Uczestnicy debaty:

Jakub Jagielak, dyrektor ds. rozwoju cyberbezpieczeństwa, Atende
Mariusz Kochański, dyrektor Działu Systemów Sieciowych i członek zarządu, Veracomp
Maciej Kotowicz, Channel Account Executive, Sophos
Łukasz Nowatkowski, CTO i CMO, G DATA Software
Mateusz Pastewski, Cybersecurity Sales Manager, Cisco Systems
Paweł Rybczyk, Territory Manager CEE & CIS, Wallix

Na początek wypowiedzi uczestników w filmowej relacji ze spotkania

CRN Jak w ostatnich kilku latach zmieniał się segment cyberbezpieczeństwa? Jak w związku ze wzrostem zagrożeń ewoluuje podejście do ochrony systemów IT?

Mariusz Kochański Kiedyś retoryka, którą uprawialiśmy wobec klientów, była taka: jeśli kupisz to rozwiązanie i tamto, to ci się nie włamią. Wszyscy dostawcy byli w tym spójni. Od dobrych kilku lat możemy obserwować zmianę przekazu. Dziś wobec wielkiej skali zagrożeń brzmi on: każdy zostanie zaatakowany i te firmy i instytucje, które będą na to przygotowane, wcześniej zorientują się, że dzieje się coś złego. A rozpoznanie ataku jest obecnie znacznie trudniejsze niż kiedyś, bo pojawiły się zupełnie nowe rodzaje zagrożeń, polegające chociażby na wycieku danych czy przejmowaniu mocy obliczeniowej. W rezultacie żaden producent nie daje dziś gwarancji „kup moje rozwiązanie i na 100 proc. będziesz zabezpieczony”. A takie przypadki, jak niedawno ujawniony wyciek danych z British Airways i rekordowa, sięgająca niemal 200 mln funtów kara dla tych linii lotniczych, pokazują, że nawet przedsiębiorstwa z wielkim budżetem na ochronę IT nie mogą dziś czuć się bezpiecznie. Z drugiej strony wzrasta u nas świadomość zagrożeń, na co mają wpływ odgórne inicjatywy – nowa ustawa o krajowym systemie cyberbezpieczeństwa i lista firm o infrastrukturze krytycznej. Kiedyś ochrona była domeną tylko informatyków, a teraz także urzędnicy zaczynają się zastanawiać, co by się stało, gdyby ich miasto padło ofiarą jakiegoś ataku.

Maciej Kotowicz Akcenty w rozmowach z klientami przesuwają się z zabezpieczania przed czymś na minimalizowanie skutków. Inaczej mówiąc, użytkownik jest coraz bardziej świadomy, że może być zaatakowany, i chce wiedzieć, co się w związku z tym może stać. Kilkanaście lat wcześniej nasze próby edukowania klientów i tłumaczenia, że kupowane rozwiązanie nie zapewni im w pełni bezpieczeństwa, bo zawsze może coś się stać, i że jest jeszcze potrzebna polityka bezpieczeństwa, nie zawsze spotykały się ze zrozumieniem. Dziś mam wrażenie, że klientów uświadamiać już nie trzeba. Raczej dyskutować z nimi, czy ich polityka jest dobrze skonstruowana, co jeszcze trzeba w niej zmienić i o co ją rozszerzyć, wykraczając także poza obszar IT.

Paweł Rybczyk Dziś, przystępując do rozmów z klientami, w wielu wypadkach można nawet przyjąć założenie, że oni już są zaatakowani, i zapytać ich, czy zdają sobie z tego sprawę. To duża zmiana. Poza tym kiedyś jako zabezpieczenie kupowało się pojedyncze produkty, a dziś takie podejście niczego nie rozwiązuje. Skuteczne będą dopiero narzędzia złożone w pewien ekosystem, który dostarczy i stworzy integrator ze swoją wartością dodaną. Nowością jest automatyzacja w poszukiwaniu zagrożeń, bez której trudno byłoby sobie poradzić z tak wielkim jak obecnie wolumenem danych.

Z mojej perspektywy sytuacja stała się lepsza dzięki RODO, ponieważ część prezesów zapragnęła mieć pewnego rodzaju bilans otwarcia w kontekście bezpieczeństwa IT. To spowodowało, że wzrosła liczba audytów, firmy zaczęły sprawdzać, w którym miejscu się znajdują.
Paweł Rybczyk, Territory Manager CEE & CIS, Wallix

A więc już nie tylko prewencja, lecz także umiejętność reagowania na atak, który prędzej czy później musi nastąpić. Radzenie sobie z nim w taki sposób, by szkód nie było albo były minimalne. W jaki sposób się to robi?

Jakub Jagielak Klienci, z którymi rozmawiamy i próbujemy wspólnie ustalać strategię bezpieczeństwa, zwykle dochodzą do wniosku, że trzeba ją podzielić na trzy obszary: prewencji, detekcji i odpowiedzi na to, co ewentualnie się wydarzy w rezultacie ataku. Zauważam, że prewencji nie poświęca się już tak dużo uwagi jak pozostałym dwóm. Wynika to z tego, że dziś trudno nawet ustalić, kiedy, kto, jak i po co może przeprowadzić atak. Są przecież i tacy, którzy robią to tylko dla sportu, szkoląc się w przełamywaniu zabezpieczeń. Za to detekcja, a zwłaszcza odpowiedź na atak pochłaniają obecnie najwięcej czasu. W przypadku detekcji producenci oferują naprawdę dobre rozwiązania, które skutecznie podnoszą poziom bezpieczeństwa. Najwięcej do zrobienia jest w obszarze odpowiedzi na atak i tutaj dużą rolę odgrywają automatyzacja procesów i odpowiednie kadry.

