To jest 190. odcinek podcastu Porozmawiajmy o IT, w którym z moim gościem rozmawiam o tym, jak przekonać CEO, że cyberbezpieczeństwo jest ważne. Sponsorem tego odcinka jest firma DAGMA Bezpieczeństwo IT. Przypominam, że w poprzednim odcinku rozmawiałem o nauce i codziennej pracy z Linuxem. Wszystkie linki oraz transkrypcję dzisiejszej rozmowy znajdziesz pod adresem porozmawiajmyoit.pl/190. 

Ocena lub recenzja podcastu w Twojej aplikacji jest bardzo cenna, więc nie zapomnij poświęcić na to kilku minut. Od niedawna można wystawiać oceny podcastom w Spotify. Będzie mi bardzo miło, jeśli w ten sposób odwdzięczysz się za treści, które dla Ciebie tworzę. Dziękuję.

Ja się nazywam Krzysztof Kempiński, a moją misją jest poszerzanie horyzontów ludzi z branży IT. Środkiem do tego jest między innymi ten podcast. Wspierając mnie przez Patronite, dzieląc się tym odcinkiem w swoim kręgu lub feedbackiem na jego temat ze mną, pomagasz w realizacji tej misji. A teraz życzę Ci już miłego słuchania!

Odpalamy!

 

Cześć! Moim gościem jest ekspert z zakresu cyberbezpieczeństwa, który odpowiada za rozwój rozwiązań Stormshield na polskim rynku. Prywatnie miłośnik sportów wodnych, zawodowo od dawna związany z DAGMA Bezpieczeństwo IT, entuzjasta zastosowania prawa zamówień publicznych w praktyce. Moim i Waszym gościem po raz drugi jest Piotr Zielaskiewicz.

Cześć, Piotrze, bardzo miło mi gościć Cię w podcaście.

 

Cześć, Krzysztof! Bardzo mi miło. Cieszę się, że mogę znów dzisiaj tutaj być Twoim gościem.

 

Rozmawialiśmy całkiem niedawno, w odcinku 178, kiedy to tematem była rola urządzeń UTM w bezpieczeństwie cyfrowym i dzisiaj mam wrażenie, że będziemy trochę kontynuować ten wątek, ponieważ będziemy rozmawiać o tym, jak przekonać osoby zarządzające firmą, w szczególności CEO do tego, że cyberbezpieczeństwo jest ważne, a w niektórych przypadkach pewnie i krytyczne do działania całego przedsiębiorstwa.

Zanim jednak do tego przejdziemy, to chciałbym Cię jeszcze raz zapytać o to, czy słuchasz podcastów. Jeśli tak, to czy lista Twoich ulubionych się jakoś zmieniła od ostatniego razu?

 

Lista cały czas ewoluuje. Oczywiście słucham podcastów, najbardziej lubię Rozmowy o końcu świata, ponieważ tam mogę w pigułce dostać wiedzę na temat tego, co wydarzyło się w ostatnim tygodniu w zakresie polityki oraz szeroko pojętej gospodarki, więc jest to również ten element, który mnie bardzo interesuje, dlatego często sięgam m.in. po ten podcast.

 

Super, dzięki za tę rekomendację. Dzisiaj będziemy dużo rozmawiać o perspektywie osób zarządzających firmą m.in. w kontekście bezpieczeństwa infrastruktury IT, więc na początku chciałbym zapytać Cię, jakie zagrożenia z perspektywy osoby, która zarządza firmą, mogą płynąć z potencjalnego ataku na infrastrukturę informatyczną IT. Czego taka osoba może się obawiać po takim ataku?

 

Chciałby m najpierw jeszcze odnieść się do tego, że faktycznie nasz ostatni odcinek był nagrywany ok. 4 miesiące temu, cieszę się, że jestem tutaj ponownie gościem. I tak, rozmawiamy tutaj o cyberbezpieczeństwie, wcześniej rozmawialiśmy o roli rozwiązań Next Generation Firewall UTM w firmie. Dzisiaj o tym, w jaki sposób przekonać te osoby do tego, żeby chciały zainwestować w swoją firmę i tego typu rozwiązania.

Dlaczego powinny inwestować, dlaczego powinniśmy tutaj rozmawiać przede wszystkim o tym, że jest to inwestycja, a nie koszt – bo to jest dla osób z poziomu C czy dla decydentów pierwszym problemem: zrozumienie, że dział IT w firmie to jest tak naprawdę inwestycja. Dlaczego inwestycja? Ponieważ my jako firma wytwarzamy pewne dobro, posiadamy kontakty naszych partnerów handlowych, naszych klientów i tak naprawdę powinniśmy chronić te kontakty i wszystko to, co znajduje się w naszej infrastrukturze, np. takie informacje, jak dane o naszych pracownikach, o tym, ile oni zarabiają, a może niejednokrotnie firmy, które wytwarzają oprogramowanie powinny właśnie chronić swoje Know How, które wytwarzają.

Myślę, że to jest jeden z elementów, dlaczego inwestycja w szeroko pojęte rozwiązania w cybersecurity jest inwestycją, a nie kosztem.

Kolejnym elementem, który może zmotywować osoby z poziomu C czy menedżerów wysokiego szczebla do zainwestowania, to oczywiście ryzyko kar. Nie lubię tego argumentu, ponieważ to jest trochę jak kijek i marchewka. Jeżeli komuś każemy, to raczej zazwyczaj ktoś nam się blokuje i blokujemy sobie również poziom czy samą tę dyskusję.

