W dobie cyfrowej transformacji i rozwoju chmury obliczeniowej incydentów w obszarze cyberbezpieczeństwa jest coraz więcej, a przy tym zagrożenia są coraz bardziej złożone. Technologia to jednak nie wszystko. Istotną część zarządzania ryzykiem stanowią kwestie „bardziej miękkie”, w tym także komunikacja wewnątrz organizacji. O tym, w jaki sposób incydenty przewidywać i wykrywać, jak się zachować, gdy się wydarzą, oraz co robić, by wyciągać z nich właściwe wnioski, rozmawiali uczestnicy „Technology Risk Management Forum 2020”. Tym razem CISO, CSO, audytorzy bezpieczeństwa IT, a także eksperci, menedżerowie i specjaliści, którzy na co dzień zajmują się cyberbezpieczeństwem, zarządzają ryzykiem albo odpowiadają za ciągłość działania organizacji, spotkali się online.

Leonard N. Kleinman, Chief Cyber Security Advisor, RSA International (APJ & EMEA)

Ryzyko technologiczne nabiera dzisiaj coraz większego znaczenia dla organizacji na całym świecie, bez względu na ich rozmiary. Wpływają na to powszechna i błyskawicznie postępująca cyfryzacja usług, automatyzacja procesów oraz migracja do środowisk chmurowych. To jednak nie wszystko, ponieważ za tym idą zmiany w prowadzeniu projektów i wkraczająca coraz śmielej do biznesu sztuczna inteligencja. Konsekwencje tego są coraz poważniejsze, a koszty incydentów coraz wyższe. Co więcej, ostatnio w efekcie epidemii wszystkie te zmiany jeszcze przyspieszyły. Kwestie nowych zagrożeń i ryzyk – nie tylko cyfrowych, ale także fizycznych – w czasach „nowej normalności” poruszył już na początku konferencji Leonard N. Kleinman, Chief Cyber Security Advisor z RSA International.

Właśnie dlatego współczesne spojrzenie na ryzyka technologiczne wymaga holistycznego podejścia do incydentów. Tylko w ten sposób można w pełni zrozumieć nowe zagrożenia, sposoby działania oraz motywacje przestępców. Cyberbezpieczeństwo wymaga dzisiaj nowego podejścia do zarządzania ryzykiem, bazującego na zrozumieniu silnych i słabych stron własnej organizacji i opierając się na tym, wypracowania skutecznych metod obronnych. Świadome zarządzanie obszarem bezpieczeństwa, mające na uwadze ograniczone i trudno dostępne zasoby, wymaga analizy ryzyka i priorytetyzacji zagrożeń.

Piotr Rybicki, Ekspert ds. zarządzania ryzykiem i zgodnością (Departament Bezpieczeństwa CSIOZ), Centrum Systemów informacyjnych Ochrony Zdrowia

W czasach coraz szybszej transformacji cyfrowej warto bardziej brać pod uwagę głos szerszego grona interesariuszy, aby identyfikować zagrożenia w jeszcze uważniejszy sposób. Chodzi o to, aby móc zapobiegać materializacji się ryzyk. Do takiego podejścia przekonywał Piotr Rybicki, ekspert ds. zarządzania ryzykiem i zgodnością w Centrum Systemów Informacyjnych Ochrony Zdrowia.

Cyberbezpieczeństwo wymaga dzisiaj nowego podejścia do zarządzania ryzykiem, bazującego na zrozumieniu silnych i słabych stron własnej organizacji.

Perspektywa ma znaczenie

Technologia jest dzisiaj wszechobecna, wciąż pojawia się coś nowego, a środowiska są coraz bardziej złożone. Trzeba się z tym mierzyć i właściwie reagować, opierając się nie tylko na teorii, ale także na doświadczeniach własnych i innych organizacji. Niezwykle cenne są wnioski pochodzące od ludzi, którzy mają nieco inne spojrzenie na te kwestie. Ważne jest także porównywanie podejścia prezentowanego przez różne branże.

Podczas konferencji Mateusz Olejarka, starszy specjalista ds. bezpieczeństwa IT w SecuRing, opowiadał o tym, czym jest bezpieczeństwo w oczach programisty, o mitach dotyczących bezpieczeństwa aplikacji, skutecznej komunikacji, a także barierach i budowaniu mostów między działem programistycznym a działem bezpieczeństwa.

