Wszyscy już od dawna zdawali sobie sprawę, że postępująca cyfryzacja sektora publicznego będzie wymagała zmierzenia się z nowymi wyzwaniami w zakresie cyberbezpieczeństwa. Nikt chyba jednak nie spodziewał się, że tak szybko przyjdzie im w rzeczywistości stawić czoła. Pojawienie się pandemii koronawirusa wymusiło przejście w trybie pilnym do pracy niemalże w całości w środowisku cyfrowym. W ślad za tym konieczne stało się wprowadzenie odpowiednich rozwiązań do zabezpieczenia wykorzystywanych zasobów i aplikacji przy jednoczesnym zapewnieniu możliwości efektywnego działania organizacji i jej pracowników. Siłą rzeczy tematyka bezpieczeństwa zdalnej pracy i ochrony zasobów cyfrowych stała się jedną z kluczowych podczas e-konferencji „CybeGOV 2020”.  

Marek Zagórski, minister cyfryzacji

Pandemia koronawirusa i związane z nią wyzwania w zakresie cyberbezpieczeństwa stały się punktem odniesienia lub bezpośrednim tematem wielu prezentacji podczas tegorocznej konferencji „CyberGOV. Bezpieczeństwo IT w sektorze publicznym”. Nawiązał do nich w swoim otwierającym obrady wystąpieniu również Marek Zagórski, minister cyfryzacji. Powiedział wprost: „Walka z wirusami w cyberprzestrzeni staje się dzisiaj tak samo ważna jak walka z wirusem w przestrzeni biologicznej. Im bardziej przenosimy się do sieci, tym bardziej cyberbezpieczeństwo zyskuje na znaczeniu”. 

Zapowiedział dalszy rozwój Krajowego Systemy Cyberbezpieczeństwa. Planowane jest m.in. wdrożenie rozporządzeń związanych z wymaganiami w zakresie cyberbezpieczeństwa u operatorów telekomunikacyjnych. „Będziemy też przykładać większą wagę do innych rzeczy. Chcemy na przykład doprowadzić do tego, aby wymagania w zakresie cyberbezpieczeństwa dla sieci 5G były zdefiniowane już na etapie postępowania selekcyjnego” – mówił Marek Zagórski. 

Rafał Jaczyński, Regional Cyber Security Officer CEE & Nordics w Huawei Technologies

Z kolei Rafał Jaczyński, Regional Cyber Security Officer CEE & Nordics w Huawei Technologies, tłumaczył, że wdrażanie sieci 5G będzie się odbywać w sposób ewolucyjny. „W pierwszym etapie stacje bazowe 5G zostaną podłączone do istniejących sieci komórkowych. Spowoduje to jedynie zwiększenie pojemności tych sieci” – tłumaczył Rafał Jaczyński podczas swojej prezentacji w sesji równoległej „Perspektywa organizacyjna”. 

Jego zdaniem, bezpieczeństwo w sieciach 5G będzie jednak nieco większe niż w sieciach 4G. Prywatność użytkownika będzie lepiej chroniona, mechanizmy uwierzytelniania będą skuteczniejsze. Stanie się tak z kilku powodów, w tym większej dostępności wiedzy i specjalistów. „Dotychczasowe rozwiązania bezpieczeństwa bazowały tylko na standardach sieci telekomunikacyjnych. W sieci 5G będą stosowane rozwiązania znane z innych zastosowań, nie tylko telekomunikacyjnych ale też i IT” – mówił Rafał Jaczyński. 

To będą rozwiązania nowe, bazujące na najnowszej wiedzy i najnowszych osiągnięciach technologicznych oraz aktualnych potrzebach użytkowników. Problem jedynie jest taki, że w wyniku tego sieci 5G będą skomplikowane i złożone. Zapewnienie w pełni ich bezpieczeństwa będzie więc, jak podkreślał Rafał Jaczyński, wymagało współpracy wielu różnych podmiotów – od instytucji państwowych, przez operatorów, po dostawców urządzeń i technologii. Każdy będzie miał w tym systemie bezpieczeństwa swoje zadanie i swoją rolę do odegrania.    

Wymagania w zakresie cyberbezpieczeństwa dla sieci 5G mają być definiowane już na etapie postępowania selekcyjnego.

