Dział bezpieczeństwa musi wychodzić naprzeciw nowym zjawiskom i trendom. Tylko w ten sposób może skutecznie wspierać biznes – mówi Ewa Piłat, Chief Technology Security Officer w Vodafone UK.

W wystąpieniu podczas „Advanced Threat Summit 2017″, poświęconym budowaniu strategii cyberbezpieczeństwa, praktycznie nie mówiła Pani o technologii. Czy właśnie tak należy podejść do budowania strategii? Czy powinna być ona neutralna technologicznie?

Nie, to raczej ograniczenie wynikające z charakterystyki wystąpień konferencyjnych. Na pewnym etapie działań trzeba zejść do poziomu technologii. Staje się to konieczne w momencie, kiedy zaczynamy prowadzić analizę mającą na celu opisanie aktualnej sytuacji w organizacji. Ta analiza musi być bardzo szczegółowa, detaliczna, żeby precyzyjnie pokazać miejsce, w którym się znajdujemy. Jeśli poruszalibyśmy się wyłącznie na wysokim poziomie ogólności, to nie bylibyśmy w stanie określić, co trzeba zrobić, żeby przejść z obecnego miejsca do punktu docelowego. Nie wiedzielibyśmy, jak zrealizować postawione cele.

Czy z tego wynikają główne różnice między różnymi strategiami? Na ile strategia cyberbezpieczeństwa może być wspólna dla podobnych organizacji z tej samej branży?

Elementem wspólnym będą cele i zakres cyberbezpieczeństwa. Strategiczne cele będą zawsze takie same. Po pierwsze, mamy ochronę, po drugie, wykrywanie, po trzecie – reagowanie. Chronimy to, co posiadamy. Naruszenia wykrywamy dzięki wyspecjalizowanym systemom, korelującym informacje z różnych źródeł. Możemy wykrywać ataki, zanim faktycznie do nich dojdzie. Wiedząc, że może dojść do ataku, jesteśmy w stanie podjąć kroki, które temu zapobiegną. Niestety, czasem nie jesteśmy w stanie czegoś wykryć i zapobiec niechcianemu zdarzeniu. Dlatego musimy reagować – potrzebne są procesy, które w sposób efektywny złagodzą efekty ataków.

Realizację celów zawsze dopasowujemy do potrzeb konkretnej organizacji. Strategie będą się różnić pod względem tego, co należy chronić, a także tego, jakie wykorzystywane są obecnie technologie. O różnicach branżowych decyduje głównie zróżnicowanie pod względem poziomu cyfryzacji – inny będzie w farmacji czy sektorze finansowym, a inny w przemyśle budowlanym.

Jedną ze skuteczniejszych metod przekonywania zarządu do zainicjowania wdrożenia strategii cyberbezpieczeństwa jest prośba o zaakceptowanie ryzyka.

Podczas wystąpienia mówiła Pani również o tym, że budowa strategii cyberbezpieczeństwa trwa miesiącami. Czy ten proces można przyspieszyć, np. zatrudniając zewnętrzną firmę?

Oczywiście, firma zewnętrzna może wspierać budowę strategii. Można dzięki temu przyspieszyć jej opracowywanie. Organizacja musi jednak sama wykonać większą część pracy związanej z analizą. Ogólnie rzecz ujmując, zlecenie przygotowania strategii to dobry pomysł, ale należy być ostrożnym. Trzeba uważać, żeby firma zewnętrzna nie narzuciła trybu i celów, które sama ma do zrealizowania. I żeby to wsparcie było cały czas kontrolowane.

Decydując się na outsourcing, musimy już wiedzieć, co chcemy zrobić. Zewnętrzna firma może dostarczyć materiał, zweryfikować przy współpracy z IT to, co już mamy. Skracamy czas, ponieważ jesteśmy w stanie wykonać pewne kroki równolegle. Przy braku zasobów takie działania są po prostu niemożliwe.

Nie może być tak, że na etapie planowania systemu bezpieczeństwa bierzemy pod uwagę wyłącznie istniejące, dostępne na rynku rozwiązania. Za pięć lat będą one przestarzałe, często nie będą nawet serwisowane przez producenta.

