Relacja 2016
Nowe, proaktywne podejście do bezpieczeństwa
Technologie cyfrowe zmieniają nie tylko społeczeństwo i biznes, ale tworzą nowe wyzwania w kontekście podejścia do bezpieczeństwa. Tradycyjne metody i systemy zaczynają stanowić raczej przeszkodę niż rozwiązanie. Potrzebna jest nowa strategia, która będzie daleko wykraczać poza działy bezpieczeństwa, a także nowe technologie, z których choć żadna sama w sobie nie stanowi panaceum, to jednak ma swoje istotne miejsce w złożonym systemie obrony, który może zapewnić organizacji „cyfrową odporność” – twierdzili prelegenci konferencji Advanced Threat Summit 2016.
Cyfrowa transformacja, która opanowała przedsiębiorstwa i instytucje na całym świecie, stanowi dzisiaj bardzo wyraźny trend. Biznes zmienia się, bo zmienili się klienci – oczekują oni od firm czegoś zupełnie innego niż dotychczas. Otwieranie firm na zewnątrz oznacza wzrost liczby zagrożeń i zwielokrotnienie ryzyka. Eksperci zgromadzeni na konferencji podkreślali jednak, że zamieszanie z tym związane ani też płynące ze zmian korzyści, nie sprawiają, że kwestie bezpieczeństwa schodzą na dalszy plan. Wszyscy zgadzali się jednak co do tego, że konieczne jest przebudowanie tradycyjnego podejścia do bezpieczeństwa. Potencjalne koszty włamań są ogromne. Podczas konferencji przywoływany był przykład amerykańskiej firmy Target, że kradzież danych kart kredytowych i debetowych może spowodować koszty przekraczające 1 mld zł.
Jak zatem zacząć wprowadzać zmiany? W wielu wystąpieniach prelegenci podkreślali znaczenie używanego języka w komunikacji z zarządem lub innymi działami, które powinny aktywnie uczestniczyć w budowaniu nowej strategii cyberbezpieczeństwa organizacji. Warto używać prostych do zrozumienia metafor, przekonywał Denis Verdon, odpowiedzialny za ryzyka związane z informacją w grupie Bupa – globalną korporacją usług medycznych, do której w Polsce należy sieć Lux-Medu.
Dlaczego? Ponieważ język używany przez „bezpieczników” jest często zupełnie niezrozumiały dla przedstawicieli innych departamentów. Wykazała to choćby analiza opisów poszczególnych wystąpień – akceptowanych przez środowisku, ale wymagających do pełnego zrozumienia wieloletniej edukacji. To niezwykle istotne, ponieważ kwestia odporności organizacji na cyberzagrożenia znacznie wykracza poza dział bezpieczeństwa. Obejmuje całe przedsiębiorstwo, w tym specjalistów od komunikacji, prawników i przedstawicieli biznesu.
Podczas konferencji dostępnych było jednak także wiele typowych „atrakcji” dla ekspertów cybersecurity: prelekcje techniczne, warsztaty oraz sesje roundtables. To jedna z najważniejszych i największych konferencji w tym obszarze organizowana w Polsce i adresowana dla menedżerów z dużych organizacji – CSO, CISO, dyrektorów IT, ds. bezpieczeństwa a także menedżerów i specjalistów bezpieczeństwa ICT.
Plan na wzrost
Wieczorem pierwszego dnia konferencji w centrum uwagi znalazł się rynek pracy dla ekspertów cybersecurity, jego potencjał, możliwości rozwoju oraz system kształcenia zawodowego. Przedstawiciele firmy Hays Poland opowiadali o rynku pracy ekspertów bezpieczeństwa oraz ich zarobkach w Polsce, natomiast Dariusz Użycki z Pedersen & Partners mówił o planowaniu kariery profesjonalisty bezpieczeństwa informacji – znacznie wykraczającym poza wiedzę i umiejętności techniczne oraz menedżerskie.
W trakcie debaty stanowiącej zwieńczenie tej sesji szczegółowe plany Ministerstwa Cyfryzacji dotyczące wzrostu liczby profesjonalistów cybersecurity w Polsce przedstawił Piotr Januszewicz, zastępca dyrektora Departamentu Cyberbezpieczeństwa. W ministerstwie wszyscy doskonale zdają sobie sprawę, że specjalistów w tym obszarze – ze względu m.in. na rozwój Internet of Things oraz inteligentnych technologie Smart City oraz Industry 4.0 – w przyszłości potrzeba będzie znacznie więcej. Konieczne jest zbudowanie mechanizmów kształcenia zorganizowanego a także odpowiednie kształtowanie świadomości społecznej.