Mateusz Pastewski Przy czym klienci dochodzą do wniosku, że dodawanie kolejnych warstw i rozwiązań wcale nie musi w znaczący sposób zwiększać bezpieczeństwo. W pewnym momencie zawsze pojawia się kwestia zarządzania ryzykiem i tego, czy rzeczywiście dysponuje się odpowiednimi kadrami i procesami zdolnymi obsłużyć takie skomplikowane środowisko. Niektórzy polscy klienci, z którymi rozmawiamy, mają u siebie rozwiązania nawet 20–25 różnych producentów rozwiązań zabezpieczających. Nasuwa się więc pytanie, jak w efektywny sposób zarządzać chociażby alarmami generowanymi przez te systemy. To właśnie w tym obszarze można ostatnio zaobserwować największą zmianę w świadomości polskich klientów. Żeby nie patrzeć na rozwiązania i problemy silosowo, w oderwaniu od siebie, tylko przez procesy, polityki i narzędzia, próbować radzić sobie z realnym wyzwaniem, jakim jest cyberbezpieczeństwo.

Mam jednak wrażenie, że o heterogeniczności środowiska inaczej będzie mówić dostawca, który wychodzi do rynku z bogatą ofertą bezpieczeństwa, a inaczej producent specjalizowanego, punktowego rozwiązania…

Paweł Rybczyk Nie chodzi o to, że jedna marka musi zastąpić wiele innych. Moim zdaniem jednoczesne wykorzystywanie wielu rozwiązań różnych producentów nie jest takim problemem jak braki w obszarze strategii bezpieczeństwa. Polscy klienci nie tworzą wieloletnich strategii, w których ramach byłyby dobierane nie tyle produkty, ile narzędzia pozwalające im zwiększać ochronę.

Mateusz Pastewski Zgadza się. Security jest tak wielką branżą, że nie ma jednego dostawcy, który może pójść do klienta i powiedzieć, że może rozwiązać wszelkie jego problemy z bezpieczeństwem. Zresztą nikt by nie chciał, żeby taki producent funkcjonował. Jesteśmy skazani na to, żeby się integrować w ramach jednego ekosystemu.

Wykorzystując model MSSP, integrator może mówić do klienta, który nie ma zasobów i ludzi: nie musisz kupować na własność najlepszych produktów, bo to ja rozwiążę twój problem związany z bezpieczeństwem. Do wynajmowanego produktu partner może dodawać swoją usługę.
Mateusz Pastewski, Cybersecurity Sales Manager, Cisco Systems

Mariusz Kochański Nie ma jednoznacznej odpowiedzi na pytanie, czy iść w kierunku systemu bardziej homogenicznego i unikać wielu vendorów, czy przeciwnie, kierować się zasadą „best of breed” i dobierać najlepsze w swojej klasie rozwiązania, nie oglądając się na to, że pochodzą od różnych producentów. W tym pierwszym przypadku zyskuje się bardziej zunifikowane interfejsy, można się łatwiej wyszkolić, ale trzeba się liczyć z ryzykiem, że producent nie dopracował wszystkich swoich rozwiązań, bo zarabia na wielu. W tym drugim przypadku można się spodziewać, że producenci tylko jednego rozwiązania dbają o to, by było jak najlepsze, bo tylko z niego mają pieniądze, ale dokładanie kolejnych marek do systemu skutkuje trudniejszą integracją i wieloma certyfikacjami, które trzeba zrobić, a potem jeszcze odnawiać. Ale jeśli nie ma jednoznacznej odpowiedzi, to trzeba po prostu iść do klienta, poznać jego potrzeby i przedstawić mu różne scenariusze.

Jakub Jagielak Integrator ma za zadanie dostarczyć klientowi kompleksowe rozwiązanie ochronne. Problem w tym, że na rynku znajduje się ogromna liczba produktów – szacuje się, że Polsce jest ich oferowanych grubo ponad tysiąc. Ta sytuacja ma swoje odbicie w infrastrukturze funkcjonującej u klientów. Średnio każdy z nich ma wdrożonych około 25 rozwiązań od różnych dostawców. Po pierwsze, trudno zarządzać takim skomplikowanym środowiskiem. Po drugie, jest ono bardziej podatne na awarie, a po trzecie, jeśli rozwiązania są od różnych producentów, to bardzo rzadko się wzajemnie komunikują. Dlatego rolą integratora jest zaprojektowanie systemu tak, by ograniczyć liczbę dostawców i sprawić, by wdrożone rozwiązania wymieniały z sobą informacje w celu zwiększenia poziomu bezpieczeństwa. Umiejętne skonstruowanie takiego systemu polega na tym, żeby ochrona w poszczególnych obszarach – punktach końcowych, serwerach czy sieci – była z sobą skorelowana i dawała spójny obraz zagrożeń i ich skuteczną detekcję. Dołożenie kolejnego rozwiązania nie musi skutkować podniesieniem poziomu bezpieczeństwa. Stąd bardzo istotna jest umiejętność dobrania odpowiednich narzędzi do konkretnego przypadku.

