Debata IT Reseller Business Club – Bezpieczeństwo IT w firmach (cz. 3 z 4): Płać albo dane trafią do sieci.

 Debata IT Reseller Business Club – Bezpieczeństwo IT w firmach (cz. 3 z 4): Płać albo dane trafią do sieci.

 

Internet i dane są dziś dla firm kluczowymi narzędziami w biznesie. Gdy nie ma dostępu do nich działalność ustaje. Mimo to firmy nie dbają o te zasoby i nawet te obracające grubymi milionami oszczędzają na bezpieczeństwie IT. Z drugiej strony ataki hakerskie są prowadzone fachowo – z coraz większą kompetencją wykorzystują wszelkie luki, by wykraść dane, czy zablokować dostęp do nich. Tak dalej być nie mogło. Dlatego legislator opracował przepisy GDPR/RODO, które pod surowymi sankcjami wymagają od firm ochrony zbiorów danych i monitorowania wszelkich w nie ingerencji.

 

 

W debacie udział wzięli:

  • Bartłomiej Danek, v–ce president Beyond.pl,
  • Grzegorz Łazęcki, członek zarządu i dyrektor ds. rozwoju produktów w iTSS,
  • Mariusz Sawczuk, specialist systems engineer, F5 Networks North & East EMEA,
  • Tomasz Sobol, dyrektor marketingu, Beyond.pl,
  • Tomasz Stępski, prezes zarządu Polish Data Center Association,
  • Sebastian Wąsik, country manager Baramundi Poland,
  • Radosław Wesołowski, CEO at Grey Wizard i
  • Jarosław Łuba, główny specjalista w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji

 

 

Czy po ich wejściu w życie GDPR/RODO zagrożenia w cyberprzestrzeni zostaną ujarzmione?

 

Danek: Deklaracje i zamierzenia to jedno, a praktyka, która jakże często odstaje od nich, to drugie. Bezpieczeństwo IT będzie wymagane, będzie w cenie, ale na razie nie jest i dlatego Beyond.pl nie staje i nie będzie stawać do przetargów, w których głównym miernikiem jest cena. Dlaczego? Bo oferując najwyższe standardy bezpieczeństwa nie ma szans na odpowiednie docenienie, a sami nie chcemy świadczyć swoich usług za 60% ceny. Przyznam, że na 150 rozmów przeprowadzonych w tym roku z potencjalnymi klientami tylko jeden zapytał o potwierdzenie najwyższego bezpieczeństwa naszych usług – był to urzędnik centralnej administracji publicznej. Co to oznacza? W praktyce bezpieczeństwo wciąż nie jest należycie doceniane. Niekiedy rozmowy z klientami wyprawiają nas w osłupienie, gdy słyszmy jak oni wyobrażają sobie współpracę z nami. Nie winie ich za to. Ponieważ nadal niewielu ludzi ma świadomość jak powinno wyglądać funkcjonowania profesjonalnego data centre. Z jednej strony widzą potrzebę bezpieczeństwa IT, ale z drugiej na bezpieczeństwie próbują zaoszczędzić i to w pierwszym rzędzie. A to prosta droga do kłopotów. Dlatego w Beyond.pl postanowiliśmy to zmienić i edukować rynek zapraszając firmy, jednostki państwowe do odwiedzania naszego DC.

 

Łazęcki: Jak dotąd nie funkcjonuje żaden publiczny monitoring stanu cyberzagrożeń. W związku z tym duża część firm nie jest nawet świadoma tego, że zostały zhakowane, a ich dane wykradziono i są wystawione w darknecie na sprzedaż. Budżety na ataki ukierunkowane można mierzyć dziś w dziesiątkach mln USD, a opłacani z tych budżetów hakerzy lepiej zarabiają niż niejeden ciężko pracujący menedżer. Oznacza to, że firma mająca obojętny stosunek do kwestii bezpieczeństwa IT nie ma szans w obliczu ataków ukierunkowanych. Tak jest dziś i potrzeba dużego wysiłku firm, by to zmienić.

