CRN Producenci rozwiązań ochronnych w swoim przekazie do partnerów, klientów i mediów nakreślają dość katastroficzne wizje przyszłości, jeśli chodzi o bezpieczeństwo cyfrowych danych. Gdyby im uwierzyć, powinniśmy natychmiast odłączyć wszystko od internetu. Czy przyjęty przez nich ton jest usprawiedliwiony, gdy przeanalizuje się rzeczywistą sytuację, szczególnie w kontekście polskich przedsiębiorstw?

Andrzej Sobolewski Zawsze trzeba pamiętać, że większość tych informacji, a szczególnie ich styl, jest generowanych nie przez działy zajmujące się bezpieczeństwem, ale przez marketing. Taki zabieg ma na celu wzbudzenie odpowiedniej potrzeby zakupowej – im bardziej klient się przestraszy, tym więcej wyda pieniędzy. Przynajmniej teoretycznie, bo jestem zdania, że uświadamianie działa znacznie skutecznej niż straszenie. Tym bardziej, że wielu odbiorców nie traktuje podawanych w statystykach danych poważnie, szczególnie jeśli chodzi o ilość wykradzionych z firmy pieniędzy czy wysokość zapłaconego okupu w wyniku ataku ransomware – jest to skala wykraczająca poza wyobrażenia polskiego klienta. Oczywiście, dane te są prawdziwe, ale bazują na informacjach pozyskanych z rynków zachodnich, o wiele większych niż polski.

Czy to oznacza, że nie musimy się bać aż tak bardzo?

Na to można spojrzeć z dwóch punktów widzenia. Zdecydowana większość obserwowanych obecnie ataków jest zautomatyzowanych, a w kontekście braku granic w internecie oznacza to, że zagrożony jest „po równo” praktycznie każdy na świecie. Do tego większość treści dostarczanych do polskich odbiorców w ramach działań wykorzystujących inżynierię społeczną, napisanych jest już zupełnie poprawną polszczyzną, co tylko powiększa ryzyko powodzenia ataku w wyniku manipulacji ofiary. Natomiast prawdopodobieństwo ataku ukierunkowanego na konkretną ofiarę jest rzeczywiście mniejsze, bo uzależnione od potencjalnych zysków atakującego. Nie oznacza to jednak, że polskie instytucje czy przedsiębiorstwa nie powinny mieć żadnych obaw, gdyż atak nie musi być motywowany kwestiami finansowymi, ale chociażby politycznymi, jak to ostatnio ma miejsce w Polsce, Ukrainie czy Białorusi. Tymczasem świadomość polskich firm dotyczących ryzyka ataku, jego powodzenia, sposobu przeprowadzenia oraz neutralizacji skutków, jest bardzo niska. Dobrze w tej dziedzinie jest jedynie w instytucjach finansowych – tam jest zdecydowanie inny poziom dyskusji. Generalnie jednak przed nami bardzo dużo pracy.

Czy w grę wchodzą tu aspekty psychologiczne? Brawura, syndrom wyparcia, ignorancja… A może brak wiedzy?

Tak naprawdę można spotkać wszystkie te stany, czasem zależy to też od stanowiska danej osoby. U przedstawicieli zarządów firm często widać wyparcie: „dlaczego akurat nam miałoby się coś stać, przecież nie jesteśmy dużą firmą?”. Pomaga dopiero wytłumaczenie, że przy przykładowym rocznym zysku na poziomie 10–15 mln zł zapłata okupu rzędu 1–2 mln zł będzie bardzo dotkliwa, a przestępcy będą świadomi możliwości uzyskania tej kwoty. Ciekawy jest też pojawiający się czasem brak akceptacji dla faktu, że żaden z dostawców nie chce zagwarantować stuprocentowego bezpieczeństwa po zakończeniu realizacji wdrożenia danego rozwiązania ochronnego.

W jakim stopniu polskie firmy są świadome luk bezpieczeństwa we własnej infrastrukturze?

Osoby znajdujące się blisko infrastruktury, a więc administratorzy, projektanci rozwiązań czy większość szefów IT, są świadome niedociągnięć i luk w zabezpieczeniach. Zdecydowanie gorzej natomiast jest z osobami decyzyjnymi. Często pracownicy nie chcą przychodzić z problemami do przedstawicieli zarządu, bo ci z kolei nie chcą o problemach rozmawiać, co tylko wpływa na pogłębianie się różnic w tej świadomości. Efekty bywają bolesne, mamy przykłady spółek giełdowych, w których wykonywaliśmy audyty, gdzie na przykład poprzez sieć bezprzewodową dla gości można było uzyskać dostęp do bardzo wielu poufnych zasobów firmy, na takich warunkach, jakie mieli pracownicy – bez żadnych zasad, ograniczeń czasu dostępu itd. A to tylko jedna z wielu luk, które są dość powszechne.

Czy te bardziej świadome firmy działają reaktywnie, gdy wystąpi jakiś problem? A może dobrze zdają sobie sprawę z konsekwencji, działają więc proaktywnie, aby zawczasu załatać luki w zabezpieczeniach?

Tutaj jest pozytywna zmiana, bo zalew informacji w mediach dotyczących szeroko rozumianego bezpieczeństwa powoduje, że trudno udawać, iż problem nie istnieje. Często jednak jest to proces długofalowy, bo mało która firma potrafi pozwolić sobie na taki wydatek w budżecie, aby w ciągu roku załatać wszystkie dziury. Przy czym najważniejsze jest to, że robi cokolwiek, aby ten poziom bezpieczeństwa poprawić. Natomiast oczywiście działania reaktywne też mają miejsce – zdarzają się telefony od klientów, gdy podczas rozmowy nikt nie „pochwali się”, że coś się wydarzyło, ale nagle projekt, o którym rozmawialiśmy przez pewien czas i nie było na niego budżetu, zyskuje priorytet i drzwi się otwierają.

Czy za taki „otwieracz drzwi” można uznać regulacje prawne? Czy argumentem w dyskusji nadal może być chociażby RODO?

RODO zrobiło dużo dobrego dla rynku, mimo że niektóre zapisy są tam zbyt rygorystyczne, a niektóre ogólne. Rozporządzenie to przyczyniło się jednak do budowania świadomości, że posiadane przez firmy dane mają znaczenie nie tylko dla ich biznesu, ale objęte są także uwarunkowaniami prawnymi. Obecnie RODO oczywiście już nie budzi takich emocji jak parę lat temu, ale podczas prawie każdych negocjacji ten temat się przewija, bo warunki określone w tym rozporządzeniu muszą być spełnione. Istnieje też kilka regulacji prawnych dla firm z innych branż, jak infrastruktura krytyczna czy placówki ochrony zdrowia. To też znacznie pomaga to w prowadzeniu biznesu, bo niestety, często dopiero wymóg prawny powoduje, że coś zaczyna się dziać w tych instytucjach.