Wyrażone na początku opinie potwierdzają wzrost świadomości klientów. Mam jednak wrażenie, że chodzi o duże przedsiębiorstwa, a z tymi mniejszymi wcale nie jest tak dobrze. I wcale nie chodzi mi o te najmniejsze, w których ochrona zaczyna się i kończy na darmowym antywirusie…

Łukasz Nowatkowski Absolutnie się z tym zgadzam. Firmy używające do 100 komputerów często zupełnie nie zdają sobie sprawy, co się dzieje w ich sieciach. Nie mają świadomości zagrożeń i wprowadzonych polityk bezpieczeństwa. A jeśli ustawa RODO narzuca karę nawet 4 proc. od rocznych obrotów za wyciek danych osobowych, to czy nie znajdzie się haker, który takie dane ze źle chronionego przedsiębiorstwa wykradnie i zaproponuje, że nikt się o tym nie dowie za ułamek ustawowej kary? W przypadku małych firm ataki ransomware to dzisiaj katastrofa. Nie mają backupu, a jeśli już, to na tym samym serwerze co podstawowe dane. Tyle mówi się teraz o ukierunkowanych atakach, ale dotyczą one tylko dużych firm. A tak naprawdę atakowane jest wszystko, bo cyberprzestępcy nie są wybredni. Małe przedsiębiorstwa padają ofiarą ataku, bo – dajmy na to – prezes chce mieć otwarty port RDP do swojego serwera. Dlatego tacy klienci wciąż muszą być edukowani i powinny docierać do nich firmy, które zaoferują im usługi zarządzane w modelu MSSP (Managed Security Service Provider). Nie ma obecnie lepszego, a w zasadzie żadnego innego rozwiązania dla nich. Małej firmy nie stać na zatrudnienie własnego specjalisty od bezpieczeństwa. A taki jest potrzebny, bo jeden informatyk od wszystkiego nie wystarczy.

O skutkach cyberataków trudno usłyszeć – nikt się tym nie chce chwalić. Bo dla firmy to strzał w kolano, a dla jej CSO – ujma na honorze. Mimo że weszła ustawa, która ma zmusić wszystkich do ujawnienia, że był wyciek. Dlatego trzeba więcej mówić o skutkach ataków.
Łukasz Nowatkowski, CTO i CMO, G DATA Software

Mariusz Kochański W sektorze małych przedsiębiorstw nie ma już dzisiaj dylematów, czy pracownikom trzeba kupić komputery, czy telefony komórkowe. Jeśli zaś chodzi o bezpieczeństwo, to nie doczekaliśmy się jeszcze tego, by właściciel niewielkiej firmy traktował koszt z nim związany na równi z kosztem benzyny czy wynajmu lokalu. Zanim tak się stanie, ktokolwiek zwróci się do niego – czy to będzie jego informatyk, czy firma zewnętrzna – usłyszy pytanie: po co mi to i dlaczego tak drogo? Rozmowa będzie trudna, bo on nie zdaje sobie sprawy, ile może stracić, jeśli firma nie będzie zabezpieczona. I to niekoniecznie musi oznaczać, że zadziała marketing polegający na straszeniu klienta. Właściciel małej firmy ponosi tylko te koszty, co do których jest przekonany. Trzeba się sporo natrudzić, by za takie uznał te związane z bezpieczeństwem. Co może się wydać zabawne, pomyśli o ochronie firmy dopiero wtedy, gdy ransomware zainfekuje telefon jego dziecka i przepadną rodzinne zdjęcia z wakacji.

Jakub Jagielak Właśnie tak to działa. Ludzie nie boją się tego, że utracą dane firmowe, tylko prywatne, i jest to potwierdzone badaniami.

Paweł Rybczyk Nie ma wiele sensu tłumaczenie małej firmie, która ma jednego informatyka albo nie ma go wcale, złożonych problemów związanych z bezpieczeństwem. Może do niej dotrzeć tylko MSSP czy inny zaufany partner, który zajmie się sprawami IT. Dlatego w tym wypadku dostawca musi docierać nie do klienta końcowego, tylko przekonywać o wartości swojego rozwiązania integratora obsługującego lokalny rynek małych przedsiębiorstw.

Maciej Kotowicz Obszar oddziaływania dostawców na klienta końcowego w zasadzie jest ograniczony do dużych firm i instytucji. Gdy schodzi się w dół, do MŚP, to żaden producent nie jest dobrze przygotowany do tego, żeby dostarczyć partnerom najlepszy komunikat dla tych klientów. Nie wyjaśni z wszystkimi szczegółami, jak trzeba sprzedawać. Tę wiedzę nabywają sami resellerzy, świadomi nie tyle możliwości konkretnych produktów, ile w ogóle rozwiązań najbardziej odpowiednich dla danego przypadku.

