Październik jest europejskim miesiącem cyberbezpieczeństwa, które z każdym kolejnym rokiem zyskuje na znaczeniu. Stały dostęp do internetu i praca zdalna umożliwiły przetrwanie wielu firm w trakcie pandemii, ale warto pamiętać, że brak odpowiednich procedur i zignorowanie zagrożeń może doprowadzić nawet do wstrzymania działalności. O tym, jak systemowo zabezpieczyć firmowe dane, rozmawiamy z Przemysławem Dębą, dyrektorem cyberbezpieczeństwa w Orange Polska.
Jacek Tomczyk: Z jakimi wyzwaniami w zakresie cyberbezpieczeństwa obecnie stykają się polskie firmy?
Przemysław Dęba: Wyzwania w zakresie cyberbezpieczeństwa niekoniecznie mają narodowość. Rynek cyberbezpieczeństwa jest globalny i dlatego powinniśmy szukać wspólnych wymiarów pod względem wielkości firmy albo branży, w jakiej działa. To właśnie branża determinuje „skarby”, które chcemy ochraniać: rodzaj informacji czy ciągłość biznesu. Natomiast jeśli chodzi o uniwersalne wyzwania, to wspomniałbym o czymś, co początkowo może wydawać się oczywiste, a mianowicie niedoszacowanie ryzyka przez zarządy bądź też brak kompetencji wśród pracowników. Niestety ludzie nie zawsze łączą swoje zachowania z potencjalnymi atakami, co widać również w przypadku ataków wymierzonych w osoby prywatne, jak np. włamania na konta bankowe. Szczególnie warto zwrócić uwagę na to, jak jest wykorzystywany sprzęt służbowy – czy pracownicy korzystają z niego również w celach prywatnych. Brak systemowego rozdzielenia tych zachowań bardzo często jest źródłem problemów. Innym zagrożeniem jest do tego wykorzystywanie danych produkcyjnych (często również klientów) w środowiskach testowych, które zazwyczaj mają niższy poziom zabezpieczeń. Warto też zwrócić uwagę, że wykorzystywanie danych klientów w ten sposób (a jest to dość powszechną praktyką), nie powinno mieć miejsca również ze względu na RODO. Szczególną uwagę powinniśmy zwrócić tym samym na strategię uwierzytelnień, czyli potwierdzeń tożsamości użytkownika.
Czy firmy obecnie stosują bezpieczne, wieloskładnikowe uwierzytelnianie, czy może ciągle królują krótkie hasła zapisywane na kartce papieru, przyczepianej w widocznym miejscu?
Dużo zależy od branży i wielkości firmy. W przedsiębiorstwach, które mają wyższą kulturę bezpieczeństwa i działają w branżach obarczonych wyższym ryzykiem, oczywiście nie do pomyślenia byłoby niestosowanie uwierzytelniania wieloskładnikowego (MFA), natomiast w przypadku mniejszych organizacji ciągle popularne są praktyki, o których pan wspomniał. My w branży nadal jednak czekamy na świat bez haseł. Można to zrealizować właśnie na zasadzie MFA, chociażby stosując tokeny sprzętowe, czy rozwiązania oparte na biometrii, tak działa np. usługa Hello Microsoftu, która również nie wymaga podawania hasła. Decydując się na ten rodzaj zabezpieczeń, możemy ograniczyć skuteczność najpopularniejszych metod stosowanych przez przestępców. Często bazują oni na wyłudzaniu haseł albo wykorzystywaniu faktu, że wiele osób korzysta z jednego hasła do wielu serwisów. W tym ostatnim przypadku wystarczy, że hasło raz wycieknie, a przestępcy będą w stanie uzyskać dostęp do wszystkich kont, z jakich korzystała ofiara. Warto też zwrócić uwagę na jakość zabezpieczeń naszych partnerów biznesowych, ponieważ przestępcy mogą wykraść poufne informacje, włamując się na serwery firmy trzeciej, której powierzyliśmy przetwarzanie danych.
