Im bardziej przenosimy się do cyfrowego świata, tym bardziej rośnie liczba ryzyk
Adam Mitura: W ostatnim czasie nasila się liczba cyberataków, wiele firm powołało zespoły mające im zapobiegać. Dlaczego? Czy dzieje się coś, czego nie wiemy i czy mamy się czego obawiać?
Karol Furmański: Pamięta Pan film „Gang Olsena”? W tej duńskiej komedii przestępcy bardzo długo planowali napad na bank, a i tak na końcu okazywało się, że ktoś z grupy popełnił błąd i cała szajka trafiała do więzienia. W cyberświecie jest inaczej. Próg wejścia w cyberprzestępczość jest znacznie niższy niż w realnym świecie, a złamanie prawa trudniejsze do wykrycia. Nie trzeba też tutaj specjalnego planowania, atak DDoS na dowolną firmę można kupić w sieci za śmieszne pieniądze.
Odpowiadając więc na Pana pytanie: tak, mamy się czego obawiać, a powodem jest nie tyle wojna, ile coraz większe uzależnienie od sieci i nieprzerwanego dostępu do informacji. Do samych ataków typu ransomware, czyli blokujących możliwość korzystania z systemu, dochodzi co 11 sekund. Dla porównania, 6 lat temu czas ten wynosił 2 minuty.
Ostatnio w mediach było głośno o markach bojkotowanych przez konsumentów, które padły atakiem cyberprzestępców. Ale pewnie o wielu podobnych zdarzeniach nigdy nie słyszymy?
‒ To prawda, warto też odnotować, że działania, o których dowiaduje się opinia publiczna z reguły nie wyrządzają markom większej krzywdy. Atak, który powoduje wyłączenie strony WWW potrafi być bardzo bolesny, szczególnie dla e-commerce, bardziej dotkliwy mógłby być wyciek danych osobowych.
Przypomnę, że w ubiegłym roku liczba wycieków danych wzrosła o 141%. W 2020 roku firmy zapłaciły kary z tytułu samego tylko nieprzestrzegania regulacji GDPR aż 183 mln EUR. To coraz istotniejszy problem w kontekście cyberzagrożeń. Ale o konkretnych przykładach takich zdarzeń dowiadujemy się rzadko.
O cyberzagrożeniach mówi się od dawna. Mimo to cyberprzestępcy nie mają problemu, by dostać się do systemów największych firm. Dlaczego?
‒ Bo im bardziej przenosimy się do cyfrowego świata, tym rośnie liczba ryzyk, z którymi musi mierzyć się statystyczne przedsiębiorstwo. Szczególnie, że tę migrację realizuje się w różny sposób.
Są instytucje nadzorowane, które o bezpieczeństwo dbają bardziej i takie, które mają sporo niedociągnięć. W pierwszej połowie 2020 roku 80% zgłaszanych ataków wykorzystywało luki i błędy zgłaszane i rejestrowane – uwaga ‒ od 2017 roku.
Reasumując ‒ Pana zdaniem przeniesienie do świata online powinno skutkować zwiększeniem nakładów na szeroko rozumiane bezpieczeństwo. Zgoda, ale czy tak się jednak nie dzieje?
‒ Jeśli spojrzymy na dane firm analitycznych, to doskonale widać, że firmy z roku na rok przeznaczają coraz więcej środków na bezpieczeństwo. Sęk w tym, że podchodzi się do tego tematu w sposób bardzo wybiórczy. Patrzy się na bezpieczeństwo przez pryzmat technologicznych zabezpieczeń, tymczasem firmy mierzą się z błędnymi konfiguracjami, niewłaściwym zarządzaniem dostępem do informacji, lukami w systemach, przechowywaniem niezaszyfrowanych danych, etc.
Dodatkowo, warto odnotować, że ponad 90% włamań, wycieków danych zaczyna się od błędu ludzkiego, a do sieci ludzkość podłączyła już ponad 80 miliardów urządzeń ‒ to spory margines błędu.
To co w takiej sytuacji powinno się zrobić?
‒ Zmierzać w kierunku automatyzacji i uproszczenia. Podam przykład. Aplikacje w firmach korzystają dzisiaj z wielu źródeł informacji: danych pogodowych, geolokalizacyjnych, danych transakcyjnych, graficznych, video, informacji zawartych w mediach społecznościowych, etc.
Problem w tym, że różne źródła to różne formaty danych i różne bazy danych. Zapanowanie nad całym takim ekosystemem od strony bezpieczeństwa jest niezmiernie trudne i wymaga ogromnej wiedzy oraz wielu rąk do pracy. Ale spójrzmy np. na sektor e-commerce: skoro informacje dotyczące produktów, zamówień, raportowania, rekomendacji dla klientów znajdują się dzisiaj w wielu miejscach, to dlaczego nie umieścić ich w jednej bazie danych?
Są firmy, które to zrobiły?
‒ Tak. Wielu z naszych klientów zastąpiło już kilkanaście baz danych migrując do nowych wersji Oracle Database, które zaprojektowaliśmy jako wspólną platformę do zarządzania danymi o różnych formatach (nazywamy takie zjawisko konwergencją). Oprócz składowania informacji baza konwergentna pozwala na obróbkę danych przestrzennych, dokumentów graficznych, czy przechowywanych w specyficznych formatach właściwych dla dokumentacji. To ważne, bo w świecie przetwarzania danych od zawsze dużym wyzwaniem, oprócz wolumenu danych, jest również ich format.