W sektorze zabezpieczeń resellerowi najłatwiej zmonetyzować inwestycje poniesione na rozwijanie kompetencji. W tym obszarze jest bardzo duża grupa klientów wymagających indywidualnego podejścia. Nie jest tak, że bierzemy produkt z półki i go sprzedajemy.
Maciej Kotowicz, Channel Account Executive, Sophos

Pojawiła się w dyskusji kwestia kosztów bezpieczeństwa. W idealnym świecie mogłoby one być też postrzegane jako korzyść biznesowa, element przewagi firmy klienta na konkurencyjnym rynku. Czy w realnym nie ma na to szans?

Mariusz Kochański Podstawowym zadaniem każdego zarządu jest alokacja zasobów, a one ze swej natury są skończone. Właściciel kupi tylko to, co jest niezbędne. Jeśli zwiększy koszty, to konkurencja zaoferuje lepszą cenę za alternatywny produkt. Dlatego w rozmowie z klientem trzeba znaleźć to, czego on się naprawdę boi. Dam przykład: podczas spotkania pewien reseller zapytał właściciela hurtowni, co jest dla niego najcenniejsze. Okazało się, że lista klientów. Bezpieczeństwo go nie interesowało, bo miał zaufanych długoletnich pracowników. Nie zdawał sobie sprawy, że lista klientów może wyciec do konkurencji bez ich udziału. Gdy mu to uświadomiono, zdał sobie sprawę, że potrzebuje zabezpieczeń. I to była dla niego korzyść biznesowa. Ogólnie wartość biznesowa bezpieczeństwa jest ściśle związana z reputacją. Dlatego trzeba prowadzić dialog z osobami decyzyjnymi wokół tego, ile jest warta dobra opinia o ich firmie i jak zagrożenia informatyczne mogą ją zniszczyć. Celem dla naszej branży jest pokazanie na poziomie biznesowym, dlaczego wydatki na cyberbezpieczeństwo są kosztem niezbędnym.

Jakub Jagielak Z punktu widzenia firmy bezpieczeństwo zawsze będzie kosztem, to nie jest ani nigdy nie będzie inwestycja. Z mojego punktu widzenia, czyli integratora zwracającego się do klienta końcowego, rozwiązania ochronne udaje się sprzedać w dwóch przypadkach. Po pierwsze wtedy, kiedy regulator powie, że trzeba je kupić, i wtedy wszyscy na wyścigi rzucają się np. po SIEM albo inny produkt. Po drugie wtedy, gdy pojawia się realny problem, jak wyciek danych, i została naruszona integralność systemu. W tych dwóch sytuacjach klientowi rozwiązuje się worek z pieniędzmi i idzie na zakupy. Jeśli nie ma zagrożenia, a my nie jesteśmy w stanie mu go pokazać, możemy zapomnieć o sprzedaży.

Łukasz Nowatkowski Jeśli mówimy o korzyściach biznesowych, to nie dotyczą one tylko relacji z klientem końcowym, lecz także między producentami a partnerami. Partner też będzie wybierać oprogramowanie i sprzęt, który przyniesie mu największy zysk. Dzisiaj wszyscy patrzą na cenę i partner nie będzie wyjątkiem.

No właśnie, jaką rolę w oferowaniu bezpieczeństwa gra cena?

Mariusz Kochański Jeśli cena miałaby być najważniejszym kryterium, to nie sprzedawano by samochodów klasy BMW czy Volvo. Zresztą Volvo to tutaj dobry przykład, bo właśnie jego bezpieczeństwo ma usprawiedliwiać wyższą cenę tego samochodu. My jako branża, jeśli chcemy sprzedawać drożej, musimy pokazywać, co klient dostanie, jeśli zapłaci więcej.

Od dobrych kilku lat obserwujemy zmianę przekazu. Dziś wobec wielkiej skali zagrożeń brzmi on: każdy zostanie zaatakowany i te firmy i instytucje, które będą na to przygotowane, wcześniej zorientują się, że dzieje się coś złego.
Mariusz Kochański, dyrektor Działu Systemów Sieciowych i członek zarządu, Veracomp

Mateusz Pastewski Wątek motoryzacyjny to bardzo dobra ilustracja tego, jak bardzo powinniśmy zmienić sposób, w jaki producenci i integratorzy rozmawiają z naszymi klientami o cyberbezpieczeństwie. Zdecydowana większość ludzi jeżdżących nowymi bmw czy mercedesami tak naprawdę nie ma pieniędzy, żeby pójść do salonu i kupić taki samochód. Wszyscy oni korzystają z nich w ramach modeli usługowych, płacąc jakąś sumę co miesiąc. Są wtedy w stanie pozwolić sobie na produkt klasy premium i taka jest także przyszłość naszej branży. Wykorzystując model MSSP, integrator może mówić do klienta, który nie ma zasobów i ludzi: nie musisz kupować na własność najlepszych produktów, bo to ja rozwiążę twój problem związany z bezpieczeństwem. Do wynajmowanego produktu partner może dodawać swoją usługę. Nie widzę innej opcji, żeby zmienić podejście do cyberbezpieczeństwa w Polsce jak ta, by OPEX zastąpił CAPEX. Modeli działających na tej zasadzie może być wiele – polegających na zaimplementowaniu u klienta rozwiązań rozliczanych w abonamencie, a także bazujących na chmurze, do których partner będzie dokładać swoje usługi zarządzane.

