Uczestnicy spotkania: Ireneusz Dąbrowski, wiceprzewodniczący rady nadzorczej, ABC Data, Filip Demianiuk, Channel Team Manager, Check Point, Paweł
Jurek,
wicedyrektor ds. rozwoju, Dagma i Krzysztof Meller, właściciel, Akbit.

 

Bezpieczeństwo, planowanie i statystyka…

CRN Jak oceniacie państwo
aktualną kondycję rynku systemów bezpieczeństwa IT w Polsce?

Ireneusz Dąbrowski, ABC Data Niestety, nie najlepiej. Główną przyczyną tej
sytuacji jest mentalność polskiego społeczeństwa i brak kultury
biznesowej. Segment systemów bezpieczeństwa IT można porównać z branżą ubezpieczeń.
Gdyby nie obowiązek wykupywania OC, przy życiu utrzymałoby się ze dwóch
ubezpieczycieli… Poza tym producenci systemów bezpieczeństwa mają wyraźny
problem z umiejętnym prezentowaniem ofert. Dostrzegam też u nich brak
woli ponoszenia pełnej odpowiedzialności za jakość i skuteczność działania
poszczególnych rozwiązań.

Krzysztof Meller, Akbit Istnieją obszary, w ramach których obecnie
dostawcy jak najbardziej mogą zagwarantować skuteczność swoich rozwiązań.
Natomiast nikt i nic nie obroni użytkowników przed nowymi, nieznanymi
jeszcze dzisiaj sposobami działania przestępców, tym bardziej że układ sił na
rynku bardzo się zmienił. Kiedyś koszt przeprowadzenia rozległego ataku był
bardzo wysoki, a obrona przed nim relatywnie tania. Dzisiaj obrona przed atakami
jest trochę droższa, za to ich koszt spadł o kilka rzędów wielkości, na co
pozwolił rozwój techniczny.

Ireneusz Dąbrowski, ABC Data Statystyka jest fundamentem ubezpieczeń, ale
mierzona w odpowiedniej skali. Tak, aby aktuariusze mogli ocenić ryzyko
opłacalności tego biznesu. W kontekście bezpieczeństwa IT w ogóle nie
można mówić o aktuariacie, bo do oceny ryzyka nie da się zastosować żadnej
metody statystycznej. Wszystkie przeprowadzane obecnie badania są szczątkowe
i – ze względu na rozwój techniki – bardzo szybko się
dezaktualizują.

 

Paweł Jurek, Dagma Dalszy rozwój rynku systemów ochronnych IT ściśle zależy od zmiany
świadomości i właściwego postrzegania bezpieczeństwa przez kierownictwo
firm i organizacji. Z zaplanowanym działaniem możemy obecnie spotkać
się w większych przedsiębiorstwach, których władze rozumieją, że
bezpieczeństwo, w tym bezpieczeństwo informatyczne, jest fundamentem ich
dalszego funkcjonowania. Natomiast w firmach mniejszych i placówkach
rządowych decydenci rzadko współpracują z działem IT w strategicznym
planowaniu bezpieczeństwa IT, a już na pewno brakuje tam dojrzałego
kalkulowania ryzyka. Ile pieniędzy uda się informatykowi wyprosić, tyle
dostaje… Ciągle przed nami jest lepsze szacowanie ryzyka i wielkości
wydatków na systemy ochronne, aby być możliwie bezpiecznym, bo – jak
wiadomo – nikogo nie jesteśmy w stanie zabezpieczyć na 100 proc.

Filip Demianiuk, Check Point Większość
przedsiębiorców nie ma wyjścia i musi analizować sytuację na podstawie
takich danych, jakimi dysponują. Zastanawiają się, z jakimi przypadkami
mogą się spotkać i które zabezpieczenie zapewni najlepszą ochronę. Do tego
dochodzą jeszcze kwestie obowiązków nakładanych przez prawo na niektóre firmy.

 

CRN Właśnie głównie
dzięki prawu w najlepszej chyba sytuacji w zakresie bezpieczeństwa,
chociaż też niedoskonałej, jest branża bankowa. Czy powinniśmy nalegać, żeby
powstały ustawy zobowiązujące do właściwej dbałości o dane także podmioty
działające w innych sektorach gospodarki?

Filip
Demianiuk, Check Point
Rzeczywiście, opublikowana przez Komisję
Nadzoru Finansowego „Rekomendacja D”, która dotyczy banków, zaowocowała wieloma
ciekawymi projektami w zakresie bezpieczeństwa danych. Teraz podobna
rekomendacja trafiła do sektora ubezpieczeniowego. Dla resellerów byłoby
idealnie, gdyby takie wytyczne obowiązywały również w innych branżach,
choć oczywiście nie wszędzie miałoby to sens.

