Na rynku rzeczywiście nie brakuje narzędzi – mamy potężny arsenał rozwiązań do ochrony infrastruktury IT: od zaawansowanych firewalli, przez EDR-y, XDR-y, DLP, SIEM-y, SOC-as-a-Service, aż po AI wspomagającą analizę zagrożeń. Problemem jest brak ludzi – kompetentnych „żołnierzy”, którzy potrafią te narzędzia skonfigurować, obsługiwać, a przede wszystkim zinterpretować wyniki i reagować na incydenty. Jak uporać się z tym wyzwaniem?

Rafał Chomicz Nie da się zbudować sprawnego systemu (np. obronności, administracji czy infrastruktury IT), jeśli korzysta się z tysięcy różnych, nieskoordynowanych rozwiązań. Potrzebna jest standaryzacja. Dopóki będziemy mieli trzy tysiące różnych rozwiązań, nie zbudujemy efektywnego systemu ani nie zapewnimy odpowiedniego wsparcia dla żołnierzy. Nawet nasz rząd, choć posiada obecnie kilka typów czołgów – może trzy, może cztery – zatrzymał się na tej liczbie. I słusznie, bo nie chodzi o to, żeby mieć tysiące opcji, tylko kilka dobrze przetestowanych. Może to być niepopularne i rodzić podejrzenia o nieczyste intencje, ale uważam, że musimy postawić na kilka standardów, najlepiej trzy lub cztery, jasno określone, z konkretnymi producentami i rozwiązaniami. Takich, które będą weryfikowane i udoskonalane przez dwa, trzy lata, zanim staną się obowiązującymi. Zwróćcie uwagę, że żaden szpital nie kupi przypadkowego sprzętu medycznego. Są procedury, standardy, certyfikacje…

Krzysztof Gabrych W przypadku rozwiązań z zakresu cyberbezpieczeństwa powinniśmy mieć zestaw certyfikowanych, rekomendowanych produktów, podobnie jak robi to chociażby AOTMiT – organizacja, która dopuszcza i certyfikuje określone rozwiązania. To daje pewność, że technologie są sprawdzone i bezpieczne. Taka lista powinna być dostępna dla zamawiających, którzy mogliby wybierać z niej dowolne opcje – oczywiście z zachowaniem zasad Prawa Zamówień Publicznych (PZP), bo jeśli je ominiemy, skończy się to lawiną odwołań i spraw przed Krajową Izbą Odwoławczą (KIO).

Rafał Chomicz Jednak trzeba jasno powiedzieć, że obecny system PZP jest niedostosowany do realiów cyberbezpieczeństwa. W wielu przypadkach wręcz przeszkadza w skutecznym i szybkim działaniu. Z punktu widzenia obrony cyfrowej można go uznać niemal za wrogie narzędzie, ponieważ opóźnia, utrudnia, wymusza wybory niekoniecznie najlepsze pod kątem bezpieczeństwa. Potrzebujemy podejścia sektorowego, nie wolno nam wybierać rozwiązań w sposób przypadkowy. Jeśli jedynym kryterium będzie cena, to kupimy najtańszy produkt od najtańszego dostawcy i dostaniemy dokładnie to: najtańsze, a niekoniecznie skuteczne rozwiązanie. W cyberbezpieczeństwie to może oznaczać najgorszy możliwy wybór. Dlatego konieczny jest system certyfikacji – dobrze zaprojektowany, choć oczywiście wyzwaniem będzie objęcie nim tysięcy dostawców. Trzeba jednak od czegoś zacząć. Możemy zastosować prosty, neutralny mechanizm, na przykład zacząć od producentów w kolejności alfabetycznej albo od mniej znanych graczy, by uniknąć sporów o pierwszeństwo. Najważniejsze, by ktoś przejął odpowiedzialność i powiedział: „Tak, robimy to, wdrażamy standaryzację”. Na rynku pojawiło się wiele rozwiązań z zakresu cyberbezpieczeństwa, których nikt nie zweryfikował – ani przez tryb PZP, ani przez żadne mechanizmy certyfikacyjne. Część z tych produktów – jak się okazuje – komunikuje się z serwerami z tak zwanej „wielkiej czwórki zagrożeń”: Rosji, Chin, Korei Północnej i Iranu. To realne ryzyko, a mimo to wiele instytucji, często nieświadomie, sięga po takie produkty tylko dlatego, że są tańsze, czasem nawet o 70–90 procent. Szczególnie niebezpieczne są rozwiązania typu SaaS, które dzięki ogólnodostępnym API i danym crowdsource’owanym – przykładowo z baz takich jak Wireless Total – pozwalają bardzo szybko stworzyć pozornie atrakcyjny produkt i podłączyć się do dziesiątek źródeł danych. Teoretycznie każdy może dziś zbudować swój SOC w modelu SaaS. Problem w tym, że część z tych danych potem trafia na Dark Web. Takie incydenty już miały miejsce – co pokazuje, jak bardzo ryzykowne są niecertyfikowane rozwiązania, tworzone bez żadnych norm, kontroli i odpowiedzialności. Dlatego zgadzam się: potrzebny jest system certyfikacji, który ograniczy dzisiejszy chaos. Z tysięcy dostępnych produktów należy wyodrębnić konkretne grupy rozwiązań, spełniających wymogi bezpieczeństwa. Następnie musimy pójść dalej i określić referencyjne architektury systemów bezpieczeństwa. W Polsce mamy ogromną wiedzę techniczną i świetnych programistów. Problem w tym, że każdy specjalizuje się w wycinku, a brakuje całościowego podejścia. Potrzebujemy jasno opisanych, spójnych architektur bezpieczeństwa – tylko wtedy zbudujemy rzeczywiście bezpieczny i kontrolowany ekosystem IT.