Maciej Kotowicz Obserwuję zainteresowanie klientów modelem subskrypcyjnym. Dlatego naszą rolą jako dostawców jest wyedukowanie naszych partnerów pod kątem takiego rodzaju biznesu. Niejednokrotnie dla partnera, który przez całe lata działał na zasadzie „sprzedaj i zapomnij”, przejście na nowy model nie będzie łatwe. Musi zmienić podejście do klienta – teraz będzie mieć z nim ciągły kontakt, a nie tylko w czasie realizacji projektu. Będzie wysyłać mu raporty – raz w tygodniu czy miesiącu. Ta zmiana to dla firmy IT spore wyzwanie, ale też korzyści z możliwości elastycznego dopasowywania swojej usługi do tego, co klient potrzebuje.

Paweł Rybczyk Korzystamy z modelu subskrypcyjnego także jako narzędzia handlowego. Choć nasze rozwiązanie wpisuje się w schemat on-premise, to żeby skrócić proces testów i porównywania do wielu konkurencyjnych produktów, proponujemy wraz z partnerami kupno najmniejszej paczki subskrypcji, włącznie z wdrożeniem. Znając wartość swojego rozwiązania, liczymy na to, że po półrocznym albo rocznym okresie subskrypcyjnym nastąpi migracja do pełnego rozwiązania on-premise. I to działa.

Łukasz Nowatkowski Również chcemy, by wybór naszego oprogramowania w roli systemu zabezpieczającego odbywał się w modelu Managed Services. Nasi partnerzy są zainteresowani dostępem do zaawansowanych funkcji chmurowych. Jest to tym bardziej korzystne dla nich, że są rozliczani według liczby wykorzystywanych licencji i mogą przenosić je między użytkownikami. A przede wszystkim dlatego, że to oni świadczą usługę cyberochrony, zarządzając infrastrukturą klienta.

Nawet w modelu abonamentowym wciąż pozostaje sprawa nakłonienia klienta do zakupu rozwiązania…

Maciej Kotowicz Bez względu na to, w jakim modelu cyberochrona będzie oferowana – MSSP, on-premise czy hybrydowym – trzeba klienta przekonać, udowodnić mu, że może być potencjalnym celem ataku. Nie ma co ukrywać, że każdy próbuje oferować to, co się najłatwiej sprzedaje i przynosi zysk, ale wciąż nie wykorzystuje się scenariuszy sprzedażowych: jak pokazać produkt klientowi, żeby przyciągnąć jego uwagę na pięć minut. Błąd, który popełniają sprzedawcy u integratorów, a czasami także sami dostawcy, to próba zaprezentowania wszystkiego. Pokazania klientowi bardzo wielu funkcjonalności i na koniec zadania mu pytania, co mu się z tego podoba. Jeśli trafimy w potrzeby, to dobrze. Bardzo często strzały są jednak chybione. Dlatego dobrą praktyką jest dawanie integratorom gotowych modeli. Przykładem mogą być warsztaty PoC u klienta, ale połączone z elementem sprzedażowym – jak pokazywać korzyści z rozwiązania z punktu widzenia biznesu.

Łukasz Nowatkowski Resellerzy muszą być dobrze wyedukowani i w pewnych rzeczach wyspecjalizowani. Inaczej będzie się rozmawiać z najbardziej rozwijającym się dzisiaj sektorem e-commerce, gdzie wszystko działa w chmurze – tam są zapisane wszelkie dane klientów. Firmy tak działające to często wielkie biznesy. Inaczej zaś będzie się docierać do przedsiębiorcy, który mówi: moje dane będą bezpieczne w tym pokoju, za 4 tys. zł kupiłem do niego klimatyzację, wstawiłem UPS-a, przecież nikt mi tam nie wejdzie. Oczywiście nie ma on pojęcia, że na jego serwerze już jest coś zainstalowane i wykrada mu dane.

Jakub Jagielak Możemy próbować sprzedać wszystko, co mamy. Strzelamy wtedy na oślep – może z czymś trafimy. Tylko że dojdziemy do momentu, kiedy klient poczuje, że chcemy go naciągnąć. Możemy też próbować podejść od strony doradczej. Starać się być opiekunem klienta, mówiąc do niego: widzimy, że tu masz problem, i mamy na niego sposób. W wyborze odpowiedniego rozwiązania ważna będzie współpraca integratora z producentem albo dystrybutorem. Kluczowe jest znalezienie tego problemu, ale trzeba też przekonać klienta, że jest on realny, co nie musi być łatwe. Na jednej z konferencji tłumaczyłem, czego potrzebujemy, żeby pokonać bezpiecznie przejście dla pieszych. Odpowiedź jest prosta: procedury – spojrzeć w prawo, w lewo itd. A dlaczego potrzebujemy procedury? Bo czujemy się zagrożeni, ktoś może na nas najechać. Jeśli nie będzie poczucia zagrożenia, to rozmowa z klientem będzie bardzo trudna.

