Małe firmy też muszą chronić dane!
Dbałość o bezpieczeństwo firmowych informacji powinna wynikać nie tylko z powodów biznesowych, ale – coraz częściej – także prawnych. O ile większe przedsiębiorstwa radzą sobie z tym całkiem nieźle, o tyle w małych i średnich konieczna jest prawdziwa praca u podstaw. To może być niekończące się źródło zysków dla resellerów i integratorów.
O rosnącej roli systemów
bezpieczeństwa na polskim rynku rozmawiali uczestnicy Okrągłego Stołu CRN
Polska:
– Gaweł Mikołajczyk, Security
Consulting Systems Engineer, Cisco Systems
– Tomasz Słoniewski, Research
Manager, IDC Polska
– Paweł Odor, specjalista,
Kroll Ontrack
– Mariusz Szczęsny, Key
Account Manager, RSA
– Michał Ciemięga, Territory
Sales Manager, Trend Micro
Wielki strach czy prawdziwe
zagrożenie?
CRN Niemal co tydzień media
donoszą o jakimś incydencie związanym z bezpieczeństwem
elektronicznych informacji. Z przekazów tych wynika, że obecnie powinniśmy
bać się niemalże wszystkich i wszystkiego. Czy jest to realne zagrożenie,
czy też może nie do końca uzasadniony lęk, podsycany komunikatami firm, które
chcą zarobić?
Paweł Odor, Kroll Ontrack
Niestety, sytuacja jest o tyle trudna, że niewiele osób jest w stanie
poprawnie ocenić skalę większości zagrożeń. Rzadko potrafią to też
dziennikarze, stąd czasem pewne przekłamania w mediach. Natomiast jedno
jest pewne – codziennie jesteśmy wystawiani na ryzyko związane
z próbą przejęcia naszych danych drogą elektroniczną, a zjawisko to
dotyczy zarówno firm, jak i każdego z nas indywidualnie. IT
i związana z nim telekomunikacja przestały już być dodatkową usługą,
bez której moglibyśmy sobie poradzić. Przestępcy o tym doskonale wiedzą.
Mariusz Szczęsny, RSA Wiele
osób mających mniejszą styczność z zagrożeniami uważa zabezpieczenia za
dodatek do IT, często zbędny. To główny problem doskwierający nam, sprzedawcom
specjalizującym się w tej branży. A świat się zmienia i będzie
się zmieniał. W tej chwili ponad 90 proc. pieniędzy w obrocie
jest w postaci elektronicznej, więc oczywiste jest, że będą próby ich
kradzieży i zacierania za sobą śladów. Tym bardziej, że prawdopodobieństwo
ujęcia takiego przestępcy jest wciąż znacznie niższe niż np. tego, który napadł
na bank czy konwój z pieniędzmi. Zresztą różne źródła już potwierdzają, że
tym obszarem coraz bardziej interesują się struktury mafijne. Bo tam po prostu
są duże pieniądze i łatwiej jest je ukraść niż tradycyjnymi metodami.
Michał Ciemięga, Trend Micro
Dużo o bezpieczeństwie mówiło się, gdy wokół dominowały ataki fizyczne.
Tymczasem zagrożenia elektroniczne spotykane są dziś znacznie częściej, lecz są
one trudniejsze do wykrycia niż fizyczne, i co za tym idzie mniej
widoczne. Nieporównywalna jest też kwestia kosztów. Podczas ostatniego ataku
DDoS, przeprowadzonego na mBank oraz Allegro, mówiło się, że instytucje te
straciły ok. 8 mln zł. Natomiast – według cenników
podziemia rosyjskiego – taki atak mógł kosztować tylko ok. 1,2
tys. zł.
Tomasz Słoniewski, IDC Biorąc
pod uwagę faktyczną liczbę i jakość zagrożeń, które czyhają na nas
w cyberprzestrzeni, jest się czego bać. Ale powinien to być strach
świadomy, związany ze znajomością zagrożeń i sposobów ich
rozprzestrzeniania się. Analizując podejście do spraw bezpieczeństwa, warto
oddzielić użytkowników prywatnych od firm.
