Jaki jest poziom bezpieczeństwa danych w polskich firmach i instytucjach?
Karol Mórawski: Epidemia koronawirusa była swoistym testem dla całej gospodarki, jak i poszczególnych firm. Jak na tym tle wygląda kwestia bezpieczeństwa danych w polskich organizacjach?
Grzegorz Gołda: Poziom zabezpieczenia danych we współczesnych organizacjach, niezależnie od ich wielkości, można uznać za bardzo zróżnicowany. Oczywiście zdaję sobie sprawę, jak trudno w sposób jednoznaczny ocenić skuteczność stosowanych środków ochrony, zwłaszcza że w niektórych przypadkach proste formy zabezpieczenia stanowią poważne wyzwanie dla przestępców, natomiast wydatkowanie olbrzymich kwot na zaawansowane rozwiązania daje jedynie złudne poczucie bezpieczeństwa.
Obecnie trudno też oceniać sytuację pod kątem aktywności środowisk przestępczych. Liczba ataków w Europie podczas szczytu epidemii koronawirusa, kiedy firmy masowo przechodziły na pracę zdalną, była istotnie niższa aniżeli wcześniej. Działo się tak pomimo, iż organizacje w tym akurat momencie były dość łatwym celem do zaatakowania.
Faktycznie można powiedzieć, że w środowisku hakerskim zadziałały pewne elementy złodziejskiego honoru, sprawcy uznali, że nie należy kopać leżącego, niemniej nie należy zapominać o jednym. Przestępcy dopóty mogą się powstrzymać od ataków, póki będą dysponować odpowiednimi środkami. Kiedy pieniądze się skończą, wówczas możemy się spodziewać wzmożonej aktywności, tymczasem na chwilę obecną nie widać, by poziom zabezpieczeń ulegał znaczącej poprawie.
Mówi się o tym, że cyberbezpieczeństwo kosztuje. Czy możemy powiedzieć, że te nakłady są właściwie alokowane, zarówno jeśli chodzi o wybór technologii, ale i metod stosowanych przez sektor finansowy?
‒ Z mojej perspektywy sam produkt czy technologia wcale nie są najistotniejszym elementem. Kluczowe znaczenie dla podniesienia poziomu bezpieczeństwa ma współpraca między działami, głównie tymi odpowiedzialnymi za utrzymanie ‒ a komórkami do spraw bezpieczeństwa. Dzięki takiemu współdziałaniu można wyodrębnić korelacje różnych zdarzeń, które z poziomu security nie muszą wyglądać podejrzanie, natomiast w połączeniu z innymi sygnałami, uzyskanymi z innych komórek można dojść do wniosku, że dany incydent ma znamiona ataku, przeprowadzanego na organizację. Aby takie procesy realizować w sposób efektywny, niezbędne są rzecz jasna odpowiednie narzędzia, które korelują te zdarzenia.
Moim zdaniem, one powinny być wdrażane szczególnie w sektorze bankowym, jednak równocześnie procedury współpracy między działami powinny być wdrożone i stale zachowywane. Bywa bowiem tak, że z poziomu firewalla czy innych systemów bezpieczeństwa powolny wypływ danych, czy nawet atak nie jest możliwy do ujawnienia. Dopiero dane z systemów utrzymania, czy też monitorowania systemów utrzymania, pozwalają dojść do wniosku, że mamy do czynienia z kompromitacją środowiska IT.
Czytaj także: Raport F5: branża finansowa adaptuje środowiska wielochmurowe, choć obawia się cyberataków
W jakim przypadku owo współdziałanie może mieć kluczowe znaczenie dla bezpieczeństwa zasobów instytucji?
‒ Przykładem takiego zagrożenia, w mojej ocenie bardzo poważnego, są ataki typu ransomware, czyli jak bym to określił, porwanie danych dla okupu. To, czy powinniśmy w takich sytuacjach płacić szantażystom, czy też nie, to jest nie tylko problem etyczny, ale i w jakimś stopniu również kwestia bezpieczeństwa. Pamiętajmy, że przestępcy nie dają gwarancji, że po uzyskaniu haraczu faktycznie odblokują dostęp do zasobów firmy. A nawet jak to zrobią, to mogą regularnie powtarzać ataki, wówczas przedsiębiorca będzie regularnie szantażowany, bowiem sprawcom się to po prostu opłaci.
Jeśli teraz użyjemy zabezpieczenia bazującego na ilości i częstotliwości wykonywania kopii zapasowych naszego środowiska, bądź systemów i aplikacji, i jeśli równocześnie narzędzia, skierowane do systemów utrzymaniowych zostaną należycie skorelowane z systemami bezpieczeństwa, to niezależnie od podjętej decyzji ewentualne straty w wyniku ataku będą mocno ograniczone.
