Zorganizowane po raz trzeci we Wrocławiu „Technology Risk Management Forum” pozwoliło na świeżo spojrzeć na wciąż zmieniające się cyberzagrożenia w czasach cyfrowej transformacji. Jednym z podstawowych założeń tegorocznej konferencji było przekonanie do stosowania holistycznego i systemowego podejścia do bezpieczeństwa. Ułatwia ono pełniejsze zrozumienie pojawiających się zagrożeń, sposobów działania oraz motywacji cyberprzestępców. Pozwala również na lepsze poznanie własnej organizacji, jej słabości oraz skutecznych metod obrony.

Rozpoznanie zagrożeń zewnętrznych i wroga (kim jest napastnik?) ma podstawowe znaczenie w cyberbezpieczeństwie. Równie ważne jest uświadomienie sobie własnych słabych i mocnych i stron. Warto wyjść poza swój, ograniczony siłą rzeczy, punkt widzenia i spojrzeć na problem zagrożeń z wielu perspektyw jednocześnie.

Kilkakrotnie podczas konferencji podkreślano, że bezpieczeństwo informacji w firmie to nie tylko korzystanie z technologii, będących de facto jedynie narzędziami i jednym z wielu czynników bezpieczeństwa. Niezbędne jest wypracowanie i praktykowanie kompleksowych strategii bezpieczeństwa, a także modeli decyzyjnych, procedur i polityk realizowanych przez profesjonalistów.

„Naszym celem w tym roku było pokazanie, jak można w sposób świeży spojrzeć na bezpieczeństwo w firmie – jak możemy wyjść poza własną strefę komfortu i przyjrzeć się problemom cyberzagrożeń oraz ryzyk z wielu różnych perspektyw. Przyjęcie takiej optyki pomaga uzyskać holistyczne podejście do kwestii bezpieczeństwa i lepiej zrozumieć zagrożenia, z którymi przychodzi nam codziennie walczyć, a które ciągle się zmieniają w sposób wykładniczy. Pozwala również przyjrzeć się sobie, własnej organizacji, podatnościom i słabościom, z którymi przychodzi nam się zmagać, oraz sposobom skutecznej obrony” – mówił Łukasz Guździoł, Head of Frameworks – Global Governance & Chief Information Security Officer PL & ISSA BoD Member, Credit Suisse/TRISW/ISSA Polska, przewodniczący Rady Programowej tegorocznego „Technology Risk Management Forum”.

Niezbędne jest wypracowanie i praktykowanie kompleksowych strategii bezpieczeństwa, a także modeli decyzyjnych, procedur i polityk realizowanych przez profesjonalistów.

Największym wrogiem bezpieczeństwa pozostaje złożoność. Upraszczanie środowiska jest kluczowe w walce z cyberzagrożeniami. Koncepcja tzw. zwinnego podejścia do bezpieczeństwa (agile security) uwzględnia nie tylko reagowanie i obronę przed atakiem, ale również wyprowadzenie kontrataku i utrudnianie dalszych działań napastnikowi. „Predykcja, przewidywanie, gdzie może nastąpić atak, to umiejętności, które będą niezbędne w przyszłości” – przekonywał podczas panelu dyskusyjnego Łukasz Guździoł.

Bezpieczeństwo jest procesem, nie produktem. Sytuacja w jego obrębie dynamicznie się zmienia. Ustalone raz polityki szybko się dezaktualizują. Dlatego też liniowe podejście i tradycyjne narzędzia obrony to za mało. Potrzebujemy nowych metod i świeżego, innowacyjnego traktowania spraw bezpieczeństwa oraz zintegrowanych platform i strategii obrony.

Największym wrogiem bezpieczeństwa pozostaje złożoność. Upraszczanie środowiska jest kluczowe w walce z cyberzagrożeniami.