No dobrze, ale co można dzięki temu ujednoliceniu uzyskać?
‒ Dobrym przykładem jest DPD. W czasie pandemii firma dostarcza około 150 000 paczek dziennie. Każda paczka to co najmniej pięć skanów kodu od momentu odebrania do momentu jej dostarczenia. Oznacza to, że każdego dnia firma przetwarza około miliona rekordów w bazie danych i od 250 do 300 gigabajtów danych.
Dzięki integracji baz danych i instalacji maszyny Oracle Exadata, proces przetwarzania istotnie przyśpieszono. Wdrożenie samej tylko nowej wersji bazy danych przyśpieszyło obliczenia aż 5-krotnie. Dodatkowo przetwarzanie operacji w jednej bazie danych pozwala też udostępnić ją pięciu innym oddziałom DPD w regionie Europy Środkowej.
Wspomniał Pan też o automatyzacji. Co ona daje w kontekście bezpieczeństwa? Automat wypadnie lepiej niż człowiek?
‒ Tak, to bardzo logiczny kierunek rozwoju technologii. Firmy już od dawna mierzą się z problemem dostępności kadr IT – nie tylko w Polsce, ale i na całym świecie. Automatyzacja w jakiejś mierze ten problem rozwiązuje, zresztą podobnie jak kwestie błędu ludzkiego.
W najnowszej wersji platformy Exadata X8 Oracle wprowadził funkcje automatycznego uczenia, w tym funkcję Automatic Indexing, która dostraja bazę danych do zmieniających się wzorców użytkowania. Proces zwiększa wydajność bazy danych, eliminując jednocześnie konieczność ręcznego strojenia. Platforma Exadata X8 została również wyposażona w nowe automatyczne funkcje monitorowania wydajności, które łączą w sobie sztuczną inteligencję, najlepsze procedury oraz wiele lat testów w warunkach rzeczywistych.
Za innowacje trzeba jednak zapłacić, często słono.
‒ Wcale nie musi tak być, bo nowe rozwiązania zwykle oznaczają zmniejszenie kosztów ich eksploatacji. Wspominaliśmy już w naszej rozmowie o Konwergentnej Bazie Danych Oracle. Zastosowanie takiej technologii daje użytkownikowi ogromne oszczędności, ponieważ nie musi on instalować oddzielnej bazy dla każdego rodzaju danych – zamiast tego ma jedną instalację do wszystkich możliwych formatów.
Nasze konwergentne bazy danych obsługują dane przestrzenne do rozpoznawania lokalizacji, JSON do przechowywania dokumentów, IoT do integracji urządzeń, technologie in-memory do analizy w czasie rzeczywistym, no i oczywiście tradycyjne dane relacyjne. Zapewniając obsługę wszystkich tych typów danych, baza tego typu może obsługiwać wszelkiego rodzaju obciążenia: od IoT, przez blockchain, po analizy i uczenie maszynowe. Poradzi sobie także z dowolnym modelem programistycznym, jak mikrousługi, eventy, REST CI/ CD, czy wiele innych.
Innym przykładem jest wspominana już wcześniej maszyna bazodanowa Oracle Exadata. Jest to produkt zaliczany do klasy „systemów sprzętowo-programowych”, o tak wielkiej mocy obliczeniowej i pojemności, że pozwala skonsolidować w jednym urządzeniu wiele oddzielnych baz danych. Nie trzeba tłumaczyć, jakie oszczędności daje to użytkownikom. Dlatego Exadata staje się powoli standardem w tych firmach, które operują wielkimi wolumenami danych. Korzystają z niej m.in. cztery spośród pięciu największych globalnych firm w sektorze bankowości, telekomunikacji i handlu detalicznego. Używa jej 77% firm z listy Fortune Global 100.
Już teraz miliony Polaków są beneficjentami danych przetwarzanych na maszynach Exadata. Robimy przelewy, rozliczamy transakcje kartowe, paliwowe czy kupujemy przez Internet i śledzimy przesyłki. Nowością dla nas jest sprzedaż do sektora produkcyjnego, gdzie na naszej maszynie jest kontrolowany proces produkcyjny i eliminowane są usterki.
Zakładam, że sprzedaż tych rozwiązań, szczególnie do sektorów regulowanych, wymaga stosowania bardzo dobrych zabezpieczeń. Jakie technologie wykorzystuje Oracle?
‒ Oczywiście! Wszyscy liderzy Oracle w swoich wystąpieniach podkreślają, że kwestie bezpieczeństwa danych są od samego początku działalności Oracle wdrukowane w DNA firmy. Nasz flagowy produkt – Oracle Database, jest wyposażony w cały wachlarz funkcji, które dbają o bezpieczeństwo danych użytkownika tam składowanych.
Oprócz wymienionych już wcześniej, do najważniejszych należą: szyfrowanie, anonimizowanie, maskowanie, ograniczanie dostępu do wycinka danych, śledzenie czynności na bazie i monitoring całego systemu.
Bardzo dziękuję za rozmowę!
Więcej informacji oraz ekskluzywnych materiałów na temat technologii i biznesu znajdą Państwo tutaj