Ale co do zasady kary są nieuniknione, choćby samo wdrożenie RODO narzuca na przedsiębiorców m.in. zabezpieczanie infrastruktury, danych osobowych. A kary są wysokie, bo może to być nawet 20 mln euro bądź 4% całkowitego rocznego obrotu takiego przedsiębiorcy, co może być bardzo dużą i dotkliwą karą.

 

Z pewnością jest to inwestycja, tak jak powiedziałeś, natomiast zastanawiam się, czy tego typu inwestycja powinna zaprzątać głowę osoby na stanowisku CEO, czy wysokiego szczebla menedżerów. Czy to nie jest być może kwestia operacyjna, która powinna np. chodzić gdzieś tam z tyłu głowy CTO jako osoby bliższej takich technicznym aspektom, czy też może jest to kwestia, która powinna na równi interesować osoby na całym poziomie zarządzającym z CEO włącznie?

 

Myślę, że na pewno jest to tematyka, która powinna interesować dwie osoby. Przede wszystkim zarówno CTO, jak i CEO są menedżerami, którzy dbają o dobro ich firmy, i jedni decydują o wyznaczanym kierunku firmy albo często o kosztach i inwestycjach firmy, drudzy decydują o bezpieczeństwie tej firmy.

Ale w jaki sposób przekonać firmę do tego, że musi czasami setki tysięcy euro zainwestować w rozwiązania, których de facto nie widzimy? Dział IT postrzegany jest często jako koszt konieczny. Często w sytuacji, kiedy wytwarzamy jakieś oprogramowanie, tworzymy je z myślą o tym, że w przyszłości zaczniemy na tym zarabiać. 

W przypadku gdy pojawia się na tej wadze również konieczność wydatkowania kosztów np. właśnie na rozwiązania cybersecurity, czyli pojawia się, załóżmy, z perspektywy CEO jakieś małe okienko, które zazwyczaj nie będzie nawet widoczne na ekranie monitora i które jest uznane za podniesienie poziomu bezpieczeństwa danej firmy, to wtedy okazuje się, że wydaliśmy setki tysięcy złotych czy euro, ale tak naprawdę namacalnie w żaden sposób tego nie widzimy. 

Uczestniczę w wielu dyskusjach, gdzie klienci podejmują decyzję wyboru rozwiązania dla swojej firmy, i wyobraź sobie, że bardzo często mówią o tym, że wolą wybrać rozwiązanie hardware’owe, a nie wirtualne, ponieważ hardware jest namacalnie do pokazania. Przychodzi szef, decydent i można zawsze pokazać: Tam, zobacz, stoi to, na co wydaliśmy te grube pieniądze, mrugają lampki, to jest to nasze bezpieczeństwo. 

A w sytuacji, gdy mamy rozwiązanie wirtualne, nie jesteśmy w stanie się nawet tym pochwalić. Więc do tego stopnia nawet w średnich firmach ci bezpiecznicy muszą się w tej sferze poruszać, żeby lepiej argumentować wydatki.

Dział IT postrzegany jest często jako koszt konieczny. Często w sytuacji, kiedy wytwarzamy jakieś oprogramowanie, tworzymy je z myślą o tym, że w przyszłości zaczniemy na tym zarabiać. 

W przypadku gdy pojawia się na tej wadze również konieczność wydatkowania kosztów np. właśnie na rozwiązania cybersecurity, czyli pojawia się, załóżmy, z perspektywy CEO jakieś małe okienko, które zazwyczaj nie będzie nawet widoczne na ekranie monitora i które jest uznane za podniesienie poziomu bezpieczeństwa danej firmy, to wtedy okazuje się, że wydaliśmy setki tysięcy złotych czy euro, ale tak naprawdę namacalnie w żaden sposób tego nie widzimy. 

 

Właśnie, to jest często dosyć ułudne, myślę, że jeszcze sobie o tym porozmawiamy, na ile to musi być coś hardware’owego, a na ile liczy się zupełnie inny aspekt. 

Teraz jednak chciałbym Cię zapytać, dlaczego często tak się nie dzieje, że CEO czy menedżer firmy nie zastanawia się, nie myśli, nie zgłębia tematu cyberbezpieczeństwa pomimo tych różnych aspektów, o których mówiłeś, że grożą za to kary, że jest to duże zagrożenie dla danych firmy. To są poważne tematy, bądź co bądź, mimo wszystko bardzo często też tutaj brakuje tej świadomości po stronie osób zarządzających, żeby w ten temat faktycznie zainwestować. 

Więc co jest według Ciebie takim najczęstszym blokerem hamulcowym w myśleniu o zabezpieczeniu infrastruktury IT na poziomie CEO?

 

Myślę, że odpowiedź krótka na to pytanie, które zadałeś, dlaczego tak się dzieje, że o tym nie myślą – bo nie muszą. I teraz jak bym chciał rozszerzyć tę odpowiedź, to prawda jest taka, że aby zmotywować CEO do myślenia m.in. o zabezpieczeniach sieciowych, powinniśmy edukować w tę stronę. 

Takie osoby powinny brać udział w konferencjach, gdzie m.in. jest również edukacja, właśnie u menedżerów wysokiego szczebla, dlaczego takie rozwiązania w ich infrastrukturze są konieczne. Jest naprawdę bardzo dużo konferencji i szkoleń na naszym rynku, ale jednak są one skierowane w stronę stricte działów IT. Czyli szkolenia, które są mniej lub bardziej produktowe, mówiące o tym, jak już ewentualnie te rozwiązania wdrożyć zgodnie z procedurami w firmę, zgodnie z dobrymi praktykami.

