Polityka bezpieczeństwa nie może trafić do firmowego archiwum
Stworzenie skutecznego systemu ochrony elektronicznych danych powinno rozpocząć się… na papierze. Inwestycję należy zacząć dopiero po przeprowadzeniu skrupulatnej oceny, które zasoby i w jaki sposób powinny być chronione. Jednak, jak dowodzi praktyka, właśnie z tym pierwszym etapem firmy mają największy problem. Uczestnicy debaty z cyklu Okrągły Stół CRN Polska zgodnie twierdzą, że konsultacje w tym zakresie to ogromna szansa dla resellerów i integratorów.
Uczestnicy debaty: Michał Ceklarz, Security Account
Manager, Cisco, Michał Król, Security Group Manager, Veracomp, Sebastian
Krystyniecki, inżynier systemowy, Fortinet, Michał Mizgalski,
specjalista ds. bezpieczeństwa, Be-In, Franciszek Musiel, konsultant
techniczny, Cloudware Polska i Jakub Sieńko, dyrektor handlowy,
ed&r Polska.
Bezpieczeństwo
priorytetem?
CRN Znakomita większość
przedsiębiorstw podkreśla, że bezpieczeństwo związane z różnymi obszarami
IT jest dla nich kwestią priorytetową. Czy w praktyce rzeczywiście polskie
firmy traktują to zagadnienie bardzo poważnie?
Michał
Mizgalski, Be-In Niestety, jako
przedstawiciel firmy, która w polskich przedsiębiorstwach
i placówkach państwowych dokonuje wielu audytów rocznie, mogę powiedzieć,
że w tym zakresie nie jest dobrze. Kwestie bezpieczeństwa poruszane są
najczęściej tylko teoretycznie, a konkretne działania podejmowane są dopiero
wtedy, gdy wydarzy się jakiś poważny incydent. To przykre, że budowanie
świadomości w tym zakresie odbywa się najczęściej przez czynnik
zewnętrzny. Dotyczy to nawet placówek, które objęte są rygorystycznymi zapisami
prawnymi w zakresie bezpieczeństwa. Dowodem jest fakt, że tylko
w sferze samorządowej w 2015 r. „ukradziono” przelewy warte
ponad 10 mln zł. Gdyby istniały odpowiednie procedury,
a pracownicy byli właściwie przeszkoleni, do czegoś takiego by nie doszło.
Michał
Król, Veracomp W pewnym stopniu ta świadomość istnieje, bo
w przeciwnym razie firmy nie zorientowałyby się, że miał miejsce jakiś
incydent. Natomiast, rzeczywiście, przedsiębiorstwa nie przejmują się zbytnio
ochroną swych zasobów do chwili, gdy wydarzy się coś niedobrego. Z reguły
nie mają też planów działania w takiej sytuacji, nie wspominając
o dokumencie określającym politykę bezpieczeństwa.
Franciszek
Musiel, Cloudware Zainteresowanie
klientów kwestiami ochrony szybko rośnie, gdy ma miejsce jakieś medialne
wydarzenie, np. spektakularne włamanie lub wyciek danych. Wówczas zaczynają się
zastanawiać, czy posiadany przez nie antywirus to przypadkiem nie jest zbyt mało. Nawet mniejsze firmy,
świadome, że nie stać ich na duże systemy ochronne, zaczynają rozważać, jak
można w jakiś kompromisowy sposób poprawić poziom bezpieczeństwa.
Niestety, to wszystko dzieje się zbyt wolno.
Michał
Ceklarz, Cisco
Duży wpływ na tę, rzeczywiście niekorzystną sytuację ma też to, że
firmy w Polsce nie są zobowiązane do ujawniania faktu włamania do ich
infrastruktury, którego skutkiem jest wyciek danych klientów. Najlepszym
przykładem może być ubiegłoroczne włamanie do Plus Banku, o którym
praktycznie nie informowały ogólnopolskie media, a tematem zajmowali się
wyłącznie dziennikarze branżowi. Tymczasem na Zachodzie, po incydencie
o takiej skali, rzeczona placówka prawdopodobnie zakończyłaby działalność.
