Czy cyberbezpieczeństwo to dziedzina, w której kobiety mogą odnieść sukces i powinny budować swoją karierę? Jak sprawić, żeby chciały zajmować się cyberbezpieczeństwem, które, jak pokazują statystyki, jest obecnie głównie domeną mężczyzn? W którym obszarze bezpieczeństwa kobiety mogą się najlepiej odnaleźć i dlaczego? Co może sprawić liczniejsza reprezentacja kobiet w branży cyberbezpieczeństwa? Jak zmienić obecny stan rzeczy? Tym zagadnieniom poświęcona była dyskusja panelowa „Czy cyberbezpieczeństwo to dziedzina, w której swoją karierę mogą i powinny budować kobiety?” podczas konferencji „Advanced Threat Summit 2019”.
W panelu dyskusyjnym udział wzięły:
– Izabela Błachnio-Wojnowska, Director, Governance and Cybersecurity Program Bureau, BNP Paribas Bank Polska;
– Joanna Karczewska, ekspert i audytor, Stowarzyszenie ISACA Warszawa;
– Klaudia Kruk, starszy specjalista ds. bezpieczeństwa IT, PwC;
– Barbara Nerć-Szymańska, MBA, CISA, CISM, menedżer w Departamencie Bezpieczeństwa, mBank;
– Magdalena Skorupa, Cyber Risk, Data Privacy & Compliance Director, Reckitt Benckiser;
– Magdalena Wrzosek, kierownik Zespołu Analiz Strategicznych i Wpływu Nowoczesnych Technologii, NASK PIB.
Dyskusję moderował Przemysław Gamdzyk, CEO, Evention, CSO Council.
„Cyberbezpieczeństwo będzie się rozwijać, otwierając wciąż nowe perspektywy.”
Izabela Błachnio-Wojnowska, Director, Governance and Cybersecurity Program Bureau, BNP Paribas Bank Polska
„Musimy wyjść na zewnątrz własnego środowiska i pokazać, czym jest naprawdę cyberbezpieczeństwo.”
Joanna Karczewska, ekspert i audytor, Stowarzyszenie ISACA Warszawa
„Wiele kobiet się zniechęca do pracy w cyberbezpieczeństwie, bo brakuje im wzorców, jak się w tym środowisku odnaleźć.”
Klaudia Kruk, starszy specjalista ds. bezpieczeństwa IT, PwC
„Urzekła mnie duża zmienność tej dziedziny. Na cyber security wpływa wiele czynników, w tym w dużym stopniu sam człowiek.”
Barbara Nerć-Szymańska, MBA, CISA, CISM, menedżer w Departamencie Bezpieczeństwa, mBank
„Kobiety mają sporo empatii, która się dobrze sprawdza w zarządzaniu zespołem.”
Magdalena Skorupa, Cyber Risk, Data Privacy & Compliance Director, Reckitt Benckiser
„Cyberbezpieczeństwo to nie tylko technologia. To dziedzina interdyscyplinarna.”
Magdalena Wrzosek, kierownik Zespołu Analiz Strategicznych i Wpływu Nowoczesnych Technologii, NASK PIB
W panelu dyskusyjnym udział wzięły:
– Izabela Błachnio-Wojnowska, Director, Governance and Cybersecurity Program Bureau, BNP Paribas Bank Polska;
– Joanna Karczewska, ekspert i audytor, Stowarzyszenie ISACA Warszawa;
– Klaudia Kruk, starszy specjalista ds. bezpieczeństwa IT, PwC;
– Barbara Nerć-Szymańska, MBA, CISA, CISM, menedżer w Departamencie Bezpieczeństwa, mBank;
– Magdalena Skorupa, Cyber Risk, Data Privacy & Compliance Director, Reckitt Benckiser;
– Magdalena Wrzosek, kierownik Zespołu Analiz Strategicznych i Wpływu Nowoczesnych Technologii, NASK PIB.
Dyskusję moderował Przemysław Gamdzyk, CEO, Evention, CSO Council.
Co jest urzekającego w cyberbezpieczeństwie? Co skłoniło Panie do zajęcia się tą dziedziną?
Magdalena Skorupa: Nie jestem z wykształcenia informatykiem, studiowałam finanse. Nie trzeba być jednak informatykiem, żeby rozpocząć karierę w IT. W cyberbezpieczeństwie urzekł mnie bałagan. Mam tendencję do pchania się tam, gdzie jest bałagan, który można uporządkować. Finanse mi się znudziły, bo tam jest wszystko poukładane. A w cyber security wszystko trzeba układać codziennie na nowo.