Możemy próbować sprzedać wszystko, co mamy. Strzelamy wtedy na oślep – może z czymś trafimy. Tylko że dojdziemy do momentu, kiedy klient poczuje, że chcemy go naciągnąć. Możemy też próbować podejść od strony doradczej.
Jakub Jagielak, dyrektor ds. rozwoju cyberbezpieczeństwa, Atende

Łukasz Nowatkowski Tyle że do procedury na przejściu dla pieszych się stosujemy, bo widzieliśmy skutki wypadków – w telewizji czy nawet osobiście. A o skutkach cyberataków trudno usłyszeć – nikt się tym nie chce chwalić. Bo dla firmy to strzał w kolano, a dla jej CSO – ujma na honorze. Przecież on nie przyzna się do tego, mimo że weszła ustawa, która ma zmusić wszystkich do ujawnienia, że był wyciek. Dlatego trzeba więcej mówić o skutkach ataków.

Paweł Rybczyk Z mojej perspektywy sytuacja stała się lepsza dzięki RODO, ponieważ część prezesów zapragnęła mieć pewnego rodzaju bilans otwarcia w kontekście bezpieczeństwa IT. To spowodowało, że wzrosła liczba audytów, firmy zaczęły sprawdzać, w którym miejscu się znajdują. Wynik audytu mógł pokazać, jak bardzo są zapóźnione. Oczywiście z tego powodu raczej nie uda nam się ich przekonać, że powinny kupić i wdrożyć rozwiązania za wiele milionów. Jeśli jednak integrator przedstawi im plan inwestycji w zabezpieczenia, odniesie sukces.

Przejdźmy do wspomnianego wyboru rozwiązania. Spotkałem się z opiniami integratorów, że kiedy klient robi sobie short listę produktów bezpieczeństwa, które go interesują, kieruje się opiniami niezależnych testów i rankingów, np. kwadrantów Gartnera. Czy potwierdzacie takie obserwacje?

Mateusz Pastewski Jeśli rynek producentów jest skomplikowany dla integratorów, to dla klientów tym bardziej. Dlatego będą oni zawsze szukać jakiegoś benchmarku, który im wskaże, kto jest liderem w danej kategorii, kto dopiero pretenduje do tego miana, a kto ma rozwiązanie niszowe.

Mariusz Kochański Resellerzy wielokrotnie zadawali nam pytanie: dlaczego wprowadziliście do oferty tę markę, a nie tamtą, która wysoko znajduje się w zestawieniu Gartnera? Trzeba pamiętać, że Gartner ocenia według dwóch kryteriów – z jednej strony funkcjonalności, z drugiej – sprzedaży. Gdyby tylko w ten sposób oceniać rynek, iPhone nigdy by się nie stał wiodącym smartfonem. Trzeba pamiętać też o dynamice rynku i postrzegać go nie tylko z amerykańskiej perspektywy, jak robi to Gartner. Ten ostatni nie odrobi lekcji za resellera i klienta, co lokalnie i dla danego odbiorcy jest obiektywnie najlepsze. Szalenie ważne jest w tym przypadku zupełnie inne postrzeganie segmentów enterprise i MŚP za oceanem i u nas.

Maciej Kotowicz Trzeba jednak przyznać, że w materiałach działających na polskim rynku dostawców Gartner się pojawia, bo każdy lubi się pochwalić. Rzeczywiście raport nie sprzeda rozwiązania za resellera, ale pomoże mu znaleźć się na short liście klienta. Umieści on tam ten produkt, nawet jeśli będzie się skłaniać ku innemu. Po to, żeby wyglądało to poważniej w oczach jego zarządu.

Mariusz Kochański Na raporty zawsze warto patrzeć, bo to jest dodatkowe źródło informacji. W końcu jest nie tylko Gartner, w pewnym momencie pojawił się też Forrester, a ostatnio za wyrocznię w branży bezpieczeństwa jest uważane NSS Labs. Nie można jednak traktować raportów jak świętość, bo są one pochodną wielu założeń. Przychodzi mi do głowy branża telco, która ufa tylko własnym testom.

Jakub Jagielak Rzeczywiście wielcy klienci mają potężne laboratoria, w których każde rozwiązanie jest sprawdzane pod każdym kątem. Zewnętrzne benchmarki nie mają dla nich dużego znaczenia. Tak jest nie tylko w branży telco, lecz także w sektorze finansowym – tego rodzaju klienci starają się przede wszystkim znaleźć takie funkcjonalności, które rozwiążą ich problemy. Potrafią oni nawet organizować własne hackathony, żeby dokładnie sprawdzić możliwości określonego rozwiązania. Dotyczy to jednak nielicznych firm i jeśli poza nimi na rynku liczą się raporty, to szansą na zwiększenie sprzedaży dla integratora może być tworzenie własnych, ewentualnie przeprowadzanie testów na własną rękę. My, zanim pójdziemy do klienta z rozwiązaniem, próbujemy najpierw sprawdzić je u siebie, nawet jeśli nie w 100 proc., to do tego stopnia, żeby móc skutecznie go bronić.

Łukasz Nowatkowski Trzeba przy tym zauważyć, że kiedyś o wyborze rozwiązania u klienta decydowała osoba stricte techniczna. Łatwo było jej wytłumaczyć funkcjonalności produktu i jego konfigurację. Dzisiaj często jest ważny wygląd – ładne pudełko ze sprzętem, które i tak zostanie zamknięte w data center, czy piękny interfejs użytkownika.