Zamiatanie spraw pod dywan, połączone z brakiem wewnętrznej dyscypliny
w firmach, powoduje, że przedsiębiorstwa kupują tylko to, co jest niezbędne
do uzyskania akceptacji audytora oceniającego, czy dana placówka spełnia wymogi
prawne.
Sebastian
Krystyniecki, Fortinet Dość wyraźnie widać, że w firmach poziom
świadomości zagrożeń jest niejednokrotnie uzależniony od zasobności portfela
klienta, ale rośnie też z upływem czasu. Należy przez to rozumieć, że
inwestowanie w coraz bardziej zaawansowane rozwiązania (np. sandboxing,
web application firewall itp.) ma miejsce dopiero po zaspokojeniu podstawowych
potrzeb w zakresie bezpieczeństwa, takich jak zakup rozwiązań firewall,
systemów antywirusowych lub antyspamowych. Uzyskanie wiedzy na temat
bezpieczeństwa jest dość łatwe, więc w pewnym stopniu trafia ona do
administratorów. Natomiast nie sposób się nie zgodzić, że rzeczywiście
najczęściej akcja wywołuje reakcję, czyli inwestycje najczęściej są efektem
skutecznego i dotkliwego ataku. A przecież o wiele lepiej
zapobiegać niż leczyć.
Jakub Sieńko,
ed&r Potwierdzam, że przedsiębiorcy są świadomi konieczności
zabezpieczania się, a także częściowo sposobów ochrony. Natomiast brakuje
konsekwencji w działaniu zarządów firm – mam na myśli działania
skutecznie zaplanowane i zrealizowane – a także systematycznych
audytów czy szkoleń ludzi odpowiedzialnych za ochronę zasobów.
Polityka
bezpieczeństwa – zapomniany skarb
CRN O konieczności
posiadania przez firmy chociażby najprostszego dokumentu, opisującego ich
politykę bezpieczeństwa i zasady reagowania na incydenty, mówi się od
bardzo dawna. Czy można ocenić, w jakim stopniu ten wymóg jest spełniony
w polskich przedsiębiorstwach?
Michał Król,
Veracomp W bardzo nikłym. Treść dokumentu określającego politykę
bezpieczeństwa może być efektem dwóch zjawisk – wewnętrznej potrzeby
zarządu przedsiębiorstwa bądź obostrzeń prawnych obowiązujących określony
podmiot. I tu warto zauważyć, że istnieje akt prawny, który dotyczy
znakomitej większości firm, czyli ustawa o ochronie danych osobowych,
w której jest mowa o sposobie ich przechowywania, szyfrowaniu itd.
Niestety, w praktyce wiele rządowych czy samorządowych jednostek nie dba
o to, aby działać w zgodzie z prawem, mieć opracowane procedury
postępowania w przypadku zagrożenia i opisane sposoby ochrony przed
nim. Przykład idzie z góry, więc przedsiębiorcy postępują tak samo.
Efektem jest bardzo częsty brak jakiejkolwiek polityki bezpieczeństwa.
Franciszek Musiel,
Cloudware Często też zdarza się, że w firmie przyjęto określoną
politykę bezpieczeństwa, ale… nikt o tym nie wie. Istnieje jakiś dokument,
opracowany kilka lat temu i nigdy od tamtej pory nieaktualizowany. Albo
część zapisów, które można by potraktować jako zasady polityki bezpieczeństwa,
znajduje się w regulaminie pracy. Wprawdzie zapoznanie się z nim
potwierdza podpisem każdy pracownik, ale wszyscy wiemy, jak to jest ze
znajomością treści takich zapisów. Zatem nawet jeśli polityka bezpieczeństwa
lub coś, co ją przypomina, w danej firmie istnieje, i tak prawie nikt
nie przywiązuje do niej wagi.