Przeciętni zjadacze chleba
najczęściej nie zdają sobie sprawy z tego, na jakie zagrożenia narażają
się, gdy wchodzą do Internetu. Większości z nich prawdopodobnie nic się
nie stanie, bo po prostu będą mieli szczęście. Ale komputery dużej grupy,
zupełnie nieświadomej, staną się częścią botnetu, dzięki któremu hakerzy będą
mogli łamać hasła, przeprowadzać ataki DDoS itd. Taki stan może trwać dłuższy
czas, a komputer będzie tylko nieco wolniejszy. Inni „złapią” coś bardziej
nieprzyjemnego, jak powszechne ostatnio ransomware, który blokuje dostęp do
komputera i żąda okupu pod płaszczykiem mandatu. To bardzo złośliwa
rzecz i trudna do likwidacji dla przeciętnego użytkownika. Dużo rzadziej
dochodzi do przypadków, gdy przestępcy włamują się na prywatne konto
w banku internetowym i kradną pieniądze.
CRN Czyli, z punktu
widzenia konsumenta, zagrożenia informatyczne mogą powodować raczej stratę
czasu i wygody użytkowania komputera niż większych pieniędzy?
Tomasz Słoniewski, IDC
I tu dotykamy zagadnienia bezpieczeństwa IT w firmach. Problemem jest
to, że osoby prywatne są „nosicielami” potencjalnych zagrożeń dla firm.
I chociażby
dlatego należy wśród nich propagować
podstawowe zasady „higieny pracy” z komputerem podłączonym do Internetu.
Przedsiębiorstwa oczywiście są znacznie bardziej zainteresowane tematem ochrony
systemu IT, chociaż zbyt rzadko idą za tym wystarczające budżety. Osoby
zarządzające często mówią, że bezpieczeństwo jest priorytetem, ale gdy
przychodzi do kalkulacji ryzyka i potencjalnych wydatków, to dochodzą do
wniosku, że potencjalne szkody mogą być na tyle niewielkie, że nie ma sensu
wydawać pieniędzy na podniesienie standardów bezpieczeństwa IT. Dzieje się tak
szczególnie w mniejszych przedsiębiorstwach, które mają niższe budżety
i mniej do stracenia. Takie firmy bywają poletkiem doświadczalnym przed atakiem
na większe przedsiębiorstwo, które przecież może korzystać z podobnych
rozwiązań IT.
Czy zarządzanie
bezpieczeństwem musi być trudne?
CRN Dzisiaj znalezienie
bezrobotnego specjalisty ds. bezpieczeństwa graniczy z cudem, niełatwe
jest też zaspokojenie oczekiwań finansowych ekspertów w tej dziedzinie.
Rodzi się więc naturalna presja na dostawców, że stworzą uniwersalne
rozwiązanie, które automatycznie będzie ochronić firmowe dane przynajmniej
w takim stopniu, że zatrudnianie specjalisty nie będzie potrzebne…
Gaweł Mikołajczyk, Cisco
Systems Rozwiązania zintegrowane, chroniące przed szeregiem zagrożeń, już
istnieją, ale wciąż niewiele firm ich używa. Mogą w pewnym stopniu
spełniać oczekiwania firm szukających zautomatyzowanej ochrony, bez aspiracji
do zagłębiania się w szczegóły zagrożeń. Mechanizmy wielu rodzajów ataków
sieciowych są od miesięcy czy nawet lat dobrze znane. Te zagrożenia mogłyby być
unicestwione za pomocą dostępnych rozwiązań, które wciąż nie są popularne. Nie
należy zapominać, że nieustannie pojawiają się nowe zagrożenia. Natomiast
rzeczywiście, inżynierów specjalizujących się w rozwiązaniach
bezpieczeństwa jest niewielu, bo to dość trudny obszar, branża jest
rozproszona, a wdrożenie, audyt i zarządzanie dostępnymi
rozwiązaniami są niełatwe. W systemach zapewniających ochronę często nie
ma interfejsu graficznego, tylko konsola z linią komend. To, samo
w sobie, nie jest przeszkodą, jednak trudno znaleźć osoby, które rozumieją
zjawiska zachodzące „pod spodem”. Rola człowieka, doświadczonego specjalisty,
jest nie do przecenienia. Sprzęt i oprogramowanie go nie zastąpi.
