Cyberbezpieczeństwo w branżach regulowanych

Przede wszystkim to wcale nie jest rynek, na którym klienci i integratorzy poruszają się tylko po ściśle wytyczonych drogach – według jednoznacznych przepisów, pozbawionych furtek, wątpliwości i pola do różnych interpretacji czy zaniechań. Podstawą są na nim rekomendacje, wytyczne i dobre praktyki, co do których klient powinien się zastosować, ale nie zawsze chce albo nie zawsze może. Zarówno dostawcy, jak i integratorzy potwierdzają jednak, że świadomość znaczenia ochrony wyraźnie wzrosła, a cyberbezpieczeństwo staje się standardem, do którego klienci dążą.

Jeśli chodzi o cyberbezpieczeństwo w branżach regulowanych, to Jakub Jagielak, dyrektor ds. rozwoju cyberbezpieczeństwa w Atende, wskazuje na dwa dokumenty. Pierwszym jest ustawa o krajowym systemie cyberbezpieczeństwa (KSC), której przepisy teoretycznie powinny być bezwzględnie stosowane przez podmioty nią objęte, ale nierzadko są traktowane na równi z dobrymi praktykami.

– Przepisy wymagają dopracowania, a wiele firm, które powinny być objęte regulacjami KSC, nie dostało decyzji stwierdzającej, że z punktu działania państwa świadczą tzw. usługi kluczowe. W rezultacie procedury nie nadążają za rzeczywistością i dokonującymi się zmianami – mówi Jakub Jagielak.

Autorem drugiego dokumentu jest Komisja Nadzoru Finansowego, który to organ nie ma mocy sprawczej na poziomie ustaw, więc wydaje rekomendacje. A te, z punktu widzenia sektora finansowego, są de facto dobrymi praktykami. Przyjęło się jednak, że banki traktują rekomendacje KNF jako wytyczne, wychodząc z założenia, że lepiej nie mieć później kłopotów z regulatorem.

– Dlatego szybciej wprowadzane są mechanizmy i zmiany sugerowane przez KNF niż wytyczne z ustawy o KSC. Jeśli jednak porównać oba dokumenty, to widać, że są one bardzo do siebie podobne. Twórcy ustawy o KSC w dużej mierze oparli się na rekomendacjach KNF, przenosząc je na obszar bardziej technologiczny – zauważa specjalista Atende.

Także Bartosz Dzirba, CTO w Passus SA, wskazuje na odnoszące się do Operatorów Usług Kluczowych (OUK) przepisy o zachowaniu ciągłości działania. Chociaż dotyczą znacznie szerszego obszaru, to bez wątpienia brak przygotowania i zaniechania w zakresie cyberbezpieczeństwa prędzej czy później przyczynią się do powstania zagrożeń skutkujących przerwaniem tej ciągłości. W rezultacie Ustawa o krajowym systemie cyberbezpieczeństwa może być dla integratorów ważnym argumentem sprzedażowym.

Regulacje unijne

W tym zakresie powstały dokumenty, takie jak dyrektywa NIS (z aktualizacją NIS 2), które są wdrażane na poziomie krajowym. Podmioty regulowane, których realnie dotyczą te przepisy, to sektory związane z bezpieczeństwem państwowym, energetycznym, szeroko rozumianymi finansami, zdrowiem, transportem itd. To zatem bardzo pokaźna lista przedsiębiorstw i instytucji. Drugą kategorią są dostawcy usług cyfrowych, do których w teorii również można by zaliczyć bardzo dużo firm. W praktyce chodzi jednak przede wszystkim o międzynarodowe koncerny, których zakres działania wiąże się z trzema rzeczami: dostawą platform internetowych, chmurą i wyszukiwarkami. Dlatego w tym drugim przypadku trudno spodziewać się wysypu polskich przedsiębiorstw.

– Oczywiście są też organizacje, które chcą i rozumieją potrzebę zabezpieczenia infrastruktury, bez względu na przepisy tworzone na poziomie krajowym czy unijnym. Wśród nich takie, które w ten sposób zamierzają uzyskać przewagę konkurencyjną – podkreśla Bartosz Dzirba.

Sprzedaż regulowana: ani łatwo, ani przyjemnie?

W teorii dbałość o cyberbezpieczeństwo powinna cechować każdego klienta z branży regulowanej, ale w praktyce nie zawsze tak bywa… „Do tej pory nic mi się nie stało. Szacuję, że ryzyko jest niewielkie i nic się nie zdarzy jeszcze przez długi czas. Odłożę więc wdrożenie systemu cyberbezpieczeństwa na później i zaoszczędzone pieniądze przeznaczę na coś innego…” – w ten sposób Jakub Jagielak przedstawia tok myślenia, który nie jest wcale spotykany tak rzadko, jak mogłoby się wydawać.