W planach znajduje się stworzenie nowych kierunków studiów kładących większy nacisk na zagadnienia związane z cyberbezpieczeństwem. Pojawić się ma stopień naukowych doktor inżynier lub magister inżynier cyberbezpieczeństwa. Miałby być przyznawany absolwentom nowego kierunku studiów, w ramach którego obowiązywałyby specjalności: zarządzanie cyberbezpieczeństwem, informatyka śledcza, analiz wsteczna kodu wysoko- i niskopoziomowego a także układów elektronicznych, analiza działań przestępczych i terrorystycznych a także zarządzanie centrum operacyjnym cyberbezpieczeństwa. Na innych kierunkach studiów mają być natomiast rozwijane specjalizacje interdyscyplinarne związane z tym obszarem. Wcześniej trzeba jednak na forum europejskim ustalić kwestie formalno-prawne dotyczące zawodu eksperta ds. cybersecurity. To zadanie trudne, ale wykonalne.
Ministerstwo ma w planach także zbudowanie platformy naukowej, która ma się przyczynić do zwiększenia liczby specjalistów pracujących w ośrodkach naukowych. Powstanie Naukowy Akademicki Klaster Cyberbezpieczeństwa, który umożliwi wykorzystanie potencjału polskich naukowców i polskiej myśli naukowo-technicznej. Na kilku wybranych uczelniach powstaną laboratoria, w których będą prowadzone programy badawcze poświęcone tworzeniu i wdrażaniu nowych metod ochrony. Pierwszego takie laboratorium ma powstać na Politechnice Warszawskiej. Ustalenia z innymi uczelniami są zaawansowane. Część pieniędzy na zatrudnienie naukowców ma dostarczyć Narodowe Centrum Badań i Rozwoju. Ministerstwo zakłada, że znaczną część prac uda się wykonać w ciągu najbliższych miesięcy. Konkretne efekty działań mają być widoczne już w przyszłym roku (więcej informacji pod adresem www.cyberedu.gov.pl) .
Ważnym elementem rządowych planów jest partnerstwo publiczne prywatne, dla którego podstawowym warunkiem jest otwarte podejście szkół i uczelni do współpracy z biznesem. Na razie przypadki takiej skutecznej współpracy w Polsce można policzyć na palcach jednej ręki. Szczególnym przykładem jest program podyplomowych studiów Cybersecurity Management na Uniwersytecie Ekonomicznym we Wrocławiu, którego kierownik, dr. Maja Leszczyńska, opowiadała o samych studiach oraz współpracy z biznesem przy ich tworzeniu.
Szklana kula cybersecurity
Podczas konferencji sporo uwagi poświęcono także temu, co nas czeka w obszarze cybersecurity w roku przyszłym i latach kolejnych. Dobrym punktem wyjścia do dyskusji kuluarowych był zaprezentowany w czasie sesji otwierającej imprezę doroczny raport Security Predictions przygotowany przez firmę Forcepoint Security Labs, którego premiera miała miejsce kilka dni przed AT Summit 2016. Według firmy nadrzędnym trendem, który będzie wpływał na przyszłe wydarzenia i kształtował zjawiska, jest konwergencja świata cyfrowego i fizycznego, przenikanie zagrożeń, którego konsekwencją musi być integracja strategii i systemów obrony. Ta konwergencja będzie miała długofalowe konsekwencje w postaci powstania nowego cyfrowego ekosystemu stanowiącego poważne wyzwanie dla organizacji na całym świecie.
Trudno wskazać spośród 10 prognoz te najbardziej istotne albo prawdopodobne, dlatego każdy wybór będzie miał charakter arbitralny. Wydaje się, że najpoważniejsze konsekwencje z punktu widzenia polskich organizacji i instytucji będzie miało rozporządzenie europejskie GDPR, wprowadzające nowe regulacje w zakresie ochrony danych osobowych, ale także wpływać będzie na obszar cybersecurity, w a w szczególności obowiązki informacyjne w przypadku wystąpienia incydentów. GDPR będzie skutkować także istotnym wzrostem wydatków – przy czym czasu na działania nie pozostało wcale zbyt wiele (obowiązywać zacznie od maja 2018 r.). Trendem jest także eskalacja podatności związanych z tzw. abandonware, czyli ‘opuszczonym oprogramowaniem’, starymi aplikacjami, systemami, które nadal są wykorzystywane, ale nie są aktualizowane – tego typu oprogramowanie to łatwy cel dla przestępców, dlatego można spodziewać się, że będzie źródłem wycieków danych.