Katarzyna Chojecka Rozmawiamy na ten temat nie tylko we własnym gronie, ale także bezpośrednio z innymi firmami w ramach spotkań branżowych. Odbywamy też rozmowy z organami administracji rządowej – i wszędzie pojawiają się te same wnioski. Wiedza o tym, co należałoby poprawić, już istnieje. Problemem nie jest brak świadomości – problemem są bariery systemowe i obawy, że poważne zmiany, czy eksperymenty mogłyby naruszyć obecny porządek i wywołać efekt domina w obszarze zamówień publicznych czy certyfikacji. Na takie problemy należy patrzeć również z dużym zrozumieniem, bo nasza branża jest bardzo złożona i stosunkowo nowa dla wielu przedstawicieli administracji. Naszą rolą jako sektora prywatnego jest wspierać urzędników również merytorycznie.

Paweł Kopańczuk Chciałbym odnieść się do jednego z kluczowych, a często pomijanych zagadnień, czyli umiejętności kupowania usług. To temat bardzo bliski rzeczywistości, z którą mamy do czynienia, szczególnie w przypadku mniejszych jednostek samorządu terytorialnego. Często obserwujemy, że tacy klienci kupują rozwiązanie „z uruchomieniem”, czyli od razu z usługą wdrożeniową. Problem polega na tym, że te wdrożenia są często niepełne lub niewłaściwe – brakuje wiedzy na temat dobrych praktyk, nowoczesnych i skalowalnych architektur. W tych instytucjach po prostu nie ma architektów IT, bo trudno oczekiwać, by byli dostępni w małych samorządach. To realny problem. Co istotne, nie oznacza to braku chęci do nauki. Wręcz przeciwnie, widzimy bardzo duże zainteresowanie warsztatami edukacyjnymi, na przykład typu „threat hunting”. Uczestniczy w nich wiele osób, co potwierdza, jak duże jest zapotrzebowanie na wiedzę. Wracając do samego procesu zakupowego, niezależnie od tego, czy usługa jest sprzedawana razem z rozwiązaniem czy osobno, ważne jest, aby samorządy umiały nie tylko ją zamówić, ale również odebrać we właściwy sposób. Na końcu bowiem ktoś w tej instytucji musi umieć ocenić, czy wdrożenie zostało wykonane prawidłowo. I tu dochodzimy do kluczowego problemu: oprócz samych rozwiązań technologicznych – ważne jest, kto je wdraża. Może to być partner, może to być wewnętrzny pracownik – ale musi to być ktoś kompetentny. W tym kontekście warto zauważyć, że obecnie brakuje oficjalnych rekomendacji, jak powinno wyglądać prawidłowe wdrożenie w instytucji publicznej. Taką pierwszą próbą stworzenia spójnych wytycznych był program dla szpitali, którego celem było podniesienie poziomu cyberbezpieczeństwa. W jego drugim etapie pojawiły się już konkretne wymagania dotyczące sekwencyjnego wdrażania elementów ochronnych – audyt, firewall, ochrona poczty, zabezpieczenia końcówek. Nie można już było wdrażać czegokolwiek, zgodnie z pomysłami lokalnych informatyków czy kupujących. Trzeba było mieć plan, politykę bezpieczeństwa i zgodnie z nią realizować kolejne etapy wdrożenia. W tym przypadku sekwencyjność wymusił NFZ, co było krokiem w dobrym kierunku.

Jerzy Trzepla Mam wrażenie, że osiągnęliśmy pewną zgodność co do tego, iż potrzebne są jasne wskazówki, rekomendacje oraz koordynacja działań w obszarze bezpieczeństwa. Jednocześnie obawiam się, że jeśli pójdziemy za bardzo w stronę sztywnych certyfikacji, może to skutkować nadmiernym sformalizowaniem i specyfikacją wymagań dotyczących ochrony, co z kolei ograniczy elastyczność konieczną do szybkiego reagowania na dynamiczne zmiany w otoczeniu technologicznym. Kilka razy przewijał się w naszej rozmowie temat AI, które jest obecnie odmieniane na różne sposoby. W dzisiejszych czasach kreatywne wykorzystanie sztucznej inteligencji może być ogromnym wsparciem dla nas wszystkich. Czy mamy bowiem „żołnierzy” do walki z cyberzagrożeniami? Okazuje się, że na poziomie podstawowym, czyli „żołnierzy liniowych”, ich nie mamy. Czasem trafiają się „oficerowie” i „podoficerowie”, ale brakuje szerokiego zaplecza wyszkolonych specjalistów. Wykorzystanie AI do uproszczenia zarządzania bezpieczeństwem to kierunek, w którym przede wszystkim powinniśmy podążać. Dzięki temu „żołnierze” będą mogli „zrzucić” proste czynności na AI i będą mogli mierzyć się z tym, co jest faktycznie wymagające intelektualnie.