Debata IT Reseller Business Club – Bezpieczeństwo IT w firmach (cz. 2 z 4): Pejzaż lekkomyślności i zaniedbań.
Debata IT Reseller Business Club – Bezpieczeństwo IT w firmach (cz. 2 z 4): Pejzaż lekkomyślności i zaniedbań.
Internet i dane są dziś dla firm kluczowymi narzędziami w biznesie. Gdy nie ma dostępu do nich działalność ustaje. Mimo to firmy nie dbają o te zasoby i nawet te obracające grubymi milionami oszczędzają na bezpieczeństwie IT. Z drugiej strony ataki hakerskie są prowadzone fachowo – z coraz większą kompetencją wykorzystują wszelkie luki, by wykraść dane, czy zablokować dostęp do nich. Tak dalej być nie mogło. Dlatego legislator opracował przepisy GDPR/RODO, które pod surowymi sankcjami wymagają od firm ochrony zbiorów danych i monitorowania wszelkich w nie ingerencji.
W debacie udział wzięli:
- Bartłomiej Danek, v–ce president Beyond.pl,
- Grzegorz Łazęcki, członek zarządu i dyrektor ds. rozwoju produktów w iTSS,
- Mariusz Sawczuk, specialist systems engineer, F5 Networks North & East EMEA,
- Tomasz Sobol, dyrektor marketingu, Beyond.pl,
- Tomasz Stępski, prezes zarządu Polish Data Center Association,
- Sebastian Wąsik, country manager Baramundi Poland,
- Radosław Wesołowski, CEO at Grey Wizard i
- Jarosław Łuba, główny specjalista w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji
Co to oznacza dla polskiej gospodarki i jej bezpieczeństwa, gdy globalni dostawcy przekazują firmom i urzędom vouchery na technologie o określonej wartości, za które można uzyskać dostęp do mocy obliczeniowych? Działanie to wywołuje chwilowy entuzjazm, bo nie trzeba będzie np. wydawać publicznych pieniędzy. Ale czy mamy pewność, że w ten sposób dane o polskiej gospodarce nie wypływają na zewnątrz?
Na ile polscy przedsiębiorcy mają świadomość konieczności ochrony swoich danych?
Sobol: Z nowego raportu Intela dotyczącego IT security wynika, że bezpieczeństwa IT nie sposób kupić – trzeba o nie zadbać, wdrożyć, wyegzekwować i nieustannie doskonalić. Tymczasem w polskich realiach jest dużo nieświadomości i niebezpiecznej lekkomyślności, że jeśli coś zostało raz wdrożone to już na zawsze. Problematyczna jest też świadomość ludzi co do ważności posiadanych przez nich danych, np. użytkownik końcowy wyznaje w jednym z badań, że bardziej obawia się utraty swoich prywatnych zdjęć, niż dostępu do swojego konta bankowego. Potem, gdy wydarzy się jakiś incydent, np. wycieku danych ludzie mówią, że ich firma stała się ofiarą ataku hakerskiego. Nie potrafią samokrytycznie i ku ostrzeżeniu innych ocenić na ile byli podatni na atak, gdyż nie ograniczyli na czas ryzyka jego wystąpieni. To nie jest dobry scenariusz, ale wciąż na nowo się powtarza – wiele firm jest mądrych dopiero po szkodzie, a nie przed jej wystąpieniem.
Łazęcki: Zajmuję się bezpieczeństwem IT od 15 lat, a zaczynałem pracę na tym polu współtworząc Centrum Certyfikacji Elektronicznej PWPW. Potem realizowałem setki projektów zabezpieczenia IT dla firm różnej wielkości. Z mojego doświadczenia wynika, że przedsiębiorcom brakuje świadomości tego, jakie informacje są w ich firmach przetwarzane, gdzie są przechowywane i kto zarządza dostępem do nich. Inwestycje w zabezpieczenia są często motywowane chęcią dorównania innym, a nie świadomym dążeniem do ograniczenia zidentyfikowanego poziomu ryzyka. To są gorzkie obserwacje, ale dla biznesmenów priorytetem jest zarabianie pieniędzy i nie dostrzega się, że brak dbałości o bezpieczeństwo IT zagraża temu celowi.