Ciekawe była także prognoza dotycząca chmury obliczeniowej, a mianowicie, że będzie to coraz częstszy wektor ataków. Przestępcy zaczną specjalizować się w hackowaniu hyperwizorów, zaś dostawcy usług cloud będą coraz częstszymi ofiarami ataków typu DOS.
Tegoroczny Advanced Threat Summit zgromadził blisko 400 uczestników – w większości menedżerów bezpieczeństwa z różnych sektorów polskiej gospodarki oraz przedstawicieli firmy będącej dostawcami usług i rozwiązań cybersecurity. Kolejna edycja konferencji planowana jest w listopadzie 2017 r.
W jaki sposób pokonać ograniczenia trady
cyjnego podejścia do bezpieczeństwa?
Denis Verdon, Bupa
Jeśli chcemy osiągnąć rozsądny poziom cyberbezpieczeństwa w organizacji, to tak naprawdę mówimy o zmianie. Jak się za to zabrać? Zacznijmy od zebrania faktów. Następnie przedstawiamy projekt, wybieramy strategię i budujemy program. Rozpoczęcie dyskusji z zarządem na temat zmiany w podejściu do bezpieczeństwa jest już dzisiaj na szczęście stosunkowo proste. A to dlatego, że zarząd jest już z pewnością zaniepokojony cyberzagrożeniami. To dobra wiadomość. Jest jednak również ta zła. Na pewno zapytają: co już zrobiłeś, żeby to zmienić?
Co nas czeka w świecie cybersecurity w następnym roku?
Carl Leonard, Forcepoint Security Labs
Z naszych prognoz wynika m.in. że w 2017 r. możemy spodziewać się dalszej konwergencji technologii oraz działań zmierzających do konsolidacji rynku dostawców rozwiązań bezpieczeństwa. Duże organizacje będą przejmować mniejsze firmy specjalizujące się w obszarze cyberbezpieczeństwa. Co to oznacza dla klientów? Małe firmy, które nie znajdą inwestorów albo nie zostaną przejęte przez większych, graczy będą znikać z rynku. Natomiast konsekwencją połączeń i przejęć będzie to, że rozwój niektórych produktów może zostać spowolniony albo w ogóle wstrzymany. Należy to brać pod uwagę dokonując wyborów technologicznych.
Od strategii do taktyk
i: namierzanie kont uprzywilejowanych i ich ochrona
Miri Herszfang, CyberArk
Jaki jest najlepszy sposób na zatrzymanie ataków ransomware? Istnieją trzy możliwości, ale tylko działanie na poziomie plików zapewnia 100 procent skuteczność. Należy zablokować dostęp aplikacji do krytycznych plików. Kontrola aplikacji w połączeniu z usunięciem ze stacji roboczych kont uprzywilejowanych jest najlepszym sposobem walki z ransomwarem.
Stan umysłu po włamaniu
– jak efektywnie wykryć i wyśledzić naruszenia bezpieczeństwa i jak na nie odpowiedzieć w świecie współczesnych zagrożeń
Dan Michelson, Stefen Sellmer, Microsoft
Przedostanie się do sieci zajmuje przestępcom kilka minut. Od tego momentu średnio upływa 200 dni zanim organizacja zorientuje się, że padła ofiarą włamania. Dalsze 80 dni upływa od wykrycia do uporania się z problemem. Czego zatem brakuje w firmowej strategii cyberochrony stacji końcowych? To kompleksowa strategia działania po włamaniu.
Budowa zaufan
ia w coraz bardziej cyfrowym świecie
Christopher J. Hodson, ZScaler
Internet of Things posiada ogromny potencjał biznesowy, ale jednocześnie rodzi jeszcze większe wyzwania dla osób odpowiedzialnych za cyberbezpieczeństwo. Dowolne urządzenie podłączone do internetu, np. drukarka bezprzewodowa kamera stanowi dla hackerów potencjalny punkt wejścia. Tymczasem podłączamy kolejne ‚rzeczy’ do internetu, nie znając, nie rozumiejąc do końca wszystkich konsekwencji dla bezpieczeństwa.