Jak przekonać zarząd, że organizacja potrzebuje strategii cyberbezpieczeństwa?

Jedną ze skuteczniejszych metod przekonywania zarządu do zainicjowania wdrożenia strategii cyberbezpieczeństwa jest prośba o zaakceptowanie ryzyka.

Przyjęcie przez pion bezpieczeństwa funkcji budowania świadomości jest korzystne pod wieloma względami. Nie jest moją rolą zmuszanie zarządu do podjęcia decyzji. Ani walka, ani przekonywanie, że musimy coś zrobić. Ja podchodzę do tego z drugiej strony. Pokazuję, jakie ryzyka istnieją i na poparcie przedstawiam przykłady. Mówię: takie są ryzyka, takie są zagrożenia, takie są przykłady ataków na konkurencję czy firmy z innych branż. Jeśli nie zrealizujemy trzech podstawowych celów cyberbezpieczeństwa, to również nas może to spotkać. Czy zarząd akceptuje taki stan rzeczy?

Kiedy uda się zaangażować zarząd, kiedy strategia będzie stanowić inicjatywę zarządu, to wszyscy – wszystkie jednostki organizacyjne, które są istotne z punktu widzenia całościowego bezpieczeństwa – będą zobowiązani do jej wdrażania.

Potrzebne jest regularne aktualizowanie strategii w zależności od zmieniających się czynników zewnętrznych. Podstawą jest uważne obserwowanie trendów rynkowych i technologicznych, a następnie właściwe reagowanie.

 To czynniki wewnętrzne wpływające na strategię. Zwracała Pani również uwagę, żeby nie pomijać czynników zewnętrznych…

Trzeba wziąć pod uwagę przede wszystkim dwa czynniki zewnętrzne. Jeden z nich to nowe regulacje. GDPR to doskonały przykład. Wprawdzie ochrona danych osobowych zawsze była istotna, GDPR nie zmienia drastycznie całego podejścia do tego obszaru. Zmieniają się jednak konsekwencje – wysokość potencjalnych kar. To należy uwzględnić w strategii.

Drugi czynnik to technologia. Strategia cyberbezpieczeństwa ma zwykle w dojrzałych organizacjach charakter 3–5-letni. Jeśli budujemy środowisko cyberbezpieczeństwa i chcemy, żeby nasze systemy wspierały nas zgodnie z wszelkimi trendami, to nie może być tak, że na etapie planowania bierzemy pod uwagę wyłącznie istniejące, dostępne na rynku rozwiązania. Za pięć lat będą one przestarzałe, często nie będą nawet serwisowane przez producenta.

Obecnie większość usług wchodzi do chmury. To dobry moment, żeby zastanowić się, czy bezpieczeństwo także nie powinno postawić na rozwiązania chmurowe. Czy zamiast inwestować w niezwykle kosztowne urządzenia fizyczne, które ulokujemy we własnym centrum danych, nie lepiej będzie skorzystać z modelu subskrypcyjnego?

To chyba wyjątkowo trudne przewidzieć zmiany technologiczne w perspektywie kilkuletniej?

Oczywiście, że to nie jest proste, ale nie jest też niemożliwe. Potrzebne jest regularne aktualizowanie strategii w zależności od zmieniających się czynników zewnętrznych, w tym wypadku technologicznych. Podstawą jest uważne obserwowanie trendów rynkowych i technologicznych, a następnie właściwe reagowanie. Wprowadzenie zmian w obszarze technologicznym nie oznacza konieczności zmieniania całej strategii. Dostosowujemy ją jedynie do aktualnych albo do przyszłych warunków.

Przykładowo: mamy system wykrywania włamań. Kupując ten system, zakładaliśmy, że będziemy go używać przez trzy lata – taki jest średni cykl życia współczesnych technologii. Mając jednak 5-letnią strategię, już po drugim roku użytkowania, a czasem nawet już po pierwszym, powinniśmy się zastanowić, czy musimy kupić znowu taki sam system, czy też może potrzebujemy czegoś innego.

