Skuteczną ochroną przed cyberzagrożeniami jest zbudowanie kultury bezpieczeństwa w firmie. To daje gwarancję powszechnego stosowania zasad bezpieczeństwa w codziennej pracy – mówi Jacek Wesołowski, Information Security Officer w Objectivity.

Podczas konferencji „Advanced Threat Summit 2018” przedstawi Pan zasady budowania programu świadomości bezpieczeństwa w organizacji. Na ile skuteczne może być jeszcze dzisiaj odwoływanie się do postaw ludzkich w sytuacji coraz większego skomplikowania technologicznego środowisk informatycznych, wprowadzania rozwiązań bazujących na sztucznej inteligencji, wykorzystywania algorytmów działających poza świadomością ich użytkowników?

Czynnik ludzki jest i będzie kluczowy dla systemu bezpieczeństwa w firmie. Gdy wchodzą do użycia nowe technologie, to rola człowieka w korzystaniu z nich nabiera jeszcze większego znaczenia. Sztuczna inteligencja, nawet zaawansowana, ciągle jest narzędziem. Systemy stają się coraz bardziej efektywne, więc mają coraz większy wpływ na biznes. W konsekwencji człowiek jest coraz bardziej potrzebny, żeby czuwał nad ich prawidłowym działaniem. Komputery będą powoli zastępować ludzi w wielu miejscach w pracy, ale do końca nigdy nie wyeliminują udziału człowieka.

Gdy systemy stają się coraz bardziej skomplikowane, konsekwencje ich oddziaływania na różne sfery życia też mogą być bardziej znaczące. Dlatego potrzebny będzie cały czas człowiek, który będzie potrafił zarządzać wykorzystaniem najnowszych technologii. Z drugiej strony jednak, dopóki człowiek będzie czynnikiem systemu bezpieczeństwa, dopóty będzie jego najsłabszym ogniwem. Będzie też jednocześnie i tym ostatnim ogniwem, które będzie w stanie wychwycić symptomy, że dzieje się coś złego. To stawia przed ludźmi odpowiedzialnymi za bezpieczeństwo w organizacjach szczególne wyzwania w zakresie kształtowania świadomości bezpieczeństwa.

Czego w takim razie uczyć użytkowników systemów informatycznych, żeby korzystanie z nich zapewniało firmie bezpieczeństwo? Że nie należy przylepiać karteczek z hasłami na monitorze? Że nie wolno otwierać podejrzanych e-maili od nieznanych nadawców? Że nie wolno wpuszczać obcych do zakładu? Teraz to elementarz bezpiecznych zachowań, jak ktoś przychodzi do pracy, to takie rzeczy powinien już wiedzieć…

Gdyby tak faktycznie było, to nie miałbym zajęcia… Niestety, dzisiaj wciąż jeszcze cały czas trzeba wbijać te rzeczy ludziom do głowy. Podobnie jak z podstawowymi zasadami BHP, gdzie szkolenia też są organizowane non stop, chociaż każdy powinien wiedzieć, że się nie wkłada śrubokręta do gniazdka… Mówiąc ogólnie, ludzie mają tendencje do ułatwiania sobie życia, do chodzenia na skróty. A sfera bezpieczeństwa jest takim obszarem, gdzie pójść na skróty jest łatwiej i szybciej. Dlatego nad wdrażaniem właściwych reguł postępowania do codziennych zachowań trzeba cały czas pracować.

To jest praca nieustannie od podstaw, praca trudna, bo w zasadzie nigdy się niekończąca. To ciągłe kształtowanie świadomości użytkowników w obliczu zachodzących nieustannie zmian. Pojawiają się wciąż nowe rozwiązania, powstają nowe środowiska pracy; to, co wczoraj było istotne, dzisiaj już nie ma znaczenia. Przykładowo, kiedyś nikt nie przywiązywał wagi do kryptologerów, bo nie były rozpowszechnione. Mówiło się ludziom: jak masz wirusa, to komputer będzie ci wolniej chodził, zwracaj na to uwagę. Dzisiaj to niemożliwe, bo ransomware czeka ukryty w systemie, pracuje pod warstwą użytkownika i ujawnia się wtedy, gdy przychodzi czas. Mówienie więc teraz, że samemu trzeba wykryć wirusa, to absurd.