Rola AI i analiz BigData w skutecznej obronie p
rzed atakami ukierunkowanymi
Michał Jarski, Trend Micro
Nowe rodzaje złożonych cyberataków wymagają równoczesnego zastosowania różnorodnych narzędzi obrony. Kluczowe jest, żeby zastosować odpowiednią technikę w odpowiednim czasie i miejscu. Właśnie współpraca różnych technologii to sposób na zwiększenie skuteczności ochrony. W takim wielowarstwowym systemie szczególne miejsce zajmuje sztuczna inteligencja. Nasze unikalne podejście wykorzystuje uczenie maszynowe – na etapie przed wykonaniem i w czasie wykonywania kodu.
Zarządzanie łańcuchem dostaw oprogramowania z perspektywy bezpieczeństwa
Daniel Spica, Spica Solutions
W ekonomii „apek”, firmy budujące doskonałe aplikacje będą wygrywać. Jednak wyzwania związane z bezpieczeństwem będą coraz większe. Zarządzanie łańcuchem dostaw odbywa się coraz szybciej i szybciej. W erze DevOps odbywa się z ogromną prędkością.
Czy kolejny system bezpieczeństwa faktycznie zwiększy poziom ochrony?
Michał Ceklarz, Cisco
W obszarze cyberbezpieczeństwa kluczem do sukcesu jest informacja. Problemem natomiast to, że wiedza na temat zagrożeń jest rozproszona. Dlatego trzeba ją integrować. Taką rolę odgrywa grupa Cisco Talos, która dostarcza informacje przed, w trakcie oraz po atakach.
Jak wydobyć niewia
dome IT z cienia
Jason Clark, Tenable
Z badań wynika, że zaledwie połowa używanych w firmach urządzeń jest skanowana pod kątem podatności. Tylko co 10-ta firma skanuje całą swoją infrastrukturę. Organizacje powinny przestać koncentrować się na atakach „zero day”, a zabrać się przede wszystkim za łatanie dziur dobrze znanych od tysiąca dni.
Czy systemy wewnętrzne są rzeczywiści
e bezpieczne?
Jakub Botwicz, EY
Fakt umieszczenia systemu wewnątrz sieci nie czyni go w dzisiejszym czasach bezpiecznym. Potrzebne są specjalizowane usługi polegające na wykonaniu testów penetracyjnych, wzmocnienia zabezpieczeń czy przeglądu kodu źródłowego.
Cyber Threat Intelligence
Jerzy Surma, SGH
Idealny system Threat Intelligence powinien być dokładny, wyszukiwać istotne i wiarygodne informacje oraz zapewniać możliwość podejmowania – w oparciu o te informacje – akcji. Praktyka jednak pokazuje, że dostępne narzędzia obarczone są poważnymi problemami. Stąd mam wątpliwości, czy działające w zautomatyzowany sposób narzędzia tego typu są w ogóle możliwe do zbudowania.
Znaj swojego wroga – platformy Threat Intelligence w praktyce
Lech Lachowicz, Symantec
Biorąc pod uwagę wyzwania środowiska cyfrowego – wielkość potencjalnej przestrzeń ataku, złożoność systemów chronionych przez niedostateczną liczbę specjalistów, a także poziom zaawansowania przeciwnika, Threat Intelligence jest przede wszystkim bardzo przydatnym zbiorem złożonych informacji o zagrożeniach. Wymagają one jednak interpretacji dokonywanej przez przygotowany, wyszkolony zespół specjalistów. Praktyka pokazuje, że choć nie rozwiąże to wszystkich problemów, to jednak wykorzystanie tych informacji pozwala często przygotować się na atak, wyprzedzając działania atakujących.
Jak od zera zbudować nowe rozwiązanie bezpieczeństwa – na przykładzie BLIKA
Nimal Ratnayake, Polski Standard Płatności
Polski Standard Płatności, operator systemu płatności mobilnych BLIK, powstał w wyniku współpracy sektorowej. W 2013 roku stworzyło go sześć banków, ale system – nadzorowany przez NBP – jest otwarty na kolejnych uczestników i cały czas jest rozwijany. W przyszłości będzie wykorzystywany również poza sferą finansową do ograniczonej identyfikacji i uwierzytelniania.
