Jak to jest z tym bezpieczeństwem?
Badania pokazują, że klienci coraz bardziej zdają sobie sprawę z cyberzagrożeń. Potwierdzają to ankiety dotyczące planów zakupowych w obszarze bezpieczeństwa IT. Uznaliśmy, że czas na sakramentalne „sprawdzam” i spytaliśmy integratorów, jak te deklaracje przekładają się na rzeczywistość.
Zacznijmy do badań. W sytuacji, gdy cyberzagrożenia z roku na rok stają się coraz bardziej złożone, przedsiębiorcy nie ufają zabezpieczeniom, które mają. W badaniu przeprowadzonym przez Forbes Insights na zlecenie VMware’a 75 proc. ankietowanych w Polsce firm przyznało, że ich systemy ochronne są przestarzałe i wymagają aktualizacji. W związku z tym 83 proc. badanych zamierza kupić nowe usługi związane z cyberbezpieczeństwem w ciągu najbliższych trzech lat. Globalne prognozy dla branży też są optymistyczne. IDC szacuje, że światowe wydatki na sprzęt, oprogramowanie i usługi związane z bezpieczeństwem sięgną w bieżącym roku 103,1 mld dol. Wobec tak pozytywnych komunikatów ze strony analityków można by sądzić, że ten segment branży IT jest na tle innych obszarów wyjątkowo dochodowy. A jednak zdania na ten temat są podzielone.
Z tezą, że na zabezpieczeniach zarabia się lepiej, w pełni zgadza się Jacek Terpiłowski, dyrektor generalny SOC24, spółki należącej do Infradaty. Jego zdaniem wynika to z olbrzymiego potencjału rynku cyberochrony. Do niedawna inwestycje w IT ograniczały się do rozwoju infrastruktury tak, by jak najlepiej wspierała procesy biznesowe, ale nie było tam miejsca na inwestycje w odpowiednie zabezpieczenie tych zasobów. Jednak ostatnio świadomość przedsiębiorstw związana z koniecznością ochrony swoich danych i systemów informatycznych znacznie wzrosła.
Zdaniem przedstawiciela SOC24 miały na to największy wpływ dwa czynniki. Po pierwsze, szeroko nagłośnione przez media cyberataki. Wszyscy przecież słyszeli o WannaCry, Petya czy NotPetya, w wyniku działania których wiele firm dotknęły ogromne straty finansowe, co musi robić na klientach wrażenie. Po drugie, na świadomość związaną z bezpieczeństwem informatycznym wpływają wprowadzane regulacje prawne dotyczące ochrony danych. Mowa tutaj przede wszystkim o RODO, choć w ostatnim czasie sporo uwagi poświęca się także ustawie o krajowym systemie cyberbezpieczeństwa. W rezultacie na rynku wzrósł popyt na odpowiednie produkty i usługi, co z kolei spowodowało zwiększenie zapotrzebowania na wysoko wykwalifikowanych specjalistów z tej dziedziny (o których na całym świecie bardzo trudno).
– Dlatego firmy świadczące usługi z obszaru bezpieczeństwa nie obawiają się konkurencji, bo i tak nie są w stanie zaspokoić rynku. Mogą oferować je przy znacznie wyższej marży niż w pozostałych obszarach IT – uważa ekspert SOC24.
Jego zdaniem na dużą zyskowność wpływa również fakt, że rozwiązania ochronne są znacznie droższe niż większość standardowych systemów IT.
Również Mariusz Szczęsny, dyrektor działu cyberbezpieczeństwa w Asseco, zauważa wśród polskich firm systematyczny wzrost świadomości znaczenia cyberbezpieczeństwa i wagi ryzyka płynącego z zagrożeń. Coraz większy jest więc rynek usług z obszaru ochrony informacji, przy czym realizuje się coraz więcej dużych projektów tego typu. Z kolei Wojciech Gliniecki, Infrastructure Director w S&T w Polsce, zwraca uwagę na potencjał biznesowy tkwiący w konieczności modernizacji i wymiany firmowych systemów związanych z cyklami ich odświeżania. Szacuje, że ze względu na szybki postęp technologiczny po mniej więcej pięciu latach od zaprojektowania sieci jej bezpieczeństwo przestaje być zadowalające, a ochrona staje się nieskuteczna. Na rynku wciąż pojawiają się urządzenia szybsze, wydajniejsze i bezpieczniejsze.