Michał Mizgalski,
Be-In W dojrzałym przedsiębiorstwie system zarządzania
bezpieczeństwem informacji jest procesem, a nie aktem, czyli trwa
non-stop. Dlatego „właściciel” dokumentu określającego politykę ochrony
powinien dokładnie przeglądać go przynajmniej raz do roku albo po każdym
wprowadzeniu zmian w prawie, żeby zobaczyć, czy któryś z zapisów nie
wymaga aktualizacji, czy nie należy dokonać zmian w firmowych procesach
bądź dokupić lub zmodernizować systemy ochronne. Natomiast najbardziej istotne
podczas tworzenia polityki bezpieczeństwa są: inwentaryzacja aktywów, które
chcemy chronić, ocena ryzyka wystąpienia zagrożenia oraz decyzje o tym,
czy i w jaki sposób firma może to ryzyko zmniejszyć lub wyeliminować.
Na przykład w normie ISO 27?001 opisanych jest siedem
obszarów, w których powinno być szacowane ryzyko, ale oczywiście każda
firma może to zrobić po swojemu. Najważniejsze, aby w ogóle taka ocena
ryzyka powstała, i to nie tylko na dziś. Powinna także uwzględniać
możliwość zmian w przyszłości, czasem wręcz na przestrzeni wielu lat…
CRN Ale jak
w dzisiejszych czasach przewidzieć rozwój branży IT i trapiących ją
zagrożeń?
Michał Mizgalski,
Be-In Oczywiście, to trudne, ale nie niemożliwe. Zarząd każdej firmy
powinien mieć wizję stopnia i kierunku jej rozwoju, przewidywać, jakie
systemy informatyczne będzie wprowadzać, w związku z tym, jakie może
wystąpić ryzyko kradzieży ważnych danych czy utraty dostępu do nich. Tego typu
zmiany mogą implikować ewolucję bądź rewolucję w polityce bezpieczeństwa.
Natomiast naturalnie, pewnie zmiany mogą wystąpić nieoczekiwanie i dlatego
konieczna jest regularna weryfikacja przyjętych założeń i ponowna ocena
ryzyka.
Sebastian
Krystyniecki, Fortinet Dobrym przykładem jest
Facebook. Nikt w Polsce kilka lat temu nie był w stanie
przewidzieć, jak szybko stanie się popularny. A wiadomo, że niesie wiele
zagrożeń, nie tylko związanych z wydajnością pracy. Zarządy i działy
IT, dla których dokument polityki
bezpieczeństwa ma największą wartość, powinny uświadamiać pracownikom, że to
oni niejednokrotnie sprowadzają największe zagrożenie na firmowe dane. Nie zawsze
zauważają, że ich działania w sieci mogą mieć przykre w skutkach
konsekwencje dla przedsiębiorstwa.
Budzenie
świadomości
CRN Do właściwej oceny ryzyka potrzebna jest jego
świadomość, a najłatwiej o nią w przedsiębiorstwach
o wysokiej kulturze biznesowej. Na ile dojrzałe w tym zakresie są
polskie firmy?
Michał Ceklarz,
Cisco Świadomość ludzi podejmujących decyzje jest bardzo ważna, bo
od niej najczęściej zależy wielkość środków przeznaczonych na walkę
z zagrożeniami. To właśnie niewystarczająca ilość tych środków lub moment
– najczęściej dopiero po katastrofie – gdy są uwalniane, stanowi
w Polsce największą bolączkę. Dowodzi tego fakt, że nasz kraj przez wiele
lat był największym spamerem na świecie, tak słabo były zabezpieczone polskie
komputery…
Jakub Sieńko,
ed&r Bardzo ważna jest umiejętność wyważenia ilości informacji,
które trafią do administratora odpowiedzialnego za bezpieczeństwo. Klientowi
można zaoferować produkt lub usługę, w efekcie działania których uzyska on
informacje o kilkuset elementach wymagających naprawy. Oczywiście, nie
będzie wówczas w stanie ocenić wagi każdego z nich, a więc
przyjąć odpowiedniej strategii działania. Tu pojawia się zadanie dla
integratorów, którzy wspólnie z klientem mogą wybrać np. dziesięć obszarów
wymagających pilnej interwencji, a następnie pomogą w rozwiązywaniu
kolejnych problemów.
