Budowa cyberodporności jak budowa domu

Kuba Dobroszek: Ile twarzy ma cyberbezpieczeństwo? Piotr Markowicz, dyrektor strategii i rozwoju ICT, Orange Polska: Oj, z pewnością kilka!

Opiszemy je?

Pierwsza kluczowa twarz to ludzie. To twarz o tyle niejednoznaczna, że pracownik – niezależnie od technologii – może być najsilniejszym ogniwem bezpieczeństwa organizacji, ale również najsłabszym. Zespół powinien być świadom zagrożeń, a kadra zarządzająca musi nieustannie pracować nad poszerzaniem wiedzy dotyczącej cyberhigieny. Oczywiście nigdy nie będzie tak, że pracownicy zyskają pełny ogląd krajobrazu cyberzagrożeń, ale chociaż podstawowe zagadnienia są absolutną koniecznością – to wiedza nie tylko stricte teoretyczna, ale również dotycząca np. tego, do kogo się zwrócić w razie wątpliwości.

Drugą twarz opisałbym jako technologiczną. Jakimi technologiami operuje przedsiębiorstwo? W jaki sposób się chroni? Jak wygląda cały firmowy łańcuch cyberbezpieczeństwa – od ochrony użytkowników końcowych, przez bezpieczeństwo danych, po procesy biznesowe? To kluczowe zagadnienia, obejmujące również regularne śledzenie nowinek technologicznych, zwłaszcza tych, które możemy wdrożyć u siebie. IoT, sztuczna inteligencja, kryptografia kwantowa – wiele się dzieje!

Trzecia twarz jest o tyle specyficzna, że głównie spogląda poza organizację.

Gdzie patrzy?

Na całe otoczenie biznesowe, a w szczególności konkurencję i potencjalnych partnerów. To twarz analizująca najpowszechniejsze wektory ataków widoczne na rynku, od komercyjnych po – nazwijmy je – polityczne. Żadna firma nie może funkcjonować w oderwaniu od tego, co dzieje się na świecie.

Czwartą twarz nazwijmy regulacyjną. O ile 10 lat temu firmy nie musiały robić zbyt wiele, jeśli chodzi o dopasowywanie się do wymogów prawnych, o tyle teraz, wraz z galopującą cyfryzacją, sytuacja się diametralnie zmieniła. Przedsiębiorstwa są zobligowane do spełnienia wielu wymogów, niezależnie od branży, w jakiej działają.

Widzę, sporo tych twarzy i o każdą trzeba odpowiednio zadbać. Czy można powiedzieć, że któraś z nich jest szczególnie istotna?

Wszystkie są ważne, choć na pierwszy plan wysuwają się zapewne aspekty związane z ludźmi. Jako Orange Polska mocno inwestujemy w to, by zwiększać świadomość przedsiębiorstw dotyczącą cyberbezpieczeństwa. Staramy się ją nie tylko budować poprzez różnego rodzaju wydarzenia, akcje czy publikacje, ale także stworzyliśmy unikalne Centrum Doświadczeń Cyberbezpieczeństwa, gdzie symulujemy niebezpieczne sytuacje, dzięki czemu menedżerowie będą wiedzieli, jak zareagować w momencie faktycznego zagrożenia.

Jak to działa?

Zaprojektowaliśmy niezwykle realistyczną grę decyzyjną, wykorzystującą wizualizację oraz środowisko wirtualne. Symulacje cyberataków – takie jak ransomware czy te związane z analizą zagrożeń (ataki zero-day, cyber threat intelligence) – angażują decydentów firmy, pomagając im lepiej zrozumieć różne aspekty ataku oraz wspólne interesy różnych działów organizacji. Klienci w bezpiecznych warunkach stykają się z potencjalnym niebezpieczeństwem. Centrum Doświadczeń Cyberbezpieczeństwa jest swego rodzaju poligonem, bardzo realistycznym.

Podasz konkretny przykład sytuacji, z jaką stykają się „gracze”?

Podczas spotkania wyjaśniamy na przykład, jakie straty mogą przynieść przestoje trwające dzień, tydzień i miesiąc. Wyniki są prezentowane dla każdej firmy indywidualnie, na bazie jej rocznych obrotów.

