„Wyścig cyberprzestępców w łamaniu zabezpieczeń nigdy się nie kończy” – wywiad z Jerzym Trzeplą, dyrektorem Działu Systemów Sieciowych w Veracomp – Exclusive Networks.

Naszym rozmówcą jest Jerzy Trzepla, obecnie dyrektor Działu Systemów Sieciowych w Veracomp – Exclusive Networks, wcześniej odpowiedzialny za produkty z zakresu bezpieczeństwa, posiadający wieloletnie doświadczenie w obszarze security.

 

Jak zmieniała się branża bezpieczeństwa na przestrzeni ostatnich lat? Jakimi spostrzeżeniami może się Pan podzielić, bazując na swoim wieloletnim doświadczeniu? Czy prawdą jest, że jest to obszar, który powinien ewoluować wraz z każdą technologią niczym swoisty „wyścig zbrojeń”?

Zmiany w obszarze cybersecurity cechują się dużą dynamiką, ze względu na swoją korelację z ciągle udoskonalanym środowiskiem IT. Przeobrażenia, które mają wpływ na systemy bezpieczeństwa i funkcjonowanie całej branży, wynikają z bardzo wielu czynników i trendów. W ostatnim roku największym z nich była pandemia. Jej nadejście wymusiło zmiany w przedsiębiorstwach, które związane były z przejściem na zdalny lub hybrydowy model pracy, co w konsekwencji przełożyło się na niemalże natychmiastowe próby zapewnienia bezpieczeństwa ze strony przedsiębiorstw.

 

Najszybciej stawiane na świecie VPNy?

Trochę tak to wyglądało, szczególnie w sektorze publicznym decyzje były podejmowane błyskawicznie ze względu na rangę instytucji i konieczność natychmiastowej ochrony przed zagrożeniami. Nawet na poziomie ministerstw spotkaliśmy się z sytuacją, gdy rano padało pytanie o to, czy można kupić „200 tokenów” poświadczających tożsamość użytkownika, a tego samego dnia po południu pojawiało się zamówienie. Takie inicjatywy były podejmowane niezwykle szybko, ale trzeba było zapewnić przynajmniej to minimum.

W części przedsiębiorstw zdalny model pracy funkcjonował już wcześniej, ale nie na tak szeroką skalę. Zwykle dotyczyło to przede wszystkim handlowców, ale nikt nie spodziewał się, że na tryb zdalny przejdzie cały firmowy backoffice, z dostępem do zupełnie innych systemów i zasobów danych. To już nie był tylko dostęp do poczty i CRM.

Kolejnym czołowym wyzwaniem z zakresu bezpieczeństwa, jest cały obszar związany z pracą w środowisku chmurowym: usługi w chmurze, przeniesienie części zasobów firmy do operatorów chmurowych, z wykorzystaniem różnych serwisów czy aplikacji w modelu SaaS. Stanowi to dla przedsiębiorstw spore wyzwanie.

Następnym wątkiem jest obecność na rynku pracy nowego pokolenia, które ma inne oczekiwania, przyzwyczajenia oraz inaczej korzysta z technologii. Niejednokrotnie sprzęt firmowy wykorzystywany jest również do celów prywatnych, co stanowi spore wyzwanie w zakresie ochrony danych przedsiębiorstw.

Warto również w tym kontekście wspomnieć o technologiach mobilnych – w końcu nosimy w kieszeniach całkiem szybkie komputery. Wyzwania w tym zakresie istnieją, w szczególności są związane z szybkimi sieciami 5G.

Ostatnie z wyzwań “nowej generacji” są powiązane z IoT. Wiele urządzeń, które może i nie wyglądają jak komputery, ale poniekąd nimi są, zostaje podłączone do sieci. Często jest tak, że rzadziej niż smartfony czy komputery otrzymują one aktualizacje bezpieczeństwa, co może stanowić spore zagrożenie w kontekście luk dla cyberprzestępców.