Michał Mizgalski,
Be-In Dla firm, z którymi rozpoczynamy współpracę
w zakresie doradztwa dotyczącego bezpieczeństwa, mamy ankietę sprawdzającą
aktualny stan ich zabezpieczeń. Niestety, czasami musimy pomagać im ją
wypełniać… Wynika to trochę z faktu, że kiedyś informatyk był panem od
wszystkiego – wdrażał oprogramowanie i wymieniał toner
w drukarce. Dzisiaj od informatyków oczekuje się daleko idącej
specjalizacji, natomiast zarządy firm nadal hołdują przestarzałemu podejściu do
zatrudniania ekspertów IT. Często są wręcz zdziwieni, gdy mówimy, że błędem
jest przyznawanie wszystkim informatykom dostępu do wszystkich zasobów.
Podsumowując: gdyby 50 proc. polskich firm zdecydowało się teraz na
poważnie podejść do tematu bezpieczeństwa danych, to nikt z nas nie miałby
wolnej chwili przez długie lata.
CRN Czy miałoby sens
zaangażowanie zewnętrznej firmy do przeprowadzenia oceny ryzyka?
Michał Ceklarz,
Cisco Zdecydowanie tak. Miałaby ona szansę na bardziej obiektywne
przyjrzenie się infrastrukturze i wskazanie jej najsłabszych elementów.
Dokładnie na takiej samej zasadzie, jak policjant nie powinien być sędzią we
własnej sprawie. To jest obszar, w którym świetnie mogą odnaleźć się
resellerzy, czyli świadczyć usługi, nawet niekoniecznie pełnego audytu, ale
swego rodzaju doradztwa w zakresie bezpieczeństwa informatycznego
i wskazywania podatności na zagrożenie.
Franciszek Musiel,
Cloudware Klienci coraz lepiej rozumieją korzyści płynące
z outsourcingu w niektórych dziedzinach. Współpraca z firmami
trzecimi w zakresie bezpieczeństwa to kwestia dość delikatna, ponieważ
często musi dochodzić do przekazywania poufnych informacji. Ale administratorzy
i zarządcy firm zdają sobie sprawę, że, po pierwsze, często nie stać ich
na zatrudnienie grupy wykwalifikowanych ekspertów bądź wykształcenie własnych,
a po drugie, wiedza i doświadczenie ekspertów z firm trzecich są
jeszcze większe, jeśli obsługują wiele podmiotów jednocześnie.
Sebastian
Krystyniecki, Fortinet Outsourcing
może być realizowany na różne sposoby. Firmy o statusie Managed Security
Service Provider część działań ochronnych mogą prowadzić
z wykorzystaniem własnej infrastruktury albo, w wybranych sytuacjach,
instalować pewne urządzenia u klientów i zdalnie nimi zarządzać.
Klienci, którzy nie decydują się na rozwijanie własnej infrastruktury
i budowanie kadry specjalizującej się w zapewnianiu bezpieczeństwa,
z łatwością mogą skorzystać z outsourcingu, który jednocześnie będzie
dla nich gwarancją ciągłości prowadzonego biznesu i optymalizacji kosztów.
Michał Król,
Veracomp Jeszcze niedawno integratorzy bardzo obawiali się chmury
jako zjawiska, które odbierze im dochody. Dzisiaj wręcz cieszą się, że
powstała, bo przedsiębiorstwa korzystające z cloudu jeszcze bardziej
potrzebują profesjonalnej ochrony. Ale chmura zmusiła też wielu dostawców usług
IT do przemodelowania sprzedaży, a obecnie podobny proces zachodzi
w firmach, które już wcześniej dostarczały rozwiązania ochronne. Kiedyś
sprzedawały sprzęt i oprogramowanie, dzisiaj muszą pełnić rolę
konsultantów odpowiedzialnych nie tylko za wybrany wycinek działania
przedsiębiorstwa, ale jego całość, czasami nawet niezwiązaną bezpośrednio
z IT.
Wiedza
w cenie
CRN Gdzie firmy powinny szukać ekspertów do spraw
bezpieczeństwa?
