Piotr Ignaczak, Mariusz Sawczuk: Komplementarność narzędzi w systemie bezpieczeństwa to nasze zadanie
Wypowiedź dla aleBank.pl: Piotr Ignaczak, Architekt Rozwiązań, Cisco Systems Poland oraz Mariusz Sawczuk, Zastępca Dyrektora Działu Data Center & Security, SEVENET S.A.
Piotr Ignaczak: Unikalną sytuacją na rynku jest ta, w której dostawca technologii jest w stanie rozumieć i adresować potrzeby biznesowe w taki sposób, aby nie pozostawiały one w przestrzeni bezpieczeństwa miejsca do poprawy. Dzisiaj mówimy o kompleksowym, komplementarnym podejściu do tematu bezpieczeństwa, adresowaniu produktów do dziedzin w których bank współpracuje z klientami, czyli do produktów interakcji, narzędzi współpracy, komunikacji. Z drugiej strony interakcja i komunikacja w dzisiejszej bankowości przeradza się w szeroką działalność samoobsługową klienta. To skutkuje szybkością rozwoju przestrzeni data center. W konsekwencji bezpieczeństwo powinno nadążyć za tym, jak rozwijają się produkty interakcji i komunikacji oraz rozwiązania data center. W ofercie Cisco te trzy obszary są bardzo dobrze zaadresowane. Co więcej Cisco – jako producent rozwiązań sieciowych – adresuje kluczowy z dzisiejszej pozycji banków i ich roli w społeczeństwie obszar sieci. To jest bowiem miejsce, w którym mają miejsce wszystkie operacje bezgotówkowe. Stąd wiedza co się dzieje we wstępnej i końcowej fazie operacji finansowej jest zawsze dostępna w przestrzeni infrastruktury sieciowej.
Maciej Małek: Krytycznym obszarem ryzyka, zwłaszcza w obszarach bankowości mobilnej, tak czy inaczej pozostaje klient. Co zatem zrobić aby lukę bezpieczeństwa – tak definiowaną – minimalizować do akceptowalnych rozmiarów?
PI: Po stronie klienta mamy ogromną gamę rozwiązań, szczególnie technologii. Banki konkurują dziś w oparciu o technologię. Szybkość zmian, próba nadążania za konkurencją, dostosowywanie się do tego, co oferuje rynek, skutkuje bardzo krótkimi czasami, w których banki próbują tworzyć oprogramowanie po to, aby terminale mobilne, urządzenia, rozwiązania mobilne mogły dostarczać funkcjonalność bankowości mobilnej. Powstaje zatem duża przestrzeń dla potencjalnych intruzów. Cisco wraz z akwizycją sourcefire’a tworzy nową formułę podejścia do zagrożeń, do ataków, scenariuszy bezpieczeństwa – dodajemy wymiar czasu do wymiarów technologicznych. Dzielimy atak na trzy fazy: przed, w trakcie i po. O ile nie kontrolujemy końcowego użytkownika, o tyle jesteśmy w stanie zaadresować rozwiązania, w których końcowy użytkownik korzysta ze struktury bankowej. Kiedy użytkownik terminala mobilnego próbuje odwoływać się do aplikacji, które znajdują się w banku, zawsze korzysta z sieci. Istotne jest, abyśmy rozumieli co się dzieje w sytuacji kiedy intruzi przeprowadzają rekonesans, kiedy ma miejsce sam atak i faza „po ataku” – wtedy potrzebujemy informacji analitycznej by zrozumieć co się tak naprawdę wydarzyło.
MM: Zapobiegać i przeciwdziałać. W skrajnym przypadku dopiero reagować na zdarzenia?