Natomiast jeśli chodzi o CEO, to tutaj właśnie wymaga się od portali, właśnie od takich programów, jak Twój, również od innych mediów dotarcia do CEO i wyjaśnienia, dlaczego wdrożenie tych rozwiązań jest tak ważne dla firmy. Często CEO myślą: okej, ale po co wydawać 100 czy 200 tys. euro na zabezpieczenia, skoro później nie widzę żadnego efektu? Ten efekt jest widoczny w rocznym bilansie, przez to, że na końcu roku nie pojawia się żadna kara ani żadne nagłe, nieprzewidziane inwestycje związane z atakiem hakerskim, jeśli już do niego dojdzie. Ponieważ atak hakerski może wyrządzić szkody, które będą związane np. z przestojem firmy, z utratą danych, a najgorsze, co nas może czekać – z upadkiem reputacji naszej firmy.

Często wiele firm, które obsługują jakieś międzynarodowe, jeszcze większe korporacje, te kontrakty obwarowane są gigantycznymi karami np. za przestój, za brak odpowiedniego zabezpieczenia. Przestój takiej firmy lub utrata reputacji to może być droga tylko w jedną stronę. Jeżeli już dojdzie do takiego ataku hakerskiego, to może się okazać, że nasz biznes się właśnie skończył, ponieważ ta wielka korporacja, z której żyliśmy, którą mogliśmy zaplanować i fakturować, okazuje się, że straciła do nas zaufanie i będzie szukała innej firmy, która będzie mogła ją w tym procesie wspierać.

Więc tak naprawdę w tym rocznym bilansie to, że na końcu się nie pojawiają wydatki związane z nagłą koniecznością zainwestowania w zabezpieczenia IT, znalezienia specjalisty, który pomoże nam reaktywować firmę po ataku ransomware, przywrócenia wszystkich systemów. To są koszty nagłe, które w sytuacji, kiedy działamy prewencyjnie, jesteśmy w stanie w perspektywie kilku lat rozłożyć, zaplanować. 

Możemy uruchomić leasingi, korzystać z usług as a servise, czyli płacić jakąś opłatę miesięczną, a w sytuacji, gdy dochodzi już do ataku hakerskiego, okazuje się, że nie liczymy w ogóle pieniędzy, które ktoś nam proponuje za pomoc w przywróceniu firmy do okresu sprzed ataku i że są to nieprzewidziane wydatki, więc automatycznie tracimy również kontrolę nad naszym budżetem. I to później oczywiście wychodzi w naszym bilansie rocznym.

 

Mam tutaj jeszcze taką dodatkową teorię, jestem ciekawy, co o tym myślisz. Uważam, że pokutuje jeszcze nadal takie traktowanie działu IT jako zasobu albo jako takiej czarnej skrzynki, działu, który jest w stanie nam ogarnąć całość działu IT. Osoby na stanowiskach CEO bardzo często się wzbraniają przed skorzystaniem z zewnętrznych usług, jest taka trochę ułuda tego bezpieczeństwa, które miałoby być zapewnione przez wewnętrzny dział IT, który oczywiście siłą rzeczy nie może być specjalistą od wszystkiego. Też tak myślisz?

 

Jestem przekonany, że tak jest. Dział IT często jest w tych firmach mylony z zasobem. Jeżeli np. nie działa myszka, to się okazuje, że ten sam człowiek, który odpowiada za bezpieczeństwo danych, musi iść naprawić myszkę, bo przestała działać. Tak nie może być. Jeżeli położymy sobie na szali odpowiedzialność za nienaprawienie myszki i za utrzymanie ciągłości działania naszej firmy, to nie możemy tutaj postawić znaku równości pomiędzy tymi dwoma czynnościami.

Kolejna kwestia jest taka, że wdrażając systemy cyberbezpieczeństwa do naszej firmy, zwiększamy tak naprawdę konieczność utrzymywania wiedzy w dziale cybersecurity naszej firmy. I ta wiedza też kosztuje, utrzymanie tej wiedzy kosztuje. Dlatego można korzystać z zewnętrznych zasobów, ponieważ wtedy tak naprawdę outsource’ujemy ten problem i tak naprawdę ten problem leży wtedy w firmach, które się w tym specjalizują, utrzymują specjalistów, mają odpowiednie rozwiązania, które wdrażają, ale również biorą odpowiedzialność za jakość wdrożonych rozwiązań. Więc jak najbardziej zgodzę się z tym, że jest możliwość korzystania z tych zasobów zewnętrznych.

 

W trakcie naszego ostatniego spotkania, w 178 odcinku podcastu rozmawialiśmy o urządzeniach UTM, o ich roli w ogólnie rozumianym cyberbezpieczeństwie. Myślę sobie, że żeby przekonać CEO, że inwestycja w tym kierunku ma sens, trzeba podeprzeć się jakimiś konkretnymi danymi, że to bezpieczeństwo danych będzie stało na wyższym poziomie.

Teraz właśnie w kontekście tych urządzeń UTM, o których rozmawialiśmy, chciałbym Cię zapytać, czy to jest dobre, czy to jest wystarczające rozwiązanie w kierunku zapewnienia czy podniesienia poziomu cyberbezpieczeństwie w firmie? A jeśli tak, to o jakich modułach tutaj możesz powiedzieć czy przypomnieć, o jakich funkcjach tych urządzeń, które z powodzeniem można użyć w podnoszeniu bezpieczeństwa cyfrowego firmy?