Na jakie kwestie technologiczne trzeba teraz szczególnie uczulać użytkowników, na jakie rozwiązania technologiczne zwracać ich uwagę w perspektywie polityki bezpieczeństwa? Jaką powinni mieć wiedzę z zakresu technologii, żeby mogli rozpoznać oznaki zagrożenia?

Nie ma sensu stawiać dzisiaj na samodzielne wykrywanie zagrożeń w programach. Systemy informatyczne są coraz bardziej skomplikowane, rośnie więc też i stopień skomplikowania narzędzi wykrywających. Wykrywanie zagrożeń może być elementem szkolenia, ale nie powinno być jego głównym tematem. Nacisk trzeba kłaść przede wszystkim na kształtowanie dobrych nawyków w pracy z komputerem. Warto uczyć, na jakie komunikaty systemu zwracać uwagę, jak je czytać i rozumieć oraz co w poszczególnych sytuacjach robić.

Ludzie mają tendencje do ułatwiania sobie życia, do chodzenia na skróty. A sfera bezpieczeństwa jest takim obszarem, gdzie pójść na skróty jest łatwiej i szybciej. Dlatego też nad wdrażaniem właściwych reguł postępowania trzeba pracować cały czas.

Na ile użyteczne mogą tu być rozwiązania bazujące na sztucznej inteligencji? W jakim zakresie sztuczna inteligencja może wesprzeć użytkowników w bezpiecznym korzystaniu z coraz bardziej skomplikowanych systemów?

Perspektywy użycia są duże, konkretne zastosowania zależą jednak od wielu różnych czynników – społecznych, psychologicznych, prawnych. Jednym z możliwych zastosowań jest monitorowanie zachowań pracownika i dawanie mu podpowiedzi na podstawie analizy tego, co robi, np.: to, co teraz robisz, nie jest właściwe, to jest niebezpieczne, albo: zrobiłeś to dobrze, dalej tak postępuj. Tu oczywiście wchodzimy w sferę prywatności, bo system musiałby mieć dostęp do wszystkiego, co pracownik robi na komputerze, zbierać informacje o każdym otwartym oknie, każdej otwartej aplikacji, każdym wykonanym kliknięciu… Czy chcielibyśmy się zgodzić na taką ingerencję w nasze działania?

Wyjściem mogłyby być analizy statystyczne…

Tak, tu sprawdziłby się np. software skierowany na wykrywanie pracowników stanowiących potencjalne zagrożenie. Analizy byłyby robione w odniesieniu do określonych profili zachowań, system brałby m.in. pod uwagę nawyki pracowników – kiedy kto przychodzi do pracy, co najpierw uruchamia na komputerze, w jakim tempie wystukuje dane lub polecenia na klawiaturze. Chodziłoby o wykrywanie anomalii, to byłaby podstawa do sprawdzenia, dlaczego ktoś, kto zawsze przychodził do pracy o 8.00, nagle zaczął przychodzić o 7.30.

Sztuczna inteligencja może pomagać w walce z zagrożeniami, ale też może być użyta jako narzędzie ataków. Nowe rodzaje niebezpieczeństw mogą też wynikać z faktu zastosowania rozwiązań bazujących na sztucznej inteligencji w systemach biznesowych. Czy należy wobec tego uczyć pracowników podstaw sztucznej inteligencji, by lepiej przygotować ich do skutecznego stawienia czoła nowym zagrożeniom?

Nie ma sensu wchodzić głęboko w technologie. Trzeba raczej skupiać się na tym, jak obsługiwać programy, jak wchodzić w interakcję z systemem, niż uczyć o tym, jak od strony technicznej działają poszczególne narzędzia. Lepiej uczyć zachowań. To, co w środku systemu, to domena wąskiej grupy specjalistów. Użytkowników trzeba raczej uwrażliwiać na konieczność stosowania procedur, uczulać ich na zwracanie uwagi na komunikaty systemowe i anomalie w działaniu programów.

W szkoleniu z cyberbezpieczeństwa nie ma sensu wchodzić głęboko w technologie. Trzeba raczej skupiać się na tym, jak obsługiwać programy, jak wchodzić w interakcję z systemem, jak rozumieć pochodzące z niego komunikaty i jak na nie reagować.

