Jak pokroiliśmy to na kawałki

I właśnie ta moja frustracja doprowadziła nas do pomysłu, którego realizacja zajęła kolejne kilkanaście miesięcy. Skoro technologia jest droga głównie dlatego, że klasyczny model zakłada budowę całej infrastruktury od zera u każdego klienta – to może dałoby się ją pokroić na mniejsze kawałki i udostępnić w modelu abonamentowym? Tak powstał Cyfrowy Bunkier w Chmurze prywatnej Engave, który, o ile wiem, jest pierwszym rozwiązaniem w Polsce realnie zmieniającym ekonomikę ochrony danych dla firm spoza pierwszej ligi.

Różnica w liczbach jest na tyle drastyczna, że warto ją przytoczyć. Żeby zbudować sobie Bunkier „po bożemu”, trzeba wyłożyć na starcie minimum dwa i pół miliona złotych. Plus około piętnastu tysięcy miesięcznie na utrzymanie. Plus zespół. Plus wdrożenie trwające od trzech do sześciu miesięcy.

W modelu chmurowym, dla tej samej firmy z pięcioma terabajtami danych produkcyjnych, abonament startuje w okolicach pięciu tysięcy złotych miesięcznie, wchodzi się bez poważnej inwestycji początkowej, a wdrożenie zajmuje dwa do czterech tygodni. Nie potrzeba własnych specjalistów, nie kupuje się sprzętu, nie martwi się modernizacjami co pięć lat.

Od strony biznesowej jest to zupełnie inna rozmowa – dotąd klient miał wybór między „nie stać mnie na to” a „kupuję sobie data center”. Teraz jest trzecia opcja: płaci abonament jak za każdy inny system w firmie, dostaje ochronę tej samej klasy, co ma ZUS, i ma to gotowe w około miesiąc. Dla dyrektora finansowego, który wolał nie zbliżać się do tematu dużych inwestycji w bezpieczeństwo, to zmiana wręcz komfortowa – nie ma już o czym dyskutować z zarządem, bo nie ma o czym dyskutować.

Na czym polega różnica

Znam sporo rozwiązań reklamowanych jako bunkier, które w praktyce okazują się zwykłym backupem z lepszym marketingiem. Dlatego od początku zależało nam na tym, żeby Cyfrowy Bunkier robił kilka rzeczy, których w zwykłym backupie po prostu nie ma.

Każda kopia danych jest skanowana w izolowanym środowisku, zanim zostanie oznaczona jako bezpieczna. Dzięki temu w momencie odtworzenia nie przywraca się wersji, która już jest zainfekowana – a jest to, nawiasem mówiąc, dość powszechny problem przy zwykłym backupie, o którym mało kto chce mówić głośno. Do tego pracuje u nas silnik analityczny, który po paru cyklach uczy się, jak wygląda „normalność” danej firmy, i wyłapuje anomalie, których nie ma jeszcze w żadnej bazie sygnatur. Potrafi więc zareagować na nowe zagrożenie, zanim ktokolwiek w ogóle je opisze. To ważne, bo twórcy ransomware’u też nie próżnują i co chwila wypuszczają coś, na co klasyczne antywirusy mają czas reakcji liczony w tygodniach.

I rzecz z punktu widzenia biznesu najważniejsza – odtworzenie po incydencie trwa godziny, a nie dni czy tygodnie. Różnica pomiędzy „wracamy do pracy po lunchu” a „stoimy tydzień i liczymy straty” to w małej firmie czasem różnica między przetrwaniem a bankructwem. W większej – między incydentem, o którym się zapomni za kwartał, a historią, która będzie żyła własnym życiem w branżowej prasie jeszcze długo po tym, jak problem zostanie już technicznie rozwiązany.

Dla kogo to jest

Pytanie „czy to dla mnie” ma dziś dość oczywistą odpowiedź: jeśli firma nie może sobie pozwolić na utratę danych i bezproduktywny przestój, to tak. Dotyczy to praktycznie każdego przedsiębiorstwa, w którym systemy informatyczne są krytyczne dla działania – a dziś są takie prawie wszystkie. Kancelaria prawna, która traci dostęp do akt klientów. Producent, którego linia stoi, bo ERP nie startuje. Szpital bez dostępu do historii pacjentów. Samorząd, który nie może obsłużyć obywateli. Dla każdej z tych organizacji utrata danych to nie tylko koszt finansowy, ale też reputacyjny, a ten wraca powoli albo nie wraca wcale.

Do tego dochodzi dyrektywa NIS 2 i cały zestaw regulacji, które sukcesywnie rozszerzają krąg podmiotów zobowiązanych do trzymania poziomu cyberbezpieczeństwa na poziomie dużo wyższym niż „mamy antywirusa i jakiś backup”. Tempo, w jakim regulator podnosi poprzeczkę, jest takie, że wiele firm obudzi się z tematem w sposób nagły i niemiły – najczęściej w okolicy pierwszej kontroli albo pierwszego audytu od ubezpieczyciela.

Szczególnie polecam przyjrzeć się temu rozwiązaniu w administracji publicznej, gdzie budżety na IT są z natury rzeczy ograniczone, a dane obywateli wymagają ochrony na poziomie, na który zwykle po prostu brakuje pieniędzy. Model abonamentowy rozwiązuje ten problem elegancko: płaci się przewidywalną kwotę co miesiąc, bez konieczności walki o kilka milionów w jednym roku budżetowym. A dla kogoś, kto kiedyś próbował przepchnąć taki wniosek inwestycyjny w strukturze publicznej, różnica między „podpiszmy umowę serwisową” a „wydajmy trzy miliony jednorazowo” jest różnicą między „zróbmy to w tym kwartale” a „porozmawiamy za dwa lata”.

Cyfrowy Bunkier o którym mowa, budowaliśmy w Engave najpierw dla ZUS-u, a potem w wersji chmurowej dla całej reszty. Mógłbym więc w tej sprawie uprzejmie milczeć i zapraszać klientów na spotkania ze slajdami. Nie milczę, bo przez prawie piętnaście lat słucham na tym rynku, że „pełna ochrona to rozwiązanie dla wybranych” – i serdecznie mam tego dość. Po tylu latach narzekania w tych samych felietonach na ten stan rzeczy chciałem go wreszcie zmienić, a nie tylko opisywać. Czy każdy potrzebuje akurat naszego Bunkra – zostawiam do rozstrzygnięcia czytelnikom. Czy każdy potrzebuje ochrony tej klasy – tu już nie mam wątpliwości.

Dowiedz się więcej – Cyfrowy Bunkier w Chmurze prywatnej Engave