Dużym sprawdzianem, głównie dla firm z segmentu utilities oraz manufacturing, jest także zachowanie bezpieczeństwa w sytuacji przyłączania swojej sieci sterowania do sieci korporacyjnej i internetu. Są to często sieci typu legacy, tworzone z myślą o pracy niezależnej, bez wychodzenia “na zewnątrz” organizacji. Z założenia miały one działać wewnętrznie, jednak pojawiła się potrzeba, by łączyć je z zewnętrznymi jednostkami. Zmiany parametrów technicznych produkcji np. w branży petrochemicznej czy azotowej, mogą być bardzo niebezpieczne, a wszelkie incydenty bezpieczeństwa w tym obszarze mogą kosztować ludzkie życie, dlatego bezpieczeństwo i wysoki poziom zabezpieczeń w tym obszarze są tak istotne.

Reasumując, tych wyzwań jest bardzo dużo, a działy bezpieczeństwa IT każdego dnia muszą się z nimi mierzyć. Patrząc ze swojej perspektywy (a zaczynałem pracę w 1996 roku) wiele technologii i koncepcji uległo modyfikacjom, jednak kilka rzeczy pozostało bez zmian. Po pierwsze zazwyczaj najsłabszym ogniwem w łańcuchu cybersecurity jest nadal człowiek.

 

Potwierdzenie tego mieliśmy widoczne niedawno, przy okazji awarii Facebooka, gdzie zawiniło ludzkie budowanie procedur. W wyniku tego nie można się było dostać do data center, gdy działanie Facebooka zostanie zaburzone.

To prawda, a konsekwencje tego zdarzenia były znaczące. I nie mam na myśli tylko samego Facebooka, ale też firmy e-commerce, do których użytkownicy mogą logować się właśnie za pośrednictwem tego social medium.

Zresztą dobrze, że dotknęliśmy tego tematu, bo jest on bezpośrednio związany z jednym z najważniejszych wyzwań obecnie, czyli bezpieczeństwem tzw. tożsamości cyfrowej. W normalnym życiu mamy swoje dowody osobiste, inne dokumenty, którymi możemy się uwierzytelnić w kontakcie biznesowym czy urzędowym. W sieci to mniej oczywiste, a nasza cyfrowa tożsamość może zostać skradziona. Ktoś może się pod nas podszyć, poznać nasze mechanizmy uwierzytelniające itd.

Pozostając przy przykładzie Facebooka, zazwyczaj użytkownicy nie chronią specjalnie tego konta. Pomimo tego, że jest to składnik ich cyfrowej tożsamości. Mieliśmy wielokrotnie sytuacje, w których ktoś na konto użytkownika facebookowego się dostawał (np. w wyniku bardzo prostego hasła). Wówczas, najczęściej, problem ograniczał się do przekazywania dalej dziwnych wiadomości, treści. Tymczasem w sytuacji gdy coraz częściej takie konto łączy się ze sferą e-commerce, zagrożenie staje się poważniejsze. Wciąż jeszcze brakuje tu świadomości, że istnieje wiele systemów multi factor authentication, nawet bezpłatnych. Powinniśmy włączać te mechanizmy, by naszą tożsamość chronić. To ważne, zwłaszcza, że “ciemna strona mocy” nie ustaje w swoich działaniach, głównie by wynajdować nowe metody na monetyzowanie swoich umiejętności.

 

Jest jeszcze, jak sądzę, jeden poziom zagrożeń, wynikający ze struktury zasobów. Skoro mówi się, że wiek XIX był napędzany węglem, XX ropą, a XXI danymi, to nie można zapominać, że o węgiel i ropę światowe mocarstwa toczyły konflikty. Tak więc i dane są dziś przedmiotem rywalizacji, także organizacji państwowych.

