Żyjemy w pandemii cyberzagrożeń

Rozpoczniemy od porównania medycznego? Myśląc o Security Operations Center, wyobrażam sobie glukometr, który na bieżąco monitoruje mój poziom cukru i od razu alarmuje mnie, kiedy wskazania będą niewłaściwe.

Porównanie ciekawe, choć nieco upraszczające. Jeśli chodzi o książkową definicję Security Operations Center, to określają go trzy składowe: ludzie, procesy, technologia. Glukometr jest narzędziem dosyć prostym, gdyż analizuje jedną zmienną, tymczasem w cyberbezpieczeństwie mówimy w zasadzie o nieograniczonej liczbie zmiennych – to nieustanny wyścig z cyberprzestępcami, którzy próbują być o krok przed naszymi zabezpieczeniami. Co więcej, w przypadku glukometru sam musisz interpretować wskazania, natomiast jeśli chodzi o SOC, masz do dyspozycji ekspertów, którzy są w stanie określić, co dokładnie dzieje się w twojej organizacji. Także schematy są podobne, jednak Security Operations Center to glukometr, ale o znacznie bardziej rozbudowanych możliwościach.

SOC to w większym stopniu narzędzie reaktywne czy prewencyjne?

Każde rozwiązanie z zakresu cyberbezpieczeństwa w jakiś sposób działa prewencyjnie, jednak Security Operations Center rzeczywiście działa raczej reaktywnie. Co do zasady nie ingerujemy w infrastrukturę klienta, natomiast dzięki doświadczeniu oraz know-how naszych specjalistów potrafimy dobrać odpowiednie rozwiązania, pomóc w ich wdrożeniu oraz znaleźć korelację między różnymi zdarzeniami występującymi w sieciach naszych partnerów. Szybko wyłapujemy anomalie, na które klient prawdopodobnie nigdy nie zwróciłby uwagi.

Trzymając się porównań medycznych – kiedy kaszlę, wydaje mi się, że jestem przeziębiony. Kiedy lekarz mnie osłuchuje podczas kaszlu, doskonale wie, że to coś więcej niż typowa dolegliwość. Eksperci z SOC są takimi lekarzami, którzy patrzą szerzej?

Zdecydowanie tak i kluczowym słowem jest tu korelacja. Ty masz kaszel, natomiast lekarz zwraca uwagę na szerszy kontekst. Może wróciłeś właśnie z zagranicy, gdzie było bardzo zimno? Może masz w rodzinie choroby genetyczne, które wpływają na to, że to nie zwykły kaszel? Tak samo działa Security Operations Center – nasi eksperci są wybitnymi specjalistami, którzy wyłapują korelacje między zdarzeniami, a przy tym są w stanie doradzić, co zmienić w infrastrukturze firmowej, by ta działała jeszcze sprawniej. Zauważ, że wirusy atakują najczęściej osoby z obniżoną odpornością. W cyberbezpieczeństwie jest podobnie – jeśli organizacja nie dba o cyberhigienę, staje się podatniejsza na różnego rodzaju zagrożenia. Oczywiście zdarzają się tzw. ataki celowane, czyli wymierzone w konkretną firmę.

Domyślam się, że zanim podejmiecie współpracę z firmą, przeprowadzacie analizę jej infrastruktury. W jaki sposób jako przedsiębiorca powinienem przygotować się na taki proces, na co mam zwrócić uwagę?

Przede wszystkim nie musisz obawiać się tego procesu, gdyż zawsze prowadzimy klienta „za rękę”. Współpracujemy zarówno z największymi korporacjami, gdzie działy IT są rozbudowane – wtedy wdrożenie przebiega zazwyczaj sprawniej – jak i mniejszymi podmiotami, w których musimy wykonać więcej pracy edukacyjnej. Nawet jeśli nie posiadasz struktur zarządzających cyberbezpieczeństwem, i tak jesteśmy w stanie zmapować twoje potrzeby np. poprzez ankietę, którą wysyłamy do klientów.

O co w niej pytacie?