Jakub Sieńko,
ed&r W Polsce mamy bardzo dobrych
informatyków i wielu zdolnych studentów. Ale ci ludzie są bardzo doceniani
za granicą, więc w rodzimych firmach niestety pozostanie ich niewielu. Ten
problem jest już widoczny i wiadomo, że będzie narastał. Dlatego
integratorzy, którzy potrafią wielowątkowo obsłużyć klienta, będą cieszyć się
bardzo długo trwającą jego lojalnością. Tym bardziej że mniejsze firmy mają
niewielkie szanse na zatrudnienie dobrych ekspertów zajmujących się
bezpieczeństwem, zresztą nie zawsze ich potrzebują. Często lepsze dla nich jest
skorzystanie od czasu do czasu z usługi profesjonalnego doradcy.
Michał Ceklarz,
Cisco Jeżeli resellerzy i integratorzy będą w stanie
przyjąć tych specjalistów i pokierować ich karierami tak, aby mogli
świadczyć dodatkowe usługi, sytuacja stanie się bardzo ciekawa.
W dziedzinie IT w kilku obszarach już teraz przegoniliśmy Europę
Zachodnią, np. w bankowości czy telekomunikacji. Poza tym nagle pojawili
się młodzi i zdolni ludzie, którzy wchodzili na rynek pracy już
zaznajomieni z komputerami. Jednocześnie mamy też pokolenie starszych
osób, wykluczonych cyfrowo, i problem polega na tym, że to one zasiadają
dziś w zarządach wielu firm.
Franciszek Musiel,
Cloudware To oczywiste, że ekspertów IT – nie tylko
w dziedzinie bezpieczeństwa – będzie wkrótce brakowało. Dlatego
należy zoptymalizować czas, którym dysponują, przez pełne wykorzystanie ich
wiedzy i doświadczenia oraz automatyzację niektórych działań. Nie można
dopuścić do sytuacji, gdy np. jeden z informatyków przez cały dzień śledzi
logi. To całkowita strata czasu, gdyż mamy do dyspozycji dużo oprogramowania do
ich analizy.
CRN Czy trzeba to rozumieć jako sygnał, że resellerzy
powinni obecnie rzucić wszystko i wziąć się za świadczenie usług
związanych z bezpieczeństwem, bo tam są największe pieniądze?
Michał Król,
Veracomp My rekomendujemy taki model, w którym kilku ekspertów
ds. bezpieczeństwa zakłada firmę i świadczy usługi doradztwa oraz
wsparcia. Czasami słyszymy, że z małą firmą nie będą chciały współpracować
duże instytucje, ale to nieprawda. Banki i towarzystwa ubezpieczeniowe
potrzebują przede wszystkim specjalistycznej wiedzy, a wielkość podmiotu,
od którego ją uzyskają, jest dla nich sprawą drugorzędną. Veracomp, jako duży
dystrybutor, współpracuje z małymi podmiotami i jest to bardzo dobra,
merytoryczna współpraca.
Jakub Sieńko,
ed&r Potwierdzam, że z małymi firmami rzeczywiście bardzo
dobrze się współpracuje. Ale jednocześnie muszę przyznać, że ed&r, jako
mały dystrybutor, ma też klientów, którzy są bardzo dużymi integratorami
i często prowadzi z nimi projekty zakrojone na szeroką skalę.
Wszystko zależy od profesjonalizmu i podejścia firmy partnerskiej.
Co za dużo to
niezdrowo…
CRN Wspominaliśmy już o niewystarczającym poziomie
inwestycji w zakresie systemów ochronnych. A jak często zdarza się
przeinwestowanie i czy jest to równie groźne zjawisko?
Michał Ceklarz,
Cisco Owszem, zdarza się, że analiza ryzyka została źle
przeprowadzona i systemy zabezpieczające są więcej warte niż chronione
przez nie zasoby. A jeśli osoba podejmująca decyzje zakupowe jest
klasycznym geekiem i lubi nowe gadżety, często po jakiejś konferencji
kupuje kolejne urządzenie, które albo nie pasuje do już posiadanych, albo
zostaje niepoprawnie wdrożone, co jest jeszcze groźniejsze od zwykłego nierozsądnego
wydawania pieniędzy.
