Najsłabszym ogniwem w systemach bezpieczeństwa jest człowiek. Jednak zakazy i ograniczenia dla pracowników w korzystaniu z sieci niewiele zmienią. To nie oni są odpowiedzialni za bezpieczeństwo. Dlatego trzeba stworzyć im takie środowisko, które będzie odporne na błędy. Jak dbać o cyberbezpieczeństwo?
Rozmawiamy z Marcinem Spychałą, Senior Security Architect w IBM Polska
Świadomość dotycząca cyberbezpieczeństwa rośnie – ale to za mało
Agnieszka Durska: Wiele się dziś mówi o cyberbezpieczeństwie, RODO uczy nas chronić swoje dane, głośne przypadki ataków hackerskich każą zastanowić się, jak bezpiecznie funkcjonować w sieci itd. – świadomość rośnie. Ale czy na pewno? Jak ocenia pan stan naszej wiedzy na temat bezpieczeństwa w sieci? Jak ocenia pan stan wiedzy menedżerów na ten temat?
Marcin Spychała.: Jesteśmy z każdej strony bombardowani informacjami o zagrożeniach, włamaniach czy wyłudzeniach, siłą rzeczy nabywamy w tym zakresie wiedzę. Niestety, jest ona jeszcze zbyt powierzchowna, mało praktyczna. Daleko do takiego poziomu świadomości, który wpływałby na zmianę postaw. O ile jest ona tu w ogóle możliwa.
A.D.: Dlaczego?
M.S.: Rosnąca świadomość nie przełoży się na wzrost bezpieczeństwa ani osobistego, ani przedsiębiorstwa, w którym się pracuje. I nie należy oczekiwać od pracowników, że będą się przyczyniać do bezpieczeństwa firmy, bo, szczerze powiedziawszy, to nie jest ich rola.
Pracownicy nie muszą zajmować się bezpieczeństwem
A.D.: Czyja to rola w takim razie?
M.S.: Ochroną firmy powinni zająć się specjaliści. Muszą przy tym założyć, że pracownicy będą stwarzać zagrożenie i popełniać błędy. Systemy bezpieczeństwa oparte na blokadach lub zakazach, czyli np. nie klikaj, nie uruchamiaj, nie wkładaj, nie mają prawa się sprawdzić. Wiadomo, że ktoś kliknie czy uruchomi. Zamiast więc oczekiwać od pracowników, że będą samodzielnie ekspertami od bezpieczeństwa, stwórzmy im środowisko, które będzie możliwie odporne na ich błędy, a jednocześnie pozwoli im wykonywać obowiązki służbowe. A do nich bez wątpienia należy klikanie w linki w mailach czy uruchamianie załączników.
Pracownicy powinni czuć się w pracy bezpiecznie przy wykorzystaniu maksimum potencjału przydzielonych im środków pracy. Co z tego, że mają najnowszy model laptopa i superszybki Internet, skoro dział bezpieczeństwa poblokował wszystkie porty, większość protokołów i uniemożliwił uruchamianie programów? To tak jakby kierowca samochodu nie mógł skręcać, hamować ani zmieniać pasa, bo w tych sytuacjach dochodzi najczęściej do wypadków. Nie tędy droga.
Strategia na najsłabsze ogniowo bezpieczeństwa
A.D.: A co jest najsłabszym ogniwem w polskich firmach/ zabezpieczeniach sieci firmowych?
M.S.: Wiele osób powie, że najsłabszym ogniwem jest zawsze człowiek, ale jak już mówiłem – to nie jest słuszne przekonanie.
Mamy dostęp do coraz łatwiejszych w obsłudze urządzeń, jesteśmy użytkownikami technologii, ale nie musimy znać tajników ich działania, czy rozumieć, jakie dana technologia ma możliwości eksploitacyjne. Wystarczy, że wiemy, jak z niej korzystać, jak włączyć i wyłączyć dane urządzenie. Nasze systemy muszą więc uwzględniać fakt, że użytkownicy są i pozostaną dla przestępców łatwym do zmanipulowania celem.
A.D. Czyli specjalista od zabezpieczeń nie powinien budować systemu zabezpieczeń z założeniem, że użytkownicy będą zachowywać się bezpiecznie i racjonalnie. I to najważniejsze wyzwanie.
M.S.: Tak, strategia oparta na założeniu, że ludzie będą przestrzegać określonych wytycznych, jest nieoptymalna, wręcz nieracjonalna. Bez wątpienia jest jednak łatwiejsza do wprowadzenia w krótkim okresie. Prościej jest zabronić pracownikom korzystania z pendrive’ów i poblokować im możliwość wysyłania maili z załącznikami niż wprowadzić poprawną architekturę data governance czy DevSecOps.