 

Skłamałbym , gdybym powiedział, że wdrożenie rozwiązania UTM jest jedynym dobrym sposobem do ochrony przed zagrożeniami. Jest podstawowym rozwiązaniem, od którego powinniśmy wyjść w sytuacji, gdy budujemy cyberbezpieczeństwo naszej firmy. Podstawowym, czyli jednym z pierwszych. Ale na pewno niejedynym. I samo jedyne na pewno nie uchroni naszej firmy przed zagrożeniami.

Budując cyberbezpieczeństwo naszej firmy, powinniśmy spojrzeć na nią trochę jak na cebulę. Czyli mamy zewnętrzną warstwę, czyli UTM, które chroni tak naprawdę naszą infrastrukturę przed wyjściem na ten świat zewnętrzny. To jest ten pierwszy poziom.

Później mamy endpointy, czyli nasze końcówki. I teraz, mówię oczywiście to obrazowo, to byłaby druga warstwa tej cebuli, drugi poziom. I tych poziomów tak naprawdę jest cała masa. To, ile tych poziomów cyberbezpieczeństwa w naszej firmie będzie, zależy również od wielkości naszej infrastruktury. 

Powinniśmy również oczywiście też brać pod uwagę to, jakie dane posiadamy i ile możemy stracić w przypadku takiego cyberataku, bo oczywiste jest, że nie zainwestujemy pół miliona złotych w cyberbezpieczeństwo naszej firmy w sytuacji, gdy mamy komputery i dane na nich warte 15 tys. złotych. Musimy gdzieś to wszystko wyważać.

Natomiast tak, UTM na pewno jest tym podstawowym elementem, od którego to cyberbezpieczeństwo powinniśmy zacząć. 

A co jest ważne? W ostatnim czasie dużo słyszy się o różnych podatnościach w różnych systemach bezpieczeństwa. Dlatego nie tylko to UTM wdrożony w firmę jest ważny, powinienem dodać, że UTM z ważnymi licencjami na pobieranie nowych sygnatur. To jest bardzo ważne, ponieważ przy UTM, który posiada nieaktualne licencje, tak naprawdę nie mamy możliwości pobierania aktualnych sygnatur (a one aktualizują się cały czas, producent monitoruje ten rynek cyberzagrożeń i cały czas te aktualizacje się pojawiają). 

W sytuacji, gdy menedżerowie, decydenci, osoby, które zarządzają finansami, zdecydują, że nie wznawiamy licencji dla naszych rozwiązań cyberbezpieczeństwa, bo w ostatnich czterech latach nic się nie wydarzyło, w związku z czym działa i wydaje im się, że to nadal będzie działać – może działało właśnie dlatego, bo takie licencje były aktywne. 

Dlatego tutaj na pewno warto zwrócić uwagę na to, że taki UTM musi posiadać również aktywne licencje.

Przechodząc do modułów, o które zapytałeś, jest ich oczywiście cała masa. IBS, który ochroni naszą firmę prewencyjnie w sposób inteligentny przed włamaniami do naszej sieci; filtr URL-owy, dizęki któremu jesteśmy w stanie blokować dostępem do niepożądanych stron, które często niosą za sobą ryzyko infekcji naszej firmy; antywirus, który działa na rozwiązaniu brzegowym. Działa on sygnaturowo, ale oczywiście w sposób podstawowy oczyści nam również te załączniki, które do naszej firmy się dostają. 

Jeżeli mówimy o jakiejś bardziej rozszerzonej ochronie, to moduł typu sandboxing, który zabezpieczy nas przed zagrożeniami typu zero-day, gdzie właśnie taki załącznik w momencie, gdy trafia do naszej firmy w momencie, jeśli moduł IPS nic nie wykryje, moduł antywirus nic nie wykryje, to wtedy ten sandboxing powoduje, że taki załącznik jest wysyłany do chmury producenta, tam jest detonowany i badany w odseparowanym środowisku – po to, żeby zweryfikować anomalia, które taki załącznik może wykonać w naszej sieci.

Kolejne rozwiązanie, które jest bardzo ciekawe, bo wcale nie jest jakimś nowoczesnym, w sensie jest ono w rozwiązaniach typu UTM od dawien dawna wdrożone, ale myślę, że od inwazji Rosji na Ukrainę, czyli od ok. roku stała się bardzo ważna – geolokalizacja. 

Jak wiemy, Rosja atakując Ukrainę w pierwszych kilku dobach przed fizycznym atakiem, wykorzystała właśnie ataki hakerskie do zakłócenia działań służb ukraińskich. I tutaj jest również bardzo ważna dzisiaj geolokalizacja. Czyli dzięki geolokalizacji na rozwiązaniach UTM jesteśmy w stanie zdecydować sobie, jaki ruch, z jakich krajów, z jakich kontynentów jest przez nas oceniany jako niechciany i możemy go tak naprawdę w bardzo prosty sposób wyciąć, aby on do nas nie docierał, ale również, aby nasi pracownicy do tych serwerów się nie dostawali.

Myślę, że warto tutaj wspomnieć również w kontekście pracy zdalnej o podstawowej już dzisiaj funkcjonalności, dzieki której choćby ja jako pracownik korzystam z niej cały czas, nie ma w zasadzie dnia, kiedy bym nie spiął swojego połączenia VPN-owego z zasobami mojej firmy. 

I oczywiście à propos rozwiązania, które mam przyjemność reprezentować, rozwiązaniach Stormshield, mam możliwość spinania tuneli VPN-owych czy po IPsecu, czy po SSL-u zupełnie darmowo. A podnosząc jeszcze poziom autoryzacji użytkownika, mamy możliwość spięcia sobie tych klientów VPN-owych z zewnętrznym modułem Two Factor Authentication, który daje możliwość synchronizacji np. z Google Authenticatorem czy Microsoft Authenticatorem, co nam tutaj kompletnie podnosi bezpieczeństwo dostępu do zasobów naszej firmy.