Sebastian
Krystyniecki, Fortinet Przeinwestowanie można też zaobserwować
w dwóch innych aspektach. Pierwszy to problem rozsądnego planowania
budżetów. Często pod koniec roku dział IT dysponuje pieniędzmi, które musi
wydać, gdyż ich niewydanie wpłynie negatywnie na kolejny budżet. Ta presja może
powodować psucie procesu decyzyjnego. Drugi aspekt związany jest ze środkami
unijnymi, które, jak już zostaną przyznane, trzeba bardzo szybko wydać. Dlatego
firmy najpierw kupują co popadnie, a dopiero potem zastanawiają się, jak
to dopasować do własnej infrastruktury.
CRN Czyli przedsiębiorcy,
postępując zdroworozsądkowo, mogą zaoszczędzić?
Michał Mizgalski,
Be-In Z naszego doświadczenia wynika, że połowę problemów
związanych z bezpieczeństwem można zlikwidować za pomocą działań
organizacyjnych i wcale nie wymaga to kosztów. Wystarczy przemodelować
pewne procesy i, jeżeli ocena aktywów wymagających zabezpieczeń została
dokonana prawidłowo, efekty będą bardzo wyraźne.
Jakub Sieńko,
ed&r Ważne jest też to, aby ponoszone przez klienta wydatki na
rozwiązania ochronne były mniejsze niż koszty ewentualnego odwrócenia skutków
ataku. To klasyczny bilans tzw. korzyści utraconych, czyli działanie mające na
celu minimalizację szkód.
Franciszek Musiel,
Cloudware Na tematy wykorzystania
różnych rozwiązań ochronnych resellerzy i integratorzy oferujący usługi
powinni rozmawiać z zarządami firm, bo czasami jest to łatwiejsze
i skuteczniejsze niż rozmowa z przedstawicielami działów IT. Zresztą
zdarza się, że informatycy nawet proszą nas, abyśmy porozmawiali
z zarządem i przedstawili problem. Po prostu czasem nie mają
wystarczającej mocy, aby dotrzeć do managementu i przekonać decydentów
o sensowności inwestowania w określone rozwiązanie, a czasami od
takiej decyzji odwieść.
Michał Król,
Veracomp Już od kilku lat firmy IT pełnią funkcję edukacyjną.
Działom biznesowym tłumaczą, na czym polega zagrożenie, a działom IT
wyjaśniają, jak można mu zapobiec. Dzięki temu mają gwarancję pełnienia roli
zaufanych doradców i jeśli swoje zadanie wykonują dobrze, jeszcze długo
będą zarabiać duże pieniądze.
Michał Mizgalski,
Be-In Stanowczo jednak przestrzegam wszystkie firmy przed zbyt
wczesnym ogłaszaniem sukcesu w walce z zagrożeniami. Mimo że dobrze
się zabezpieczamy, cały czas jesteśmy w tyle za atakującymi. To jest
wojna, która nie została wypowiedziana. W zasadzie nosi znamiona
terroryzmu, bo nie toczy się przeciw konkretnej grupie osób. Mamy do czynienia
z coraz większą liczbą incydentów, których nie widać i które bardzo
trudno wykryć. A takie są najbardziej niebezpieczne. Resellerzy
i integratorzy powinni przekonać klientów, żeby zawsze zastanawiali się,
czy przypadkiem nagły spadek ich obrotów, pojawienie się bezpośredniej
konkurencji czy niemal identycznego produktu nie jest skutkiem kradzieży
własności intelektualnej. Takich przypadków było już wiele, a jeśli się
ich odpowiednio szybko nie wykryje, trzeba się liczyć nawet z bankructwem.
Pamiętajmy, że w dzisiejszych czasach nie mają sensu fizyczne włamania, bo
elektroniczne zdecydowanie prościej przeprowadzić, trudniej wykryć
i przynoszą więcej korzyści.
Podobne wywiady i felietony
Ciągły proces budowania świadomości
O tym, jak przekonać klientów do inwestycji w systemy cyberochrony i dlaczego nie zawsze warto bazować na samych statystykach, rozmawiamy z Rafałem Salasą oraz Mateuszem Grelą, pełniącymi rolę Security Junior System Engineer w Ingram Micro.