– Relatywnie najwięcej zarabiamy na działaniach najbardziej złożonych, wymagających znacznego stopnia integracji z systemami IT klienta oraz specjalistycznej wiedzy. Jeśli przedsiębiorstwo zamawia dostawę sprzętu i podstawowe wdrożenie, wtedy udział naszych ekspertów jest stosunkowo niewielki, ale i korzyści dla firmy są najmniejsze – mówi przedstawiciel S&T.
Dlatego integratorzy powinni zachęcać klientów do kompleksowego podejścia do tematu cyberbezpieczeństwa i skorzystania zarówno z doświadczenia partnera w tworzeniu procedur i polityki bezpieczeństwa, jak i jego wiedzy stricte technicznej.
O tym, że na bezpieczeństwie zarabia się najlepiej, nie jest natomiast przekonany Marcin Krzemieniewski, Business Line Manager – Security w Dimension Data. Przyznaje wprawdzie, że tematyka jest modna i nośna, ale samo podpięcie się pod obecną koniunkturę nie wystarczy do tego, żeby zarobić. Potrzeba pracy nad konkretnym projektem, wniesienia wartości dodanej, przekonania klienta do swojego rozwiązania, a na koniec skutecznego wdrożenia w założonym terminie.
– Spełniając powyższe warunki, na pewno można zarobić na cyberochronie, ale równie dobrze na projektach realizowanych w innych obszarach IT – uważa ekspert Dimension Data.
Kolejne poziomy dojrzałości
W podejściu przedsiębiorców do bezpieczeństwa można wyróżnić kilka poziomów. Na tym najniższym, najmniej dojrzałym, jest ono postrzegane wyłącznie jako generator kosztów, a tych przecież się unika. Dział IT jest wtedy niedofinansowany, przeciążony obowiązkami i cierpi na brak zasobów. Oczko wyżej znajduje się postrzeganie bezpieczeństwa wyłącznie w kategoriach zgodności z przepisami. Klient powinien sobie jednak zdawać sprawę, że choć dbałość wyłącznie o compliance zapewni mu pewien spokój, to nie da gwarancji właściwej ochrony. Kolejny poziom to technologie – są przedsiębiorstwa wychodzące z założenia, że zastosowanie odpowiednich środków technicznych załatwi sprawę. Wreszcie mamy poziom najwyższy, na którym bezpieczeństwo staje się czynnikiem stymulującym rozwój firmy i elementem jej kultury organizacyjnej. Decydenci dostrzegają wtedy rzeczywistą korzyść z wdrażania rozwiązań ochronnych. W tym najdojrzalszym podejściu takie kwestie jak zapewnienie zgodności z przepisami to oczekiwany efekt uboczny.
Jednocześnie rzadko spotyka się klienta przekonanego, że cyberbezpieczeństwo to ważny element budujący jego przewagę konkurencyjną na rynku. Znacznie częściej integrator ma do czynienia z firmami, którym z trudem przychodzi inwestowanie w technologie, procedury i specjalistów. Na szczęście, zdaniem rozmówców CRN Polska, są na to sposoby.
