W osiągnięciu sukcesu w kwestii backupu pomogły jednak dwa czynniki. Pojawiły się łatwo dostępne i relatywnie tanie serwery NAS, na które w prosty i – co najważniejsze – automatyczny sposób można wykonywać kopie. A poza tym bez problemu można sprawdzić skuteczność procesu backupu przez testowe odzyskanie danych. Tymczasem skuteczności systemu ochronnego nie można sprawdzić aż do momentu ataku. Żaden producent nie gwarantuje stuprocentowej ochrony, co spotyka się z brakiem zrozumienia wielu użytkowników…

Pełna zgoda, dlatego to nadal pozostaje wyzwaniem. O ile w przypadku backupu łatwo jest obnażyć niedoskonałości nieprawidłowo zaplanowanego procesu, tak w przypadku bezpieczeństwa błoga nieświadomość użytkowników, nie zawsze zresztą związana z ignorancją, może mieć katastrofalne skutki. Mniejsze podmioty skarżą się też na problemy z obsługą bardziej skomplikowanych rozwiązań ochronnych, a na zatrudnienie wykwalifikowanych ekspertów z oczywistych przyczyn ich nie stać. Dlatego w wielu przypadkach ten problem jest wypierany, a zawsze znajdzie się coś innego, równie „ważnego” do zrobienia. Niemniej uważam, że zarządy mniejszych firm już są świadome istoty tego zagadnienia, więc przed wieloma z nich są duże zakupy.

Wciąż wielu klientów oczekuje, że kupione za niemałe kwoty rozwiązania ochronne będą zwalniały użytkowników systemów IT z odpowiedzialności. Jak wytłumaczyć zarządom firm, że główna przyczyna powodzenia ataków znajduje się między klawiaturą a fotelem, więc konieczne jest prowadzenie nieustannych działań edukacyjnych? A może, skoro do tej pory się nie udało, jesteśmy skazani w tej kwestii na porażkę?

Świadomość konieczności zabezpieczania się powoli rośnie – media oraz dostawcy różnego typu cyfrowych usług prowadzą szeroko zakrojoną akcję edukacyjną. Tak więc problem na pewno nie jest trywializowany, ale po części każdy jest winny tego, że daleko nam do sukcesu. Rygorystyczne zabezpieczenia na urządzeniach pracowników, szczególnie zdalnych, ograniczają ich swobodę działania, na przykład korzystanie z internetu czy oglądanie filmów. Dla zarządów konieczność prowadzenia szkoleń to dodatkowy koszt, który z ciężkim sercem się ponosi, gdy niemożliwa jest ocena skuteczności tych działań. Natomiast producenci rozwiązań ochronnych nadal niewystarczająco skupiają się na kwestii komfortu korzystania z nich, a więc bardzo często użytkownik musi radzić sobie z nieprzyjaznym i niezrozumiałym interfejsem. Efekt finalny jest taki, że są firmy, które mają najlepsze systemy ochronne, a nadal bywają ofiarami ataków.

Jak duży wpływ na tę sytuację ma fakt, że w większości mniejszych firm nie ma nawet zarysu dokumentu polityki bezpieczeństwa? Czy warto je nakłaniać, żeby przynajmniej wzięły pustą kartkę A4 i spisały podstawowe zasady, a następnie pokazały je swoim pracownikom?

Oczywiście, tylko znów rozbijamy się o kwestię niedoboru wykwalifikowanych kadr. Bardzo rzadko w małych firmach jest ktoś, kto mógłby taki dokument opracować, z uwzględnieniem lokalnych niuansów. Z polityki bezpieczeństwa z reguły wynika konieczność wdrożenia różnych rozwiązań ochronnych w poszczególnych obszarach środowiska IT. Tu pojawia się kolejny problem, bo porównanie dostępnych na rynku produktów jest bardzo trudne – w zakresie ogólnym wszyscy producenci obiecują praktycznie to samo, ale gdy przyjrzymy się funkcjonalności, to jest ona tak różnorodna, że mniej doświadczona osoba natychmiast się gubi. Kwestia pomocy firmom w stworzeniu polityki bezpieczeństwa, wsparcia przy doborze odpowiednich produktów, a następnie ich wdrożenia to oczywista przestrzeń do działania dla firm partnerskich.

Przez ostatnią dekadę wyjątkowo intensywnie promowane są usługi chmurowe, przy których bezpieczeństwo jest jednym z głównych argumentów „za”. Czy zainteresowanie nimi wzrosło, gdy tak wiele osób rozpoczęło pracę w modelu zdalnym?

W Polsce chmura osiągnęła pewien poziom akceptacji, ale jej rozwój na razie jakby przystanął. Teoretycznie usługi chmurowe dla małych i średnich firm stanowią rozwiązanie idealne, pozwalające na redukcję kosztów wdrożenia danego systemu i jego obsługi, jak też automatyzację wielu procesów. W ten sposób dostępne stają się rozwiązania, których ze względu na różne bariery klient nie kupiłby w tradycyjnym modelu. Ale to właśnie mniejsze przedsiębiorstwa są najbardziej sceptyczne wobec usług chmurowych. W mojej ocenie na rynku brakuje oferty przygotowanej specjalnie dla nich, ułatwiającej chociażby rozwój pracy zdalnej. Usługi chmurowe nadal bywają relatywnie drogie, a finansowe benefity z korzystania z nich mogą uzyskać tylko duże firmy, działające na szeroką skalę, dla których alternatywą byłoby wdrażanie we własnym centrum danych rozwiązań za setki tysięcy czy miliony dolarów.

A jak wygląda kwestia zaufania do dostawców usług chmurowych?

Tu też jest wiele do zrobienia, głównie ze względu na brak przejrzystości i otwartej komunikacji ze strony dostawców usług. Przed klientami nie powinno się ukrywać informacji o tym, gdzie znajdują się ich dane i jurysdykcji którego kraju one podlegają. Nie można więc dziwić się nieufności użytkowników w sytuacji, gdy w mediach nieustannie mówi się o ryzyku przechowywania danych w chmurze rosyjskiej czy chińskiej, a także próbach kradzieży informacji inicjowanych na poziomie rządów poszczególnych krajów. Dużo dobrego w tej kwestii zrobiło RODO, ale z pewnością jeszcze wiele pracy przed nami.

Rozmawiał Krzysztof Jakubik

Marcin Cichecki Marcin Cichecki  

jest absolwentem Warszawskiej Wyższej Szkoły Informatyki Stosowanej i Zarządzania WIT. Od 1997 r. jego doświadczenie zawodowe jest ściśle związane z branżą IT. Przez ponad 20 lat był członkiem zespołu jednego z najbardziej rozpoznawanych dystrybutorów rozwiązań IT w Polsce, zaś w ostatnim okresie kierował działem Secure Data Solutions. Obecnie – jako współzałożyciel i członek zarządu firmy Stovaris – kładzie duży nacisk na innowacyjność i unikalność oferowanych produktów, ale szczególną wagę przykłada do budowy pozytywnych relacji z partnerami biznesowymi.