobów tak, aby wskaza? jakie s? zagro?enia dla poszczególnych procesów. Takie podej?cie pozwala na wyliczenie potencjalnych kosztów zwi?zanych z zatrzymaniem definiowanego procesu i jednocze?nie umo?liwia zaplanowanie systemów chroni?cych poszczególne obszary. Z do?wiadczenia mog? powiedzie?, ?e takie zadania s? wysoko oceniane, poniewa? realnie wskazuj? potencjalne straty, jakie mo?e ponie?? organizacja. Cz?sto spotykam si? z bardzo pozytywnym zdaniem na temat naszych dzia?a? ze strony osób odpowiedzialnych za finanse w przedsi?biorstwie. Niejednokrotnie mamy mo?liwo?? u?wiadomienia klientowi, ?e implementacja np. jednego systemu w zakresie cyberbezpiecze?stwa wi??? si? bezpo?rednio z ochron? przed potencjalnymi stratami. Takie podej?cie, poprzez wskazanie potencjalnych braków w planach ci?g?o?ci dzia?ania, wydaje si? sprawdza? w codziennej pracy z naszymi klientami.
AB: Du?? rol? spe?niaj? audyty bezpiecze?stwa. Tu coraz cz??ciej dzia?y IT widz? w firmach integratorskich partnera, którego g?os wspomo?e w uzyskaniu bud?etu inwestycje w zakresie cyberbezpiecze?stwa.