W ostatnim czasie dużo słyszy się o różnych podatnościach w różnych systemach bezpieczeństwa. Dlatego nie tylko to UTM wdrożony w firmę jest ważny, powinienem dodać, że UTM z ważnymi licencjami na pobieranie nowych sygnatur. To jest bardzo ważne, ponieważ przy UTM, który posiada nieaktualne licencje, tak naprawdę nie mamy możliwości pobierania aktualnych sygnatur (a one aktualizują się cały czas, producent monitoruje ten rynek cyberzagrożeń i cały czas te aktualizacje się pojawiają). 

Wymieniłeś wiele modułów, które mogą być wykorzystane z powodzeniem w różnych obszarach działalności firmy, bo oczywiście to nie znaczy, że musimy wszystkie moduły wykorzystywać zawsze wszędzie, ale po prostu dobrać te, które są sensowne w naszym przypadku.

Chciałbym jeszcze wrócić do roli CEO jako osoby, która zazwyczaj ma wiele na głowie, musi zajmować się zarządzaniem firmą, planowaniem, ale też unikaniem potencjalnych ryzyk, co jest, myślę, niezwykle istotne w dzisiejszych czasach. I takim rodzajem ryzyka, o którym tutaj też już powiedziałeś, jest właśnie odpowiedzialność prawna związana z danymi, z oprogramowaniem.

Czy tutaj byłbyś w stanie wskazać jakieś rozwiązania, które sprawdziłyby się właśnie w tym obszarze?

 

Odpowiedź na to pytanie nie będzie prosta, ponieważ tutaj możliwości jest bardzo dużo. Myślę, że warto zacząć od tego, że dzisiaj żyjemy naprawdę w szalonych czasach. W zasadzie nie skłamię, jeśli powiem, że żyjemy w takiej erze ransomware as servise czy może nawet malware as a servise, gdzie w zasadzie cyberprzestępcy zaczynają trochę myśleć jak CEO. Oni są takimi swoimi szefami tego, w jaki sposób zainwestować jak najmniej, a jak najszybciej i jak najwięcej zysków sobie przynieść. Sobie, czyli oczywiście temu hakerowi atakując naszą firmę, bo ci cyberprzestępcy cały czas liczą na to, że albo wykradną jakieś ważne dane, albo po prostu, że zostanie zapłacony okup.

Można przywołać tu taki przykład, gdzie identyfikatory logowania są dostępne w cenach od ok. 100 do 1000 dolarów, a tak naprawdę możemy wyciągnąć zyski liczone w tysiącach dolarów. Więc można powiedzieć, że mamy inwestycję i mamy zwrot z tej inwestycji.

Kolejnym elementem, który na pewno można poprawić np. w naszej firmie, to są szkolenia dla naszych działów IT, ale też szkolenia po prostu dla pracowników. Są one bardzo ważne, prowadzimy je w naszym autoryzowanym centrum szkoleniowym. 

Dlaczego szkolenia? Ponieważ wiele ataków odbywa się, ponieważ sprzyjają ku temu okoliczności. Dzieje się to albo z powodu zaniedbań, albo z braku świadomości. Dużo firm posiada np. konta swoich pracowników, którzy już nie pracują w danej firmie, i okazuje się, że ci pracownicy dalej mają dostęp do pewnego rodzaju zasobów naszej firmy. To aż się prosi o to, żeby wykorzystać takie konta i żeby wykraść takie dane.

To, co jest ważne również z perspektywy CEO, na co powinni zwrócić uwagę, to że tak naprawdę często nie firma, a ten menedżer wysokiego szczebla jest celem ataku. Dlaczego? Ponieważ to on, jako menedżer wysokiego szczebla ma nieograniczone dostępy do zasobów firmy. 

Nieograniczone dostępy do bazy, do różnego rodzaju systemów, a może nawet jest właścicielem karty, która wpuszcza nas fizycznie do odpowiednich pomieszczeń naszej firmy. Więc warto również tutaj dla CEO wyjaśnić, że to on może być celem ataku. Samo przejęcie dostępu do poczty ważnej osoby w firmie może spowodować, że np. księgowość wyśle pieniądze na inne konto, niż powinna. Znamy takie ataki z sektora publicznego w Polsce. 

Jak na to można zaradzić? Oczywiście, budując świadomość naszych pracowników, budując stale świadomość naszej firmy poprzez szkolenia. Te szkolenia i rozwiązania IT wdrożone w cybersecurity powinny iść ze sobą w parze, ponieważ same rozwiązania trzeba później jeszcze nadzorować. A żeby robić to w sposób dobry, powinniśmy mieć wykwalifikowaną kadrę i świadomych pracowników – począwszy od każdego pracownika, który jest w naszej firmie, aby wiedział, w co klikać, a w co nie klikać, ewentualnie wysłać takiego maila do sprawdzenia do naszego działu cyberbezpieczeństwa.

 

Właśnie do tej kadry chciałbym się teraz odnieść, bo oczywiste jest, że każdemu CEO zależy na rozwoju firmy, i ten rozwój może być osiągnięty na kilka różnych sposobów. Jednym z nich jest podnoszenie efektywności pracy pracowników, co nie jest łatwe w czasach pracy zdalnej, różnych dystraktorów, social mediów, które nas odrywają od codziennych obowiązków.