Według Jacka Terpiłowskiego trzeba wykazać, że dana inwestycja faktycznie poprawi bezpieczeństwo firmy i jest w stanie zmniejszyć ryzyko poniesienia strat, a jednocześnie będzie klienta mniej kosztować niż ewentualne szkody związane w wystąpieniem danego zagrożenia. Jak tłumaczy, służą do tego dwa narzędzia. Pierwsze to analiza wpływu na działalność biznesową (BIA – Business Impact Analysis), pokazująca, jak dane zdarzenie, incydent czy przerwa w pracy wpływają na działalność biznesową klienta i z jakimi kosztami powinien się on liczyć w przypadku wystąpienia takiego zdarzenia. Drugie to analiza ryzyka, przedstawiająca, z jakim prawdopodobieństwem dane zdarzenie ma szansę wystąpić i w jaki sposób można to ryzyko zneutralizować.
– Porównując wyniki tych dwóch analiz w najbardziej przejrzysty sposób, bezpośrednio na liczbach, możemy wykazać klientowi, że dbanie o bezpieczeństwo nie jest tak naprawdę kosztem, ale inwestycją w realizację celów biznesowych przedsiębiorstwa – podsumowuje Jacek Terpiłowski.
Jeśli klient uważa, że cyberbezpieczeństwo jest tylko kosztem, to – zdaniem Łukasza Zieniewskiego, konsultanta ds. systemów operacyjnych w Simple – po prostu warto się dowiedzieć dlaczego. Problem cyberbezpieczeństwa jest powszechnie bagatelizowany, a klienci często sądzą, że nie są na tyle ważni lub nie mają na tyle istotnych danych, by być celem ataku. Tymczasem praktycznie każdy może stać się potencjalnym celem, a wiele ataków nie jest wymierzonych w konkretne osoby czy firmy, lecz polega na uderzeniu w jak największą liczbę ofiar. W taki sposób był wykorzystywany m.in. ransomware.
– Wśród tych, którzy doświadczyli tego rodzaju ataku, wielu po czasie zrozumiało, że dane, do których utracili dostęp, były ważniejsze, niż im się wcześniej wydawało. Podczas przekonywania klienta dobrym pomysłem może być także zaprezentowanie przykładów prawdziwych ataków – mówi ekspert Simple.
Zasadę, że do koniecznych inwestycji najłatwiej jest przekonać firmy, które poniosły już wymierne straty związane z przerwaniem ciągłości działania lub utratą danych, spowodowane brakiem skutecznej polityki bezpieczeństwa, potwierdza także Wojciech Gliniecki. Jego zdaniem bardzo dobre efekty integrator osiągnie także, jeżeli już na początku uda mu się ustalić, kto personalnie w danej firmie zostanie pociągnięty do odpowiedzialności, jeśli dojdzie do włamania lub wycieku wrażliwych danych.
– Takie osoby są zdecydowanie bardziej otwarte na rozmowy o budowie kompleksowej strategii podniesienia bezpieczeństwa IT. Ciągle jednak zdarza się, że nawet w dojrzałych przedsiębiorstwach trudno jest wskazać osobę, która jest w pełni odpowiedzialna za wszystkie kwestie związane z bezpieczeństwem – zauważa przedstawiciel S&T.
Co do tego, że proces przekonywania może być złożony, nie ma wątpliwości Marcin Krzemieniewski. W jego opinii czasami rzeczywiście wystarczy zidentyfikować tylko jedną właściwą osobę i wpłynąć na nią, przeważnie jednak trzeba dotrzeć do wielu. Przy czym inaczej rozmawia się z administratorem, inaczej z kierownikiem czy dyrektorem, a jeszcze inaczej z członkiem zarządu. Dopiero dotarcie do wszystkich decydentów i przekazanie im interesującej z ich punktu widzenia wartości płynącej z realizacji projektów z obszaru bezpieczeństwa pozwala skutecznie przekonać klienta.
Nie zagłębiając się w detale, Mariusz Szczęsny widzi pozytywne zmiany na rynku. Ponieważ rośnie świadomość zagadnień związanych z cyberbezpieczeństwem, coraz łatwiej przekonać klienta, że to nie tylko koszt, ale i inwestycja, która zwiększy prawdopodobieństwo osiągnięcia sukcesu biznesowego. W niektórych sektorach takie inwestycje stają się koniecznością wynikającą z przepisów prawa.