Na szczęście wiele firm już dostrzega to, że na dłuższą metę to się nie sprawdzi. Przede wszystkim takie podejście hamuje innowacyjność. Poza tym, blokując użytkownikom możliwość popełnienia błędu, niczego ich nie uczymy. Tym bardziej są oni podatni na cyberprzestępstwa, np. kiedy zabraknie kontrolującego ich systemu lub jeśli sam system zostanie skompromitowany lub będzie po prostu niekompletny.
Poza tym, przy obecnym tempie adopcji rozwiązań chmurowych wdrażanie restrykcyjnych polityk bezpieczeństwa się po prostu nie sprawdzi ze względu na model współdzielonej odpowiedzialności dostawców rozwiązań chmurowych. Zresztą, nie wyobrażam sobie sytuacji, w której jednocześnie wskazujemy chmurę jako katalizator transformacji biznesowej i zakazujemy jej stosowania, bo to niebezpieczne.
Walka z cyberprzestępstwami – tylko systemowa
A.D.: Jak sobie z tym w takim razie poradzić?
M.S.: Na to pytanie jest pewnie tyle odpowiedzi, ilu jest specjalistów w temacie. Niemniej po pierwsze trzeba zrozumieć, że wraz z profesjonalizacją rynku cyberprzestępstw walczyć z nimi można tylko systemowo i globalnie. Co oczywiście niesie za sobą mnóstwo wyzwań, począwszy od legislacji, a na problemie atrybucji ataku kończąc. To jest jedyna droga.
Walka samodzielnie nawet w skali korporacji jest po prostu skazana na porażkę. Dodatkowo, musimy też przemodelować architektury systemów IT w przedsiębiorstwach, żeby odpowiadały współczesnym wyzwaniom. Muszą stawiać bezpieczeństwo w centrum każdej decyzji biznesowej.
A.D.: Takie myślenie jeszcze chyba nie jest zbyt popularne – nie zakazywać, a stwarzać bezpieczne środowisko. Jak Polska wygląda pod tym względem na tle innych krajów – nasze firmy są przygotowane na cyberataki lepiej?
M.S.: Tu nie da się udzielić jednoznacznej odpowiedzi, bo to zależy od sektora oraz od rodzaju zagrożeń. W oparciu jednak o dane Eurostatu za 2018 rok powiedziałbym, że plasujemy się gdzieś w połowie stawki[1]. Są sektory, które w Polsce są bardzo dobrze przygotowane do zwalczania cyberprzestępczości. Doskonałym przykładem jest sektor finansowy. Podejmowano tu takie decyzje, które dobrze służą bezpieczeństwu. Mowa tu m.in. o braku zgody na używanie niektórych technologii w ramach bankowości elektronicznej, np. screen scrappingu. Dzięki temu nasze systemy bankowe były od początku bardziej odporne na klasyczne ataki.
Bezpieczeństwo w centrum uwagi
A.D.: Jakie wyzwania są przed nami, jeśli chodzi o poprawę bezpieczeństwa?
M.S.: Sporym wyzwaniem jest nauczenie ludzi higieny pracy z komputerem, a w szczególności z Internetem. To jest zadanie pokoleniowe, ważniejsze niż budowanie świadomości cyberzagrożeń.
A z perspektywy firm dobrze by było, aby decyzje biznesowe zawsze poprzedzać analizą ich skutków dla bezpieczeństwa danych czy innych zasobów. Niestety często się tego nie robi. Oczywiście, nie wszystko da się przewidzieć. Jednak nie warto za wszelką cenę spieszyć się i pomijać kwestie bezpieczeństwa i dopracowania pod tym kątem wszystkich elementów. Jeśli kosztem braku analiz chcemy szybciej wprowadzić jakiś produkt czy usługę, to to może być droga donikąd. Jest już wiele przykładów takich firm, w których podejmowano decyzje biznesowe w sprzeczności z rekomendacjami działów bezpieczeństwa. To się często kończy znaczną przeceną wartości spółki, tak jak np. w Yahoo, przy sprzedaży do Verizon. Inny przykład to firma Coinhive, która przez błędnie zaimplementowany model biznesowy usługi doprowadziła do epidemii cryptojackingu, co skończyło się ostatecznie jej upadkiem.
A.D.: My dołożymy do tego oczywiście pakiet ubezpieczeń, które pozwolą firmie poradzić sobie skutecznie z finansowymi skutkami cyberataku. Dziękuję za rozmowę.
Marcin Spychała jest doświadczonym praktykiem cyberbezpieczeństwa. Pracuje jako architekt dla IBM w dziale Security. W ciągu ostatnich lat zajmował się projektowaniem systemów cyberbezpieczeństwa dla klientów IBM.
[1] https://www.websitebuilderexpert.com/blog/eu-cybercrime-risk/