Tym, na co stawiamy, jest zespołowość – w końcu dbanie o cyberhigienę to gra zespołowa. Dzięki nam szefowie poszczególnych działów mogą spojrzeć na atak z różnych punktów widzenia – „zhakowanego” szefa IT, dyrektora finansowego niemogącego wystawiać faktur czy prezesa, który musi mierzyć się z wizerunkowymi wyzwaniami związanymi z cyberincydentem.

Co istotne, podkreślamy, jak ważne jest natychmiastowe działanie, bo przecież nie jest tak, że jeśli zostaniemy zaatakowani, mamy mnóstwo czasu na reakcję. Decyzje trzeba podejmować „tu i teraz”, pomimo że nie zna się odpowiedzi na wszystkie pytania.

Biznesowo-psychologicznie to ogromny dyskomfort, ponieważ brak kontroli paraliżuje. Czy w przypadku cyberbezpieczeństwa nadgorliwość jest wskazana?

Z pewnością lepiej wykonać pewne kroki na zapas, niż nie podejmować ich w ogóle. Pamiętajmy jednak, żeby mierzyć zamiary na siły. Tak naprawdę na zabezpieczenia możemy wydać dowolne pieniądze, a przecież przedsiębiorcy nie pracują po to, by wszystkie zarobione środki przeznaczać na cyberbezpieczeństwo. W tym kontekście mówię zawsze o zdrowym balansie między tym, ile inwestujemy w ochronę, a efektem, jaki możemy osiągnąć. Tak więc odpowiadając bezpośrednio na twoje pytanie: nicnierobienie jest złe, ale nadgorliwość również nie jest dobra, bo żadna inwestycja nie może odbywać się kosztem core’u naszego biznesu. Świadomość, wyważenie, korzystanie z wiedzy innych – to pojęcia wskazane w przypadku cyberbezpieczeństwa.

W kontekście tego balansu coraz więcej mówi się ostatnio o programach reskillingowych wewnątrz organizacji. Często jest tak, że firmie bardziej opłaca się wyszkolić własnego pracownika, niż korzystać z usług zewnętrznego fachowca.

Tego typu inicjatywy oceniam pozytywnie, nie można jednak zapominać przy tym, że cyberbezpieczeństwo jest na tyle szerokim obszarem, że pojedyncza osoba nie odpowie na wszystkie wyzwania. A to dosyć częsta pułapka menedżerów, myślenie na zasadzie: „wyszkoliłem sobie specjalistę, więc nie mam się czego bać!”. Na rynku jest dostępnych mnóstwo urządzeń, jeszcze więcej rozwiązań sieciowych czy usług IT. Oprogramowania są nieustannie poprawiane, pojawiają się nowe wektory ataków. Cyberbezpieczeństwo jest niezwykle skomplikowanym ekosystemem – świetnie, jeśli wewnątrz organizacji jest czuwająca nad nim osoba, ale bez wsparcia innych, zewnętrznych ekspertów niewiele zdziała. Sądzę zresztą, że cały obszar cyberbezpieczeństwa będzie zmierzał ku usługowości, gdzie poszczególne usługi będziemy wykupywać od poszczególnych usługodawców, zmaleje liczba podmiotów oferujących kompleksowe wsparcie. Z budowaniem cyberodporności jest jak z budowaniem domu – efekt końcowy to dzieło wielu fachowców.

Zaczęliśmy od różnych twarzy cyberbezpieczeństwa, może również na nich skończmy. Zastanawiam się, czy jedna z nich nie powinna wskazywać wyłącznie na sztuczną inteligencję.

Rzeczywiście trochę jest już tak, że o cyberbezpieczeństwie decyduje AI. Od kilku lat obserwujemy nieustanny wyścig między hakerami a dobrą strony mocy, w którym kluczową rolę odgrywa właśnie sztuczna inteligencja. Z jednej strony AI sprawiło, iż jesteśmy w stanie szybciej wykryć i zneutralizować chociażby ataki phishingowe, z drugiej – napisanie zainfekowanego kodu jeszcze nigdy nie było takie proste, a o deep fake’u mówi się jako największym problemie nadchodzących miesięcy. Rzeczywistość jest taka, że cyberbezpieczeństwa nie można analizować w oderwaniu od sztucznej inteligencji i jej rozwoju, dlatego zdecydowanie zalecam śledzenie bieżących informacji dotyczących tej technologii.