CRN Dlaczego zatem nie
powstanie jeden spójny, przejrzysty interfejs, który nie będzie zniechęcał?
Twórcom oprogramowania antywirusowego udało się taki stworzyć…
Gaweł Mikołajczyk, Cisco
Systems Niestety, gdy chcemy dokonać pełnej analizy śledczej danych pozyskanych
z ataku, musimy zbadać wiele punktów w infrastrukturze oraz posiadać
bardzo szeroką wiedzę na temat działania ataków i zagrożeń oraz znajomość
technik programistycznych i sieciowych we wszystkich warstwach, począwszy
od sieci, a na systemach operacyjnych i aplikacjach skończywszy.
Branża nie doczekała się utopijnego „cudownego produktu bezpieczeństwa
z jedynym słusznym interfejsem zarządzania”. Gdyby powstał, z pewnością
jego dostawca miałby dziś 99 proc. udziału w rynku.
Mariusz Szczęsny, RSA Główny
problem leży w tym, że około 50 proc. rodzajów ataków jest
nieznanych, tymczasem taki graficzny interfejs byłby skuteczny głównie wobec
rozpoznanych zagrożeń, a innych nawet nie zauważał. Dlatego, aby walczyć
z takimi nieznanymi zagrożeniami, potrzeba zatrudnić eksperta
z wieloletnim doświadczeniem w różnych obszarach IT, który za pomocą
narzędzi monitorujących stan bezpieczeństwa infrastruktury będzie mógł
wychwycić podejrzane zachowania.
Tomasz Słoniewski, IDC Ochrona
zasobów to jedna z najbardziej skomplikowanych dziedzin informatyki, bo
mamy do czynienia z ciągłą ewolucją metod ataków i tym samym
znalezienie specjalistów, którzy potrafią dobrze zabezpieczyć firmę, jest po
prostu trudne i kosztowne. W związku z tym przedsiębiorstwa mają
do wyboru: albo pogodzić się z niższym poziomem ochrony i korzystać
z dostępnych na rynku prostszych systemów, albo korzystać z usług
firmy o wysokim poziomie kompetencji. W Polsce wciąż większość
wydatków związanych z IT idzie na sprzęt, bo właściciele przedsiębiorstw
nie korzystają z oferty dostawców profesjonalnych usług. Taka sytuacja
wynika z wielu powodów, m.in. braku odpowiednich środków, złej oceny
ryzyka, nieumiejętności przekonania zarządu, że profesjonalna wiedza jest
potrzebna… Myślę, że z biegiem czasu zapotrzebowanie na usługi związane
z zapewnianiem bezpieczeństwa IT będzie rosło, firmy po prostu będą coraz
bardziej świadome zagrożeń i związanych z nimi potencjalnych strat.
Michał Ciemięga, Trend Micro
Największym problemem jest brak zaufania: im mniejsza firma, tym większa obawa
przed oddaniem w obce ręce zarządzania bezpieczeństwem. Znacznie częściej
zatrudnia się na pół etatu informatyka, który raz na jakiś czas konfiguruje
infrastrukturę. Większe przedsiębiorstwa nie mają problemów z korzystaniem
z profesjonalnych usług IT, oczywiście przy odpowiednio rygorystycznie
skonstruowanej umowie.
Paweł Odor, Kroll Ontrack
Wiele firm zatrudniających informatyków też ma problemy z bezpieczeństwem
danych. Ciekawe jest to, że 60 proc. naszych klientów korzystających
z usług odzyskiwania danych ma systemy backupowe, które – jak widać
– nie zawsze działają w oczekiwany przez nich sposób. Mam nadzieję,
że wkrótce na kwestie związane z ochroną danych wpływ będzie miał także
ustawodawca. Ale to nie zmieni faktu, że zapewnienie bezpieczeństwa wciąż jest
pojmowane jako koszt, który trzeba ponieść, bez możliwości uzyskania zwrotu
z inwestycji.
