Majowe spotkanie CSO Council, odbywające się po raz kolejny w formie wideokonferencji, poświęcone było architekturze bezpieczeństwa jako ważnej i wciąż niedocenianej dziedzinie cyberbezpieczeństwa. Uczestnicy spotkania zastanawiali się, czym powinna być architektura cyberbezpieczeństwa i kto ma zajmować się jej tworzeniem oraz utrzymaniem. Jakie kompetencje są do tego potrzebne i czy zapotrzebowanie na architektów cyberbezpieczeństwa będzie rosło? Spotkanie odbyło się pod hasłem „Architektura cyberbezpieczeństwa – czyli planowanie i strategia dla CISO”. 

Architektura bezpieczeństwa, pokrewna architekturze IT, to oznaka poważnego podejścia do budowania cyberbezpieczeństwa w organizacji – zapisano w wyjściowych założeniach do programu majowego spotkania CSO Council. Obejmuje relacje między różnymi elementami cyberochrony, strukturę systemu cyberbezzpieczeństwa i wbudowane w nią elementy kontrolne. Przynosi korzyści uzyskane dzięki standaryzacji i namysłowi nad funkcjonowaniem całości, z uwzględnieniem zarządzania ryzykiem, benchmarków i najlepszych praktyk w kontekście regulacyjnym oraz budżetowym. Stworzenie architektury cyberbezpieczeństwa wymaga doświadczenia, wizji i konsekwencji. Kto podejmie się tego wyzwania? Sprawa nie jest prosta – problemy zaczynają się już na etapie definiowania, czym jest architektura bezpieczeństwa systemów cyberochrony.

Znajomość korelacji i powiązań 

„Trudno jednoznacznie i precyzyjnie zdefiniować, czym jest architektura cyberbezpieczeństwa. To zestaw różnych elementów i powiązań. Ważny jest cel, jakiemu ma służyć. Chodzi przede wszystkim o minimalizowanie ryzyka zagrożeń i zwiększenie odporności organizacji w zakresie ochrony systemów, aplikacji, informacji, infrastruktury” – mówiła uczestnicząca w panelu dyskusyjnym Ewa Piłat, Global CISO w Willis Towers Watson. 

Ewa Piłat, Global CISO w Willis Towers Watson

Jej zdaniem, mamy do czynienia z trzema poziomami kontroli związanych z zapewnieniem cyberbezpieczeństwa. Pierwszy ma charakter prewencyjny – żeby nie dopuścić do pojawienia się niepożądanych zdarzeń. Drugi dotyczy detekcji – chodzi o wykrycie incydentów, które już się wydarzyły. I trzeci to kontrola korekcyjna umożliwiająca przywrócenie systemów czy infrastruktury do stanu sprzed ataku. Te wszystkie działania są ważne, ale niewystarczające. Muszą być ściśle powiązane z celami biznesowymi zarówno w kontekście technologicznym, procesowym, jak i ludzkim. W tej perspektywie trzeba patrzeć na architekturę cyberbezpieczeństwa.

Kto się powinien zajmować tworzeniem i rozwojem architektury cyberbezpieczeństwa? Jakub Teska, Director of Cybersecurity Architecture and Services Bureau w PKO BP, uważa, że to zadanie dla specjalnej jednostki organizacyjnej, która projektuje architekturę cyberbezpieczeństwa, nadzoruje jej realizację oraz sprawdza zgodność działania firmy ze zdefiniowanymi przez architektów wytycznymi i standardami. „Trudne do osiągnięcia byłoby dysponowanie przez jedną osobę kompletną, całościową wiedzą na temat całego środowiska cyberbezpieczeństwa, tak więc nasi architekci odpowiadają za poszczególne konkretne obszary. Znają istniejące powiązania, jak również posiadają wiedzę technologiczną z danego zakresu. To pozwala im skuteczniej działać” – tłumaczył Jakub Teska.  