Nieważne, że odsuwanie w czasie wdrożenia ochrony może mieć poważne konsekwencje, chociażby w postaci olbrzymiej kary finansowej, którą nałoży regulator, gdy dojdzie do wycieku danych. A przecież nie mniejsze straty dotyczyć będą reputacji. Przykładowo, kancelaria prawna, w której doszło do wycieku poufnych danych, będzie się być może musiała zamknąć, bo żaden klient już nigdy jej nie zaufa.

Do wcale nierzadkiej beztroski może przyczyniać się to, że regulator daje obecnie zbyt duży margines w interpretowaniu przepisów. Przepisy sprowadzają się do tego, co należałoby zrobić i jakie procedury wprowadzić, ale nie precyzują, jak to powinno zostać zrealizowane. Przykładowo, jeśli zobowiązują do monitorowania logów, czyli aktywności urządzeń, to można to robić na wielu poziomach. A zatem zbierać i przeglądać ręcznie albo automatycznie łączyć, korelować i uzyskiwać informacje wskazujące na zaawansowane zagrożenia, które za chwilę doprowadzą do nieszczęścia.

– Weźmy wytyczną dotyczącą ochrony stacji końcowych. Z jednej strony może to być zainstalowanie antywirusa i poprzestanie na tym, z drugiej dodanie do niego innych, zaawansowanych mechanizmów, które znacznie podniosą poziom bezpieczeństwa – mówi Jakub Jagielak.

Monitorowanie logów jest co prawda tożsame z zastosowaniem takiego rozwiązania, jak SIEM-a (Security Information and Event Management), ale tylko i wyłącznie w środowisku specjalistów ds. bezpieczeństwa. Gdy potrzeba wdrożenia SIEM trafi na zarząd, to często będzie kwestionowana zasadność zakupu takiego systemu.

– Pojawią się wątpliwości, czy konieczne jest zastosowanie tak potężnego narzędzia, które w dodatku jest drogie. Dlatego wcale nierzadko, zamiast kupić zaawansowane rozwiązanie do monitorowania logów, klient ogranicza się tylko do podstawowej funkcjonalności zarządzania logami, co kosztuje bez porównania mniej, a wymóg regulatora zostaje spełniony – tłumaczy specjalista Atende.

I tego może nie zmienić nawet audyt, który wykaże konieczność zastosowania SIEM-a. Wciąż pozostaje bowiem furtka: w przypadku braku jakichś systemów, można wytłumaczyć regulatorowi, dlaczego do tej pory ich nie wdrożono i liczyć na to, że takie wyjaśnienie zostanie przyjęte. Można przy tym usprawiedliwić się ograniczonymi budżetami i przedstawić rozciągnięty w czasie plan wdrażania – krok po kroku. To dodatkowo da takiej firmie większe pole manewru w kontekście dalszych audytów.

Do takich sytuacji dochodzi rzadziej w sektorze finansowym (szczególnie bankowym), w którym sprzedaż security w dużym stopniu determinują rekomendacje KNF dotyczące stosowania rozwiązań mających zapewnić ochronę i bezpieczeństwo danych, zarówno on-premise, jak i w chmurze. Banki muszą brać pod uwagę wytyczne mówiące, jakiego rodzaju działania mogą czy wręcz powinny być podejmowane, a jakie nie.

– Na tę warstwę regulacji wprowadzonych przez KNF, nakłada się dodatkowy czynnik w postaci ogólnie bardzo wysokiego poziomu świadomości technologicznej oraz innowacyjności polskiego sektora finansowego, który jest jednym z wiodących pod tym względem w Europie, a nawet na świecie. To sprawia, że bardzo dobrze pracuje się z klientami z tej branży, a sam rynek jest w miarę stabilny – mówi Piotr Skirski, Regional Manager Public & Enterprise w Cisco.

Pandemia w jakimś sensie zachwiała tą stabilnością i wymusiła na bankach wprowadzenie dodatkowych rozwiązań bezpieczeństwa, które pozwoliły przenieść pracowników na pracę zdalną, przy jednoczesnym zachowaniu wszelkich procedur dla zabezpieczenia danych wrażliwych w środowisku domowego biura.

