Zapewnianie cyberbezpieczeństwa należy do najtrudniejszych dziedzin w zarządzaniu firmą. Z kilku co najmniej powodów. Po pierwsze,
rzadko wiadomo, kto ma za to odpowiadać. Obecnie jest to zazwyczaj szef IT. Coraz częściej słychać jednak głosy, że ochroną zasobów przedsiębiorstwa powinna się zajmować wydzielona komórka, niezależna od pracowników pionu informatyki. Nie są oni bowiem w stanie poświęcić wystarczającej uwagi kwestiom bezpieczeństwa, gdyż pracują pod presją terminów i wciąż nowych oczekiwań działów biznesowych. Pojawiają się też pomysły, zgodnie z którymi cyberbezpieczeństwo i ochrona fizyczna powinny być umieszczone wspólnie „pod parasolem” jednego ogólnego działu bezpieczeństwa. Mówi się też o tym, że odpowiedzialność za ochronę firmowej infrastruktury IT powinien ponosić wyznaczony członek zarządu.

Ponadto toczą się dyskusje na temat tego, czy nakłady ponoszone na zapewnienie bezpieczeństwa to inwestycje czy koszty. Nie wiadomo przy tym, jak obliczyć, ile trzeba wydać, aby zagwarantować firmie właściwy poziom ochrony bez zbyt dużych nakładów. Problem wynika po części z niezrozumienia specyfiki współczesnych zagrożeń przez osoby kierujące przedsiębiorstwem. Często także przewrażliwienie na punkcie cyberzagrożeń i wyolbrzymianie ich skali, w gronie osób odpowiedzialnych za systemy IT, prowadzi do problemów z racjonalnym wyborem rozwiązań uwzględniających interesy całej firmy.

Wreszcie trudności w kontrolowaniu cyberbezpieczeństwa wynikają też z natury współczesnych zagrożeń. Zmieniają się one bardzo szybko, wraz z rozwojem cyfrowych technologii. Te, które pojawią się w przyszłości, nie muszą być wcale podobne do tych, z którymi borykamy się dzisiaj. W dodatku coraz wyższy jest stopień złożoności ataków i poziomu zaawansowania zastosowanych do ich przeprowadzenia rozwiązań. Metody przestępców są coraz bardziej wyspecjalizowane, ukierunkowane na konkretne, dobrze wcześniej rozpoznane cele. W roli nośnika złośliwego kodu wykorzystywane są już także usługi chmurowe.

 

Między certyfikacją a regulacją

W Unii Europejskiej planowane jest wprowadzenie powszechnego systemu certyfikacji wyrobów i usług zapewniających cyberbezpieczeństwo. Ma to umożliwić lepszą orientację w zakresie sposobów wykorzystywania nowych technologii, bowiem coraz trudniej regulować ten obszar. Pojawiające się wciąż nowe zagrożenia powodują, że nie sposób wprowadzić sztywnych, szczegółowych przepisów. Niełatwo nawet stworzyć rejestr zagrożeń, których wystąpienie jest przewidywane w najbliższej przyszłości. Jakie będą zasady funkcjonowania systemu certyfikacji i kiedy wejdzie w życie – jeszcze nie wiadomo.

W Polsce natomiast trwają prace nad projektem ustawy o krajowym systemie cyberbezpieczeństwa. Pod koniec kwietnia został on przyjęty przez rząd. Ustawa obejmie operatorów usług kluczowych i dostawców usług cyfrowych. Za usługi kluczowe zostały uznane usługi o szczególnym znaczeniu dla zapewnienia stabilności funkcjonowania państwa i społeczeństwa, związane m.in. z dostawami wody, gazu, prądu, opieką medyczną, finansami, transportem itp. Operatorzy tych usług będą wyłaniani w drodze decyzji administracyjnej. Z kolei do dostawców usług cyfrowych zostały zaliczone: elektroniczne platformy zakupowe, usługi chmurowe i wyszukiwarki internetowe. Największe znaczenie dla wypełnienia ustawowych zobowiązań będzie miała analiza ryzyka. Na jej podstawie każdy podmiot będzie podejmował decyzje o wyborze adekwatnych środków i sposobów ochrony. W ustawie znajdzie się tylko spis obowiązków podstawowych, m.in. obowiązek zgłaszania incydentów.

 

Od samego początku

W wyniku upowszechniania się kolejnych technologii, np. blockchain, Internetu rzeczy, sztucznej inteligencji czy sieci 5G, coraz trudniejsze staje się zapewnienie ochrony firmowym zasobom IT. A zatem zapotrzebowanie na usługi i produkty z zakresu cyberbezpieczeństwa będzie stale rosło. Integratorzy powinni uświadamiać klientów, że o ochronie firmowych zasobów trzeba myśleć stale, a nie od projektu do projektu.