Z kolei w opinii Wojciecha Kamińskiego, CISO w firmie Skanska, rolą architekta cyberbezpieczeństwa jest szerokie identyfikowanie ryzyk i zagrożeń. Potrzebne jest podejście zarządcze, wymagające szerokiego spojrzenia i wiedzy, ale na niższym poziomie szczegółowości. Architekt bezpieczeństwa nie musi się znać dokładnie na chmurze czy rozwiązaniach on premise, ale powinien umieć przewidzieć i ocenić skutki połączenia tych dwóch środowisk dla systemu bezpieczeństwa w organizacji. Ponieważ takich ludzi dzisiaj brakuje na rynku pracy, często tworzy się zespoły eksperckie o charakterze technologicznym, które odpowiadają za poszczególne obszary czy aspekty bezpieczeństwa (np. osobno za sieci, osobno za aplikacje itd.). „Architekt z podejściem technologicznym, dziedzinowym nie jest jednak w stanie zidentyfikować wszystkich powiązań, korelacji, uwarunkowań wpływających na kształt całego systemu bezpieczeństwa” – przekonywał Wojciech Kamiński.   

Architekt cyberbezpieczeństwa nie musi się znać na wszystkim. Musi mieć jednak szerokie spojrzenie na całość systemu cyberbezpieczeńśtwa i rozumieć zachodzące w nim relacje. W poszczególnych obszarach swoją wiedzą mają wspierać go specjaliści dziedzinowi. 

Pod presją zmian

Podczas dyskusji nie zabrakło również odniesienia do obecnej sytuacji wywołanej pandemią koronawirusa. Pojawiło się pytanie, jak pogodzić strategiczne, perspektywiczne myślenie o architekturze bezpieczeństwa z coraz większą zmiennością środowiska biznesowego i niepewnością wynikającą z nieprzewidywalnych, niespodziewanych wydarzeń. Jak budować architekturę bezpieczeństwa w niepewnych czasach, gdy zaskakują nas ciągłe zmiany, a planowanie długofalowe zawodzi?

Zdaniem Ewy Piłat, architekt cyberbezpieczeństwa musi się dostosować do wykorzystywanej w organizacji metody wdrożeń. A metoda może być tradycyjna albo agile’owa. „Ochrona musi być zawsze zapewniona. Systemy muszą być zaprojektowane tak, by chroniły organizację. Architekt cyberbezpieczeństwa powinien dostosować się do metody, przy użyciu której akurat pracuje firma” – przekonywała Ewa Piłat. 

Jakub Teska, Director of Cybersecurity Architecture and Services Bureau w PKO BP

W ostatnim czasie jednym z najważniejszych wyzwań w zakresie cyberbezpieczeństwa było zapewnienie odpowiedniego poziomu ochrony w trybie pracy zdalnej. Firmy nie miały z tym wcześniej do czynienia, bo nawet tam gdzie telepraca była już wcześniej stosowana, to nie na taką skalę jak w warunkach pandemii. Tutaj na tryb home office trzeba było od razu przestawić całe organizacje. „Ze zmianami będziemy teraz mieli cały czas do czynienia. Musimy się nauczyć sprostać wynikającym z nich wyzwaniom” – oceniał Jakub Teska. Według niego, jednym z najbliższych zadań będzie dostosowanie organizacji do czekającego ją wzrostu zastosowań rozwiązań chmurowych. 

Wojciech Kamiński, CISO w firmie Skanska

Wojciech Kamiński zwracał uwagę, że w warunkach zwinnych sposobów działania architekt cyberbezpieczeństwa powinien ściśle współpracować z działami biznesowymi i zarządem. Jego rolą jest wskazywać, co z perspektywy ochrony kluczowych zasobów firm jest dopuszczalne, a czego absolutnie robić nie wolno. Bo każdy wybór, każda decyzja, każde działanie mają swoje konsekwencje. Bez dobrego architekta bezpieczeństwa nie da się zapewnić odpowiedniego poziomu odporności na zagrożenia. 

Konsekwencją takiego podejścia może być jednak to, że liczba architektów bezpieczeństwa w organizacji będzie rosnąć. Każdy nowy projekt biznesowy będzie bowiem wymagał przydzielenia własnego architekta. Jednak osoba nie będzie w stanie obsłużyć wszystkich projektów, maksymalnie od sześciu do siedmiu w roku. Rozwiązaniem może być korzystanie z usług freelancerów, którzy chętnie podejmują się wyzwań związanych z realizacją nowych projektów. 