Ireneusz
Dąbrowski, ABC Data
Dziś sytuacja w bankach wygląda
relatywnie najlepiej, ale wielu dobrych ekspertów ds. bezpieczeństwa pracuje
też u operatorów telekomunikacyjnych. Co do regulacji w innych
branżach, to byłbym sceptyczny. Zresztą istnieją już uniwersalne zapisy prawne,
np. ustawa o ochronie danych osobowych czy świadczeniu usług drogą
elektroniczną.

Krzysztof Meller, Akbit Zawsze warto wzorować się na powszechnie obowiązujących dobrych
praktykach, a te są dostępne dziś w zasadzie dla każdej branży.
Chciałbym natomiast trochę bronić przedsiębiorców przed tego typu
restrykcyjnymi zapisami. Powinni mieć możliwość samodzielnej oceny ryzyka strat
wynikających np. z przestoju firmy przez pół dnia. Nakazy powinny
natomiast obowiązywać instytucje państwowe lub o znaczeniu strategicznym
dla funkcjonowania kraju, w których pojęcie „opłacalności” nie istnieje,
a współczynnik bezpieczeństwa danych obywateli musi być jak najwyższy.

 
Komu sprzedawać?

CRN Od
pewnego czasu na Zachodzie przeważa opinia, że integratorzy powinni docierać ze
swoim przekazem do prezesów lub członków zarządów firm, a nie do
specjalistów z działów IT. Czy takie rozwiązanie jest bardziej skuteczne?

Krzysztof Meller, Akbit Kiedyś informatyka
i związane z nią bezpieczeństwo należały do zagadnień, które
rozumieli tylko informatycy, więc to z nimi rozmawiali resellerzy. Dzisiaj
wiedza osób wchodzących w skład zarządów przedsiębiorstw jest dużo wyższa.
Mamy do czynienia z młodszym pokoleniem, znacznie lepiej wykształconym
biznesowo.

Filip Demianiuk, Check Point Należy jak
najbardziej rozmawiać z zarządami, ale odpowiednio zmienić konstrukcję
przekazu. Informatyków interesuje, jak działa dany system i czy rozwiązuje
określony problem techniczny. Nie obchodzi ich, ile kosztuje i czy
przyniesie korzyści biznesowe. Inaczej jest w przypadku ludzi na szczeblu
zarządczym. Dla nich liczą się głównie aspekty ekonomiczne.

Ireneusz Dąbrowski, ABC Data Obecnie inwestowanie w systemy ochronne jest
związane z koniecznością podejmowania decyzji strategicznych, zarówno
w zakresie oceny ryzyka, jak i ekonomicznym. Tego typu wydatki nie
przekładają się bowiem bezpośrednio na zysk, lecz minimalizują ewentualne
straty. Prawie w ogóle nie dotyczą informatyki, związane są głównie
z zarządzaniem przedsiębiorstwem. Siłą rzeczy to zarząd firmy powinien
znać parametry związane z taką inwestycją i podejmować stosowne
decyzje wspólnie z działem IT.

Paweł Jurek, Dagma Jesteśmy dopiero
w trakcie przemiany, która sprawi, że podejście, o którym mówimy,
będzie normą w Polsce. Na Zachodzie szef działu IT, najczęściej
w randze CIO, z reguły jest też członkiem zarządu, więc
w naturalny na tym szczeblu sposób współpracuje np. z Chief Security
Officerem. W Polsce taka hierarchia wciąż należy do rzadkości. Dlatego na
Zachodzie taki sposób sprzedaży to już norma, tymczasem Polsce – opcja.
Ale rzeczywiście, najlepsze wyniki wśród naszych resellerów osiągają ci, którzy
potrafią rozmawiać z klientami na różnych poziomach – zarówno biznesowym
– pokazując, że bezpieczeństwo to zagadnienie strategiczne, jak
i technicznym – o konkretnych rozwiązaniach.

