Wybuch pandemii pokazał, że niewyobrażalne do niedawna scenariusze wydarzeń, w jednej chwili mogą stać się rzeczywistością. Tylko gotowość na każdą sytuację pozwala mieć nadzieję, że uda się skutecznie zmierzyć ze zmianą. Podczas siódmej, ale pierwszej przeprowadzonej w pełni online, edycji Advanced Threat Summit, CSO, CISO, dyrektorzy IT i specjaliści ds. cyberbezpieczeństwa dyskutowali o: bezpieczeństwie w niepewnym otoczeniu, optymalizacji, elastyczności i zwinności – w szczególności w kontekście chmury obliczeniowej, cyberodporności oraz – modnej w ostatnim czasie – antykruchości.

Pandemia zmieniła niewątpliwie oblicze branży cybersecurity. Dla hakerów i rozmaitych oszustów COVID-19 jest okazją, o jakiej mogli tylko wcześniej marzyć. Potwierdzają to rozmaite dane pokazujące bardzo istotny wzrost liczby ataków. Z przeprowadzonego przez organizację ISSA badania wynika jednak, że firmy były raczej dobrze na to przygotowane. Jedynie 27% ankietowanych przyznało, że stan gotowości ich organizacji był niedostateczny. Tak czy inaczej, dla wszystkich związanych z cyberbezpieczeństwem pojawienie się pandemii oznaczała szybkie zmiany i nowe wyzwania a także znacznie większe obciążenie codzienną pracą.

Candy Alexander, President, International Directors w ISSA

Trudno na razie wyrokować na ile trwałe będą efekty obecnej sytuacji a także jakie będą jej wszystkie konsekwencje. Już jednak wyraźnie widać, że gwałtowne rozpowszechnienie modelu pracy zdalnej i przyspieszenie transformacji cyfrowej w firmach odbiło się na priorytetach i sposobie organizacji cyberbezpieczeństwa. Na plus należy z pewnością zaliczyć poprawę współpracy pomiędzy zespołami bezpieczeństwa i IT oraz działami biznesowymi w organizacjach a także wzrost świadomości i pojawienie się nadziei, że wskutek pandemii bezpieczeństwo będzie już zawsze traktowane priorytetowo. Dlatego też „bezpiecznicy” są – a przynajmniej tak czują – raczej bezpieczni, jeśli chodzi o swoją przyszłość. Niestety, z badania ISSA wynika jednocześnie, że jedynie niewielka część ankietowanych liczy na to, że te zmiany przełożą się na realny wzrost wydatków na cyberbezpieczeństwo. Ogólnie wnioski z badania są jednak optymistyczne.

„Pandemia pokazała, że cyberbezpieczeństwo umożliwia firmom pozostanie otwartymi i sprawne działanie operacyjne. Organizacje, które teraz będą priorytetowo traktować cyberbezpieczeństwo, mają szansę zostać liderami kolejnej fali innowacji i najlepszych praktyk w dziedzinie bezpieczeństwa cybernetycznego” – przekonywała w trakcie wystąpienia otwierającego konferencję Candy Alexander, President, International Directors w ISSA.

Upowszechnienie pracy zdalnej i przyspieszenie transformacji cyfrowej w firmach odbiło się na priorytetach i sposobie organizacji cyberbezpieczeństwa. Na plus należy zaliczyć poprawę współpracy pomiędzy zespołami bezpieczeństwa i IT oraz działami biznesowymi w organizacjach.

Elastycznie, szeroko ale uważnie

Zarządzanie cyberbezpieczeństwem to niezwykle skomplikowane zadanie, dlatego próżno szukać prostych recept i rozwiązań. Lepszym wyjściem jest przyglądanie się różnorodnym hipotezom, analizowanie i wykorzystywanie ich jako inspiracji do budowania własnej, bazującej na risk-based approach i zgodnej z obowiązującymi regulacjami prawnymi drogi.

Robert Pławiak, CEO/CIO w Grupie Pelion

„Jak stać się organizacją cyberodporną i zapewnić sobie ciągłość działania? Pięć podstawowych rekomendacji to: po pierwsze – odpowiednie planowanie ciągłości biznesu; po drugie – przykładanie dużej wagi do polityk i budowania świadomości w zakresie higieny bezpieczeństwa; po trzecie – planowanie reagowania na incydenty i kryzysy; po czwarte – zarządzanie podatnościami i wreszcie po piąte – opieranie cyberbezpieczeństwa i ochrony prywatności na zarządzaniu ryzykiem” – mówił Robert Pławiak, CEO/CIO w Grupie Pelion. Zwracał jednocześnie uwagę również na nieco inne podejścia i perspektywy, zachęcając przy tym, by traktować jego wystąpienie raczej jako inspirację a nie gotowe rozwiązanie.