Na ile realne w świecie coraz bardziej zaawansowanych technologii, rozwiązań korzystających z coraz bardziej złożonych, działających niezależnie od człowieka algorytmów są zagrożenia oparte na najprostszych, fizycznych wręcz metodach działania? Powiedzmy, że ktoś wchodzi do serwerowni z dyskietką czy nawet z kartką papieru i długopisem w kieszeni i w ten sposób wyprowadza ważne dane z firmy. Czy jeszcze trzeba na takie rzeczy zwracać uwagę w programach kształtowania świadomości bezpieczeństwa w organizacji?

Posłużę się przykładem z wojska. Mamy coraz bardziej zaawansowane środki łączności. Nie wykryjemy jednak niczego, jeśli pododdział wyjdzie w pole i będzie się posługiwał do komunikacji chorągiewkami. Znika wtedy z pola widzenia, nie zostawia śladów elektromagnetycznych. Tak samo sam człowiek wchodzący do firmy może być poważnym zagrożeniem. A jak będzie bardzo chciał, to zawsze wejdzie, mimo kamer, mimo kart, mimo czujników. Są na to różne sposoby…

Socjotechnika wciąż górą?

Ona nigdy nie straci znaczenia. Bo zawsze człowieka można do czegoś zmusić, przekupić, zmanipulować, przekonać, zaszantażować czy ukierunkować. Mimo używania zaawansowanej techniki nigdy nie możemy powiedzieć, że mamy spokój i możemy czuć się w pełni bezpiecznie.

Jakie czynniki są kluczowe dla efektywnego kształtowania postaw bezpieczeństwa w firmie?

Potrzebna jest przede wszystkim zmiana sposobu myślenia o samym programie kształtowania świadomości bezpieczeństwa (security awareness). Powszechnie przeprowadza się szkolenia, odpytuje uczestników, potem jeszcze robi e-learning… Wszyscy są przekonani, że każdy przyswoił wiedzę i można się tym chwalić podczas audytu. Takie działania nie pozwalają jednak na zakorzenienie postaw bezpieczeństwa w świadomości pracowników.

Kluczowe jest, aby doprowadzić do wprowadzenia zagadnień bezpieczeństwa do środowiska pracy, do codziennych działań i zachowań pracowników. Nie werbalnie, ale innymi, bardziej angażującymi metodami. Można m.in. użyć do tego gier komputerowych, programów wykorzystujących wirtualną rzeczywistość – ludzie bawią się i rywalizują ze sobą, szukając, powiedzmy, punktów zagrożenia w firmie. Są wtedy bardziej zaangażowani w problematykę bezpieczeństwa, zanurzeni w nią, otoczeni nią.

Socjotechnika nigdy nie straci znaczenia. Bo zawsze człowieka można do czegoś zmusić, przekupić, zmanipulować, przekonać, zaszantażować czy ukierunkować. Mimo używania zaawansowanej techniki nigdy nie możemy powiedzieć, że mamy spokój i możemy czuć się w pełni bezpiecznie.

W firmach jest jednak rotacja, pracownicy się zmieniają. Jak zapewnić stałą wewnętrzną integrację postaw bezpieczeństwa z codziennym działaniem organizacji w dłuższej perspektywie?

To nie jest problem. Zazwyczaj zmienia się jedynie około 10% stanu zespołu. Przy silnej, dobrze ukształtowanej kulturze organizacji pozostałe 90% może przekazać kolejnym przychodzącym obowiązujące zasady i reguły, wdrożyć ich w istniejące warunki i procedury. Ludzie pracujący w firmie nasiąkają jej kulturą. Jeśli będą w niej mocno osadzone kwestie bezpieczeństwa, to nimi też nasiąkną. Największym wyzwaniem jest zbudowanie takiej kultury – bo potrzebne są na to środki, bo przeszkadza codzienna walka o priorytety itd. Tu też jest duża rola menedżerów, bo to oni od pierwszych dni kształtują postawę pracownika. Jeśli od początku będą go uwrażliwiać na kwestie bezpieczeństwa, to nimi nasiąknie i będzie się z nimi identyfikował.

Rozmawiał Andrzej Gontarz.

Jacek Wesołowski będzie prelegentem na konferencji „Advanced Threat Summit”, 13–14 listopada 2018 r. w Warszawie. Tegoroczna edycja poświęcona jest tematyce cyberbezpieczeństwa w dobie automatyzacji i sztucznej inteligencji. Więcej informacji o programie można znaleźć na stronie ATS.