Ireneusz Dąbrowski, ABC Data Jednym
z elementów, który wstrzymuje sprzedaż rozwiązań ochronnych, jest chmura.
Firmy, które planują outsourcing wybranych obszarów związanych z IT,
liczą, że odpowiedzialność za zabezpieczenie tego fragmentu infrastruktury
automatycznie przejdzie na usługodawcę. Poza tym wraz z chmurą pojawiły
się alternatywne metody budowy środowiska teleinformatycznego w przedsiębiorstwach.
Nikt dziś nie wie, które z nich w długofalowej perspektywie zapewnią
większe korzyści. Dlatego zarządy wielu firm boją się podejmować decyzje, także
w zakresie bezpieczeństwa, które zmuszą ich do obrania tylko jednego
kierunku. W przyszłości bowiem zmiana tego kierunku może okazać się dość
kosztowna i przekreślić poniesione wcześniej inwestycje.

 

Krzysztof
Meller, Akbit
To ciekawe
zagadnienie, tym bardziej że po kilku latach widać już pewne wady chmury.
Analitycy coraz częściej podkreślają, że część firm, które kilka lat temu
zdecydowały się na różne formy outsourcingu zasobów IT, dzisiaj wraca do modelu
on-premise. Model chmurowy wciąż jest niewystarczająco dojrzały
i z pewnością w najbliższych latach trwać będzie weryfikacja obietnic
składanych przez usługodawców.

 

IT w cieniu

CRN Łatwa dostępność różnego
typu narzędzi w chmurze przyczyniła się do powstania zjawiska „shadow IT”.
Polega ono na tym, że wiele działów biznesowych w fir-mie samodzielnie
kupuje różne usługi w chmurze, z pominięciem działu IT, narażając
przedsiębiorstwo np. na wyciek poufnych dokumentów. Czy firmy powinny
kategorycznie walczyć z tym trendem?

Filip Demianiuk, Check Point Takie działania
mają cichą aprobatę działów IT, bo tak wszystkim jest łatwiej. Do tego
zjawiska, jak do wielu w naszej branży, przyczynili się użytkownicy
i nie można zwalczać go za wszelką cenę. Pracownicy od wielu lat wybierają
najwygodniejsze dla siebie rozwiązania. Jeśli im się tego zabroni, można
wywołać ogólną niechęć do pracodawcy, powodującą jeszcze większe problemy. Ale
oczywiście jest kilka branż, np. bankowość czy ochrona zdrowia, w których
taka sytuacja jest nie do pomyślenia.

Paweł
Jurek, Dagma
Zgadzam się, że radykalna walka z „shadow IT” może
dać niepożądane efekty. Zamiast tego firmy powinny podjąć działania w celu
ucywilizowania tego zjawiska. Dzisiaj coraz więcej usług „wychodzi”
z serwerowni, więc, co oczywiste, są dostarczane przez firmy trzecie –
najlepszym przykładem jest poczta. Przedsiębiorstwa stopniowo kupują coraz więcej
usług IT na zewnątrz. Jednak najczęstszym użytkownikiem nietypowych usług
w modelu „shadow IT” są działy marketingu, które z reguły nie mają
dostępu do systemów produkcyjnych czy transakcyjnych. Jeżeli zatem w takim
dziale zaistnieje potrzeba korzystania z dodatkowej usługi, a dział
IT nie jest w stanie jej szybko dostarczyć lub koszt będzie zbyt wysoki,
nie widzę przeszkód, żeby została kupiona „na zewnątrz”. Ale zawsze za wiedzą
działu IT i po wstępnej weryfikacji w zakresie bezpieczeństwa przeprowadzonej
przez ten dział. Po prostu każda firma musi wypracować dobre praktyki
w tej dziedzinie i wprowadzić je w życie, tak jak zasady ochrony
swoich danych.

Krzysztof Meller, Akbit Zapanowanie nad zjawiskiem „shadow IT” to zadanie dla osób
odpowiedzialnych w firmie za bezpieczeństwo, i to nie tylko IT. To
one znają wartość i stopień poufności poszczególnych typów informacji,
więc potrafią dobrać odpowiednie narzędzia. Tymczasem to zadanie najczęściej
jest zrzucane w firmach na informatyków, którzy dbają o realizację
procedur bezpieczeństwa wyłącznie z wykorzystaniem narzędzi IT, ale ich
nie tworzą i nie weryfikują poprawnej pracy. Natomiast działy IT, wspólnie
z osobami odpowiedzialnymi za bezpieczeństwo, powinny zająć się edukacją
użytkowników. Uczulić ich nie tylko na ryzyko włamania do elektronicznych
systemów firmy, ale też pokazać inne rodzaje zagrożeń, np. wyciek informacji
w wyniku przechowywania ich na niewłaściwie zabezpieczonych serwerach.