Mateusz Olejarka, Starszy specjalista ds. bezpieczeństwa IT, SecuRing 

„Bezpieczeństwo to nie tylko domena Działu Bezpieczeństwa Informacji. Bezpieczeństwo realizujemy razem – programiści i DBI. Konieczne jest jasne określenie, kto za co odpowiada. Potrzebne jest także nawiązanie dobrych relacji, wypracowanie dobrej współpracy i komunikacji” – przekonywał Mateusz Olejarka. Dysponuje on doświadczeniami płynącymi z ponad 50 warsztatów, które przeprowadził dla programistów. Podczas nich nie chodziło o naukę, jak pisać „bezpiecznie” w danym języku, ale o pokazanie, gdzie pojawiają się problemy, jak je wykrywać i jak sobie z nimi radzić.

John Salomon, Director for continental Europe, the Middle East, and Africa, Financial Services Information Sharing and Analysis Center (FS-ISAC) 

Z kolei John Salomon, Director for Continental Europe, the Middle East, and Africa w FS-ISAC, mówił o budowaniu odporności w europejskim sektorze finansowym. Poruszał kwestie statusu prac nad publiczno-prywatną współpracą kryzysową, ćwiczeniach reagowania kryzysowego, włączenia sektora finansowego do ćwiczeń NATO Locked Shields, a także planów opracowania europejskiego podręcznika reagowania kryzysowego. Jego zdaniem istotny w tym kontekście jest raport o zagrożeniach dla platformy TIBER-EU oraz projekt stworzenia taksonomii ryzyka cybernetycznego umożliwiającej ocenę jego potencjalnego wpływu na ryzyko biznesowe.

Yair Kler, Head of Telecom Solution Security (EMEA), Huawei Technologies

Przedstawiciele Huawei Technologies – Yair Kler, Head of Telecom Solution Security (EMEA), oraz Rafał Jaczyński, Regional Cyber Security Officer CEE & Nordics – opowiadali natomiast o bezpieczeństwie w sieciach 5G. Kwestie bezpieczeństwa nabierają właśnie w kontekście sieci nowej generacji coraz większego znaczenia. Wczesne rozpoznanie zagrożeń i sposób radzenia sobie z nimi są kluczowe. „Jednym z ciekawych problemów w sieciach 5G są ataki polegające na uruchamianiu fałszywych stacji bazowych. Ich identyfikowanie na podstawie charakterystyki pracy czy nietypowego zachowania w sieci z wykorzystaniem technologii GIS pozwala na skuteczne przeciwdziałanie i wpisywanie takich stacji na czarne listy” – mówił Yair Kler. 

Adam Lange, VP, Cyber Threat Hunting, Standard Chartered Bank 

Nie taką nowością jak sieci 5G, ale nie mniejszym zagrożeniem są ataki BEC, bazujące na fałszywych e-mailach, w których przestępcy podszywają się pod instytucje lub wysoko postawione osoby w organizacji. „Świadomość ataków BEC – Business Email Compromise – jest niska. Niewiele osób zdaje sobie sprawę ze skali zagrożenia, a ryzyko jest poważne. Straty sięgają obecnie 1,7 mld USD i przekraczają straty związane z ransomwarem. Przy tym BEC to nie tylko podszywanie się pod osoby w organizacji i wysyłanie e-maili z poleceniem przelewu. Jest ich wiele odmian, są bardzo zróżnicowane, dlatego lepiej mówić o atakach BEC-like” – mówił Adam Lange, VP, Cyber Threat Hunting w Standard Chartered Bank.

Dużym zagrożeniem są ataki BEC (Business Email Compromise) bazujące na fałszywych e-mailach, w których przestępcy podszywają się pod instytucje lub wysoko postawione osoby w organizacji. Świadomość zagrożeń tymi atakami jest dzisiaj niska.

Bezpieczeństwo to ludzie

Pomimo rozwoju technologicznego nadal najsłabszym ogniwem w bezpieczeństwie pozostaje człowiek. Dzisiaj jednak wraz z zachodzącymi zmianami pojawiają się nowe kwestie związane z czynnikiem ludzkim.

Andreas Wuchner, Head Information Security Governance, IT Risk Management and Training & Awareness, Credit Suisse

„Czynnik ludzki w bezpieczeństwie dzisiaj to ciekawe zagadnienie. Jeśli będziesz w biurze i zrobisz zdjęcie, ludzie zapytają, co robisz, będą czujni. Kiedy wyjmiesz telefon podczas połączenia online, to nie wiem, czy ktoś zauważy i się zdziwi. Wszystkie mechanizmy obronne muszą zostać ponownie przemyślane” – tłumaczył Andreas Wuchner, Head Information Security Governance, IT Risk Management and Training & Awareness w Credit Suisse. Opowiadał on o zarządzaniu bezpieczeństwem i priorytetach w cyfrowym świecie.

Ludzie to także jedno z głównych wyzwań związanych z posiadaniem SOC. Budowa i utrzymanie zespołu to kosztowne przedsięwzięcie. Przy tym bardzo trudno znaleźć odpowiednich ludzi. Do tego dochodzi fakt, że praca w SOC ma swoją specyfikę – blaski i cienie. 