Zagrożeń, o których pan wspomina, jest bardzo dużo, czy zatem warto w strukturze firmy wyodrębnić stanowisko szefa bezpieczeństwa informacji (CISO), który byłby odpowiedzialny za budowanie kultury organizacji w tym zakresie?
W pierwszej kolejności powinniśmy stworzyć politykę bezpieczeństwa firmy, co może być pierwszym wyzwaniem CISO. W takim dokumencie powinien się znaleźć jasny opis odpowiedzialności za cyberbezpieczeństwo, ponieważ tam, gdzie jej granice się zacierają, zazwyczaj pojawiają się problemy. Rozmycie odpowiedzialności jest największym wrogiem bezpieczeństwa firmy. Powinniśmy też zdefiniować standardy, których chcemy przestrzegać, sposób reagowania na incydenty, a także zasady komunikacji, abyśmy w razie zagrożenia wiedzieli do kogo się zgłosić. Pamiętajmy przy tym o roadmapie rozwoju, w której określimy, jak w przyszłości chcemy zwiększać bezpieczeństwo organizacji. Sojusznikiem bezpiecznej firmy jest ponadto dbanie o jakość – począwszy od produkcji i procesów przez pracowników po świadczone produkty i usługi. Pamiętajmy, że tam, gdzie brakuje jakości, tam prędzej czy później pojawi się zagrożenie.
Na czym polega rola CISO?
W zakresie obowiązków CISO wchodzi wiele obszarów. Zacznijmy może od sprawdzania poziomu podatności systemów IT i ich usuwania. Codziennie w różnych technologiach wykrywanych jest mnóstwo podatności, dlatego trzeba za tym nadążać. Nie jest to łatwe, ponieważ wiele firm woli nie aktualizować systemów, obawiając się utraty funkcjonalności, w myśl zasady: „jeśli działa, to lepiej niczego nie zmieniać”. Tymczasem jest to jeden z podstawowych procesów cyberbezpieczeństwa, którego nie wolno lekceważyć i pomijać.
Drugim istotnym zadaniem jest przewidywanie i wykrywanie ataków, aby w razie zagrożenia odpowiednio zareagować i przywrócić firmę do normalnego działania. W tym wypadku ważne są też kwestie architektury stosowanych rozwiązań – jeśli budujemy rozwiązanie IT od początku, powinniśmy myśleć również o bezpieczeństwie, w ten sposób oszczędzimy czas i łatwiej unikniemy zagrożeń. Warto też pamiętać o przepisach prawa i regulacjach, które nakładają różne standardy na firmy. Kolejnym obszarem jest budowanie świadomości bezpieczeństwa, np. poprzez szkolenia. Bardzo ważną kwestią jest przy tym biznesowa analiza ryzyka, która przydaje się zwłaszcza w rozmowach z zarządem. W zasadzie nie ma innego sposobu przedstawiania kwestii bezpieczeństwa niż przez tłumaczenie zagrożeń: czyli co i jak często może się zdarzyć, a także – jakie mogą być skutki finansowe cyberataku.
Osobną kwestią, na którą CISO powinien zwracać uwagę, jest także business alignment, czyli przystosowywanie produktów i usług do standardów bezpieczeństwa panujących w organizacji. Już na etapie projektowania warto mieć na uwadze, że poza zestawem funkcji czy cechami takimi jak jakość bądź cena powinny się one charakteryzować jak najwyższym poziomem bezpieczeństwa, również ze względu na wizerunek firmy na zewnątrz i zadowolenie klientów.
Wiele firm decyduje się oddelegować zadania CISO do działów IT, czy jest to właściwe podejście i czy może się sprawdzić?