 

CRN A może
potraktować to zjawisko jako dodatkową szansę dla resellerów, w związku
z czym powinni kierować oferty nie tylko do zarządu i działów IT, ale
także bezpośrednio do użytkowników?

Paweł Jurek, Dagma To dość ryzykowne. W ten sposób
można szybko popsuć sobie relacje z głównym partnerem do współpracy, czyli
działem IT, który powinien mieć całościową kontrolę nad bezpieczeństwem
informatycznym firmy. Moim zdaniem reseller powinien przyjść do firmy
z ciekawą ofertą i konsultować ją na wszystkich szczeblach, czasami
także z użytkownikami, bo w końcu to oni będą korzystali
z danej usługi.

Filip Demianiuk, Check Point Opór wobec wdrażania dodatkowych narzędzi, które
mają zapewnić większe bezpieczeństwo, istniał praktycznie zawsze i raczej
nie zniknie. Często zaczyna się od postawy samego zarządu. Zdarza się, że
potrzeby inwestowania w zabezpieczenia nikt nie rozumie, bo za wydane
pieniądze zazwyczaj nie otrzymuje się konkretnego produktu, a wydatek nie
przyczynia się do zwiększenia zysku przedsiębiorstwa. Poza tym po zastosowaniu
nowych rozwiązań ochronnych w zasadzie nic nie działa lepiej,
a czasami wręcz gorzej, bo nagle okazuje się, że pracownicy mają
zablokowany dostęp do niektórych usług lub zasobów…

 

Bezpieczeństwo Internetu rzeczy

CRN Na
świecie powstaje coraz więcej obszarów, które będzie trzeba poddawać ochronie.
Jed-nym z nich jest tzw. Internet rzeczy. Wiele podłączonych do niego
urządzeń, przy złych intencjach, można wykorzystać w celach
przestępczych. Na ile jesteśmy przygotowani do ochrony połączonych ze sobą
w ten sposób systemów?

Paweł
Jurek, Dagma
Rozwiązania funkcjonujące w ramach Internetu
rzeczy jeszcze nie mają znaczącego wpływu na nasze życie. Odpowiednie
zabezpieczenia pewnie się pojawią, ale na razie dostawcy się nimi specjalnie
nie przejmują, bo jest na to po prostu za wcześnie. Dziś jesteśmy na etapie
poznawania korzyści biznesowych z posiadania urządzeń, które się ze sobą
komunikują zgodnie z ideą Internetu rzeczy. Gdy zdobędziemy taką wiedzę
i systemy te zaczną być wykorzystywane komercyjnie, pojawią się
w nich dane o konkretnej wartości, a wraz z nimi pewnie też
nadużycia. Dopiero w reakcji na to zjawisko zostaną opracowane określone
rozwiązania.

Filip Demianiuk, Check Point Za podstawową ochronę powinni odpowiadać producenci
rozwiązań połączonych ze sobą w ramach Internetu rzeczy. Raczej trudno się
spodziewać, że firmy trzecie będą pisały oprogramowanie antywirusowe dla bram
garażowych. Potwierdzam, że na razie w branży ochronnej nie widzimy
zaawansowanych prac nad kwestią zabezpieczenia systemów podłączonych do
Internetu rzeczy. Może, gdy upowszechnią się inteligentne domy, smart metering
czy sterowane zdalnie lub samodzielnie jeżdżące pojazdy, do gry wejdą eksperci
ds. bezpieczeństwa. Jednak raczej jako konsultanci, a nie twórcy rozwiązań
ochronnych dla konkretnego rodzaju produktu.

 

Ireneusz Dąbrowski, ABC Data Moim zdaniem problem w pewnym momencie
rozwiąże się sam, bo będą decydowały ludzkie przyzwyczajenia. Rozwiązania
niebezpieczne zostaną odrzucone przez klientów, jeśli nie na samym początku, to
w reakcji na powstałe incydenty. Takich przykładów było już wiele.
A wszystkiego oczywiście nie da się ochronić. Między innymi dlatego
strategiczne rozwiązania militarne są odłączone od jakichkolwiek sieci.

Krzysztof Meller, Akbit Problem tylko w tym, że do korzystania z niektórych rozwiązań
będziemy prawdopodobnie zmuszeni. Można sobie wyobrazić, że różnego typu
badania medyczne będziemy przeprowadzać sami w domu i wysyłać ich
wyniki do lekarza. Wygoda przeważy nad różnego typu restrykcjami związanymi
z bezpieczeństwem. Nie będziemy mieli innego wyjścia, bo… nie będą już
istniały klasyczne przychodnie. Ale prawdziwy Internet rzeczy, o którym
tak często dziś się mówi, nie powstanie, jeśli informatyka nadal będzie tak
bardzo skomplikowana. Obecnie mamy do czynienia z dużą
cyberprzestępczością, między innymi dlatego, że osobom doświadczonym łatwo
przeniknąć do cyberświata, pozostając niezauważonym.