Architekt cyberbezpieczeństwa powinien dostosować się do metody, przy użyciu której akurat pracuje firma. Systemy muszą być projektowane tak, aby chroniły organizację w każdych warunkach. 

Rośnie skala wyzwań  

„Każdy system cyberbezpieczeństwa ma swoją architekturę. Problem w tym, że czasami jest zgodna z projektem architekta, a czasami zupełnie przypadkowa. Na dodatek cały czas się zmienia, bo gdy kończymy jeden projekt, to zaraz zaczynamy następny” – zwracała uwagę Jolanta Malak, Regional Sales Director w Fortinet. 

Jolanta Malak, Regional Sales Director w Fortinet

Jej zdaniem, przyczyn zmian architektury cyberbezpieczeństwa może być dużo. Na przykład przechodzenie do chmury zmienia model referencyjny zabezpieczeń środowiska firmowego. Zmieniają się rodzaje i wektory ataków – w ślad za tym powinien się zmienić system zabezpieczeń. Układ architektoniczny może też zależeć od stosowanych technologii i narzędzi. 

„Nie ma dwóch takich samych architektur bezpieczeństwa. Każda firma ma swoją specyfikę biznesową, technologiczną, ludzką itp. To wszystko wpływa na obowiązujący model referencyjny i zastosowane w projektowaniu systemu rozwiązania” – podkreślała Jolanta Malak. 

W jej opinii, coraz trudniej projektować architekturę cyberbezpieczeństwa, bo coraz więcej kwestii trzeba brać pod uwagę, coraz więcej elementów i powiązań między nimi trzeba uwzględniać. Skala wyzwań się powiększa, a architekt musi jeszcze umieć dogadać się z ludźmi od biznesu. Jeśli takiego porozumienia nie uda się osiągnąć, trudno będzie skutecznie zabezpieczyć firmę. A ludzi specjalizujących się w architekturze cyberbezpieczeństwa na rynku pracy brakuje. To dodatkowo nie służy budowie odpowiednich systemów zabezpieczeń, które stają się coraz bardziej złożone, skomplikowane i rozrastają się do coraz większych rozmiarów. Jednocześnie rośnie skala i intensywność korzystania z internetu. To wszystko wymaga umiejętności wyboru i zastosowania środków adekwatnych do istniejących uwarunkowań, oszacowanych ryzyk i zagrożeń. W innym wypadku możemy być kompletnie zaskoczeni zmianą sytuacji z dnia na dzień. 

Nie ma dwóch takich samych architektur bezpieczeństwa. Każda firma ma swoją specyfikę biznesową, technologiczną, ludzką itp. To wszystko wpływa na ostateczny kształt przyjętych rozwiązań. 

Ilu potrzeba specjalistów od chmury?   

Uczestnicy dyskusji przy okrągłych stolikach zwrócili uwagę na rosnące zapotrzebowanie na specjalistów od architektury cyberbezpieczeństwa w środowiskach korzystających z rozwiązań chmurowych. Takich osób jest na rynku pracy bardzo mało, a wraz z upowszechnianiem się korzystania z usług chmurowych będzie ich potrzeba coraz więcej. Nie wiadomo też do końca, jakie kompetencje powinni posiadać. Czy będzie potrzebny jeden architekt ogólnie od środowiska cloud computing, czuwający nad całą strukturą wielochmurową? Czy też każda chmura od innego dostawcy będzie wymagała osobnego specjalisty od bezpieczeństwa? Wszak w każdej chmurze są stosowane inne rozwiązania, inne technologie, inne mechanizmy funkcjonowania. Z drugiej strony użytkownik oczekuje zintegrowanego, całościowego podejścia do kwestii zabezpieczenia swoich kluczowych zasobów, trudno mu będzie zaakceptować rozczłonkowanie systemów bezpieczeństwa na produkty różnych dostawców. Te kwestie będą wymagały niebawem jasnych, konkretnych rozwiązań. Inną grupą coraz bardziej poszukiwanych i cenionych specjalistów stają się też architekci cyberbezpieczeństwa od systemów internetu rzeczy.