Mimo, że na temat bezpieczeństwa IT wiemy już wiele, a, co ważniejsze, wiemy jak się zabezpieczać, to nadal wiele firm traktuje potencjalne zagrożenia jako nieprawdopodobne i nie widzi potrzeby rozciągnięcia szerokiej ochrony nad swoimi zasobami cybernetycznymi. Dlaczego tak się dzieje? W jaki sposób można uświadomić osoby zarządzające, że inwestycja w cyberbezpieczeństwo jest niezaprzeczalnie konieczna? O tym rozmawiam z Marcinem Grygą oraz Arturem Bialikiem z Net-o-logy.
Przemysław Kucharzewski: Jakie są największe bolączki i zaniedbania polskich firm w zakresie cyberbezpieczeństwa?
Marcin Gryga, Architekt Bezpieczeństwa IT: Często podczas spotkań z naszymi klientami zauważam stale powtarzający się schemat w wielu działach IT. Zazwyczaj firmy dosyć dobrze radzą sobie w zakresie tradycyjnego IT, mają odpowiednio wyszkolonych administratorów, programistów czy osoby zajmujące się helpdeskiem. Jednak kiedy zaczynamy rozmawiać o szeroko pojętym bezpieczeństwie, to sprawa wygląda zupełnie inaczej. Największą bolączką rodzimych firm jest brak odpowiednio wyszkolonych ludzi, co jest często powiązane z problemami budżetowymi w wieli organizacjach. Mamy tutaj do czynienia z błędnym kołem, ponieważ firmy wymagają od swoich pracowników zapewnienia odpowiedniej ochrony bez zapewnienia dostępu do wiedzy o aktualnych zagrożeniach (brak szkoleń), jednocześnie tnąc budżety na rozwiązania bezpieczeństwa. Prowadzi to do nie tylko braków kadrowych (brak odpowiednio wyszkolonych ludzi z zakresu cyberbezpieczeństwa), ale również do braku kluczowych systemów, które wspomogłyby pracowników w codziennych działaniach. Musimy pamiętać, iż nadal najbardziej skuteczną metodą ataku na organizację jest email oraz strony www, a większość organizacji posiada jedynie bardzo podstawowe systemy chroniące te dwa wektory ataku. W naszym kraju wciąż mamy problem z wydawaniem pieniędzy na rozwiązania umożliwiające ochronę w poszczególnych obszarach, w myśl zasady – przecież nic się do tej pory nie stało. Pozostaje otwarte pytanie: jak firmy są przygotowane na potencjalny atak? Niestety, ale z mojej perspektywy sytuacja nie wygląda najlepiej.
Artur Bialik, Menedżer ds. Bezpieczeństwa IT, Netology: Największą bolączką jest klasyczne podejście większości pracowników do kwestii cyberbezpieczeństwa. Tak, jesteśmy może świadomi, że w sieci czyha mnóstwo zagrożeń, tyle, że nie dotyczą one stricte nas. To wszystko może się wydarzyć, ale w firmie kolegi.
PK: Czy uważasz, że zagrożenia bezpieczeństwa wynikające ze świadomych albo nieświadomych działań użytkowników są największe?
MG: Zdecydowanie tak. W tej kwestii niewiele się zmieniło i to użytkownik końcowy jest najlepszym celem ataku. Dlaczego? Powód jest dosyć oczywisty – jesteśmy tylko ludźmi, którzy popełniają błędy. Dobrze przygotowana kampania phishingowa jest bardzo trudna do zauważenia przez osobę, która nie ma doświadczenia w obszarze cyberbezpieczeństwa. Dlatego ataki typu ransomware wciąż są dosyć częste i skuteczne. W mojej ocenie, firmy powinny położyć większy nacisk na szkolenia pracownicze. Regularne szkolenia „End User Security Awareness” powinny być normą, ale niestety tak nie jest. Pamiętajmy, że stosowanie technologicznych środków ochrony jest tylko częścią całego programu, a tak naprawdę użytkownik końcowy powinien znajdować się w centrum takiego programu.
AB: Większość zagrożeń wynika z działań nieświadomych użytkowników. Oczywiście żerują na tym rosnący w siłę cyberprzestępcy. Jednak uważam, że tylko niewielki procent użytkowników świadomie chciałby w ten sposób zaszkodzić swojej firmie.
PK: W jaki sposób organizacja jest w stanie zapewnić bezpieczeństwo kluczowych systemów IT i samych urządzeń końcowych?
MG: Jest to niezwykle interesujący temat i zarazem dosyć obszerny. Wiele organizacji stosuje np. normę ISO27001 jako potwierdzenie spełniania wymagań w zakresie bezpieczeństwa informacji. W wielu firmach spotykam się jednak z sytuacją, że klient nie chce wdrażać pełnej normy i w takim wypadku zalecam implementację CIS Top20 lub NIST CSF. Uruchomienie kilku podstawowych regulacji znacząco niweluje potencjalną powierzchnię ataku na przedsiębiorstwo. Nasze firmy w bardzo wielu przypadkach mają problem z najbardziej podstawowymi sprawami takimi jak np. inwentaryzacja urządzeń podłączonych do sieci i często nie są w stanie wskazać, z jakiego oprogramowania korzystają pracownicy. Dlatego na początek zalecam wykonanie kilku kroków, do których należą: inwentaryzacja systemów działających w sieci, inwentaryzacja oprogramowania, uruchomienie procesów związanych ze skanowaniem podatności i ich naprawianiem, utwardzeniem tam, gdzie to możliwe systemów operacyjnych i ich konfiguracji oraz wdrożenie systemu do zbierania logów. Te działania to świetna baza do dalszych prac nad implementacją bardziej zaawansowanych systemów, które docelowo pozwolą na zbudowanie Security Operation Center w firmie. Proces ten jest długofalowy i zazwyczaj może potrwać nawet do 2 lat. Pamiętajmy, że uruchamianie kolejnych systemów (np. do ochrony analizy stacji końcowych – Endpoint Detection & Response) niesie za sobą konieczność zapewnienia odpowiednich zasobów ludzkich oraz ich przeszkolenia w tym zakresie.