Komunikacja ma kluczowe znaczenie

W ramach konferencji zorganizowany został pokaz ćwiczenia typu tabletop excercise. Opierając się na przygotowanym uprzednio scenariuszu, zaprezentowano oryginalną inscenizację przebiegu sytuacji kryzysowej związanej z wystąpieniem cyberincydentu w firmie. Celem było pokazanie, jak powinna (i nie powinna) wyglądać komunikacja zewnętrzna i wewnętrzna oraz jak należy reagować w sytuacji kryzysowej.

Komunikacja w sytuacjach kryzysowych ma kluczowe znaczenie. Dlatego też jej zasady – zarówno w odniesieniu do mediów, klientów, służb, jak i wewnątrz firmy – muszą być wcześniej starannie przygotowane. Ustalony musi być język i słownik alertowania. Warto też potem ćwiczyć różne scenariusze zdarzeń i testować plany ciągłości działania.

„Specjaliści ds. bezpieczeństwa wiedzą coraz więcej, ale w coraz węższym zakresie tematów. Dlatego też podejście holistyczne i systemowe jest niezbędne wobec rosnącej złożoności i liczby cyberzagrożeń w czasach cyfrowej transformacji” – podkreślał Filip Nowak, niezależny ekspert.

Komunikacja w sytuacjach kryzysowych ma kluczowe znaczenie. Dlatego też jej zasady – zarówno w odniesieniu do mediów, klientów, służb, jak i wewnątrz firmy – muszą być wcześniej starannie przygotowane.

♦♦♦  PRELEGENCI POWIEDZIELI  ♦♦♦ 

Adam Haertle, redaktor naczelny, ZaufanaTrzeciaStrona.pl

Nieznane skutki znanych incydentów

300 firm, 22 banki, 6 dostawców energii elektrycznej, 6 sieci handlowych, 2 firmy medyczne, 7 instytucji rządowych i 12 firm z sektora mediów – tyle organizacji dotknęły najpoważniejsze incydenty bezpieczeństwa w ostatnich kilkunastu miesiącach. Nie zawsze udaje się odpowiednio wcześnie zareagować na cyberzagrożenia. Konieczne stają się cyberpolisy. Ubezpieczyciele stosują reasekurację, rozkładając ryzyko na wiele podmiotów.

Alexander Melis, Global Lead for Data Centric Security Services, EY oraz Sourabh Khurana, Assistant Manager – Information Security, EY

DevSecOps – chodzi o kulturę organizacji

Bezpieczeństwo musi być włączane w procesy tworzenia systemów IT z wykorzystaniem modelu DevOps. Przy wdrażaniu DevSecOps potrzebne są otwarte platformy i wsparcie Security Governance. Do zwiększania wydajności ochrony niezbędne są automatyzacja i samoobsługa. Przyszłość to technologie RASP (Runtime Application Self-Protection) i IAST (Interactive Application Security Testing).

Paweł Pietrzak, Systems Engineer, FireEye

Zagrożenia w usługach chmurowych

Lista ryzyk i zagrożeń związanych z migracją do środowisk chmurowych jest dosyć długa: naruszenia ochrony danych, przejmowanie danych uwierzytelniających, przejmowanie kont, hakowanie API i interfejsów, wykorzystanie luk w systemach ochrony, wewnętrzne zagrożenia, utrata danych, nadużycia wykorzystujące technologie usług chmurowych, ataki DDoS, phishing itp. Korzystając z platform cloud trzeba mieć pełną widoczność całego środowiska, w którym znajdują się nasze zasoby, kontrolować logi i przeprowadzać własne ich analizy.

Andrzej Sawicki, Sales Engineer, Trend Micro i Marcin Krzemieniewski, Business Line Manager-Security, Dimension Data Polska

Ochrona przed podatnościami w świecie hybrydowego IT

Podatności stanowią coraz większe wyzwanie dla działów IT w hybrydowym środowisku teleinformatycznym. Same nie znikają, „załatanie” ich wymaga długotrwałego i skomplikowanego procesu. Regularnie pojawiają się nowe ich mutacje i wersje. Środowisko ICT staje się coraz bardziej zróżnicowane, złożone i hybrydowe: chmury prywatne i publiczne, serwery fizyczne i wirtualne itd. Potrzebne są specjalne narzędzia (m.in. typu threat intelligence), spójna polityka ochrony oraz rozwiązanie problemu odpowiedzialności: kto za co odpowiada?