Tomasz Wilczyński, Director of Cybersecurity Architecture and Development, BNP Paribas Bank Polska

„Jednym z cieni pracy w SOC jest stres. Gdy dzieje się coś złego, rola SOC jest istotna i pojawia się duża presja. To, co jest super, to być w centrum uwagi organizacji. Zespół SOC musi rozumieć biznes, procesy w firmie. Z drugiej strony jego działania muszą być zintegrowane z IT. To świetna szkoła pozwalająca zbudować zrozumienie świata cyberbezpieczeństwa” – mówił podczas panelu dyskusyjnego zamykającego konferencję Tomasz Wilczyński, Director of Cybersecurity Architecture and Development w BNP Paribas Bank Polska.

Marcin Kopacz, Starszy Specjalista ds. Nadzoru Monitoringu Bezpieczeństwa IT i Forensics, Tauron Polska Energia

„Na pewno przychodząc codziennie do pracy w SOC, nie wiadomo, na co się trafi. Pomysłowość użytkowników i hakerów sprawia, że nigdy się nam nie nudzi. Praca bywa monotonna, incydenty są podobne, ale nowych wyzwań nie brakuje. To miejsce, które daje możliwość rozwoju” – dodawał Marcin Kopacz, starszy specjalista ds. nadzoru monitoringu bezpieczeństwa IT i Forensics w Tauron Polska Energia.

Ostatnio do wyzwań doszła praca zdalna. W bardzo krótkim okresie menedżerowie odpowiedzialni za SOC musieli zorganizować pracę zespołów sposób, który nie stanowiłby zagrożenia dla zdrowia ludzi, a przy tym nie naraził organizacji na niebezpieczeństwo.

Maciej Szot, Associate Director Information Security / Head of Global Security Operations Centre, Eurofins GSC Poland

„Ludzie w SOC muszą mieć kontakt z innymi ludźmi z organizacji. Pracując z biura, widzieliśmy wartość w tym, że mniej doświadczeni pracownicy siedzą obok ludzi, którzy mają ogromną wiedzę i doświadczenie. Zdalnie to jest bardzo ograniczone. Działa, nawet lepiej, niż myślałem, ale wolałbym, żeby tak nie zostało na zawsze” – podsumowywał Maciej Szot, Associate Director Information Security / Head of Global Security Operations Centre w Eurofins GSC Poland.

Mimo rozwoju technologicznego nadal najsłabszym ogniwem w obszarze bezpieczeństwa pozostaje człowiek. Dzisiaj jednak wraz z zachodzącymi zmianami pojawiają się nowe kwestie związane z zachowaniami ludzkimi.

Gra w cyberatak

Konferencja „Technology Risk Management Forum 2020” miała wyjątkowy charakter nie tylko dlatego, że odbywała się online, ale także dlatego, że jej program został oparty na wyreżyserowanym pokazie, symulacjię cyberataku, która rozwijała się w trakcie spotkania. Uczestnicy konferencji brali w niej interaktywny udział. Mogli nie tylko obserwować i dyskutować o tym, co i dlaczego się dzieje, ale przede wszystkim wspólnie podejmować decyzje o dalszym rozwoju wydarzeń.

Piotr Niemczyk, ekspert z zakresu bezpieczeństwa, były funkcjonariusz Urzędu Ochrony Państwa i wiceminister gospodarki

Scenariusz ataku na fikcyjną firmę był kompleksowy, obejmował różnorodne metody i pomysły cyberprzestępców. Z drugiej strony pokazywał także, jak działania w obszarze cyberobrony mogą być wspomagane przez algorytmy sztucznej inteligencji i uczenia maszynowego.

„Scenariusz gry jest w pełni realny. W wymiarze science fiction, ale istnieją ludzie, którzy snują podobne plany, i mają środki, żeby taki atak przeprowadzić” – komentował podczas konferencji gość specjalny Piotr Niemczyk, ekspert z zakresu bezpieczeństwa, były funkcjonariusz Urzędu Ochrony Państwa i wiceminister gospodarki.

„Wojna informacyjna trwa również w Polsce. Identyfikowanie trolli, które są na początku sieci rozpowszechniania informacji, pokazuje, że publikowane przez nie informacje wzmacnia regularnie 100, 200 innych kont, być może botów. Ostatecznie jednak ich zasięgi wynoszą 2 mln – tyle osób może to oglądać” – dodawał Piotr Niemczyk, odnosząc się do skali problemu, jakim jest współczesna wojna informacyjna.

Z dokładnym programem konferencji „Technology Risk Management Forum 2020” można zapoznać się na stronie https://techrisk.pl/agenda-konferencji/ .