AB: Budowanie świadomości wśród wszystkich pracowników bez wyjątku: od nocnego stróża po prezesa. Notabene, ten drugi często lubi być wyłączony z reguł bezpieczeństwa w swojej organizacji, przez co stanowi łatwy (i łakomy) cel ataku. Generalnie, lepiej mieć 10 fałszywych alarmów niż jedno włamanie. Dodatkowo szkolenia, pozorowane ataki aż do znudzenia tak, by przestrzeganie reguł bezpieczeństwa stało się rutyną dla wszystkich pracowników
PK: Czy polskie firmy oszczędzają na bezpieczeństwie IT?
MG: Na tak postawione pytanie można odpowiedzieć w różny sposób. Najprościej uciec do popularnego “to zależy”, bo zmiennych jest bardzo dużo. Tam, gdzie stosowane są odpowiednie dyrektywy lub normy, sytuacja wygląda zdecydowanie lepiej aniżeli w pozostałej grupie przedsiębiorstw. Świetnym i pozytywnym przykładem jest tutaj sektor finansowy oraz bankowy. Po drugiej stronie mamy np. sektor produkcyjny, gdzie cały czas IT postrzegane jest tylko i wyłącznie jako koszt prowadzenia biznesu, a nie partner chroniący organizację i zapewniający jej ciągłość działania. Wydaje mi się, że oszczędności, o których już wspominałem, wynikają z braku świadomości zagrożeń i ich skutków u osób odpowiedzialnych za zarządzanie przedsiębiorstwami.
AB: Tak, bardzo rzadko spotykam firmy, które decydują się np. na testy penetracyjne, pozorowane ataki z użyciem socjotechniki etc. Znam wiele całkiem sporych firm, gdzie bezpieczeństwo IT kończy się na antywirusie, w porywach urządzeniu klasy UTM.
PK: Jak oceniasz świadomość zagrożeń wśród zarządzających firmami w Polsce?
MG: Tutaj sytuacja nie wygląda najlepiej. Oczywiście wielu prezesów czy dyrektorów ma świadomość istnienia obszaru cyberbezpieczeństwa, natomiast wciąż u wielu z nich występuje przeświadczenie, że skoro nic się do tej pory nie stało, to problem realnie w ich organizacji nie istnieje. Wielokrotnie spotkałem osoby na stanowiskach kierowniczych lub dyrektorskich, które mają problem z przebiciem się do poziomu zarządu w sprawie świadomości o zagrożeniach. Dlaczego tak jest? Być może dlatego, że wciąż IT jest u nas traktowane w większości firm jako koszt, który nie ma przełożenia na biznes organizacji.
AB: Świadomość ta oczywiście rośnie. Media branżowe błyskawicznie (i z lubością) informują o wpadkach największych graczy na rynku. Wówczas, gdy powiedzmy zarządzający małym bankiem spółdzielczym dowiaduje się o problemach kluczowych graczy ze swego segmentu, to często uświadamia sobie, że może być znacznie łatwiejszym celem dla cyberprzestępcy.
PK: W jaki sposób najłatwiej przekonać dyrektora finansowego, że nakłady na cyberbezpieczeństwo są niezbędne dla ciągłości działania organizacji?
MG: W Netology przeprowadzamy warsztaty dla działów IT, bezpieczeństwa oraz osób zarządzających, w ramach których weryfikujemy działające w organizacji procesy biznesowe. Procesy te są mapowane z zasobami IT, następnie analizujemy ryzyka powiązane z każdym z zasobów tak, aby wskazać jakie są zagrożenia dla poszczególnych procesów. Takie podejście pozwala na wyliczenie potencjalnych kosztów związanych z zatrzymaniem definiowanego procesu i jednocześnie umożliwia zaplanowanie systemów chroniących poszczególne obszary. Z doświadczenia mogę powiedzieć, że takie zadania są wysoko oceniane, ponieważ realnie wskazują potencjalne straty, jakie może ponieść organizacja. Często spotykam się z bardzo pozytywnym zdaniem na temat naszych działań ze strony osób odpowiedzialnych za finanse w przedsiębiorstwie. Niejednokrotnie mamy możliwość uświadomienia klientowi, że implementacja np. jednego systemu w zakresie cyberbezpieczeństwa wiążę się bezpośrednio z ochroną przed potencjalnymi stratami. Takie podejście, poprzez wskazanie potencjalnych braków w planach ciągłości działania, wydaje się sprawdzać w codziennej pracy z naszymi klientami.
AB: Dużą rolę spełniają audyty bezpieczeństwa. Tu coraz częściej działy IT widzą w firmach integratorskich partnera, którego głos wspomoże w uzyskaniu budżetu inwestycje w zakresie cyberbezpieczeństwa.