Samo compliance to za mało
Chociaż wszyscy rozmówcy CRN Polska podkreślają znaczenie zewnętrznych regulacji w podnoszeniu poziomu cyberbezpieczeństwa i zwiększaniu inwestycji w ochronę, to są zgodni co do tego, że ta kwestia sprawy nie kończy. Zdaniem Łukasza Zieniewskiego skupianie się wyłącznie na zgodności z regulacjami może oznaczać, że priorytetem stanie się wyłącznie spełnienie narzuconych wymagań. Gdy cel zostanie osiągnięty, dalsze czynności mogą zostać uznane za niepotrzebne. W rzeczywistości dobra strategia bezpieczeństwa powinna przede wszystkim wychodzić z założenia, że ochrona jest procesem ciągłym, stale udoskonalanym. Trzeba skupić się więc na każdym aspekcie mającym na nią wpływ.
– Zarówno na wymaganiach i odpowiednich rozwiązaniach technicznych, jak i na doborze godnych zaufania specjalistów i stałym zwiększaniu świadomości zagrożeń wśród pracowników – wylicza ekspert Simple.
Także Wojciech Gliniecki podkreśla, że zabezpieczanie przedsiębiorstwa jest procesem ciągłym, a zgodność z regulacjami to absolutne minimum. Ponieważ zapewnienie firmie stuprocentowego poziomu ochrony we wszystkich obszarach IT często nie miałoby uzasadnienia ekonomicznego, to w pierwszej kolejności należy odpowiedzieć sobie na pytanie, które aspekty bezpieczeństwa z punktu widzenia działalności przedsiębiorstwa są newralgiczne. Te będą wymagać nakładów na najnowsze technologie, rozwiązań uznanych producentów, wsparcia doświadczonych i certyfikowanych konsultantów, którzy w razie wystąpienia nieprzewidzianych zdarzeń pomogą w skutecznym reagowaniu. W przypadku innych obszarów będzie można zaakceptować pewien określony poziom ryzyka.
– Wśród naszych klientów największą popularnością cieszy się obecnie instalacja systemów bezpieczeństwa, które monitorują nie tylko sieć, lecz także działania jej użytkowników i w razie konieczności umożliwiają odcięcie ich dostępu do aplikacji firmowych – mówi przedstawiciel S&T.
Dla Jacka Terpiłowskiego kluczowym elementem strategii bezpieczeństwa informatycznego jest wsparcie biznesu. Przy jej definiowaniu trzeba uwzględnić wiele elementów. Po pierwsze, aby określić punkt początkowy, trzeba ustalić aktualny stan bezpieczeństwa IT w przedsiębiorstwie. Następnie przeprowadzić analizę luk, pozwalającą odkryć braki w cyberochronie i określającą działania, które trzeba wykonać, by osiągnąć założone cele. Kolejnym krokiem jest analiza ryzyka, która ustali faktyczne zagrożenie związane z poszczególnymi dziedzinami oraz systemami i pozwoli wyznaczyć priorytety dla poszczególnych celów czy działań. Ważna jest także wspomniana już wcześniej analiza BIA, czyli zbadanie wpływu, jaki na biznes będzie miała utrata danych czy przestój w pracy. Wreszcie dochodzi się do wymagań prawnych i regulacji, czyli omawianego compliance, które musi być jednym z wielu celów polityki bezpieczeństwa.
– Strategia bezpieczeństwa, która weźmie pod uwagę te wszystkie elementy, będzie mogła w skuteczny sposób wesprzeć rozwój biznesu danego przedsiębiorstwa – twierdzi Jacek Terpiłowski.