Szybka reakcja i dobra komunikacja 

Damian Hoffman, Senior System Engineer w FireEye

Zmiany, z którymi mamy do czynienia w ostatnim czasie, zmieniają również nasze podejście do cyberbezpieczeństwa. Konsekwencją tego stanu rzeczy jest potrzeba odpowiedniego przygotowania się do reagowania w sytuacji kryzysowej. Zwracał na to uwagę Damian Hoffman, Senior System Engineer w FireEye. Jego zdaniem najważniejsze jest, aby reagować jak najszybciej. Mogą to ułatwić narzędzia służące do monitorowania pojawiających się na nasz temat w internecie informacji. Ich zaawansowane wersje pozwalają też na sprawdzanie danych, które wyciekły do sieci. Można zweryfikować, czy dane są prawdziwe i zidentyfikować ścieżkę ich udostępniania. 

„W przypadku wycieku danych kluczowe znaczenie ma odpowiedni sposób komunikacji z otoczeniem – przekazywania informacji o zajściu służbom, opinii publicznej, poszkodowanym, klientom. Jej zasady powinny być wypracowane wcześniej, jeszcze przed atakiem, bo po nim już nie będzie czasu na zastanawianie się. Ważne, aby wychodzące komunikaty były uzgadniane nie tylko z działem PR, lecz także z działem bezpieczeństwa” – tłumaczył Damian Hoffman. 

Z przygotowanego przez FireEye raportu „Mandiant Security Effectiveness” wynika, że dużej wagi nabiera walidacja rozwiązań bezpieczeństwa. Dane pokazują m.in., że problemem nie jest, jak się często powszechnie uważa, sama chmura obliczeniowa, lecz zła konfiguracja rozwiązań chmurowych. To w jej wyniku następuje wyciek danych, a nie z powodu samego przeniesienia zasobów do chmury. Zagrożenie może stwarzać też zbyt duża ilość używanych w organizacji narzędzi cyberbezpieczeństwa. „Jeżeli nie jesteśmy w stanie zobaczyć całego systemu bezpieczeństwa, to poszczególne narzędzia mogą stać się osobnymi, niepowiązanymi ze sobą wyspami ochrony” – podkreślał Damian Hoffman. 

W przypadku wycieku danych kluczowe znaczenie ma odpowiedni sposób komunikacji z otoczeniem. Ważne, aby wychodzące komunikaty były uzgadniane nie tylko z działem PR, lecz także z działem bezpieczeństwa. 

Zero zaufania 

Maciej Iwanicki, inżynier systemowy w F5 Networks

Wraz z obserwowanym w ostatnim czasie gwałtownym wzrostem skali wykorzystania zdalnej pracy i teleedukacji pojawia się też coraz więcej zagrożeń. „Hakerzy nie mają kwarantanny. Dzisiaj, jak nigdy dotąd, musimy zmierzyć się z problemem zdalnego dostępu do chronionych zasobów w naszych organizacjach. Choć zawsze było to sporym wyzwaniem, to jednak nigdy jeszcze nie mieliśmy do czynienia z sytuacją, że wszyscy lub prawie wszyscy staliśmy się niemalże z dnia na dzień zdalnymi pracownikami” – zwracał uwagę Maciej Iwanicki, inżynier systemowy w F5 Networks.

To wymaga zmiany podejścia do architektury cyberbezpieczeństwa. Szczególnego znaczenia nabiera kwestia obowiązujących w organizacji zasad zdalnego dostępu do potrzebnych zasobów. Tym bardziej że obecnie zdalny pracownik musi być traktowany tak samo jak pracownik będący wcześniej na miejscu, w organizacji. Warto oprzeć wprowadzane rozwiązania na zasadzie „zero zaufania” (Zero Trust). Nie jest ona nowa, ale właśnie obecnie staje się bardzo użyteczna. Dlatego też warto na nowo przyjrzeć się różnym standardom jej implementacji. 

Wskazówek do wybrania najlepszych w danym urzędzie czy danej instytucji rozwiązań Maciej Iwanicki radził szukać w standardach opracowanych przez amerykański Narodowy Instytut Standaryzacji i Technologii (NIST – National Institute of Standards and Technology). Wskazują one trzy główne typy architektury cyberbezpieczeństwa przydatne w obecnych czasach. Każda organizacja może na ich podstawie wybrać adekwatne do swoich potrzeb i uwarunkowań rozwiązanie. Ważne, by stosując ideę „Zero Trust”, kierowała się trzema podstawowymi zasadami: nigdy nie ufaj; zawsze sprawdzaj; ciągle monitoruj. 

Szczególnego znaczenia nabiera kwestia obowiązujących w organizacji zasad zdalnego dostępu do potrzebnych zasobów. Tym bardziej że zdalny pracownik musi być traktowany tak samo jak pracownik będący wcześniej na miejscu, w biurze.

