Czy na samym początku rozmowy, zanim przedstawicie ofertę, przedstawi-ciele firm są świadomi kosztów związanych z zakupem i wdrożeniem rozwiązań ochronnych?

Niezależnie od tego, czy idziemy do klienta z nowym projektem, czy też uczestniczymy jako dostawca rozwiązań ochronnych w jakimś większym wdrożeniu, prawie zawsze klient jest w szoku lub przynajmniej wyraża zdziwienie, że kompleksowe systemy zabezpieczające muszą tyle kosztować. Warto podkreślić, że mówimy o kompleksowym, zapewniającym najwyższy poziom ochrony wdrożeniu – pojedyncze rozwiązania nie są tak drogie, więc klienci bywają zdziwieni, że próbujemy im „wcisnąć” wiele produktów zamiast jednego magicznego pudełka, kombajnu, który załatwi wszystkie sprawy. Niestety, nie ma takich rozwiązań działających skutecznie w dużych środowiskach IT.

Jak wygląda wasza reakcja na takie podejście ze strony klientów?

Dość standardowo – sięgamy do statystyk lub prostych przykładów, najczęściej związanych z atakami ransomware. One najbardziej przemawiają do wyobraźni, bo w grę wchodzi utrata danych, ciągłości biznesowej i pieniędzy. Takie wpłynięcie na emocje w celu otwarcia oczu trochę jest konieczne, bo prezesi firm czy dyrektorzy finansowi z reguły wiedzą jak bardzo negatywne konsekwencje będzie miało wstrzymanie działalności na dzień, tydzień czy miesiąc, ale rzadko wiążą możliwość jego wystąpienia z brakiem zabezpieczeń IT.

W jak dużym stopniu klienci są świadomi, że ze względu na stosowaną przez cyberprzestępców inżynierię społeczną najsłabszym ogniwem, jeśli chodzi o bezpieczeństwo, od zawsze jest człowiek?

Nawet jeśli zarząd firmy wie, że człowiek pełni bardzo istotną rolę w procesie zapewnienia i utrzymania bezpieczeństwa danych, to często o tym zapomina. Brakuje cyklicznych szkoleń przypominających jakie rodzaje ataków są obecnie popularne i jakie mogą stanowić zagrożenie. Ten schemat jest trochę podobny do sytuacji, jaką mieliśmy z RODO. Gdy rozporządzenie to wchodziło w życie, organizowane były cykle szkoleń dla użytkowników, w firmach często pojawiali się zewnętrzni audytorzy itd. A kiedy kurz opadł, zarządy i osoby decyzyjne zapomniały, że każdego pracownika trzeba raz na pół roku przeszkolić, choćby krótko. W kontekście inżynierii społecznej powinno być podobnie. Sposoby ataków są obecnie tak bardzo wyrafinowane i wciąż modyfikowane, że czasami trudno jest oskarżać użytkownika o popełnienie błędu.

Czy jako integrator angażujecie się też w proces szkolenia?

Nie, w tym zakresie współpracujemy z firmami zewnętrznymi. Mają one wiele ciekawych narzędzi, część z nich dostępnych jest online. Życzyłbym tylko sobie, żeby klienci rezerwowali w budżecie odpowiednią kwotę na cykliczne prowadzenie takich szkoleń – przynajmniej dla użytkowników najbardziej wrażliwych danych, jak dział księgowości czy kadr.

Jakich umiejętności personelu po stronie klienta spodziewacie się, abyście mogli go skutecznie obsłużyć?

Oczywiście bardzo pomocne jest, gdy po stronie klienta mamy osobę z realną wiedzą i doświadczeniem. Naszym inżynierom wspaniale współpracuje się z bankami, bo tam zawsze jest zespół inżynierów na odpowiednim poziomie. Oczywiście, mogą oni mieć inne niż my spojrzenie na jakość danych rozwiązań ochronnych, ale zawsze to prowadzi do merytorycznej dyskusji. Natomiast zdarzały się przypadki, gdy administratorzy w firmach twierdzili, że wszystko jest w porządku, a my mieliśmy trochę inne zdanie. Przykładowo, zarząd zlecił niezależnemu podmiotowi przeprowadzenie różnych testów, także penetracyjnych i socjotechnicznych, w wyniku których dział odpowiedzialny za infrastrukturę dowiedział się o ataku, który był przez nich niezauważony. Tak zdarza się dość często, co zdecydowanie utrudnia proces zwiększenia poziomu bezpieczeństwa w tych firmach.

Aby móc stworzyć kompleksowe i skutecznie działające środowisko ochronne, musicie wybrać do portfolio odpowiednich dostawców narzędzi. Tymczasem pobieżna analiza ich oferty może sprawić wrażenie, że każdy z nich obiecuje to samo… Jakie zatem kryteria należy przyjmować w procesie oceny?

To druga, obok informacji o statystykach dotyczących zagrożeń, dziedzina, w której komunikacja marketingowa dominuje nad techniczną. Oczywiście, mimo podobieństw w funkcjonalności, poszczególne rozwiązania znacznie różnią się od siebie, głównie w kontekście technicznego poziomu zabezpieczeń. Bazujemy na niezależnych informacjach z rynku, nie tylko agencji badających udziały dostawców, ale przede wszystkim generowanych przez firmy wykonujące profesjonalne testy. Oczywiście sami też weryfikujemy jak dane rozwiązanie zachowuje się w praktyce. Kolejnym aspektem jest spójność rozwiązań. Staramy się dobierać takich dostawców, których oferta w zakresie bezpieczeństwa zawiera kilka możliwych do wzajemnej integracji elementów. Bardzo ważna jest też obecność centralnej platformy zapewniającej zarządzanie z jednego miejsca czy tworzenie reguł polityki bezpieczeństwa dla wszystkich rozwiązań, także tych znajdujących się w oddziałach firmy. Sposób prezentowania informacji o infrastrukturze jest jednym z kluczowych kryteriów, na które zwracają uwagę klienci.