Nie grozi nam wówczas utrata całego biznesu, co w przypadku ransomware nie jest wykluczone i faktycznie się może zdarzyć, jeśli nie zostaną zastosowane należyte środki bezpieczeństwa. Dlatego tak istotną kwestią pozostaje współdziałanie dyrektorów z działu utrzymania i bezpieczeństwa, a z kolei żeby to osiągnąć, trzeba odpowiednio edukować osoby, odpowiedzialne za wszystkie wskazane obszary.
W przypadku sektora bankowego bezpieczeństwo ma silny związek z otoczeniem regulacyjnym. Polski regulator ma dość ostrożną, by nie rzec ‒ asekurancką wizję tego bezpieczeństwa, czego świadkami byliśmy przez lata, jeśli chodzi o cloud. Czy faktycznie owa ostrożność wobec chmury jest uzasadniona?
‒ Z mojej perspektywy firma, która zainwestowała ogromne pieniądze, by świadczyć usługi cloudowe, dostarczać infrastrukturę czy aplikacje z chmury, najpewniej wydała na zabezpieczenie tego systemu znacznie większe środki aniżeli banki, choć w tym ostatnim przypadku również nie znamy podziału nakładów na obszar security sensu stricte i na przykład na ubezpieczenia, które też mogą być zaliczone do tej kategorii. Taki dostawca chmury jak na przykład IBM, który ze swoich zasobów cloudowych świadczy rozliczne usługi, począwszy od security, a skończywszy na PaaS, czyli dostarczeniu platformy, po prostu musiał poczynić stosowne inwestycje, żeby zabezpieczyć te dane, które są przechowywane na jego serwerach.
Dla tych globalnych organizacji nie ma nic gorszego, jak wyciek danych, one sobie nie są w stanie na to pozwolić, a jeżeli nawet doszłoby do jakiegokolwiek incydentu to zrobią wszystko, by w jak największym stopniu ograniczyć jego skutki i nie dopuścić do przechwycenia zasobów przez osoby trzecie.
Wracając do pytania: uważam, że regulator nie do końca zrozumiał, ewentualnie źle zinterpretował to, w jaki sposób te dane mają być przesyłane do chmury i przechowywane w niej. Wydaje mi się, że owo wyhamowanie rozwoju wdrażania usług biznesowych w sektorze bankowym na pewno jest tym spowodowane.
Czytaj także: Oszustwa na szkodę banków i ich klientów w czasach pandemii
Czyli można rozumieć, że regulacje bardziej odpowiadające współczesności wystarczyłyby, by przełamać pewien impas?
‒ Sens świadczenia usług z chmury polega na tym, żeby przyśpieszyć nasz biznes. Z perspektywy biznesu nie chodzi tu o obniżenie kosztów czy zapewnienie lepszej oferty produktowej, chmura jest po to, żeby wyprzedzić rywali i zbudować przewagę konkurencyjną, bo na tym zależy wszystkim rządzącym, zarządzającym taką organizacją.
Z tej perspektywy faktycznie regulacje prawne bardzo mocno wyhamowały ten sektor bankowy. Określone projekty, które mogłyby zadziać się szybciej, musiały zostać przetestowane, z czym wiązała się konieczność nabycia określonego sprzętu czy aplikacji. Wszystko to po to, by zapewnić zgodność z oczekiwaniami regulatora, które były dość konserwatywne biorąc pod uwagę współczesne uwarunkowania.
W konsekwencji nakłady na wdrożenie nowej usługi biznesowej były dużo większe, co w ostatecznym rozrachunku najpewniej przekłada się też na marżowość produktów, i musi być przeniesione na klienta końcowego. Jeżeli odpowiednio poluzowane regulacje umożliwiłyby tworzenie tych środowisk i testowanie aplikacji, co jak sądzę jest kwestią czasu, wówczas tego typu usługi biznesowe z pewnością rozwiną się na wielu płaszczyznach, obniży się też próg wejścia w te usługi.
Obecnie ryzyko wejścia w tym obszarze polega na tym, że mamy zainwestować np. 10 mln zł w bardzo drogie systemy analityczne, a wynik zależy tylko od naszych analityków, od tego, czy założenia projektu były odpowiednie.
W cloudzie możemy testować, zmieniać szybko infrastrukturę, podejście itp., a zabezpieczenie danych w wielu przypadkach może być na jeszcze wyższym poziomie, aniżeli środowiskach on prem, choć należy sądzić, że i one dysponują odpowiednio wysokim poziomem zabezpieczeń.
Podkreślę jeszcze raz: security to jest niekończąca się historia, w którą trzeba ustawicznie inwestować i iść na bieżąco.
Są oczywiście nowe systemy, które są stworzone w oparciu o AI, które praktycznie w czasie rzeczywistym dają nam informację, co gdzie się dzieje na świecie, co też jest dużą pomocą.
Pozostaje pytanie, czy my potrafimy to wykorzystać?
Czytaj także: Temat Numeru | Bezpieczeństwo Instytucji Finansowych | Oszczędzanie na bezpieczeństwie to skręt w ślepą uliczkę