Podejście całościowe 

Piotr Boetzel, Sales Engineer w CISSP McAfee

Jednym z najważniejszych wyzwań w zakresie cyberbezpieczeństwa staje się obecnie ochrona danych w środowiskach chmurowych. Podstawą działań jest świadomość, z jakich serwisów w internecie korzystają pracownicy. „Trzeba wiedzieć, czego używają pracownicy, by skutecznie zarządzać ryzykiem” – podkreślał Piotr Boetzel, Sales Engineer w CISSP McAfee.  

Aplikacje stosowane przez pracowników można podzielić na dozwolone (sanctioned) oraz znajdujące się poza kontrolą działu IT (unsanctioned/shadow). Nad jednymi i nad drugim trzeba mieć pieczę dla zapewnienia organizacji odpowiedniego poziomu bezpieczeństwa. Sprzyjają temu dostępne narzędzia i mechanizmy kontroli oraz wymuszania polityk bezpieczeństwa na pracownikach urzędu. „Proponujemy całościowe podejście do ochrony danych na komputerach pracowników, w chmurze i po drodze – czyli CASB, proxy, DLP w jednym. To rozwiązanie, które obejmuje trzy obszary cyberbezpieczeństwa, ale daje do nich dostęp przez jedną wspólną konsolę” – przekonywał Piotr Boetzel. 

Paweł Kamiński, inżynier systemów bezpieczeństwa IT w Stinet

Z kolei Paweł Kamiński, inżynier systemów bezpieczeństwa IT w Stinet, przedstawił możliwości budowania map danych z wykorzystaniem systemów klasy DLP. Pozwalają one na zapewnienie ujednoliconej ochrony danych. Za ich pomocą można wyszukiwać, inwentaryzować, klasyfikować posiadane zasoby danych oraz kontrolować ich wykorzystanie. W szczególny sposób udaje się chronić dane przenoszone do lub z chmury. Tutaj wszystko również może się odbywać w sposób scentralizowany z użyciem jednej konsoli. 

„Systemy DLP mają możliwość ‚czytania’ dokumentu i podejmowania na tej podstawie decyzji o ewentualnym zablokowaniu jego publikacji na zewnętrznych nośnikach czy w sieci. Pozwalają też na monitorowanie i ewentualne blokowanie wydruku informacji bądź przenoszenia danych do e-maila” – wyjaśniał Paweł Kamiński. Zwracał także uwagę na funkcję udostępniania danych tylko pracownikom, którzy ich potrzebują. „Na podstawie klasyfikacji można monitorować przetwarzanie danych w całej organizacji i zapewnić ich ochronę bez względu na to, gdzie się znajdują” – mówił Paweł Kamiński. 

Aplikacje stosowane przez pracowników można podzielić na dozwolone (sanctioned) oraz znajdujące się poza kontrolą działu IT (unsanctioned/shadow). Nad jednymi i nad drugim trzeba mieć pieczę dla zapewnienia organizacji odpowiedniego poziomu bezpieczeństwa.

Bezpieczne i sprawdzone 

Michał Nycz, Account Executive w Akamai

W związku z pandemią koronawirusa wiele organizacji musiało niemalże z dnia na dzień przestawić się prawie w całości na pracę zdalną. Jednym z najważniejszych wyzwań przy tej operacji było zapewnienie bezpiecznego środowiska telepracy, zabezpieczenie firmy przed nieuprawnionym dostępem do wewnętrznych zasobów i krytycznych aplikacji. Zastosowane mechanizmy  bezpieczeństwa nie mogły przy tym utrudniać pracy – ludzie musieli dostać możliwość równie efektywnego wykonywania swoich zadań jak w biurze, a pracodawca narzędzie do monitorowania efektów ich działalności. 

Jak to przebiegało u jednego z dużych przewoźników kolejowych opowiadali podczas konferencji przedstawiciele Akamai Technologies. „Główne oczekiwanie naszego klienta przy przechodzeniu na telepracę polegało na tym, żeby rozwiązanie było bezpieczne i żeby było sprawdzone. Nikt nie chce sprawdzać rozwiązania na sobie” – tłumaczył Michał Nycz, Account Executive w Akamai. 

Filip Glock, Solutions Engineer w Akamai

Zadanie firmy polegało na zapewnieniu bezpieczeństwa telepracy dla 30 tys. użytkowników. Chodziło przede wszystkim o zabezpieczenie dostępu z zewnątrz do używanych aplikacji i przetwarzanych w nich zasobów. Sprawa nie była prosta ze względu na bardzo złożone i zróżnicowane środowisko informatyczne klienta (różne urządzenia komputerowe, różne aplikacje, różne systemy operacyjne, duże rozproszenie użytkowników końcowych). 