Błażej Boczula, specjalista ds. bezpieczeństwa teleinformatycznego

Deus ex Machine Learning – prolog w dramacie cyberbezpieczeństwa?

Największy problem związany z zastosowaniem innowacyjnych technologii, takich jak Machine Learning czy Deep Learning, do wspomagania ochrony infrastruktury teleinformatycznej polega na tym, że trudno wyobrazić sobie stworzenie uniwersalnej, jednej aplikacji skutecznie działającej we wszystkich systemach.

Artur Marek Maciąg, Information Security Senior Analyst, Inicjatywa Kultury Bezpieczeństwa

Jak przetrwać kolejną transformację (cyfrową oczywiście), czyli no Risk – no Fun, no Pain – no Gain:

W wyniku cyfrowej transformacji biznesu powstają nowe ryzyka, którymi muszą się zajmować specjaliści ds. bezpieczeństwa. Jeżeli używamy nowych technologii do zabezpieczania swoich zasobów, zweryfikujmy je przed zastosowaniem. Ograniczone zaufanie, wirtualizacja, separacja i proxy – te techniki zabezpieczeń polecam na czas cyfrowej transformacji.

Piotr Pobereźny, Regional Account & Channel Manager, North CEE, Qualys

Dialekty cyberbezpieczeństwa – jak się komunikować, aby skutecznie dotrzeć i zaangażować nietechnicznych odbiorców

W ramach wyznaczania perymetrów obrony budujemy fortece, ale przecież atak na naszą infrastrukturę może nastąpić też z góry („samolotowy”), albo z dołu („z łodzi podwodnej”). Ważne jest wypracowanie odpowiedniej odporności, wtedy trudniej będzie nas zaatakować. Analiza ryzyka i współpraca budują odporność. Pomoże też posługiwanie się właściwym językiem bezpieczeństwa IT.

Daniel Donhefner, IBM Security Poland Site Leader, IBM

Czy jesteś gotowy na incydenty cyberbezpieczeństwa?

200 dni średnio zajmuje wykrycie incydentu w firmie, a 77% organizacji nie ma przygotowanego odpowiedniego planu reagowania na atak. Często brakuje tzw. higieny bezpieczeństwa oraz podstawowej świadomości zagrożeń. Ważne, aby ćwiczyć plany odpowiedzi na incydenty.

Ireneusz Tarnowski, główny ekspert bezpieczeństwa ds. analizy zagrożeń, Bank Zachodni WBK

CTI – poznanie innych i poznanie siebie to zwycięstwo bez ryzyka

Ważne jest rozpoznanie nie tylko zagrożeń zewnętrznych, ale i tych we własnej organizacji. Musimy wiedzieć, z kim walczymy, przed kim budujemy obronę. Poznanie adwersarza ułatwi dobranie odpowiednich środków obrony. Nie lekceważmy wroga!

Michał Taterka, inżynier systemowy, Fortinet

Konsolidacja systemów bezpieczeństwa – Fortinet Security Fabric

Cyberbezpieczeństwo jest procesem ciągłym, nie produktem. Otoczenie dynamicznie się zmienia wskutek procesu transformacji cyfrowej, dlatego raz ustalone polityki ochrony szybko się dezaktualizują. Minimalizacja liczby incydentów wymaga zintegrowania narzędzi obronnych, zasobów i ludzi, spójnego zarządzania oraz raportowania.

 ♦♦♦  Dyskusja panelowa: Bezpieczeństwo – co robimy źle  ♦♦♦

Grzegorz Długajczyk, szef Technology Risk Team, ING Bank

W zapewnianie bezpieczeństwa powinniśmy przede wszystkim angażować jednostki biznesowe. Strata, która wynika z niewłaściwego zabezpieczenia technicznego, będzie zawsze miała wpływ na biznes.