Jestem przekonany, że każdemu CEO zależałoby na tym, żeby w jakimś stopniu tę efektywność pracy utrzymać, a idealnie byłoby ją podnosić. Tutaj też pewne aspekty związane z cyberbezpieczeństem, chociażby w kontekście pracy zdalnej występują. 

Jestem ciekaw, jak i dzięki jakim rozwiązaniom możemy ten aspekt produktywności pracowników poprawiać.

 

Produktywność to jest takie słowo, które pracownicy zawsze mogą różnie odbierać w momencie, jeżeli zacznę reklamować narzędzia, które są w stanie monitorować ich pracę. Również jestem pracownikiem, również pracuję zdalnie, słyszy się o różnych systemach wdrażanych przez pracodawców, które mierzą liczbę kliknięć myszką, czy myszka się porusza po ekranie, czas spędzony na Zoomie, na Teamsach itd.

Myślę, że powinniśmy w taki sposób budować program motywacyjny naszej firmy, żeby pracownicy wiedzieli, co mają robić, w jakim czasie mają robić, i powinniśmy również dać im większy margines zaufania. Ufajmy swoim pracownikom. Natomiast oczywiście praca zdalna niesie za sobą zwiększenie prawdopodobieństwa ataku na naszą infrastrukturę. 

Najprostszym przykładem może być korzystanie np. ze swoich prywatnych narzędzi w celu dostania się do infrastruktury naszej firmy. Z perspektywy pracodawcy zawsze powinniśmy to maksymalnie ograniczać i najlepiej ograniczać do sprzętu, który jest przez nas znany, monitorowany i zautoryzowany przez nas jako pracodawcę.

Więc jeżeli np. korzystamy z metody Single sign-on, również powinniśmy do tej metody dodać kolejny element, czyli np. Two Factor Authentication. Po to, żebyśmy byli w stanie zweryfikować, że w momencie, gdy ktoś przejmie nam tego laptopa, żeby nie miał od razu dostępu do zasobów, które były dostępne z poziomu tego oto komputera.

Ten kolejny czynnik autoryzacji w postaci np. kodów Tokena jest kolejnym elementem, który powoduje, że trudniej jest nam jako przestępcy się dostać do tych zasobów.

Ale skoro jesteśmy w ogóle przy tych czynnikach autoryzacji, to tak naprawdę, abyśmy byli bezpieczni, to ten tunel połączenia pomiędzy naszą lokalizacją zdalną a zasobem chmurowym czy serwerami naszej firmy, czyli tą chmurą prywatną, powinien być po prostu szyfrowany. Aby to było możliwe i aby ten poziom był maksymalnie wysoki, musimy taki tunel spinać po tunelu IPsecowym bądź SSL-owym, co nam podnosi poziom bezpieczeństwa naszej firmy.

Jeżeli wpuszczamy do naszej organizacji firmy outsource’ingowe, które mają wykonać jakiś serwis w naszej firmie, jakieś prace serwisowe na serwerach, mają je zaktualizować, to tutaj są narzędzia typu PAM, które dają możliwość nagrywania sesji, monitorowania ich, mierzenia czasu, autoryzowania konkretnych użytkowników do konkretnych systemów naszej firmy. W naszej ofercie takie systemy PAM również posiadamy i to jest kolejny element, który powoduje, że my jako pracodawca czujemy się bezpieczni, po drugie, wiemy, za co zapłaciliśmy. 

Firma outsource’ingowa wykonuje jakąś pracę z powodu, o którym mówiliśmy wcześniej, ponieważ nie jesteśmy np. w stanie zagwarantować wiedzy do wszystkich systemów dla naszych pracowników i wtedy korzystamy z usług takich firm. Jeżeli chcemy wiedzieć, co ta firma wykonywała na naszym serwerze, za co nam wystawiła fakturę, ile czasu to trwało, to od tego właśnie są systemy PAM, abyśmy mogli zweryfikować czas działania tej firmy. Ale myślę, że ważniejszym czynnikiem może być to, że jeżeli, nie daj Boże, coś poszło nie tak, to żebyśmy dzięki tej nagrywanej sesji byli w stanie po prostu po nitce do kłębka dojść, który z elementów ustawień został niepoprawnie skonfigurowany i to doprowadziło nam do jakiejś awarii w firmie.

Kolejnym, myślę, że bardzo ważnym elementem, o którym nie możemy zapominać są rozwiązania typu endpoint czy EDR dla klientów średnich i większych, bo EDR-a też trzeba monitorować, żeby poprawnie działał. A skoro musimy go monitorować, to musimy mieć odpowiednią ilość wykwalifikowanej załogi, która będzie w stanie z tego skorzystać i wyciągnąć wnioski.

Więc tutaj, Krzysztof, ilość systemów, jaką jesteśmy w stanie wdrożyć, to jest ta cebula, o której mówiłem na początku. Powinniśmy dostosować liczbę warstw tej cebuli, tej ochrony naszej firmy, do tego, co posiadamy w naszej firmie. Jeżeli jesteśmy firmą bardzo rozwiniętą, to wszystkie te systemy, które posiadamy u siebie, możemy zlecić również firmie zewnętrznej monitoring tych elementów w SOK-u, dzięki któremu odpowiednio wykwalifikowana załoga będzie w stanie zebrać komunikaty ze wszystkich systemów cyberbezpieczeństwa i poinformować nas o tym, co niedobrego dzieje się w naszej firmie, jeżeli oczywiście jakieś takie negatywne zdarzenia zostałyby uwidocznione przy tym monitoringu.