Danek: Zapytam prowokacyjnie: które auto jest bezpieczniejsze – to które spełnia wymagania normy Euro 5, czy to które spełnia normę Euro 1? Oczywiście, że wszyscy odpowiedzą, że Euro 5. Z wielu przyczyn właściciele Beyond.pl postanowili zbudować data centre spełniające najwyższe normy bezpieczeństwa. Od fazy projektu, przez kolejne etapy budowy obiekt spełniał surowe wymagania certyfikacyjne. W efekcie powstało centrum danych, które pod względem bezpieczeństwa przewyższa wszystkie inne – nie tylko w Polsce, ale i w Europie. Jaki jest efekt? Beyond.pl w tej chwili rozmawia nie tylko z największymi firmami w Polsce ale i zza granicy na temat świadczenia usług cloud computingu. Z drugiej strony, co jest smutne, nadal jest niedoceniany poziom oferowanych usług, a w specjalistycznych mediach powracają pytanie: po co wydatkowano środki na spełnienie wyśrubowanych wymagań? jacy klienci zapłacą za tego rodzaju usługi? Również sama branża przyjmuje wiadomość o gwarancjach bezpieczeństwa udzielanych przez Beyond.pl z lekceważeniem jako przesadzonych i na wyrost. O czym to świadczy? Jeśli w samej branży wysiłek certyfikacyjny jest niedoceniany to czego oczekiwać od przedsiębiorców, którzy wg wielu badań nie przypisują dużej wagi do bezpieczeństwa IT. Nic dziwnego, że narażają się na cyberataki i potem ponoszą dotkliwe straty. Na szczęście świadomość zagrożeń rośnie, co prowadzi do tworzenia odpowiednich regulacji.
Sobol: Mówiąc o bezpieczeństwie IT nie można odnieść się tylko do indywidualnego przedsiębiorstwa – na tą kwestię należy spojrzeć kompleksowo. Poza obszarem firm i stosowanych przez nie systemów i procedur bezpieczeństwa to także sprawa publiczna, w której wiele znaczą odpowiednie regulacje i działanie administracji państwowej. Rola organów państwa jest tu tym ważniejsza im bardziej bezpieczeństwo IT dotyczy sfer kluczowych dla funkcjonowania państwa, np. energetyki, służby zdrowia, służb publicznych. Potrzebne są regulacje gwarantujące firmom świadczenie usług IT, nawet w przypadku klęsk żywiołowych, np. poprzez zagwarantowanie dostawy paliwa do podtrzymania zasobów.
Jaką rolę w takiej sytuacji ma do odegrania strona publiczna?
Łuba: Zgadzam się, że Unia Europejska jest świadoma zagrożeń w cyberprzestrzeni. Już w połowie ubiegłej dekady powołała Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji, by za jej przyczyną pomagać krajom unijnym budować kompetencje w zakresie cyberbezpieczeństwa. W 2016 r. wydano dyrektywę NIS 2016/1148 o zapewnieniu wysokiego poziomu bezpieczeństwa systemów teleinformatycznych, która odnosi się do przedsiębiorców, ale i do administracji publicznej z zadaniem powołania instytucji monitorujących incydenty na poziomie krajowym w sektorach kluczowych. Jednocześnie opracowano pokrewne rozporządzenie o ochronie danych osobowych określaną skrótowo GDPR/RODO, które w Polsce zacznie obowiązywać 26 maja 2018 r. Administracja rządowa, w myśl przyjętych regulacji i stosowanie do wskazanego w nich reżimu czasowego, dąży do objęcia ochroną informacji i danych w wielu kluczowych obszarach funkcjonowania państwa i gospodarki, np. u operatorów usług kluczowych dla działalności gospodarczej czy dostawców usług cyfrowych (np. internetowych platform handlowych, wyszukiwarek internetowych i ośrodków przetwarzania w chmurze). Operatorzy usług kluczowych i dostawcy usług cyfrowych będą zobowiązani do przekazywania informacji o incydentach bezpieczeństwa.