Tomasz Bujała, kierownik Biura Bezpieczeństwa Teleinformatycznego, Grupa Ubezpieczeniowa Europa

Automatyzacja szybko postępuje, ale to człowiek powinien zapewnić prawidłowe i skuteczne działanie systemów.

Adam Marczyński, dyrektor ds. bezpieczeństwa, Biuro Informacji Kredytowej

Przestępcy wymyślający i przygotowujący nowe ataki są zwykle stroną innowacyjną. W odpowiedzi na innowacje dostawcy proponują rozwiązania, które wdrażamy – w efekcie zawsze jesteśmy drudzy. To błędne koło. Dlatego potrzebne jest wypracowanie nowych metod i zmiana podejścia.

Łukasz Guździoł, Head of Frameworks – Global Governance & Chief Information Security Officer PL & ISSA BoD Member, Credit Suisse/TRISW/ISSA Polska

W 2018 roku w raporcie „World Economic Forum” uznano po raz pierwszy cyberataki za globalne zagrożenie dla gospodarki światowej. Stopień skomplikowania kodów aplikacji, które staramy się chronić, wzrósł ogromnie. Proste urządzenia mają 1 mln linijek kodu, nowoczesne samochody mają ponad 10 mln linijek kodu. Przyjmuje się, że na każdy tysiąc linii kodu deweloper robi średnio 20–30 błędów, które potem mogą wykorzystywać hakerzy.

Drenaż mózgów w IT: czy można powstrzymać odpływ specjalistów dzięki turkusowemu modelowi zarządzania?

Ryzyko utraty myślących pracowników to duże zagrożenie w branży IT. Dlatego warto poszukiwać nowych modeli zarządzania. Jednym z nich jest turkusowy model organizacji, czyli samoorganizującego się zespołu, działającego na zasadzie żywego organizmu, z nastawieniem na zaufanie i współpracę, bez szefów, naczelników oraz kierowników. Wykorzystuje się tu wiedzę ekspercką wszystkich pracowników. Decydują ci, którzy wiedzą, a reszta ma do nich zaufanie.

W turkusowym modelu zarządzania decyzyjność jest zdecentralizowana, dominuje proces doradczy. Pracownicy sami włączają się w projekty, spotkania są organizowane ad hoc, stosowana jest naturalna priorytetyzacja zadań. Wydajność zespołu jest mierzona poprzez indywidualne oceny pracowników mających pełny dostęp do informacji.

Turkusowe podejście w 3 krokach: 1. Robisz to, co potrafisz; 2. Robisz to, co jest potrzebne; 3. Jesteś za to odpowiedzialny.

Krzysztof Szyling, Infrastructure Solutions Architect, Credit Suisse

Nie tylko samo RODO, czyli co jeszcze ułatwiłoby użytkownikom odzyskanie zaufania do bezpieczeństwa technologii?

Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) stworzyła wspólne ramy certyfikacji cyberbezpieczeństwa. Projekt rozporządzenia tworzy mechanizm ustanawiania europejskich systemów certyfikacji bezpieczeństwa dla konkretnych procesów, produktów i usług ICT. Ocenie poddawana będzie np. odporność na przypadkowe lub złośliwe utraty czy zmiany danych.

Certyfikaty będą ważne we wszystkich krajach UE, co ma ułatwić użytkownikom uzyskanie zaufania do bezpieczeństwa technologii oraz umożliwić przedsiębiorstwom prowadzenie działalności transgranicznej. Certyfikacja będzie dobrowolna, o ile w prawie UE lub państw członkowskich nie określono inaczej.

Będą trzy różne poziomy zaufania: podstawowy, istotny i wysoki. Na poziomie podstawowym producenci lub usługodawcy będą mogli samodzielnie przeprowadzić ocenę zgodności. Zarówno Rada UE, jak i Parlament UE muszą uzgodnić ostateczny tekst, zanim wejdzie on w życie.

Tomasz Soczyński, dyrektor Zespołu Informatyki, Urząd Ochrony Danych Osobowych

Konferencja Technology Risk Management Forum 2018 została zorganizowana przez firmę Evention.