O tym, że zgodność z regulacjami nie jest najistotniejsza, mówi także Marcin Krzemieniewski. W jego opinii skuteczna polityka bezpieczeństwa powinna wynikać z potrzeb biznesowych, odpowiadać na potrzeby wynikające z analizy ryzyka, a compliance ma być realizowane tam, gdzie jest to niezbędne. Oczywiście warto trzymać się ogólnie przyjętych norm i zasad, ale nie powinno to zwalniać od myślenia w kategoriach konkretnego przedsiębiorstwa i zdejmować odpowiedzialności za projektowane czy utrzymywane systemy bezpieczeństwa.
– Znam wiele firm, które nie zawracają sobie głowy HIPAA czy PCI DSS, a jednocześnie bezpieczeństwo stoi wysoko na liście ich priorytetów, a jednocześnie radzą sobie z poziomem ryzyka wystąpienia zagrożenia – mówi specjalista z Dimension Data.
Czy usługi są przyszłością branży security?
Z deficytem własnych kompetencji zmagają się zarówno większe, jak i mniejsze firmy. I jedne, i drugie mogą być zmuszone zwrócić się po pomoc do dostawców usług – MSSP (Managed Security Service Provider). Zwłaszcza te drugie, które często nie mają własnego działu IT i w wyborze systemów zabezpieczających bardziej liczy się dla nich cena. Zapewniana z zewnątrz profesjonalna ochrona za miesięczną opłatą powinna więc stanowić dla nich atrakcyjną ofertę. Wiele wskazuje więc na to, że branża cyberbezpieczeństwa zmierza do modelu usługowego.
Zdaniem Mariusza Szczęsnego model Security as a Service to wiele korzyści dla różnych grup klientów – daje on gwarancję wysokiej jakości usług bez konieczności zatrudniania wykwalifikowanego zespołu specjalistów. Możliwość zastosowania takiego rozwiązania zależy od specyfiki firmy i tego, jak wrażliwe są przetwarzane informacje. Integralną częścią dostarczania usług są rozwiązania działające w chmurze, zapewniające wysoki poziom dostępności i wsparcie doświadczonych specjalistów.
– Obserwując rynek, jesteśmy przekonani, że segment tego rodzaju usług będzie się sukcesywnie rozwijał w kolejnych latach – uważa przedstawiciel Asseco.
Wciąż jednak – w opinii Wojciecha Glinieckiego – polski rynek jest w tym obszarze niedojrzały. Wśród realizacji S&T zdarzają się projekty typu Security as a Service, ale jest ich stosunkowo mało. W świadomości większości firm nadal funkcjonuje przekonanie, że „lepiej opłaca się kupić własny dom, niż go wynajmować”. I pewnie czasami rzeczywiście tak jest, ale wybór w dużej mierze powinien być uzależniony od analizy, z jakim środowiskiem informatycznym po stronie klienta mamy do czynienia. Czy jest ono zmigrowane do chmury, czy też nie i jak bardzo rozproszona jest geograficznie struktura organizacyjna określonego przedsiębiorstwa. I wreszcie, czy są w nim specjaliści, którzy mają wystarczające kompetencje, żeby zapewnić bezpieczeństwo firmy na odpowiednim poziomie.
– Spodziewamy się, że w najbliższych latach, ze względu na postępujący coraz bardziej niedobór specjalistów, usługi z wykorzystaniem rozwiązań chmurowych będą coraz popularniejsze – mówi Wojciech Gliniecki.
Przy czym nie staną się receptą na wszystko. Według Łukasza Zieniewskiego nie zawsze umieszczanie rozwiązania w chmurze czy oferowanie go w formie usługi będzie rozwiązaniem lepszym. Pod uwagę trzeba wziąć cenę, elastyczność, możliwość dostosowania do – nierzadko specyficznych – wymagań danego klienta i wiele innych czynników.