Oczywiście. Sponsorowany przez kraje cyberterroryzm to fakt, zresztą obecny już od dłuższego czasu. Z punktu widzenia przedsiębiorstwa, powinniśmy dbać przede wszystkim o to, by nasze zabezpieczenia były adekwatne. Zauważam tu dwa trendy.

Pierwszym jest to, że chociaż wszyscy korzystamy z Internetu i jego zasobów, to nie każdą firmę stać, by utrzymać wyspecjalizowany dział ds. bezpieczeństwa. To wymaga wiedzy, doświadczenia. Taki dział powinien pracować 24/7, więc to są etaty, do tego bardzo dobrze płatne.
To oczywiste, bo jest to wciąż dość mało popularna specjalizacja. Ciąży na niej duża odpowiedzialność.

Mniejszych biznesów nie stać na to, by zbudować i utrzymać taki dział. Mamy więc de facto dwie różne ścieżki. Pierwsza, korporacyjna, gdzie budujemy nasz własny dział bezpieczeństwa, definiujemy politykę, krytyczne zasoby, przeprowadzamy audyt bezpieczeństwa, wymyślamy, zgodnie z powszechnie znanymi metodologiami, cały system. Druga ścieżka to mniejsze firmy, w przypadku których taka inwestycja przekracza ich możliwości finansowe, a które są przecież wystawione na te same zagrożenia.

Dlatego uważam, że z czasem umacniać się będzie model usługowy, w którym firma zapewnia bezpieczeństwo innym podmiotom jako formę świadczonej usługi, czy raczej zakresu usług. Jednocześnie sama musi zadbać o własne zasoby tj. to o czym mówiliśmy wcześniej. W ten sposób może współdzielić koszty z innymi i sprawiać, że pozostaje to ekonomicznie uzasadnione.
Duże firmy muszą utrzymywać swoje działy bezpieczeństwa, bo w tym zakresie zmienia się wiele: metody ataków, technologie… Trzeba na nie reagować i być elastycznym.

 

Wasza firma współpracuje oczywiście z dwiema tymi grupami firm. Jakie rozwiązania Veracomp – Exclusive Networks proponuje obecnie jednym i drugim klientom? Mam tu też na myśli nie tylko rozwiązania sprzętowe i software’owe, ale też wiedzę. Bo nie jest tajemnicą, że wasza firma od dawna dystrybuuje także wiedzę o sieciach i bezpieczeństwie.

Dzielimy się wiedzą z zakresu cybersecurity zarówno z naszymi Partnerami, jak i z użytkownikami końcowymi, dla których przygotowaliśmy szerokie portfolio rozwiązań w dziedzinie bezpieczeństwa. Z myślą o tej misji 2 lata temu stworzyliśmy projekt All of Security, tak by skutecznie edukować rynek i by każda osoba szukająca rzetelnej informacji na temat cyberzagrożeń i sposobów ochrony przed nimi, mogła szybko zorientować się jakie rozwiązania są dostępne, czym się one różnią, jaki stopień zabezpieczeń oferują i na tej podstawie podjąć finalną decyzję. Nasi inżynierowie przygotowują webinary, podczas których pokazują działanie rozwiązań w praktyce. Natomiast dla naszych Partnerów staramy się pełnić rolę zaufanego doradcy, bo na żadnym etapie z nim nie konkurujemy. Chcemy pokazać produkt, jego możliwości i nauczyć partnera jego wdrażania.

 

Zakładam, że jest zróżnicowanie między tym, jakie rozwiązania wybierają firmy klasy enterprise, a tymi, po które sięgają przedsiębiorstwa SMB? Jakie zagrożenia są z Pańskiego punktu widzenia najczęściej spotykane?

Klienci typu SMB chętniej sięgają po rozwiązania All-in-One. Oczekują czegoś prostego, dzięki czemu będą mogli “odhaczyć” zidentyfikowane przez nich punkty w obszarze bezpieczeństwa.