Jeżeli wpuszczamy do naszej organizacji firmy outsource’ingowe, które mają wykonać jakiś serwis w naszej firmie, jakieś prace serwisowe na serwerach, mają je zaktualizować, to tutaj są narzędzia typu PAM, które dają możliwość nagrywania sesji, monitorowania ich, mierzenia czasu, autoryzowania konkretnych użytkowników do konkretnych systemów naszej firmy. W naszej ofercie takie systemy PAM również posiadamy i to jest kolejny element, który powoduje, że my jako pracodawca czujemy się bezpieczni, po drugie, wiemy, za co zapłaciliśmy.

 

Mówiłeś tutaj o produktywności, o rozwiązaniach, które umożliwiają w bezpieczny sposób wykonywanie pracy, to jest niezwykle istotne dla rozwoju firmy. Innym, może trochę mniej znaczącym czynnikiem wpływającym na rozwój firmy jest obniżanie kosztów. Oczywiście pewnie znajdziemy na rynku mnóstwo rozwiązań dedykowanych poszczególnym aspektom dbania o cyberbezpieczeństwo. 

Zastanawiam się natomiast, czy byłbyś w stanie podać jakiś jeden rodzaj takich bardziej kompleksowych rozwiązań, które są w stanie pokryć więcej tych obszarów, o które trzeba zadbać w kontekście cyberbezpieczeństwa, a jednocześnie mogłyby się przełożyć na redukcję kosztów związanych z zakupem jednego rozwiązania, a nie wielu.

 

Jeżeli stajemy przed takim dylematem, że mamy bardzo mocno ograniczony budżet, to pierwszym elementem, na który powinniśmy się zdecydować, powinno być rozwiązanie UTM Next Generation Firewall. Ilość modułów bezpieczeństwa w tym rozwiązaniu jest bardzo duża i daje możliwość zaspokojenia większości potrzeb, o których w tym momencie powiedziałem. Dzięki UTM-owi i tunelom VPN-owym, które są na nim realizowane jesteśmy w stanie udzielać dostępu nawet czasowego właśnie firmom outsource’ingowym. Czyli będziemy mieli kontrolę nad tym, kto, w jakim czasie wykonywał zadania. Możemy również skonfigurować te polityki w taki sposób, aby zasoby widoczne dla tej firmy to były te konkretne zasoby, do których oni mają mieć dojście. 

Dzięki URL filteringowi możemy tak naprawdę analizować i weryfikować co i po jakich stronach surfują nasi pracownicy. Możemy ustawić harmonogram pracy, tzn. że od godziny 8 do 17 możemy naszym pracownikom bardziej ograniczyć liczbę stron, na które mogą wchodzić, a po godzinach pracy ją rozszerzyć – po to, aby mogli swobodnie surfuwać po internecie.

Antywirus – tak, jak powiedziałem, na rozwiązaniach UTM Next Generation Firewall, np. typu Stormshield, również mamy antywirusa. W tej chwili jako wersję rozszerzoną mamy antywirus europejski, który działa bardzo dobrze, jesteśmy w stanie tutaj sygnaturowo również analizować załączniki, które wpadają do naszej sieci.

Mamy możliwość wykorzystania audytu podatności, który zweryfikuje, czy aplikacje i programy, które działają na naszych systemach, są podatne na zagrożenia czyhające w internecie.

Trochę wracamy do tych modułów, o których wcześniej opowiadałem, może wymieniłem kilka nowych, natomiast chciałem też zwrócić uwagę na to, jak kompleksowe jest to rozwiązanie. To, co może zaoferować rozwiązanie Stormshield, to również fakt, że cena wznowień, utrzymania tego rozwiązania w kolejnych latach jest jedną z najbardziej konkurencyjnych na rynku. Więc tutaj bardzo miło możecie się zaskoczyć, jeżeli sobie zweryfikujecie informacje, jakie są ceny wznowień utrzymania licencji w tych rozwiązaniach. 

Więc jeżeli stoicie przed takim dylematem, że zastanawiacie się nad kilkoma systemami, ale nie ma na to pieniędzy, to wtedy krok numer jeden – wdrożenie rozwiązania UTM Next Generation Firewall, na którym posegmentujemy naszą sieć, uruchomimy WLANY i będziemy zabezpieczać również pracowników, którzy łączą się do naszych zasobów zdalnie.

 

Powiedziałeś o bardzo konkretnych rozwiązaniach, które mogą być wykorzystywane w obszarze cyberbezpieczeństwa, ale dużo też mówiłeś o wiedzy, świadomości tego obszaru i ustaliliśmy, że CEO jak najbardziej powinien też się tym obszarem interesować. Zastanawiam się, do jakiego stopnia albo w jaki sposób. Czy to nie raczej na działach technicznych spoczywa taka odpowiedzialność, żeby zainteresować CEO wagą tego problemu, czy też może nic nie stoi na przeszkodzie, żeby CEO sam z siebie wyszedł z taką inicjatywą.

 

Sądzę, że jednak inicjatywa powinna wychodzić z działu IT czy z działu cyberbezpieczeństwa. Natomiast CEO powinien mieć świadomość tego, że takie inwestycje są wymagane. Często tej świadomości nie ma, dlatego działy cyberbezpieczeństwa i działy IT powinny w odpowiedni sposób prowadzić rozmowę z CEO. 

Przede wszystkim myślę, że powinna to być rozmowa, która będzie mówiła o tym, że mamy koszty, ale mamy również korzyści. Czyli można powiedzieć, że jest to taki język kosztów i korzyści. Z jednej strony mamy koszty, ale z drugiej strony mamy ten korzystny bilans na koniec roku, w którym nie pojawiają się żadne nieprzewidziane wydatki.