 

Stępski: Dziś kluczowe dane przedsiębiorstwa można wynieść na miniaturowym pendrive i ochrona firmy nie ma żadnych szans temu zapobiec. Mało tego – zarząd nie ma pojęcia, że dane ukradziono. Może się tego domyślić, gdy zauważy, że ostatnio kilku ważnych pracowników odeszło, a następnie pojawili się u konkurentów, co zbiegło się z wyraźną poprawą ich rynkowej pozycji.

 

 

Wesołowski: Administratorzy zasobów IT nie muszą być bezradni. Wystarczy przecież wdrożyć wymagania dotyczące korzystania z przenośnych dysków i telefonów w firmie, czy system filtrujący ruch w lokalnej sieci, by kwadrans potem wiedzieć kto i co pobrał. Groźniejsze się ataki DDoS. Ostatnio hakerzy stosują fale ataków, które zmyślnie następują w momentach, gdy dostępność usług online jest najbardziej potrzebna. Można więc mówić o optymalizacji działań hakerów, którzy są coraz bardziej zorganizowani, planowi i stosują ataki wielowektorowe.

 

Wąsik: W zabezpieczaniu zasobów IT problemem jest użytkownik końcowy, aplikacje i cała teleinformatyczna infrastruktura. Ataki są skierowane najczęściej na aplikacje, na infrastrukturę przy wykorzystaniu podatności w niej odkrytych i na użytkowników. Najczęściej firmy, nawet gdy mają wolę przeciwdziałać zagrożeniom, nie są zdolne stawić im czoła na wszystkich frontach. Dlatego tak ważna jest rola strony publicznej, ważne jest stosowanie sprawdzonych procedur czy poddawanie się wymogom certyfikacji. To dlatego GDPR/RODO rodzi oczekiwania na przełom. Z drugiej strony potrzebna jest edukacja, bo przecież firmy – miast ponosić duże koszty na inwestycje w bezpieczeństwo IT – mogą zdobyć wiedzę, przeprowadzić przegląd podatności w użytkowanych systemach i je „załatać”.

 

Łazęcki: Nowe odmiany ataków ransomware skutkują wyświetlaniem na ekranach użytkowników żądania okupu z groźbą, że w przeciwnym razie ich dane zostaną opublikowane w Internecie. Jeśli te dane są cenne to firmy ulegają temu szantażowi. Budżet na inwestycje w bezpieczeństwo IT nie może bowiem przewyższać wartości danych, które mają być objęte ochroną. Nieraz odnoszę wrażenie, że wydatki na bezpieczeństwo IT to ostatnia pozycja w budżetach IT i pierwsza pozycja do likwidacji, gdy tylko firma zaczyna szukać oszczędności.

 

Łuba: Na rynkach rozwiniętych Europy Zachodniej i w USA zasoby IT coraz częściej obejmowane są ubezpieczeniami, co oznacza, że ubezpieczyciele stają po stronie sił wymagających od firm bezpiecznego zarządzania danymi.

 

Stępski: Ogół przedsiębiorców nie lubi nowych przepisów i stawianych przez nie wymagań, ale w niekiedy widzą potrzebę regulacji i czekają na nią. W Niemczech i we Francji przepisy wymagają od operatorów data centres, by ewentualne roszczenia ich klientów były rozpatrywane na miejscu. W efekcie tamtejsi użytkownicy globalnych usług, np. Microsoft, Facebooka czy Googla zgłaszają swoje roszczenia do miejscowych sądów. Polscy użytkownicy muszą w takich przypadkach udać się zagranicę, np. do kalifornijskiego sądu w Santa Clara. W Niemczech globalni dostawcy chmury muszą obsługiwać swoich klientów na miejscu. Oznacza to konieczność zarejestrowania tam działalności, a nie prowadzenia jej np. z Irlandii. Wg prawa dane niemieckich przedsiębiorców mają znajdować się w Niemczech. W takim podejściu niemieckiego regulatora widać troskę pro aktywną, profilaktyczną – wolę zapobieżenia incydentom, a nie ich likwidowanie i uczenie się dopiero na zaistniałych szkodach.

 

 

Debatę prowadził i opracował

Krzysztof Polak, Redaktor Naczelny Magazynu IT RESELLER