Okazało się to doskonałym wprowadzeniem do rozmowy z Marcinem Marutą, Wspólnikiem w  Kancelarii Prawnej Maruta Wachta i in. na temat wniosków płynących z wyroku w sprawie Schrems przeciwko Facebook’owi oraz tego, jaki będzie jego wpływ na przyszłość chmury.

Marcin Maruta, Wspólnik w  Kancelarii Prawnej Maruta Wachta i in.

„Dwa zasadnicze wnioski, jakie płyną ze sprawy Schrems są następujące. Po pierwsze – obecnie stwierdzenie czy można korzystać z usług chmurowych nie jest możliwe bez szczegółowego przejrzenia danych, które są przesyłane poza obszar Unii Europejskiej. Jeśli są to podstawowe dane, to można mieć poważne obawy, czy jest to legalne. Drugi wniosek, na przyszłość, jest taki, że teraz warunkiem transferowania danych będzie rozsądne, staranne podejście do cyberbezpieczeństwa. Bezpiecznicy będą musieli bliżej pracować z działami odpowiedzialnymi za compliance i dane osobowe oraz z prawnikami” – tłumaczył Marcin Maruta.

W zarządzaniu cyberbezpieczeństwem dobrze jest przyglądać się różnym hipotezom i wykorzystywać je jako inspiracje do budowania własnej drogi działania.

Technologia jest ważna, ale…

Aamir Lakhani, Senior Researcher w Fortinet

Jak to wszystko przekłada się na praktykę? Co robić, kiedy jesteśmy atakowani ze wszystkich stron? Napastnicy są gotowi zaatakować aplikacje, strony WWW, urządzenia IoT, smartfony i dosłownie wszystko inne, co tylko jest połączone z siecią. Do tego sytuacja nieustannie się zmienia – stworzenie kampanii malware, ransomware czy phishingowej jest coraz prostsze. „W bezpieczeństwie wszyscy chcą być o krok do przodu. Przez to kupujemy czasem dobre produkty z niewłaściwych powodów. Próbujemy także sprostać wymaganiom zamiast rozwiązywać problemy. Wpadamy w pułapki zgodności regulacyjnej lub działania reakcyjnego. Właściwym podejściem jest spojrzenie na sytuację całościowo oraz nieustanne szkolenie” – przekonywał Aamir Lakhani, Senior Researcher z Fortinet.

Robert Potter, Vice President, odpowiedzialny za FireEye Mandiant Security Validation w FireEye

W podobnym duchu wypowiadał się również Robert Potter, Vice President, odpowiedzialny za FireEye Mandiant Security Validation w FireEye. Przekonywał, że to czego oczekuje biznes to nie zabezpieczenie przed zagrożeniami, ale organizacyjna gotowość, wyrażana posiadanymi kompetencjami i umiejętnościami do ochrony firmowych priorytetów. „Nie warto inwestować w zapewnienie ochrony przed konkretnym zagrożeniem. Jest ich zbyt wiele. Trzeba raczej postawić na platformę, która pozwoli dokonać walidacji efektywności posiadanych obecnie technologii w kontekście istotnych zagrożeń i potencjalnych przeciwników” – mówił Robert Potter.

Rafał Jaczyński, Regional Cyber Security Officer CEE & Nordics w Huawei Technologies

Z kolei Rafał Jaczyński, Regional Cyber Security Officer CEE & Nordics w Huawei Technologies, zwracał uwagę, że w bezpieczeństwie kluczowe jest, aby właściwie rozwiązywać problemy i to już na etapie przygotowywania rozwiązań. Wykorzystał do tego przykład inteligentnych samochodów oraz komunikacji pomiędzy nimi a otoczeniem. Przekonywał, że chociaż nie jest tak idealnie jak byśmy chcieli, to jednak stopień bezpieczeństwa, przynajmniej na poziomie sieci komórkowej, nie jest wcale taki zły, jak niektórzy się obawiają. Zwracał jednocześnie uwagę, że największym zagrożeniem nie są samochody, ale aplikacje.

„Co się stanie, jeśli podłączymy do sieci samochody, które można stosunkowo łatwo zhakować? Będziemy mieli do czynienia z sytuacją klasyczną: stadem niezabezpieczonych hostów połączonych siecią, która sama w sobie oferuje przyzwoity poziom bezpieczeństwa – w sieciach komórkowych obowiązuje bowiem podejście security by design. Dlatego wkrótce większość ataków skierowanych będzie nie na same samochody, ale na aplikacje, które się z samochodami komunikują” – mówił Rafał Jaczyński.

W cyberbezpieczeństwie kluczowe jest, aby właściwie rozwiązywać problemy i to już na etapie przygotowywania rozwiązań.