PI: Rekomendujemy aby maksymalnie dużo czasu poświęcać fazie przygotowania, doboru infrastruktury, projektowania, wdrażania, utrzymywania – co konieczne, jej rozwijania. Zachęcamy do tego, aby maksymalnie dużo czasu w tym obszarze poświęcać po to, aby ten nakład czasu spędzany na to, czego nie uda się ochronić był minimalny. Z drugiej strony, gdy już będziemy w takiej sytuacji – naturalne jest bowiem to, że banki dziś są przedmiotem ataków i ten proces jest nieustanny, ile ataków jest skutecznych, ile danych jest ukradzionych tego tak naprawdę dziś nie wiemy – ważne jest, aby w zależności od tego, czy uda się nam dobrze zaprojektować sieć i spędzić odpowiednio dużo czasu w fazie przygotowania, aby mieć narzędzia, umiejętności, żeby po skutecznie przeprowadzonym ataku móc przeprowadzić analizę tego, co się wydarzyło, co straciliśmy i jakie były tego przyczyny. Wszystko po to, aby ustrzec się tego w przyszłości.
Mariusz Sawczuk: Dzisiejszą prezentacją chcieliśmy zaproponować podejście komplementarne, holistyczne, bo one jest jedynym słusznym podejściem. Jeżeli próbujemy zrozumieć istotę czegokolwiek, w tym momencie istotę ataku czy zdarzenia w środowisku IT, to powinniśmy zrozumieć to zdarzenie przed, w trakcie i po jego zaistnieniu. Rolą firmy SEVENET jest dobrać dla klientów bankowych poszczególne rozwiązania, które są w stanie zapewnić ochronę przed atakiem, w trakcie i po ataku.
Maciej Małek: Czy w tym kontekście możemy tworzyć takie rozwiązania, które przyjmując zastałą architekturę są ją w stanie zaadaptować do celów, które określa nam zleceniodawca, czy musimy system za każdym razem budować od nowa?
MS: To jest właśnie istota systemu – można budować rozwiązania punktowe, które powiedzą tylko i wyłącznie o danych elementach całego zdarzenia, natomiast nie przedstawią nam kontekstu, przestrzeni samego zdarzenia. Projektując tego typu systemy staramy się zachęcać klientów, aby patrzyli w kierunku rozwiązań długofalowych, które zapewnią szersze podejście do tematu. To może być konkretny producent, gama konkretnych producentów. Staramy się integrować rozwiązania po to, aby na samym końcu dostarczyć rozwiązanie, które najbardziej spełnia oczekiwania klienta.
MM: Nie jest to prosta suma tylko wartość dodana, która wynika z właściwej konfiguracji i zharmonizowania poszczególnych elementów systemu w jedną całość?
MS: Tak. Sztuka integracji jest elementem, który wprowadza integrator do całego procesu. Prowadząc klienta, który ma nie rzadko różne oczekiwania, różne potrzeby, natomiast cel, który próbuje osiągnąć zazwyczaj jest ten sam. Klienci mają różne infrastruktury natomiast cel, który im przyświeca jest jeden – zabezpieczyć dane.
MM: Z reguły waszymi rozmówcami po stronie banków są ludzie odpowiedzialni za bezpieczeństwo. Jak zatem włączyć tych odpowiedzialnych za poszczególne elementy core biznesu bankowego w tworzenie takiego systemu tak, aby mógł on spełniać założone funkcje i aby zarząd, który podejmuje decyzje o wydatkach rozumiał, że to, co rekomendujemy jest nie tylko skuteczne, ale uzasadnione z ekonomicznego i każdego innego punktu widzenia?
MS: To jest bardzo ważne aby rozmawiać zarówno z działami IT jak i z biznesem. Projektując systemy bezpieczeństwa, demolujemy poniekąd budżety IT, jednak na samym końcu dostarczamy im dużą wartość biznesową. Przejawia się ona w bezpieczeństwie sieci, danych, ale przede wszystkim klientów.
MM: Czyli zarówno w kategoriach budowy reputacji jak i stopy zwrotu z kapitału te inwestycje są opłacalne i nie warto na nich oszczędzać?
MS: Zdecydowanie nie. Oszczędzanie na bezpieczeństwie zawsze kończy się nieciekawie.
aleBank.pl
Zobacz rozmowę w wersji wideo: „Piotr Ignaczak, Mariusz Sawczuk: Komplementarność narzędzi w systemie bezpieczeństwa to nasze zadanie”