 

W poszukiwaniu specjalizacji

CRN W branży ochrony
danych na świecie najbardziej narzeka się na brak ekspertów ds.
cyberbezpieczeństwa. Czy rzeczywiście jest na nich tak duże zapotrzebowanie?

Krzysztof Meller, Akbit Paradoksalnie,
w Polsce nie widać znaczącego zainteresowania takimi specjalistami. Można
to zauważyć np. podczas przetargów publicznych na dostawy systemów ochronnych.
Takich, w których nie przewidziano usług audytu istniejącej
infrastruktury, oceny wybranego rozwiązania czy weryfikacji poprawności jego
wdrożenia. Wówczas decyzje najczęściej podejmuje sam administrator lub
informatyk na podstawie szczątkowej wiedzy zdobytej podczas różnych konferencji
czy z prasy. Dlatego uważam, że jest to ogromne pole do popisu dla
resellerów. Nie muszą być wybitnymi ekspertami w tej dziedzinie, ale
powinni mieć wiedzę wystarczającą do swobodnego poruszania się w tematyce
związanej z bezpieczeństwem. Jeśli będą potrafili tę wiedzę sprzedać,
szybko zauważą dodatkowe zyski.

 

Ireneusz Dąbrowski, ABC Data Tak jak obok policji działają prywatni detektywi,
tak też na rynku systemów bezpieczeństwa oprócz wielkich wyspecjalizowanych
firm, o szerokiej ofercie usług związanych z bezpieczeństwem, będą
potrzebni drobni przedsiębiorcy, którzy za relatywnie małe pieniądze szybko
rozwiążą doraźne problemy.

 

CRN Ze względu na natłok
doniesień o włamaniach do systemów IT, wyciekach informacji itd. kierunek
rozwoju firm związany z bezpieczeństwem IT wydaje się oczywisty. Czy zatem
opłacalne będzie porzucenie innych specjalizacji i skierowanie uwagi
wyłącznie na bezpieczeństwo?

Krzysztof Meller, Akbit Dzisiaj tylko firmy,
które specjalizują się w jakiejś dziedzinie, mają szanse na dobry biznes.
Oczywiście nie dotyczy to jedynie bezpieczeństwa, ale także druku 3D, systemów
CRM, baz danych itd. Z takimi wyspecjalizowanymi przedsiębiorstwami będą
rozmawiali duzi klienci, jeśli zorientują się, że mają do czynienia
z prawdziwymi fachowcami. Już od pewnego czasu korporacje chętniej niż
ogromnym przedsiębiorstwom zlecają różnego typu zadania VAR-om lub mniejszym
integratorom, bo są bardziej elastyczni.

Paweł Jurek, Dagma To dobra ścieżka, jeśli utrzymamy równowagę między inwestowaniem
w działania stricte handlowe i budowaniem wiedzy eksperckiej
w firmie. Sprzedaż tu i teraz, zamykanie projektów – to chleb
codzienny resellera. Jednak dopiero inwestowanie w wiedzę ekspercką
w długim terminie pozwoli realizować coraz trudniejsze projekty
i w warunkach ostrej konkurencji wypracować sobie pozycję na rynku.
Niestety, wielu resellerów w natłoku codziennych obowiązków nie ma czasu
na inwestowanie w swój rozwój długoterminowy. Patrząc na nasz kanał
partnerski, widzę, że firmy, które stawiają na specjalizację w dziedzinie
zabezpieczeń, osiągają stabilny wzrost.

Filip Demianiuk, Check Point Istnieją jednak także drobni resellerzy, którym
udało się wyspecjalizować w zakresie ochrony, sprzedają rozwiązania małym
oraz średnim firmom i odnoszą sukcesy… Funkcjonowanie na tym rynku jest
jak najbardziej możliwe dla każdego, ale trzeba wziąć pod uwagę różne aspekty,
np. uwarunkowania regionalne – obecność konkurencyjnych firm, rodzaj
potencjalnych klientów, charakter danych, którymi operują itd. A przede
wszystkim trzeba zacząć od uczciwej oceny własnej determinacji  w dążeniu do nieustannego zdobywania
wiedzy na tym bardzo dynamicznie zmieniającym się rynku.