Bezpieczeństwo? Najlepiej od początku

Niezwykle ciekawe dla każdego praktyka było wystąpienie Marcina Dzienniaka, Dyrektora Departamentu Rozwoju Aplikacji Sprzedażowych i Wsparcia i Jakuba Teski, Dyrektora Biura Architektury i Usług Cyberbezpieczeństwa w PKO Banku Polskim. Opowiadali ONI o tym, jak podejście DevSecOps zmieniło cyberbezpieczeństwo i wpłynęło na rozwój banku.

Marcin Dzienniak, Dyrektor Departamentu Rozwoju Aplikacji Sprzedażowych i Wsparcia w PKO BP

Historia włączania bezpieczeństwa w prace nad oprogramowaniem na jak najwcześniejszych etapach jego rozwoju sięga w PKO BP 2012 r. Tradycyjny, waterfallowy cykl rozwoju oprogramowania i model współpracy z bezpieczeństwem na zasadzie „kontroli granicznej” był źródłem wielu frustracji, zarówno dla programistów jak i specjalistów od bezpieczeństwa. Cyberbezpieczeństwo stało się wąskim gardłem. Trudno się dziwić: na każdą setkę programistów przypadało 10 administratorów oraz 1 ekspert od security. W obliczu fali cyfrowej transformacji, wzrostu innowacyjności i otwierania bankowości zmiany były koniecznością – zamiast przyspieszać, wszystko zaczęło zwalniać i tworzyły się korki.

Pomysłem na rozwiązanie problemu było przyjęcie filozofii continuous integration oraz continuous development i dołączenie do nich procedur bezpieczeństwa. Eksperci od cyberbezpieczeństwa byli angażowani nie na etapie wdrożenia kodu na produkcji, ale już w momencie oceny samego pomysłu biznesowego. Ważnym elementem tych działań była automatyzacja, ponieważ skala prowadzonych przez bank projektów innowacyjnych wykluczała możliwość manualnej ingerencji. Oczywiście nie było to łatwe. Tym co pozwoliło ostatecznie osiągnąć sukces, było odpowiednie podejście: współpracujemy, a nie walczymy, bo mamy jeden cel – dostarczyć produkt klientowi. Ważna była edukacja i budowa kompetencji wśród pracowników. Od zespołu security wymagało to rozpoznania nowych technologii, a także pracy nad budowaniem świadomości wśród programistów i administratorów. Tyko dzięki temu udało się osiągnąć stan, w którym bezpieczeństwo zaczęło być traktowane jako warunek podejmowanych działań, coś co ułatwia osiągnięcie zakładanego celu.

Jakub Teska, Dyrektor Biura Architektury i Usług Cyberbezpieczeństwa w PKO BP

„Jakie efekty przyniosło wdrożenie DevSecOps? Szybszy time to market – liczba wdrożeń aplikacji wystawianych dla klientów wzrosła o 30%. Większa produktywność – liczba wdrażanych komponentów w przeliczeniu na liczbę developerów wzrosła o 20%. Większe zaangażowanie pracowników – trudno to mierzyć, ale dało się to zaobserwować po wynikach prowadzonych ankiet. DevSecOps umożliwiło w praktyce wdrożenie nowej strategii PKO BP, w myśl której jesteśmy firmą technologiczną z licencją bankową i migrujemy część systemów do chmury publicznej. Budowa hybrydowego multicloud bez zadbania o bezpieczeństwo na początkowych etapach tworzenia oprogramowania byłaby niemożliwa” – opowiadali przedstawiciele PKO BP.

Co to wszystko oznacza dla banku? Z chwilą ogłoszenia nowej strategii, w ramach której przyjęto, że bank jest firmą technologiczną z licencją bankową oraz podjęciem decyzji o migracji do chmury publicznej okazało się, że wcześniejsze wdrożenie DevSecOps było strzałem w dziesiątkę. „Chmura obliczeniowa spowodowała duże zmiany architektoniczne, pojawiły się kontenery. W tej sytuacji, bez DevSecOps realizacja strategii i budowa hybrid multi-cloud byłaby praktycznie niemożliwa” – podsumowywali Marcin Dzienniak i Jakuba Teska.

Dzięki zastosowanemu w PKO BP podejściu DevSecOps eksperci od cyberbezpieczeństwa byli angażowani w proces tworzenia oprogramowania nie na etapie wdrożenia kodu na produkcji, ale już w momencie oceny samego pomysłu biznesowego. Tym co pozwoliło ostatecznie osiągnąć sukces, było odpowiednie podejście: współpracujemy, a nie walczymy, bo mamy jeden cel – dostarczyć produkt klientowi.