DEBATA PANELOWA: BEZPIECZEŃSTWO W DOBIE CYFROWEJ TRANSFORMACJI
Grzegorz Stępniak, PERN
Wzrost zagrożeń związanych z postępującą cyfrową transformacją nie powinien zaskakiwać. To nie jest nowa sytuacja. Każda nowa technologia niosła ze sobą nowe ryzyka. Dzisiaj jest ich tylko trochę więcej, może nie są do końca rozpoznane. Niemniej nie jest prawdą, że jesteśmy tak zafascynowani cyfrową transformacją, że tracimy z pola widzenia bezpieczeństwo. Takie spotkania jak AT SUMMIT pokazują, że zdajemy sobie sprawę z zagrożeń. Konieczne jest jednak przebudowanie podejścia do bezpieczeństwa. Może też trzeba sobie uświadomić, że są takie miejsca, których chronić już nie warto.
Wiesław Kotecki, Deloitte Digital CEE
Cyfrowa transformacja to już nie jest buzzword, ale bardzo wyraźny trend. Firmy musza się zmienić, bo zmienili się ich klienci. To oni oczekują czegoś od firm czegoś innego niż dotychczas.
Michał Ostrowski, FireEye
Działy bezpieczeństwa często są pomijane przy podejmowaniu kluczowych decyzji w obszarze bezpieczeństwa. Firmy zajmujące się bezpieczeństwem mogą zrobić bardzo dużo, ale jeśli nie idą za tym zmiany w organizacjach, to efekty będą dalekie od potrzeb.
Andrzej Osuch, LUX MED
Na rynku ochrony zdrowia to nie konkurencja jest motorem napędzającym cyfryzację. To konieczność. Bez cyfryzacji dojdzie do zapaści opieki zdrowotnej. Wydłużyliśmy długość życia, ale biologia jest nieubłagana – w późniejszym okresie życia częściej chorujemy. Do tego dochodzi malejąca liczba lekarzy. Potrzeby rosną, drużyna się kurczy. Jeśli nie wykorzystamy technologii cyfrowych, to będzie katastrofa. Naturalną konsekwencją tego są wzmożone działania w obszarze bezpieczeństwa.
DYSKUSJA PANELOWA: CZY W POLSCE POTRAFIMY TWORZYĆ INNOWACJE W BEZPIECZEŃSTWIE
Patryk Brożek, Wheel System
Polska to fajne miejsce, żeby rozpocząć działalność. Mówiąc kolokwialnie, mamy bzika na punkcie bezpieczeństwa, co sprawia, że na rynku można znaleźć dużo fajnych ludzi. Niemniej od razu warto pracować z myślą o rynku globalnym. Świat nie patrzy na Polskę szukając zaawansowanych technologii cybersecurity. Jeśli chcemy budować globalną markę, trzeba działać za granicą – najlepiej w Dolinie Krzemowej.
Krzysztof Surgowt, Cryptomind
W Polsce trudno przebić się z innowacyjnymi produktami, zwłaszcza w obszarze IT i cybersecurity. Wynika to po części z narodowego przeświadczenia, że nie jesteśmy w stanie konkurować ze światowymi potęgami. Brakuje nam zasobów i możliwości. Przełamanie bariery niewiary w siebie ma kluczowe znacznie dla rozwoju naszego rynku i zwiększenie szans polskich produktów zagranicą.
Łukasz Kister, PSE
PSE potrzebuje nowoczesnych, śmiałych pomysłów na narzędzia i aplikacje a także na bezpieczeństwo naszych systemów informatycznych. Przy realizacji takiego zadania nie sprawdzają się brane z półki aplikacje dużych dostawców. Potrzebujemy rozwiązań szytych na miarę. To właśnie zadanie dla małych, ambitnych firm, których założyciele mają pasję i chcą pokonywać bariery. Jesteśmy otwarci na taką współpracę i staramy się ją stymulować.
Tomasz Rudolf, D-RAFT
Duże organizacje aktywnie szukają małych, innowacyjnych firm. Niemniej trzeba wiedzieć jakie produkty rozwijać i jak budować markę. Od razu warto budować firmę jako globalną organizację, w której cały zespół ma mieszany, międzynarodowy charakter.