Jak zbudować idealną ofertę
systemów bezpieczeństwa?
CRN Nasi czytelnicy,
szczególnie ci, którzy nie mają na co dzień do czynienia z zaawansowanymi
systemami bezpieczeństwa, wskazują trudność związaną z wyborem właściwego
rozwiązania. Podkreślają, że wszystkie marketingowe opisy są podobne,
a konkurencyjne rozwiązania mają podobne funkcje i obiecują
użytkownikom podobne korzyści. Jak powinno się postępować w takiej
sytuacji: radzić się dostawcy lub dystrybutora, czy może zwracać uwagę na inne,
niepublikowane parametry?
Gaweł Mikołajczyk, Cisco
Systems Rzeczywiście, na poziomie, który jest prezentowany w materiałach
marketingowych, wiele rozwiązań jest do siebie podobnych, bo różnice w ich
funkcjonowaniu tkwią dość głęboko i – jak już wspominaliśmy
– zdolność do ich wydobycia najczęściej zależy od umiejętności danego
administratora. Niektórzy gracze potrafią się wyróżnić w jednym lub kilku
niszowych segmentach rynku i to odpowiednio zakomunikować, aby cały czas
być o krok przed konkurencją. Natomiast inne firmy oferują rozwiązania
całościowe, chcą objąć jak najwięcej obszarów związanych
z bezpieczeństwem, które rynek jest w stanie zidentyfikować.
Wybierając partnera do współpracy, zalecam zdrowy rozsądek; czasami ma sens
odejście od dotychczasowego dostawcy. Nie można jednak przesadzać, bo
heterogeniczne środowisko staje się trudne w zarządzaniu
i monitorowaniu. Ważny jest też klimat współpracy, możliwość zdobycia
wiedzy, jakość i dostępność dokumentacji oraz wsparcia od dostawcy.
Finalnie zaś – rachunek ekonomiczny.
Michał Ciemięga, Trend Micro
W przypadku podstawowych systemów bezpieczeństwa, jak na przykład
antymalware’u, istotną różnicą między poszczególnymi rozwiązaniami są koszty
operacyjne czy też koszty zarządzania. Klienci często nie zgadzają się na
zautomatyzowanie niektórych zadań, szczególnie w środowiskach produkcyjnych,
chociaż czasami, szczególnie gdy korzystają ze zintegrowanych systemów, mogliby
sobie na to pozwolić. Myślę, że tu jest duże pole do popisu dla resellerów
i integratorów, którzy mogą jako podmioty zewnętrzne świadczyć usługi
konsultacji i zarządzania bezpieczeństwem. Część naszych partnerów już ma
podpisane takie umowy, z ich usług chętnie korzystają przedsiębiorstwa,
które mają rozproszone środowisko.
CRN Czy firmy, które chcą
świadczyć usługi ochrony systemów IT, powinny zatrudniać wyłącznie
certyfikowanych inżynierów? Koszt zdobycia takich certyfikatów często przerasta
możliwości finansowe wielu osób…
Gaweł Mikołajczyk, Cisco
Systems Na pewno trzeba się nieustannie uczyć za wszelką cenę, ponieważ tylko
wtedy można osiągnąć odpowiednio wysoki poziom i go utrzymać. Certyfikacja
jest istotną pochodną edukacji. Ale, niestety, w Polsce nie szanuje się
wystarczająco wiedzy. Zgodnie z anegdotą, nieważne, czy konfiguruję router
szkieletowy, czy wymieniam toner w drukarce, dla szefa jestem po prostu
informatykiem. Dlatego z Polski wyjechało mnóstwo osób posiadających
wiedzę, certyfikaty i doświadczenie, bo na Zachodzie są znacznie bardziej
doceniane. Koszty certyfikacji, materiałów i szkoleń są przeszkodą,
szczególnie dla osób, które zaczynają karierę.