Na bezpieczeństwo składają się technologie, kompetentna kadra i procesy. W których z tych obszarów zauważacie największe braki u klientów?

Paweł Rybczyk Bardzo często w obszarze procesów. Przynajmniej tak to widzimy przez pryzmat tego, co oferujemy, czyli kontroli dostępu uprzywilejowanego. Nierzadko bywało tak, że gdy klient wybierał nasze rozwiązanie i zapraszał na wdrożenie, słyszałem: „No to proszę je teraz zainstalować”. Wyjaśniałem wtedy, że muszę najpierw wiedzieć, kto się do kogo łączy, jakie ma uprawnienia itp. Okazywało się, że informatyk klienta nie ma o tym pojęcia. Stwierdzałem wtedy, że mogę wrócić dopiero, jak powstanie jakaś mapa zależności, którą będę mógł swoim narzędziem zaimplementować. Odwrotnie się nie da. Dlatego pomoc w tworzeniu polityki bezpieczeństwa może być częścią biznesu partnerów.

Jakub Jagielak Jest jeszcze świadomość przedsiębiorstwa dotycząca bezpieczeństwa, z angielska nazywana security awareness. O tym, że nie zastąpi jej technologia, niech świadczy przykład jednej z firm, z którymi miałem przyjemność współpracować. Wdrożyła ona system antyphishingowy, który miał wyłapywać e-maile ze specjalnie spreparowanymi wiadomościami do pracowników. Ogłosiła ona wszem wobec, że taki system działa. W rezultacie skuteczność phishingu wzrosła o 20 proc. Pracownicy wyszli z założenia, że IT zdjęło z nich obowiązek zachowania czujności.

A co z brakami kadrowymi? Pod tym względem, delikatnie mówiąc, sytuacja na rynku nie wygląda najlepiej.

Mariusz Kochański Dzięki temu, że te braki występują, klienci końcowi potrzebują resellerów. Problem klientów polega na tym, iloma osobami dadzą radę obsłużyć swoje IT, zwłaszcza w przypadku mniejszych firm. Bank dysponujący wcześniej dwudziestoma kilkoma informatykami pewnie poradzi sobie i z dwudziestką. W mniejszej firmie tych informatyków jest trzech, dwóch, a bywa, że i jeden. Zajmując się wszystkim, trudno dobrze zająć się cyberochroną. To doskonały punkt wyjścia do rozmowy o wspomnianym modelu MSSP. Brak kadr jako punkt wyjścia do przekonywania klientów do długoterminowej relacji – ten argument już działa.

Mateusz Pastewski Jeśli chodzi o braki kadrowe i związane z tym szanse na biznes, to dam przykład dotyczący ustawy o krajowym systemie cyberbezpieczeństwa. Jej konsekwencją jest to, że pewna grupa stosunkowo małych podmiotów będzie zmuszona korzystać z centrum SOC. A przedsiębiorstwo, które ma do tysiąca adresów IP, nie będzie miało swojego zespołu, który będzie odpowiadać na zagrożenia. Dlatego oferta integratora działającego jako MSSP, który stworzy własne SOC, wydaje się dla tych firm naturalnym wyborem. Owszem, dla takiego integratora stworzenie własnego centrum będzie dużym kosztem, ale potem będzie on mógł ten biznes bardzo łatwo skalować, obsługując kolejnych nowych klientów.

Łukasz Nowatkowski Przed integratorem, który będzie chciał rozwijać biznes jako MSSP, stoją wyzwania. Jeśli ma wejść do infrastruktury firmy, musi zdobyć pełne zaufanie klienta. Integrator będzie musiał pokazać, jak się z tą infrastrukturą łączy, dopasować się do polityki bezpieczeństwa. Jeśli będzie miał w swoim portfolio 20 czy 100 klientów i każdy będzie miał wdrożoną inną politykę, to będzie musiał się do każdej dostosować, co nie będzie łatwe.

Paweł Rybczyk Model MSSP to przyszłość, ale przyniesie też redukcję liczby integratorów. Obecnie mamy na rynku bardzo wielu resellerów oferujących zabezpieczenia IT. Z różnych powodów – wskutek braku pracowników na rynku, a także specjalizacji i wymagań, by kadra była jak najbardziej wykwalifikowana. W niedalekiej przyszłości będzie ich mniej.

Na braki kadrowe odpowiedzią ma być automatyzacja i wykorzystanie uczenia maszynowego. To trend dominujący od kilku lat w wielu dziedzinach, także w branży security.

Maciej Kotowicz Za uczeniem maszynowym podąża cały rynek. W przypadku cyberbezpieczeństwa dla wszystkich jest oczywiste, że systemy bazujące na sygnaturach odchodzą w przeszłość. Nie da się zdefiniować dziś wszystkich potencjalnych zagrożeń i zabezpieczać się przez ich porównywanie z dostępnym wzorcem. Z pomocą przychodzi deep learning, który – jeśli będzie „nakarmiony” odpowiednią porcją wiedzy – z dużym prawdopodobieństwem prawidłowo zareaguje na zagrożenie. Dlatego wielu producentów sięga po tego rodzaju mechanizmy, które pomagają użytkownikowi końcowemu podjąć właściwą decyzję, bo ta zawsze pozostaje po jego stronie.