– Banki zaczęły inwestować w rozwiązania VPN, ochronę DNS czy dodatkowe bezpieczeństwo urządzeń końcowych. Popularność zyskują też rozwiązania analityczne zapewniające pełną widoczność aplikacji w infrastrukturze IT banku – twierdzi przedstawiciel Cisco.

Dobry rynek do rozwoju usług

Rozwój rynku IT i coraz częstsze incydenty stanowiły już wystarczające argumenty do zainteresowania się cyberbezpieczeństwem, ale przepisy realnie to jeszcze wzmocniły. Już samo RODO zmusiło do większego niż wcześniej inwestowania w cyberbezpieczeństwo, co nie oznacza jednak od razu zakupu konkretnych rozwiązań.

– Przepisy to głównie procedury, regularne audyty, zarządzanie ryzykiem, szkolenia, co nie przekłada się jeszcze na wdrożenie systemu „klasy X” – zauważa Bartosz Dzirba.

Dlatego regulacje bardziej napędzają sprzedaż firmom audytorskim czy firmom świadczącym outsourcing cyberbezpieczeństwa. Co ma swoją dobrą stronę, bo nawet świetnie wdrożone narzędzie nie zabezpieczy użytkownika, jeśli tzw. czynnik ludzki nie będzie odpowiednio wyedukowany.

– Często więc przy okazji projektów IT zajmujemy się nie tylko ich wsparciem, ale ciągłym utrzymaniem i analizą danych. Zdarzają się też usługi, w ramach których próbujemy świadomie ten „czynnik ludzki” przetestować. W ostatnim czasie obserwujemy duży wzrost zainteresowania systemami do automatycznego testowania podatności, choć nie zawsze wyniki są wykorzystywane do realnych działań i poprawy bezpieczeństwa – mówi CTO Passusa.

Jeśli chodzi o wdrożenia, to każdy przypadek powinien być traktowany indywidualnie, a system bezpieczeństwa szyty na miarę realnego ryzyka, oczekiwań, kosztów i możliwości zespołu ds. bezpieczeństwa w danej firmie. Jednak bywa, że dyrektorzy IT oczekują gotowych rozwiązań. Dlatego niektórzy producenci stworzyli „czarne skrzynki”, które są połączeniem wielu ich produktów z zakresu security i obejmują swoim działaniem możliwie szeroki obszar cyberbezpieczeństwa w organizacji.

– Jednak vendorów o bardzo szerokiej ofercie nie ma dużo, za to na rynku funkcjonuje wielu producentów mocno wyspecjalizowanych narzędzi. Dlatego to integratorzy podejmują się tworzenia takich „czarnych skrzynek”, aby rósł zarówno poziom realnej ochrony, jak i możliwości „odhaczania” kolejnych pozycji z listy audytora – twierdzi Bartosz Dzirba.

Regulacje wymagają dopracowania

Zdaniem Jakuba Jagielaka dwa najważniejsze dokumenty – ustawa o KSC i rekomendacje KNF – to wciąż za mało, jeśli chodzi o obszar cyberbezpieczeństwa w państwie. Problemem jest chociażby to, że wytyczne nie przekładają się na wiedzę, w jaki sposób budować system cyberbezpieczeństwa. Ma to zmienić nowelizacja ustawy o KSC, która powinna być niedługo przesłana do sejmu, więc jest szansa, że wkrótce wejdzie w życie.

– A to jest konieczne, ponieważ na wielu konferencjach podsumowywano efekty dotychczasowej ustawy i nie wypadało to dobrze. Ze wszystkich firm, które powinny być zaklasyfikowane jako kluczowe dla systemu cyberbezpieczeństwa, taki status ma dziś jakieś 40 procent – szacuje Jakub Jagielak.

Takie zaklasyfikowanie pociąga za sobą konieczność przeprowadzenia audytów i sporządzenia rekomendacji, które następnie zostaną wdrożone. Największe firmy, takie jak producenci i dystrybutorzy energii, od początku musiały stawiać sobie wysoko poprzeczkę, budując system cyberbezpieczeństwa. Dlatego były pod tym względem zgodne z oczekiwaniami regulatora jeszcze przed wejściem w życie ustawy. Gorzej z mniejszymi organizacjami i takimi sektorami, jak kanalizacja czy wodociągi – one mają sporo do nadrobienia. Dlatego branże regulowane to rynek, na którym pracy integratorom zajmującym się cyberbezpieczeństwem nie powinno zabraknąć jeszcze długo. Muszą być jednak przygotowani na szereg wyzwań i edukowanie rynku.

Zdaniem integratora