Mariusz Szczęsny, RSA
Certyfikaty są ważne, chociaż nie przeceniałbym ich znaczenia. W branży
zabezpieczeń jest sporo różnych certyfikacji, może nawet trochę za dużo. Znam
wielu specjalistów, którzy certyfikatów nie mają, a dla mnie są ekspertami
– po prostu nie mieli potrzeby potwierdzania w ten sposób swojej wiedzy.
Ale spotykałem się też z certyfikowanymi inżynierami, którzy mieli
niewielkie doświadczenie w rozwiązywaniu konkretnych problemów. Uzyskanie
certyfikatu najczęściej jest związane po prostu ze zdaniem egzaminu, a nie
odbyciem praktyk. Dlatego trzeba znaleźć odpowiedni kompromis – zdobywać
certyfikaty dla potwierdzenia wiedzy, ale też dużo czasu poświęcić doskonalenie
się w praktyce.
Polityka bezpieczeństwa
u każdego?
CRN Polityka bezpieczeństwa to
dokument, którego próżno szukać w większości firm. Czy resellerzy lub
integratorzy mogą sprawdzić się jako konsultanci przy tworzeniu tego dokumentu
i egzekwowaniu jego zapisów?
Paweł Odor, Kroll Ontrack
Oczywiście tak, ale przed nimi trudne zadanie uświadomienia klientowi, że taki
dokument to nie kolejny zapis do odłożenia na półkę, lecz coś bardzo ważnego,
gwarantującego ciągłość funkcjonowania przedsiębiorstwa. Niestety, niewiele
dużych firm ma profesjonalnie przygotowaną politykę bezpieczeństwa i się
do niej stosuje. Często ten dokument jest zapisany w zasobie sieciowym lub
wydrukowany, ale nie są realizowane jego postanowienia, które powinny kaskadowo
z niego wynikać – nie ma szkoleń, audytów, kontroli itd. Natomiast w małych
i średnich firmach spisanej polityki bezpieczeństwa praktycznie nigdy nie
ma. A szkoda, bo małe przedsiębiorstwa znacznie łatwiej zabezpieczyć,
potrzeba mniejszych nakładów na ochronę przed utratą danych lub zagrożeniem
z zewnątrz.
Michał Ciemięga, Trend Micro Wszyscy
wiedzą, że polityka bezpieczeństwa jest potrzebna, powinna być aktualizowana,
ale z kolejnymi krokami jest gorzej. Najczęściej raz stworzony dokument
nigdy nie jest weryfikowany, tymczasem firmy się rozwijają, zmieniają i te
wszystkie zmiany powinny znaleźć odzwierciedlenie także w polityce
bezpieczeństwa. Gdy dzieje się coś niedobrego i zaczynamy szukać przyczyn
oraz sposobu przeciwdziałania, to powinnismy sięgnąć do procedur. Jeśli nie
odpowiadają one rzeczywistości, będą bezskuteczne.
Tomasz Słoniewski, IDC W każdym
przedsiębiorstwie powinna znaleźć się osoba, która uświadomi zarządowi korzyści
płynące z posiadania przemyślanej, aktualizowanej i egzekwowanej
polityki bezpieczeństwa. Zachęcam do tego wszystkich czytelników. Nawet bardzo
prosty dokument będzie lepszy niż jego brak. Pracownicy powinni wiedzieć, jak
się zachowywać, a osoby zarządzające powinny mieć dostęp do odpowiednich
instrumentów wymuszania tej polityki w skali całej firmy. Takie
postępowanie może zapobiec wielu kryzysom, takim jak utrata danych czy przestój
kluczowych systemów.
Paweł Odor, Kroll Ontrack
Czasami wystarczy zwykła burza mózgów, podczas której na kartce papieru grupa
odpowiedzialnych za różne obszary osób spisze potencjalne zagrożenia
i zastanowi się, co robić w przypadku, gdy one wystąpią. To nie
zawsze musi być gruba księga, co więcej, takie duże dokumenty czasami wręcz
paraliżują działanie. Mamy obecnie do czynienia z rewolucją
w przetwarzaniu danych i jednocześnie bardzo małą wiedzą
o związanym z tym ryzyku. Od małego uczymy dzieci przechodzenia przez
jezdnię, ale później nikt w szkole nie tłumaczy, że warto zastanowić się
nad kwestią utraty danych czy atakami, które mogą potem wpłynąć na ich firmę
czy pracodawcę oraz codzienne życie i bezpieczeństwo finansowe.