Stępski: Czy przedsiębiorcy zastanawiają się nad tym co się dzieje z danymi zawartymi w Jednolitym Pliku Kontrolnym przesyłanym do resortu finansów? Na jakich serwerach te dane są przechowywane? W Polsce czy poza jej granicami? Co to oznacza dla naszej gospodarki, gdy dane te przechowywane będą poza Polską? Takie pytania powinniśmy sobie zadawać. Co to oznacza dla polskiej gospodarki i jej bezpieczeństwa, gdy globalni dostawcy przekazują firmom i urzędom vouchery na technologie o określonej wartości, za które można uzyskać dostęp do mocy obliczeniowych? Działanie to wywołuje chwilowy entuzjazm, bo nie trzeba będzie np. wydawać publicznych pieniędzy. Ale czy mamy pewność, że w ten sposób dane o polskiej gospodarce nie wypływają na zewnątrz? Pamiętajmy, że po 11 września 2001 r. w USA podpisano pakt, na mocy którego administracja waszyngtońska ma dostęp do danych przetwarzanych przez amerykańskich przedsiębiorców. Dziś, w dobie chmury obliczeniowej podobne praktyki są stosowane wobec urzędów podległych administracji centralnej i wobec samorządów przez globalnych dostawców chmurowych. Zgodnie z obowiązującymi regulacjami są wprawdzie ogłaszane przetargi, ale z takimi kryteriami, że z góry wiadomo, kto wygra i znów dane z Polski wypłyną na zewnątrz. Z danymi jest podobnie jak ze zdrowiem – często dopiero wtedy je cenimy, gdy zaczyna trawić nas choroba.
Łuba: Wiosną br. rząd przyjął Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022, które przewidują stworzenie rządowego klastra cyberbezpieczeństwa z myślą m.in. o zwiększeniu bezpieczeństwa istotnych danych gospodarki czy sektora rządowego. Z drugiej strony tworzone są wymagania bezpieczeństwa IT dla infrastruktury krytycznej, dla przedsiębiorców. To nie jest tak, że administracja publiczna jest z boku globalnych trendów i jest bezbronna wobec cyberzagrożeń. Przeciwnie – śledzimy rozwój sytuacji. Z raportu Chceck Point wiemy, że straty firm związane z utratą danych wzrosły w ostatnich 3 latach o 400%; dostrzegamy, że w 2016 r. większość ataków ukierunkowanych w USA miało na celu obsługę księgową i prawną, aby tu zdobyć dane o infrastrukturze krytycznej. Od początku 2016 r. resort cyfryzacji objął nadzór nad NASK–kiem, gdzie funkcjonuje Narodowe Centrum Bezpieczeństwa i już stworzył sieć porozumień dotyczących wymiany informacji o cyberbezpieczeństwie. Można przystąpić do tego porozumienia.
Sawczuk: Dyrektywa GDPR/RODO umożliwia krajom unijnym taką implementację, która będzie odpowiadać ich lokalnym uwarunkowaniom. Definiuje ona dane jako „zasób krytyczny” i domaga się jego ochrony wzmacniając swoje wymagania surowymi sankcjami. Jest to regulacja unikalna i nie uda się jej zbyć czy przeczekać w myśl powiedzenia „jakoś to będzie”. Jest ona szeroka i definiuje kilka zakresów, w których są określone wymagania, daty i sankcje, co sprawia, że przedsiębiorcy nie mogą jej ignorować. Dla przykładu, zobowiązuje ona do notyfikacji cyberataków w ciągu co najwyżej 72 godzin po ich wykryciu i do przekazania wyznaczonemu organowi informacji o jego zaistnieniu. GDPR/RODO jest odpowiedzią na głośne ataki na aplikacje, na przypadki kradzieży danych, które zdarzyły się w przeszłości, np. RSA, HBO, Sony, a ostanio Equifax. Stwarza szansę usankcjonowania ładu w cyberprzestrzeni także dlatego, że pod sankcjami karnymi stawia wymóg powołania w firmach i instytucjach Data Protection Officer (DPO) – menedżera odpowiedzialnego za bezpieczeństwo danych.
Łuba: Projekt ustawy o krajowym systemie cyberbezpieczeństwa zakłada utworzenie w Polsce sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT) oraz opracowanie narzędzi do monitorowania cyberbezpieczeństwa i zgłaszania cyberataków. Przepisy będą dotyczyć głównie operatorów usług cyfrowych i usług kluczowych. Nowe przepisy, instytucje i obowiązki związane z sankcjami nie przekreślają dotychczasowego dorobku legislacyjnego, a go poszerzają.
Debatę prowadził i opracował
Krzysztof Polak, Redaktor Naczelny Magazynu IT RESELLER