Zapewnianie bezpieczeństwa musi być od samego początku integralną częścią realizowanych w przedsiębiorstwie procesów. Musi być od razu „zaszyte” w funkcjonujące w firmie rozwiązania – mówi Michał Kurek, partner w dziale usług doradczych, szef zespołu ds. cyberbezpieczeństwa w KPMG.

Kwestie związane z ochroną trzeba brać pod uwagę już na etapie projektowania systemu, aplikacji czy programu. Rozporządzenie o ochronie danych osobowych (RODO) mówi o tym wprost, wprowadzając zasady: privacy by default oraz privacy by design. Takie podejście, zdaniem Michała Kurka, powinno dotyczyć całego obszaru cyberbezpieczeństwa w przedsiębiorstwach.

W praktyce oznacza to m.in. zmianę podejścia do produkcji oprogramowania. O kwestie ochrony danych należy zadbać już na etapie projektowania każdej aplikacji. Ze względu na presję czasu i wszechobecne dążenie do optymalizacji kosztów jest to dzisiaj element zazwyczaj pomijany, co może przynieść opłakane skutki.

Koszt naprawy błędu jest większy w każdej kolejnej fazie tworzenia oprogramowania. Usunięcie wady odkrytej podczas eksploatacji może być nawet stukrotnie droższe niż na etapie testowania aplikacji – zwraca uwagę Michał Kurek. Jego zdaniem w ekstremalnych przypadkach trzeba nawet stworzyć cały program od nowa.

Istnieją standardy, które pomagają zachować odpowiednie podejście do kwestii bezpieczeństwa w całym procesie przygotowywania aplikacji. Jednym z nich jest opracowanie Software Assurance Maturity Model, przygotowane i udostępnione publicznie przez organizację OWASP. Zaleca ono m.in. analizę kodu oprogramowania w trakcie jego tworzenia. Jego sprawdzanie może następować automatycznie lub być prowadzone przez odpowiednio przygotowanych testerów. Również inne mechanizmy kontrolne pozwalają zapobiec przepuszczeniu błędu – zidentyfikować pojawiające się luki i sprawdzić możliwości skuteczniejszej ochrony oprogramowania. To bardzo ważne ze względu na dynamikę zmian technicznych i biznesowych, z której wynika presja na producentów, by jak najszybciej dostarczali na rynek tanie produkty informatyczne.

Nowe wyzwania

Zintegrowane podejście do cyberbezpieczeństwa stawia nowe wyzwania również przed integratorami. Zaatakowane firmy notują coraz więcej realnych strat i szkód. Trudno się więc dziwić, że intensywnie szukają sposobów przeciwdziałania nasilającym się zagrożeniom. Nie poprzestają już na stosowaniu wewnętrznych procedur i polityki bezpieczeństwa. Domagają się ochrony również od dostawców systemów i aplikacji – producentów, integratorów i sprzedawców.

Coraz większe wymagania w zakresie bezpieczeństwa stawiane są ich dostawcom. Ten trend będzie narastał. W zapytaniach ofertowych będzie się pojawiać coraz więcej pytań o środki ochrony stosowane w proponowanych rozwiązaniach – twierdzi Patryk Gęborys, wicedyrektor w Zespole Bezpieczeństwa Biznesu PwC.

Klienci chcą mieć też w coraz większym zakresie prawo do audytu. Już teraz wielu zastrzega sobie prawo do weryfikacji deklarowanego poziomu bezpieczeństwa w zamawianych aplikacjach lub u dostawcy usług informatycznych. To może być kłopot dla firm, które obsługują wielu klientów.

Wyjściem z sytuacji jest przeprowadzenie niezależnego audytu. Raport z jego wynikami można okazywać wszystkim firmom, które są zainteresowane współpracą. Integratorzy lub usługodawcy będą odwoływać się do niego w negocjacjach z każdym klientem – wyjaśnia Patryk Gęborys.

Orzeczenie wydane przez niezależnego audytora pomoże firmie informatycznej w walce o klienta – zaprezentuje ją jako pewnego, godnego zaufania kontrahenta. Dlatego integratorzy, którzy chcą sobie zapewnić przewagę

konkurencyjną na rynku bezpieczeństwa, powinni zadbać o możliwość posługiwania się wynikami audytu. Istnieją różnego rodzaju normy i standardy, które mogą stanowić podstawę weryfikacji poziomu ochrony oferowanego przez dostawcę, na przykład normy ISO z grupy 27?000 lub standardy typu SOC 1 i SOC 2.