„W zakresie zdalnego dostępu klient oczekiwał, żeby integracja przebiegła w sposób jak najmniej inwazyjny. Zaproponowaliśmy dostęp na warstwie aplikacyjnej” – wyjaśniał Filip Glock, Solutions Engineer w Akamai. 

Innym, równie ważnym dla zleceniodawcy czynnikiem był czas realizacji projektu. Tylko bowiem szybkie wdrożenie potrzebnych rozwiązań gwarantowało zachowanie ciągłości działania firmy i prowadzenia biznesu. 

Główne oczekiwanie klienta przy przechodzeniu na telepracę polegało na tym, żeby zastosowane rozwiązanie było bezpieczne i żeby było sprawdzone. Nikt nie chce sprawdzać rozwiązania na sobie.

Samodzielnie i wspólnymi siłami 

O zagranicznych doświadczeniach z realizacji państwowych programów cyberbezpieczeństwa mówili podczas „CyberGOV 2020” przedstawiciele rządu estońskiego i niemieckiego. Podkreślali potrzebę współpracy międzynarodowej i koordynacji działań na poziomie europejskim. 

Lauri Aasmann, Director of Cyber Security w  Information System Authority, Republic of Estonia

Integralną częścią estońskiego państwowego systemu informacyjnego są rozwiązania zapewniające ochronę i bezpieczeństwo. W skład serwisów cyberbezpieczeństwa wchodzą m.in.: zarządzanie incydentami (realizowane przez CERT-EE), ochrona informacji krytycznych, tworzenie standardów i nadzór nad ich stosowaniem oraz zarządzanie kryzysowe. Prowadzona jest analiza zagrożeń i podejmowane są działania prewencyjne. Duża uwaga przykładana jest do edukacji i ćwiczeń. 

„Nasza Narodowa Strategia Cyberbezpieczeństwa na lata 2019–2022 skupia się przede wszystkim na zapobieganiu. Wprowadza nowy standard bezpieczeństwa sieci i informacji. Wskazuje na potrzebę budowania odporności i zapewnienia ciągłości działania” – mówił Lauri Aasmann, Director of Cyber Security w  Information System Authority, Republic of Estonia. Podkreślał, że obecnie obowiązuje już trzecia wersja dokumentu National CS Strategy.  

Lauri Aasmann zwracał też uwagę na znaczenie współpracy międzynarodowej w budowaniu skutecznego środowiska cyberbezpieczństwa. Jego zdaniem, dużą rolę odgrywa w tym europejska dyrektywa NIS, która dostarcza m.in. modeli do implementacji gotowych rozwiązań. „NIS inspiruje do wymiany informacji oraz ćwiczeń na dużą skalę, przez co zwiększa współpracę europejską” – wskazywał Lauri Aasmann. 

Bernd Kowalski, Head of Department w niemieckim Bundesamt für Sicherheit in der Informationstechnik (BSI)

Potrzebę odwoływania się do modeli europejskich przy budowaniu krajowych systemów cyberbezpieczeństwa podkreślał też Bernd Kowalski, Head of Department w niemieckim Bundesamt für Sicherheit in der Informationstechnik (BSI). Jego zdaniem, wszystkie podejmowane środki i kroki powinny być uzgadniane i harmonizowane z podejściem obowiązującym w Unii Europejskiej. Dotyczy to w szczególności certyfikowania rozwiązań z zakresu sieci 5G. 

„Kraje członkowskie rozwijają różne, własne rozwiązania, ale istnieje potrzeba ich harmonizacji na poziomie europejskim. Unia Europejska powinna uspójniać narzędzia, środki i standardy technologiczne. Osiągnięcie bezpieczeństwa sieci 5G będzie możliwe przez certyfikację krytycznych funkcji i komponentów” – przekonywał Bernd Kowalski.  

Podstawowe założenia dotyczące bezpieczeństwa sieci 5G w Niemczech zostały opublikowane w marcu 2019 roku jako „corner stones”. Określają one niezbędne wymagania oraz wyznaczają stosowanie odpowiednich rozwiązań technicznych. Zwracają uwagę na konieczność zapewnienia wiarygodności wytwórców i sprzedawców krytycznych komponentów w całym łańcuchu dostaw. Do końca tego roku ma zostać wypracowana propozycja programu planowanych certyfikacji dla sieci 5G. 

Zachęcamy do zapoznania się również z relacją z paneli dyskusyjnych, które miały miejsce podczas konferencji – https://e-s-r.pl/2020/05/29/potrzebna-wspolpraca-i-wymiana-doswiadczen/ . 

Szczegółowy program e-konferencji „CyberGOV 2020” znajduje się na stronie: https://www.cybergov.pl/agenda/ .