Mariusz Szczęsny, RSA Cieszę
się, że powstają organizacje, które już na poziomie szkoły podstawowej
i gimnazjum próbują prowadzić tego typu szkolenia. To jest właściwy
kierunek, bo pewien model zachowań trzeba wynieść już z lat dziecięcych.
Przy przechodzeniu przez ulicę też robimy analizę ryzyka, więc naturalne jest
dziś, że musimy się tego nauczyć także w kontekście ochrony systemów
komputerowych. Wówczas akceptacja w firmach dla takich dokumentów jak
polityka bezpieczeństwa będzie zjawiskiem naturalnym.
Bezpieczeństwo a chmura
CRN Bezpieczeństwo jest
kluczowym zagadnieniem poruszanym w kontekście usług w chmurze
publicznej. Niemal codziennie można spotkać się z osobami tak „dbającymi”
o bezpieczeństwo danych, że decydują się je zostawić wyłącznie u siebie
w firmie… Jak walczyć z tym zjawiskiem?
Mariusz Szczęsny, RSA Na
Zachodzie ten problem praktycznie już zanika, a miała na to wpływ prosta
analiza ekonomiczna. Okazuje się, że przechowywanie i przetwarzanie danych
w chmurze może być nawet siedmiokrotnie tańsze niż we własnej serwerowni.
Sprawę ułatwiają też ustawodawcy, którzy dopuszczają taki model, nawet dla
danych wrażliwych. Oczywiście nigdy nie będzie to rozwiązanie dla wszystkich,
do chmury raczej nie trafią dokumenty poufne czy tajne ani dane transakcyjne,
np. z banków.
Tomasz Słoniewski, IDC Jeśli
wyniesiemy dane do chmury, to powinniśmy zwracać baczną uwagę na stopień
i sposób ich zabezpieczenia. Powinno to być elementem umowy
z dostawcą takiej usługi. Ważna jest również kwestia świadomości
pracowników, wielu z nich przesyła bowiem swoje służbowe pliki do serwisów
typu Dropbox, narażając firmę na wyciek danych, a w niektórych
przypadkach na postępowanie sądowe. Takim sytuacjom powinna zapobiegać polityka
bezpieczeństwa oraz odpowiednie narzędzia informatyczne.
Paweł Odor, Kroll Ontrack Chmura
zmieniła krajobraz rynku IT i wszyscy muszą się do tego dostosować, także
firmy związane z ochroną danych. Wiadomo, że idealnego zabezpieczenia
nigdy nie będzie, na co dzień mamy do czynienia z pewną iluzją
bezpieczeństwa. Najważniejsze, żeby być dobrze przygotowanym na ryzyko
wystąpienia zagrożeń oraz umieć skutecznie i rozważnie im przeciwdziałać.
Podobne wywiady i felietony
Równoważenie rozwoju: teoria i praktyka
Pojęcie ESG po raz pierwszy pojawiło się na początku naszego wieku. Jednak w branży nowych technologii o zrównoważonym rozwoju mówi się od stosunkowo niedawna, choć coraz więcej i częściej. Tymczasem nasza branża boryka się z (jak się wydaje) bardziej palącymi problemami, takimi jak: niepewność w związku z wojną na Ukrainie i sytuacją geopolityczną, spowolnienie gospodarcze czy zagrożenia związane z niekontrolowanym rozwojem sztucznej inteligencji. Jak zatem sektor technologiczny powinien podchodzić do założeń ESG i którymi z nich zająć w pierwszej kolejności?
Bezpieczeństwo staje się tematem numer 1
Jacek Trzeciak, właściciel poznańskiej spółki JTC, w rozmowie o tym, jak to możliwe, że w pandemii spadły mu obroty, dlaczego firmy coraz bardziej chcą chmury i jaki jest jego nowy pomysł na zwiększenie zysków w czasach pracy zdalnej.