Także z doświadczeń Jacka Terpiłowskiego wynika, że polscy klienci w większości jeszcze bardzo ostrożnie podchodzą do oferty Security as a Service. Przede wszystkim wynika to wciąż z braku zaufania do dostawców świadczących takie usługi. O ile klienci w Europie Zachodniej są bardziej otwarci na wdrażanie tego rodzaju rozwiązań, o tyle polscy zwykle nie potrafią się przełamać, by powierzyć zarządzanie bezpieczeństwem profesjonalnym firmom. Sytuacja ta powoli ulega zmianie, a powodem tego są przede wszystkim wspomniane już braki kadrowe i deficyt specjalistów ds. bezpieczeństwa IT w firmach oraz koszty ich zatrudnienia.
Zdaniem szefa SOC24 integratorzy powinni w coraz większym stopniu uwzględniać rozwiązania chmurowe w swoich ofertach. Szybkość i prostota wdrożenia takich systemów oraz brak kosztów związanych z budową i utrzymaniem infrastruktury powodują, że wielu przedsiębiorców coraz przychylniej patrzy na tego typu rozwiązania, nawet w przypadku rozwiązań z dziedziny bezpieczeństwa IT.
– Korzyści wynikające z rozwiązań chmurowych zaczynają przeważać nad obawami przedsiębiorców przed wyniesieniem swoich systemów ochronnych poza lokalną infrastrukturę – twierdzi Jacek Terpiłowski.
Analizując polski rynek, Marcin Krzemieniewski zauważa, że z pewnymi wyjątkami (takimi jak choćby sektor publiczny) klienci na ogół przychylnie odnoszą się do usług bezpieczeństwa. Chętnie o takiej ofercie rozmawiają, testują konkretne rozwiązania, z łatwością znajdują dla nich zastosowanie w swoich przedsiębiorstwach. Co więcej, sami przyznają, że po prostu nie mają wystarczającej liczby ludzi do obsługi kolejnego rozwiązania. Gorzej jest w następnej fazie – zakupu.
– Wtedy, niestety, wątpliwości biorą górę i słychać: „Jeszcze nie teraz”, „Jednak nie mamy wystarczających środków”, „Ostatecznie poradzimy sobie sami”. Budżet przeważnie jest ograniczony i stojąc przed wyborem, czy wydać pieniądze na zakup infrastruktury, czy może na usługę, polski klient wybiera środki trwałe. To wciąż jest ugruntowany nawyk i na zmianę takiego stanu rzeczy jeszcze jakiś czas w naszym kraju trzeba będzie poczekać – mówi specjalista Dimension Data.
Jego zdaniem czasy świetności dla integratorów świadczących usługi (również te z chmury) dopiero nadchodzą, ale szykować należy się już dzisiaj. Przyjdzie taki dzień, w którym klienci wyzbędą się wątpliwości i będą gotowi kupować usługi bezpieczeństwa, a wtedy zyskają integratorzy, którzy się na to zawczasu przygotowali.
Podobne artykuły
NAKIVO: niezawodny backup bez inwestowania w nowy sprzęt
Bezpieczeństwo środowisk IT często postrzegane jest jako koszt, co prowokuje do poszukiwania oszczędności w tym obszarze. Podobnie jest z kwestiami dotyczącymi backupu danych. Świadoma tej sytuacji firma NAKIVO opracowała rozwiązanie, które zapewnia bardzo bogatą funkcjonalność, ale jednocześnie minimalizuje koszty jego wdrożenia i obsługi.
Intel ułatwia zabezpieczenie systemu Windows 11
Nietypowe działania cyberprzestępców wymagają nietypowych metod obrony. Aby skutecznie zabezpieczyć system IT konieczne okazało się wprowadzenie mechanizmów ochronnych także w sprzęcie. Wyzwanie to, we współpracy z Microsoftem, podjęła firma Intel.
SD-WAN: sieć dla hybrydowego IT
Bezpieczeństwo firmowych danych, a także komfort pracowników uzyskujących zdalny dostęp do aplikacji i cyfrowych zasobów, muszą być takie same bez względu na ich lokalizację i rodzaj wykorzystywanego urządzenia. Ochronę złożonej i rozproszonej infrastruktury IT umożliwiają rozwiązania typu SD-WAN.