Mariusz Kochański Uczenie maszynowe już bardzo dobrze sprawdza się w radiologii i wykrywaniu nowotworów – są tam dostępne miliony zdjęć. Problem polega na tym, że w przypadku cyberbezpieczeństwa nie ma bogatej historii incydentów do nauczenia rozwiązań opartych na machine learningu. Każdy producent coś robi w tym obszarze, pojawiają się inicjatywy, żeby takimi informacjami się dzielić. Ale do tego dochodzi taki aspekt jak specyfika konkretnej firmy. Nie ma historii zachowania pracowników w polskim MŚP, może jest jakaś w amerykańskim SMB. Nie wiadomo tylko, czy jedno będzie przystawało do drugiego.

Łukasz Nowatkowski Żeby sztuczna inteligencja zastąpiła specjalistę ds. bezpieczeństwa, potrzeba jeszcze lat. Niemniej to bardzo ciekawy trend i na pewno będzie ona bardzo przydatna na etapie podejmowania decyzji.

Może od tego pytania powinniśmy zacząć, ale dobre też jest na zakończenie dyskusji. Cyberbezpieczeństwo w branży IT to najwięcej produktów i usług, które można tworzyć, bazując na tych produktach. Czy w związku z tym na ochronie zasobów i danych zarabia się lepiej niż na innych obszarach IT?

Mateusz Pastewski Oferowanie usług zabezpieczających pozwala integratorom wyróżnić się na rynku. Na zaprezentowanie się w roli zaufanego doradcy, który – mając duże kompetencje – jest w stanie skuteczniej radzić sobie z konkurencją. Przy czym cyberbezpieczeństwo zawsze było i jest branżą o wysokiej marży, oferując wiele korzyści integratorom. Trzeba jednak zaznaczyć, że to bardzo trudny segment rynku. Z roku na rok przybywa rozwiązań ochronnych, ataki są coraz bardziej wyrafinowane, więc start z własnym biznesem nie jest łatwy. Nie da się szybko nabyć wszystkich niezbędnych kompetencji. Dobra informacja jest taka, że są też produkty prostsze w sprzedaży, wdrażaniu i utrzymaniu. I to od nich warto zacząć swoją przygodę z cyberbezpieczeństwem, by potem przejść do bardziej zaawansowanych systemów.

Mariusz Kochański Rynek zawsze dobrze płaci za te kompetencje, które są unikatowe. Z chwilą, kiedy się upowszechniają, ich cena spada. Z bezpieczeństwem jest tak, że pojawiają się ciągle nowe zagrożenia i rozwiązania, które stanowią na nie odpowiedź. Jeśli kiedyś cyberochrona będzie oferowana w taki sam sposób jak prąd z gniazdka, to marże zaczną spadać. Ale zanim to się stanie, o ile w ogóle do tego dojdzie, to miną lata, podczas których będzie można zarabiać sensowne pieniądze.

Maciej Kotowicz W sektorze zabezpieczeń resellerowi najłatwiej zmonetyzować inwestycje poniesione na rozwijanie kompetencji. W tym obszarze jest bardzo duża grupa klientów wymagających indywidualnego podejścia. Nie jest tak, że bierzemy produkt z półki i go sprzedajemy. W innych obszarach jest większa standaryzacja i powtarzalność, więc trudno wykazać swoje unikatowe umiejętności.

Łukasz Nowatkowski Wszystko wskazuje na to, że będzie się zmieniać podejście sprzedażowe. Na pewno coraz większe znaczenie będzie mieć prędkość dostarczania usługi. Będą wygrywać tacy, którzy są w stanie zapewnić ją niemal natychmiast. A to powinno promować model MSSP.

Paweł Rybczyk Nie można zapominać, że dostawca rozwiązań ochronnych od dostawcy innych rozwiązań IT różni się tym, że działa w bardzo wrażliwej sferze. Ponieważ przede wszystkim musi zdobyć zaufanie klienta, to niezwykle ważne stają się wszelkiego rodzaju umiejętności miękkie – kompleksowość usługi, doskonała merytoryczna znajomość tego, co się oferuje. Popełnienie jednego błędu podczas rozmowy może doprowadzić do utraty zaufania i położyć cały projekt.

Jakub Jagielak O cyberbezpieczeństwo bym się nie martwił, bo zmiany w tym obszarze występują stale na zasadzie akcja-reakcja. Jeżeli powstanie nowe zagrożenie, producent udostępni nowe rozwiązanie, które usunie lukę. W dającej się przewidzieć przyszłości sytuacja powinna się utrzymywać na stałym poziomie – bez spektakularnych wzrostów i spadków zarówno w obszarze zagrożeń, jak i stanu cyberbezpieczeństwa. Będzie powolny trend dochodzenia do coraz wyższych poziomów obsługi klienta i zabezpieczania jego systemów. Tym, na co trzeba zwrócić uwagę, jest postępująca zmiana pokoleń. Młodzi ludzie chcą informacji natychmiast i w skondensowanej formie. Nikt nie będzie się zastanawiać nad ofertą, która ma 50 stron do przeczytania. Coraz częściej będzie potrzebny krótki konspekt – co system robi i jak rozwiązuje problemy.

Debatę prowadził
Tomasz Janoś