Obecnie ataki przeprowadzane są niejednokrotnie wyłącznie na poziomie socjotechnicznym, bez udziału wyrafinowanych narzędzi. Phishing czy whaling, są proste, ale bardzo skuteczne. Wystarczy np. spojrzeć w KRS i sprawdzić, kto jest prezesem spółki, kto księgowym i wysyłamy tylko maila “jako prezes” z poleceniem przelania określonej kwoty. Te metody nie wymagają żadnych specjalnych narzędzi, a potrafią przysporzyć przedsiębiorstwom sporo problemów, jeśli nie zachowują one dostatecznej czujności. Bezpieczeństwo określiłbym jako proces, a nie stan. Natomiast mając rozwiązanie zintegrowane, przenosimy niejako część odpowiedzialności na producenta, wierząc, że będzie on dokonywał regularnych aktualizacji.

 

A jak zmienił się przez ostatnie lata poziom wiedzy polskiego integratora?

Firmy, które kilka lub kilkanaście lat temu zdecydowały się iść właśnie w stronę obszaru cyberbezpieczeństwa, bardzo się rozwijają. Jest kilka takich przedsiębiorstw, które jeszcze dziesięć lat temu były jedynie pomysłem, a dziś współpracują z nimi sektory energetyczny, finansowy czy publiczny.

Z kolei integratorzy, którzy budowali infrastrukturę sieciową w Polsce, niejednokrotnie uczestniczą w dużych projektach rządowych czy unijnych. Co więcej, są również integratorzy realizujący takie projekty poza Polską. Widać, że inwestycja w wiedzę procentuje, a know-how zdobyty podczas realizacji projektów z polskimi instytucjami, pozwala na skuteczne wdrożenia poza naszym krajem.

Na rynku mamy również obecnych mniejszych resellerów, którzy budują swoje oferty tak, że zawierają w nich część rozwiązań z obszaru bezpieczeństwa. Dla nich również mamy propozycję: działajcie z nami, budujcie swoje kompetencje z naszymi inżynierami, pomożemy wam budować kompetencje tak, abyście sprzedawali własne usługi. Z drugiej strony jeśli firma nie chce lub nie może takich kompetencji zbudować, jesteśmy w stanie zaoferować Partnerowi rozwiązania, które może on sprzedawać dalej. Mówię tu głównie o usługach profesjonalnych, takich jak audyty, wdrożenia, instalacje systemów czy wsparcia przedsprzedażowego PoC. Angażujemy się więc na etapie przedsprzedażowym, robimy wdrożenie testowe w imieniu Partnera, a później Partner może z tego skorzystać.

 

Takie podejście jest najwyraźniej skuteczne, bo jeśli chodzi o rozwiązania security pozostajecie, jeśli się nie mylę, liderem w Polsce?

Na tę pozycję zapracowaliśmy przez lata, bo obszarem security zajmujemy się od dawna. Dokonaliśmy dawno temu inwestycji w wiedzę. Gdy rozpoczynałem moją pierwszą współpracę z Veracompem w 2014 roku mieliśmy już w ofercie rozwiązania bezpieczeństwa. To, co wówczas udało mi się zorganizować i do czego dążyłem to patrzenie na bezpieczeństwo nie jako na szereg odrębnych produktów, a raczej całościowo.
Długofalowo to się opłaca, ponieważ jak wspominałem bezpieczeństwo to proces. Wszystkie rozwiązania stosowane kiedyś są nadal obecne, doszły również nowe. To analogiczna sytuacja, jak w przypadku producentów kłódek, którzy nadal funkcjonują, mimo pojawienia się na rynku zamków inteligentnych. Podstawowe rozwiązanie, czyli ta nasza kłódka, nie jest już wystarczająca, dlatego jest ono modyfikowane i wzbogacane o nowe komponenty. Świadomość tego tematu też rośnie, a wyścig cyberprzestępców w łamaniu zabezpieczeń nigdy się nie kończy.