Obecnie większość usług wychodzi do chmury. To dobry moment, żeby zastanowić się, czy bezpieczeństwo także nie powinno postawić na rozwiązania chmurowe. Czy zamiast inwestować w niezwykle kosztowne urządzenia fizyczne, które ulokujemy we własnym centrum danych, nie lepiej skorzystać z modelu subskrypcyjnego? Dodatkową korzyścią będzie to, że zobaczymy trendy kształtujące się nie tylko wewnątrz naszej organizacji, opierające się na naszych scenariuszach zagrożeń. Będziemy mogli także wyrobić sobie opinię na podstawie zewnętrznych informacji, do których dostęp mają usługodawcy współpracujący z wieloma klientami na całym świecie.

Wspominała Pani o modelu subskrypcyjnym. Tradycyjne podejście do bezpieczeństwa i cloud computing nie idą raczej w parze. Czy to się właśnie zmienia?

Zdecydowanie tak. Dzisiaj chyba nikt nie ma wątpliwości, że chmura obliczeniowa to przyszłość. Przynajmniej w Wielkiej Brytanii. Tutaj większość dużych firm w swoje długookresowe, 3–5-letnie strategie ma wpisane wyjście z serwisami świadczonymi klientom do chmury. Co więcej, firmy często zastanawiają się – oczywiście decyduje o tym wyższa efektywność finansowa – nad połączeniem obszarów IT i sieci poprzez używanie nowych technologii takich jak SDN (Software Defined Networks) czy NFV (Network Function Virtualization). To technologie, które pozwalają wirtualnie albo programowo zarządzać siecią i systemami.

Jeśli będziemy się temu trendowi opierać, będziemy się cofać. Nie można zapominać, że rolą bezpieczeństwa jest wychodzenie nowym zjawiskom naprzeciw. Jeśli wiadomo, że firma będzie dostarczać usługi z chmury publicznej, np. Amazon czy Cisco, to naszą rolą jest zapewnienie, żeby nie tylko polegać na bezpieczeństwie oferowanym przez chmurę i jej dostawcę poprzez odpowiednie umowy. Musimy mieć także aktywny wpływ na to, jak bezpieczeństwo jest zorganizowane i zrealizowane. Mimo że jesteśmy klientami, powinniśmy kontrolować poziom bezpieczeństwa usług. Alarmy i weryfikowanie podatności, które będzie się odbywać się chmurze, będzie widoczne również w naszych systemach monitorujących.

Naszą rolą jest zapewnienie, żeby nie tylko polegać na bezpieczeństwie oferowanym przez dostawcę chmury poprzez odpowiednie umowy. Musimy mieć także aktywny wpływ na to, jak bezpieczeństwo jest zorganizowane i zrealizowane. Mimo że jesteśmy klientami, powinniśmy kontrolować poziom bezpieczeństwa usług.

Czy jest coś, co Panią zaskoczyło, kiedy zaczęła Pani pracę w cyberbezpieczeństwie w Wielkiej Brytanii?

Chyba największym zaskoczeniem był znacznie wyższy poziom cyfryzacji biznesu i całego społeczeństwa. Wyższa jest także dojrzałość, przynajmniej dużych organizacji, pod względem bezpieczeństwa. Jest jednak na to proste wyjaśnienie: Wielka Brytania jest w większym stopniu narażona na ataki. Decyduje o tym wielkość gospodarki oraz pozycja na arenie międzynarodowej. To sprawia, że skala zagrożeń jest inna, a także cele ataków odmienne niż w Polsce. Obserwowane przez mnie próby ataku są zwykle sponsorowane przez duże organizacje albo przez rządy innych krajów. Mamy do czynienia głównie z atakami z Chin, Rosji, Zachodniej Afryki, Indii.

Pewnego rodzaju zaskoczeniem była niezależność działu bezpieczeństwa i jego mocna pozycja wewnątrz organizacji. W Polsce cyberbezpieczeństwo jest niedoinwestowane. Po części powodem jest wspomniana już inna skala zagrożeń. Brakuje także powszechnie znanych przykładów zdarzeń, które mogłyby zagrozić istnieniu przedsiębiorstwa.