Kolejnym takim bardzo ważnym punktem w tej rozmowie powinno być prawdopodobieństwo tego ataku, który może się zdarzyć. Powinniśmy uświadomić naszego menedżera, że ten haker tak naprawdę cały czas monitoruje rynek. 

Co więcej, liczba ataków hakerskich w Polsce w ostatnim czasie spadła, ale wzrósł zapłacony okup. To oznacza, że ci hakerzy, o których powinniśmy rozmawiać z naszymi menedżerami, wykonują mniej ataków, ale się lepiej do nich przygotowują. Badają czułe elementy naszej firmy, weryfikują, co się dzieje w tej firmie, kto jest słabym punktem, i później precyzyjnie uderzają i otrzymują to, co chcą – czyli albo wykradają dane, albo blokują ransomwarem dostęp do wszystkich zasobów i żądają okupu. Więc o tym na pewno powinniśmy też rozmawiać z menedżerami.

Element, o którym również wspominałem, czyli zaniedbania czy niedopatrzenia, które się pojawiają, czyli że np. pracownicy, którzy kończą współpracę, nadal posiadają dostęp do zasobów, ich konta są aktywne, co również jest elementem, dzięki któremu w prosty sposób możemy przejąć kontrolę nad danymi zasobami.

Kolejny punkt jest taki, że ten menedżer tak naprawdę, który ma dostęp do szeroko pojętych zasobów, jest najczęściej tym elementem, na którym cyberprzestępcy się skupiają, bo dzięki temu możemy skupić się tylko i wyłącznie na jednej osobie, a w zasadzie ona otwiera nam furtkę do naszej cybertwierdzy, którą próbujemy zbudować.

Reasumując, powinniśmy przedstawić wszystkie zagrożenia menedżerowi, koszty, z jakimi będzie wiązało się podniesienie i przywrócenie wszystkich naszych systemów do wersji sprzed ataku, a później oczywiście wyjaśnić ramy prawne, czyli RODO, gdzie istnieją konkretne kary, może to być 4% obrotu danego przedsiębiorstwa albo nawet 20 mln euro kary w sytuacji, gdy nie zadbamy o właściwe zabezpieczenie danych.

 

Co wynika z Twoich rozmów z klientami, czy polscy CEO mają świadomość tych zagrożeń, a z drugiej strony, myślę, rozwiązań, o których tutaj mówiliśmy? I czy według Ciebie ta świadomość ma szansę jakoś się podnosić w najbliższym czasie?

 

Sądzę, że Polska jest takim cyberliderem Europy. W ostatnim czasie w obrębie tej świadomości i tego, w jaki sposób nasz kraj rozwinął się w kontekście cyberbezpieczeństwa, dokonał się bardzo dobry punkt zwrotny. I świadomość zarówno menedżerów, jak i działów IT w kontekście inwestycji związanych z cyberbezpieczeństwem, naprawdę bardzo mocno wzrosła. 

Mogą na to wskazywać nawet rządowe programy. Czyli można powiedzieć, że ten CEO właśnie uruchamiamy, programy takie jak Cyberbezpieczeństwo dla szpitali uruchomionych przez NFZ, w tym roku uruchomiona druga część tego programu, w minionym roku program dofinansowywania z punktu widzenia cyberbezpieczeństwa dla gmin, dla powiatów. 

Liczba tych programów związanych z cyberbezpieczeństwem w Polsce pokazuje, że ta świadomość już w tej chwili jest. Myślę, że większym zmartwieniem dla CEO jest to, skąd wziąć na to wszystko środki inwestycyjne.

 

I tym optymistycznym akcentem chciałbym Ci, Piotr, podziękować za rozmowę. Piotr Zielaskiewicz z firmy DAGMA Bezpieczeństwo IT był moim gościem. Rozmawialiśmy o tym, jak przekonać CEO, że inwestycja w cyberbezpieczeństwo jest ważna.

Dziękuję Ci jeszcze raz za rozmowę.

 

Dziękuję, Krzysztof, i mam nadzieję, że to nie jest ostatni raz.

 

Mamy dobrą passę, więc pewnie tak będzie. Ale zanim się rozłączymy, chciałbym Cię jeszcze zapytać, gdzie możemy odesłać słuchaczy, gdzie możemy Cię znaleźć w internecie.

 

Zapraszam na mój profil na LinkedInie. Oczywiście zapraszam również na stronę stormshield.pl i dagma.eu. Bardzo Wam wszystkim dziękuję za wysłuchanie tego podcastu.

 

Oczywiście wszystkie linki będą w notatce do tego odcinka. Dzięki, Piotr, jeszcze raz. Udanego dnia i do usłyszenia.

Cześć!

 

Wszystkiego dobrego, cześć!

 

I to na tyle z tego, co przygotowałem dla Ciebie na dzisiaj. Po więcej wartościowych treści zapraszam Cię do wcześniejszych odcinków. A już teraz, zgodnie z tym, co czujesz, wystaw ocenę, recenzję lub komentarz w aplikacji, której słuchasz lub w social mediach. 

Zawsze możesz się ze mną skontaktować pod adresem krzysztof@porozmawiajmyoit.pl lub przez media społecznościowe. 

Ja się nazywam Krzysztof Kempiński, a to był odcinek podcastu Porozmawiajmy o IT o tym, jak przekonać CEO, że cyberbezpieczeństwo jest ważne. Zapraszam do kolejnego odcinka już wkrótce. 

Cześć!