Warto zatem, by firma poddała się audytowi, mimo że nie ma żadnych formalnych, na przykład prawnych, obowiązków w tym zakresie. Oczywiście wiąże się to z pewnymi kosztami. Dla dostawców obsługujących dużą liczbę klientów bądź oferujących skomplikowane rozwiązania taki wydatek bywa jednak opłacalny. Każde przedsiębiorstwo musi więc zrobić rachunek zysków i strat – to w dużej mierze kwestia strategicznej decyzji biznesowej.

Z całą pewnością klienci będą coraz częściej pytać o takie potwierdzenia poziomu zabezpieczeń – twierdzi Patryk Gęborys.

Uważa on także, że klienci firm IT będą dążyli do coraz bardziej szczegółowych zapisów dotyczących kwestii cyberbezpieczeństwa w podpisywanych umowach, na co powinni się już dzisiaj przygotowywać integratorzy i usługodawcy. Przy czym specyfikacji oczekiwanych funkcji zamawianych aplikacji oraz systemów będzie coraz częściej towarzyszyć lista wymogów dotyczących bezpieczeństwa. Spełnienie ich będzie też coraz uważniej sprawdzane podczas testów akceptacyjnych rozwiązania.

 

Trzy pytania do… 

dr Dominika Lubasza, radcy prawnego, wspólnika zarządzającego Kancelarii Radców Prawnych Lubasz i Wspólnicy

CRN Obserwujemy coraz większą potrzebę szybkiego wprowadzania na rynek nowych, innowacyjnych rozwiązań. Nie zawsze wiadomo, jakie są skutki ich działania. Kto zatem ponosi odpowiedzialność za ich stosowanie?

Dominik Lubasz Decyzja o wyborze konkretnego rozwiązania zawsze należy do użytkownika. Zanim rozpocznie wdrożenie, powinien przeanalizować, co może bezpiecznie zastosować. Trudno mu będzie przerzucić odpowiedzialność za naruszenie bezpieczeństwa na producenta, jeśli spełnił on swoje obowiązki, na przykład wykonał wszelkie wymagane testy. Działając w najlepszej wierze, użytkownik ma prawo oczekiwać, że wybrany produkt jest odpowiedni do jego celów. W przypadku ujawnienia luki może wysunąć roszczenia. Każdy przypadek będzie jednak wymagał osobnego, szczegółowego zbadania.

CRN W jakim stopniu integratorzy oraz resellerzy odpowiadają za wprowadzenie do sprzedaży niesprawdzonego rozwiązania?

Dominik Lubasz Każdy odpowiada za swoje przewinienia. Jeżeli, na przykład, integrator nie podał prawdziwych parametrów wdrażanego czy sprzedawanego rozwiązania, zataił jakąś informację lub poinformował klienta nieprecyzyjnie, poniesie odpowiedzialność z tego tytułu. Występuje również odpowiedzialność kontraktowa, wynikająca z postanowień umowy. W interesie firm informatycznych jest więc precyzyjne określanie w podpisywanych umowach zakresu własnej
odpowiedzialności.

CRN Jakie pozakontraktowe możliwości zabezpieczenia własnych interesów w przypadku nowych technologii mają integratorzy?

Dominik Lubasz Powinni przede wszystkim prowadzić otwartą politykę informacyjną. Z nowymi, nieprzebadanymi do końca technologiami jest podobnie jak z nowymi lekami – niektóre skutki ich używania mogą wystąpić dopiero po pewnym czasie. Integratorzy powinni jasno i wprost mówić, jakie ryzyko może wiązać się z zastosowaniem nowych rozwiązań. Jeżeli dostawca ma jakiekolwiek obawy, lepiej, żeby je ujawnił, nawet jeśli mogą okazać się nieuzasadnione, niż zataił. Podobnie jak w ostrzeżeniach przed niepożądanymi skutkami dołączanymi do leków, jest szansa, że taka informacja zwolni integratora z odpowiedzialności. Jeżeli przedstawił skutki, jakie może pociągnąć zastosowanie nieprzetestowanego rozwiązania, użytkownik podejmie decyzję o wdrożeniu na własną odpowiedzialność. Musi  jednak uzyskać wiedzę o ryzyku, którą integrator ma obowiązek mu dostarczyć.

 

Decyzja po analizie

Integratorzy i resellerzy powinni pamiętać, że w zapewnianiu firmom bezpieczeństwa coraz większego znaczenia będzie nabierać analiza ryzyka, a nie spełnianie jednoznacznych wymagań prawnych. Zdaniem ekspertów ma to wiele dobrych stron. Mimo istniejących już norm, każde przedsiębiorstwo może wypracować sobie własną metodę analizy ryzyka. Zadanie nie jest łatwe, ale przyniesie korzyści w postaci wyboru najbardziej optymalnego sposobu ochrony firmowych zasobów. Otwiera się zatem pole do działania dla integratorów, którzy będą chcieli dodatkowo zarobić na wsparciu klienta w przeprowadzeniu analizy ryzyka. Nie ma bowiem norm ani standardów uniwersalnych, które można stosować w każdej firmie. Inne reguły będą obowiązywały podczas analizy ryzyka w dużej firmie energetycznej, a inne u producenta żywności w sektorze MŚP.