To jest pytanie, które sobie zadajemy od lat. Przeważnie zaczyna się to tego, że ta funkcja wyrasta spod CIO, czyli w dziale IT, co ma swoje zalety i wady. Zaletą jest to, że CIO współpracując z CISO, może więcej rzeczy zrozumieć na temat zagrożeń. Osobiście jednak widzę więcej wad takiego rozwiązania. Po pierwsze, występuje różnica dotycząca perspektywy biznesu. Obecnie CIO w dobie zwinnych metod są mocno ukierunkowani na krótki termin realizacji. Natomiast CISO musi myśleć długofalowo, co wymaga systematyczności, spokoju i konsekwencji. Te cele i perspektywy są tak różne, że często trudno je ze sobą pogodzić. Poza tym cyberbezpieczeństwo mocno wychodzi poza sfery techniczne: technologia jest tylko jedną warstwą, poza którą CISO musi zajmować się socjotechniką, czy dopracowywaniem logiki procesów. Idealną sytuacją jest, gdy CISO raportuje bezpośrednio do zarządu, bo wówczas ma wyższą rangę i dostęp do większych środków, a także może faktycznie poczuć, że decyduje o losie firmy.
Jakie cechy powinna mieć osoba, która kandyduje na stanowisko CISO? Czy powinna to być osoba bardziej techniczna, czy raczej być psychologiem?
Dla mnie kluczową kompetencją jest coś, co po angielsku nazywa się storytelling, czyli umiejętność opowiadania historii i dawania przykładów. Jest to kapitalne narzędzie, które sprawdza się, zwłaszcza kiedy mówimy o zdarzeniu, które nigdy jeszcze nie miało miejsca. W takim wypadku CISO powinien umieć wiarygodnie przedstawić, co może się zdarzyć i jakie mogą być tego konsekwencje. Jeśli CISO jest introwertykiem, to może mu być trudno przebić się ze swoimi ideami, nawet gdy jest świetnym fachowcem. Inną ważną umiejętnością jest biegłość w języku biznesu, aby pracownicy wszystkich działów potrafili zrozumieć te często złożone zagadnienia.
Czy silosowość organizacji stanowi wyzwanie dla CISO?
CISO jest rolą transwersalną: dotyka wszystkich technologii, wszystkich warstw, wszystkich procesów. Nie da się jej zamknąć w silosie – trzeba rozumieć, jak działa organizacja, aby prowadzić działania cross‑silosowe, w czym pomaga umiejętność budowania silnych relacji z ludźmi i zaufania, co jest kluczowe. Oczywiście ważne są też takie cechy, jak asertywność i krytyczne myślenie, ale tego bezpieczniacy mają aż w nadmiarze. Istotna jest także odporność na stres i frustrację, które są nieodłączną częścią pracy w tej roli.
Jak zatrudnić takiego „sapera od cyberbezpieczeństwa”?
Zacząłbym od analizy ryzyka, aby upewnić się, do czego ten człowiek jest nam potrzebny. Są różne modele: pierwszy polega na tym, że system bezpieczeństwa budujemy z komponentów dostępnych na rynku. Jest to opłacalne – zwłaszcza na początku. Następnie można przejść krok dalej i zacząć przejmować kompetencje. Jest to kluczowy moment decyzyjny, ponieważ trzeba mieć świadomość, że zagadnień związanych z bezpieczeństwem jest tak dużo, że jednej osobie trudno będzie nad wszystkim zapanować, a dodatkowo pojawia się ryzyko odejścia takiego eksperta. Jeśli zdecydujemy się budować własne centrum bezpieczeństwa, to powinniśmy mieć plan rozwijania zespołu i zapewnienia finansowania oraz odpowiedniej kadry.
Przed jakimi wyzwaniami stoi CISO?
Największym wyzwaniem jest dbanie o wizerunek cyberbezpieczeństwa, aby osoby zajmujące się tym zagadnieniem nie były postrzegane jako ci, którzy tylko zabraniają, ale jako ktoś, kto pomaga i broni przed zagrożeniami z zewnątrz. Innym wyzwaniem jest fakt, że nie ma czegoś takiego jak stuprocentowe bezpieczeństwo, ponieważ to, co dziś jest bezpieczne, jutro może okazać się podatne na zagrożenia. To zresztą wiąże się z pewnym paradoksem, ponieważ istnieją różne pokusy, aby zwolnić CISO: jeśli zdarzy się włamanie, łatwo jest winę przypisać osobie odpowiedzialnej za bezpieczeństwo, natomiast jeśli wszystko działa dobrze, to zarząd może stwierdzić, że warto ograniczyć wydatki w tym obszarze.