Przede wszystkim sprawdzamy poprzez nią świadomość dotyczącą cyberbezpieczeństwa. Podstawowym zagadnieniem, otwierającym jakąkolwiek dyskusję, jest zrozumienie tego, dlaczego klient w ogóle zdecydował się ruszyć temat cyberbezpieczeństwa. Czy w ostatnim czasie doświadczył jakiegoś zdarzenia, które go zaniepokoiło? Czy ktoś poradził mu, aby zainteresował się tym tematem? A może jego partnerzy biznesowi wymagają wdrożenia dodatkowych rozwiązań z zakresu cyberbezpieczeństwa? Patrząc na odpowiedzi, jakie otrzymujemy, wysnuję tezę, że świadomość dotycząca cyberbezpieczeństwa rośnie – przedsiębiorcy coraz częściej wiedzą, z jakimi konsekwencjami może się wiązać brak odpowiednich zabezpieczeń.

W przypadku naszego kraju dochodzi jeszcze kontekst geopolityczny, ponieważ Polska jest jednym z najczęściej atakowanych krajów, dlatego nieustannie musimy dbać o ochronę. Co ważne, by realizować cele prewencyjne, nie musisz od razu wdrażać rozbudowanych, drogich rozwiązań – można to realizować stopniowo.

Trzymając się medycznych analogii – jeśli pacjent jest chory, to raczej nie wysyłamy go na wszystkie możliwe badania. Lekarz, na podstawie wywiadu, definiuje jego przypadłość i zleca takie badania, które mają pomóc w diagnozie konkretnego przypadku. I dokładnie w taki sam sposób działa nasze Security Operations Center.

Jednocześnie chciałbym powiedzieć – i uważam, że trzeba to powtarzać za każdym razem – nigdy nie będziesz w 100 proc. zabezpieczony, nawet jeśli wdrożysz najlepsze, najbardziej zaawansowane rozwiązania z zakresu cyberbezpieczeństwa. Jeśli jakakolwiek firma obieca ci, że korzystając z jej usług, możesz przestać się martwić o cokolwiek, to z całą pewnością mija się z prawdą. Warto mieć świadomość, że dbanie o cyberbezpieczeństwo jest kwestią przede wszystkim minimalizacji ryzyka.

W jakim stopniu na bazie takich rozwiązań jak Security Operations Center można budować swoją przewagę konkurencyjną? Mamy z jednej strony dyrektywę NIS 2, z drugiej – często jest tak, o czym zresztą powiedziałeś, że to nasi partnerzy biznesowi wymagają od nas wdrożenia pewnych rozwiązań.

Firmy potrafią wykorzystywać marketing do własnych celów, jednak cyberbezpieczeństwo lubi ciszę. Referencje nie są zbyt popularne na rynku cybersecurity, ponieważ to zawsze może być jakaś informacja na temat tego, z jakiej technologii korzysta dane przedsiębiorstwo – hakerzy potrafią tego typu dane wykorzystać w bezlitosny sposób. Współcześnie cyberprzestępcy działają w ramach naprawdę złożonych organizacji: ktoś inny cię atakuje, ktoś inny informuje o naruszeniu ochrony, a jeszcze inna osoba negocjuje warunki okupu. Zdradzając szczegóły ochrony, niepotrzebnie ułatwiamy im pracę.

W naszej rozmowie pojawiło się sporo medycznych nawiązań, więc chciałbym również podobnym zakończyć. Czy nie jest trochę tak, że żyjemy w pandemii cyberzagrożeń? Że musimy pogodzić się z faktem, że te zagrożenia są, natomiast jesteśmy w stanie minimalizować ryzyko zachorowań?

To bardzo dobre porównanie! Orange Polska to duży operator, więc widzimy, jak wiele incydentów zdarza się każdego dnia. Nie ma dnia, nie ma godziny, żeby ktoś nie był atakowany. Żyjemy w erze cyfrowej, gdzie największą wartością są dane, więc powinniśmy się o nie bardzo mocno troszczyć, zwłaszcza że sztuczna inteligencja znacznie ułatwia sposób, w jaki można się włamać do konkretnych przedsiębiorstw.

Ja również chciałbym zakończyć medycznym porównaniem – jeśli nie boli cię gardło, nie możesz zakładać, że zawsze tak będzie, ponieważ wirusy nieustannie krążą w powietrzu. Dokładnie tak samo jest z cyberbezpieczeństwem – nawet jeśli w danym okresie nie doświadczyłeś lub nie jesteś świadomy cyberincydentu w twojej firmie, nie oznacza to, że nie masz się czym przejmować. Odpowiednie zabezpieczenia – razem z takimi usługami jak Security Operations Center – sprawiają, że nawet jeśli już gardło cię zaboli, będziesz w stanie szybko zareagować. A szybkość reakcji jest w tym wypadku kluczowa.