Wbrew pozorom analizy ryzyka nie zaczęto stosować w przedsiębiorstwach za sprawą RODO, chociaż unijne rozporządzenie rzeczywiście mocno na nią stawia. W gruncie rzeczy nie wprowadza ono pod tym względem tak rewolucyjnych zmian, jak się powszechnie uważa.

Analizy ryzyka były robione przez firmy. I nadal będą robione, bez względu na obowiązujące przepisy – ocenia Beata Marek, właścicielka firmy Cyberlaw.

Specyfika współczesnych zagrożeń sprawia bowiem, że każdy system informatyczny musi być stale monitorowany i analizowany. A każde przedsiębiorstwo powinno mieć opisane zasoby i procesy przetwarzania danych, ustalone zasady dostępu, procedury backupu itp. Jak to zrobić, nie powie żadna ustawa.

– To oznacza pracę ciągłą i różną w różnych przedsiębiorstwach. Nie da się stworzyć jednego aktu prawnego, który by to wszystko regulował – mówi Beata Marek. – Każdy musi i tak dokonać analizy ryzyka na własny użytek i znaleźć odpowiedni dla siebie sposób jego minimalizacji.

Według niej nacisk trzeba położyć nie na budowę „muru”, lecz na analizowanie podatności systemu IT na ataki oraz procesów zachodzących na jego końcówkach, na routerach i serwerach. A ponieważ informacja jest dla firmy istotną wartością, należy zabezpieczać dane na każdym etapie przetwarzania i przesyłania.

 

Zdaniem integratora

Jakub Jagielak, dyrektor rozwoju sprzedaży rozwiązań ochronnych, Atende

Firmy mają do czynienia z nasileniem różnego rodzaju cyberataków. Grożą im straty materialne, w tym kary, i prawne konsekwencje skompromitowania systemu bezpieczeństwa oraz utraty newralgicznych danych. Ogromnym problemem jest brak odpowiedniej liczby doświadczonych i wykwalifikowanych pracowników. Na to nakładają się problemy z coraz bardziej zróżnicowaną, trudną do zarządzania infrastrukturą IT, w której stosowane są rozwiązania wielu dostawców. Kolejne wyzwania niesie korzystanie przez pracowników z coraz większej liczby niezabezpieczonych aplikacji i niezaktualizowanego oprogramowania. W zakresie rozwiązań technicznych z jednej strony nasila się automatyzacja ataków, z drugiej – automatyzacja obrony przed nimi. Widać także wzrost zapotrzebowania na systemy EDR (Edge Detection and Response) służące do kontroli bezpieczeństwa na brzegu sieci. Kluczowe staje się wyciąganie wniosków z cyberataków, by zabezpieczyć firmę na przyszłość.

 

Specjaliści coraz bardziej poszukiwani

Coraz większego znaczenia nabiera umiejętność wyboru konkretnego rozwiązania w danej sytuacji. A większym problemem niż brak szczegółowych regulacji dotyczących bezpieczeństwa wydaje się dzisiaj brak wykwalifikowanych kadr. Firmy mają coraz większe trudności z pozyskaniem specjalistów z tej dziedziny. To szansa dla podmiotów z branży IT, które wyspecjalizują się w konkretnej dziedzinie z zakresu ochrony i będą świadczyć usługi. Duże firmy zapewne zaczną budować własne zespoły, ale na rynku MŚP zapotrzebowanie na outsourcing będzie spore.

Pomocne w zwalczaniu współczesnych zagrożeń mogą okazać się nowe, innowacyjne rozwiązania. Autorzy raportu „Cisco 2018 Annual Cybersecurity Report” twierdzą, że w dziedzinie cyberbezpieczeństwa coraz bardziej będzie się liczyć automatyzacja, uczenie maszynowe oraz sztuczna inteligencja. Wyspecjalizowanie się w tworzeniu i oferowaniu produktów i usług bazujących na wschodzących technologiach daje integratorom szansę zbudowania przewagi konkurencyjnej.

Skoro bowiem na rynku są problemy ze zdobyciem fachowców z dziedziny cyberbezpieczeństwa, trudno liczyć, że integratorzy będą w innej sytuacji. Ale jeżeli zaproponują narzędzia, które dzięki automatyzacji lub w efekcie wykorzystania określonych algorytmów odciążą zespoły ludzkie, będą mogli liczyć na sukces biznesowy.