Magdalena Wrzosek: Z wykształcenia jestem politologiem i kulturoznawcą. Do cyber security trafiłam przez przypadek. W Ministerstwie Cyfryzacji zajęłam się negocjowaniem dyrektywy NIS. Po stronie decydentów powszechne było wówczas przekonanie, że cyberbezpieczeństwo dotyczy tylko środowisk technicznych, a nie całego kraju. Po latach uświadamiania sytuacja się zmieniła.
Klaudia Kruk: Mnie urzekła przede wszystkim bardzo mocna interdyscyplinarność cyberbezpieczeństwa. Jest to dziedzina zarówno wyraźnie techniczna, jak i społeczna. Nie znudziła mi się jeszcze i pewnie długo jeszcze się nie znudzi.
Barbara Nerć-Szymańska: Zaczynałam od audytu informatycznego. Stamtąd trafiłam do cyberbezpieczeństwa, zajmowałam się analizą ryzyka, w tym analizą bezpieczeństwa. Urzekła mnie duża zmienność tej dziedziny. Na cyber security wpływa wiele czynników, w tym w dużym stopniu sam człowiek. Trzeba rozumieć zagadnienie i od strony ludzkiej, i od strony technicznej.
Izabela Błachnio-Wojnowska: Zaczynałam od jakości procesów, cyberbezpieczeństwo jednak wygrało. Patrząc na rozwój technologii, doszłam do wniosku, że zajmowanie się cyberbezpieczeństwem będzie miało bardziej obiecującą przyszłość niż zajmowanie się jakością procesów. Jest to tak perspektywiczna dziedzina, że zapotrzebowanie na specjalistów do pracy będzie stale wysokie. Do tego można dopasować swoje zainteresowania do różnych branż. To daje dużą elastyczność działania, nie pozwala na zaszufladkowanie do jednej branży. Cyberbezpieczeństwo będzie się rozwijać, otwierając wciąż nowe perspektywy.
Joanna Karczewska: Moim idolem w młodości, gdy byłam nastolatką, był dr Spock ze Star Treka. Tak mi zostało do dzisiaj.
„Cyberbezpieczeństwo będzie się rozwijać, otwierając wciąż nowe perspektywy.”
Izabela Błachnio-Wojnowska, Director, Governance and Cybersecurity Program Bureau, BNP Paribas Bank Polska
„Musimy wyjść na zewnątrz własnego środowiska i pokazać, czym jest naprawdę cyberbezpieczeństwo.”
Joanna Karczewska, ekspert i audytor, Stowarzyszenie ISACA WarszawaCo zrobić, żeby zmienić istniejący stan rzeczy? Jak zachęcić kobiety do pracy w cyberbezpieczeństwie?
„Wiele kobiet się zniechęca do pracy w cyberbezpieczeństwie, bo brakuje im wzorców, jak się w tym środowisku odnaleźć.”
Klaudia Kruk, starszy specjalista ds. bezpieczeństwa IT, PwC
„Urzekła mnie duża zmienność tej dziedziny. Na cyber security wpływa wiele czynników, w tym w dużym stopniu sam człowiek.”
Barbara Nerć-Szymańska, MBA, CISA, CISM, menedżer w Departamencie Bezpieczeństwa, mBank
Magdalena Skorupa: Kobiety mają sporo empatii, która się dobrze sprawdza w zarządzaniu zespołem. W ogóle mają dobrze rozwinięte umiejętności miękkie. To wyróżnia kobiety, chociaż osobiście nie bardzo lubię te rozróżnienia.
Magdalena Wrzosek: Nie chodzi o to, by zatrudniać kobiety tylko dlatego, że są kobietami. Trzeba zatrudniać osoby z najlepszymi umiejętnościami. Tak jest na całym świecie, że dziewczynki akurat nie lubią technologii. Edukacja powoduje, że nie są zainteresowane studiami technicznymi. W ten sposób połowa potencjału ludzkiego w tym obszarze nie jest wykorzystana. Cyberbezpieczeństwo to jednak nie tylko technologia. Brakuje też na przykład prawników, którzy mieliby rozeznanie w tej dziedzinie. To jest dziedzina interdyscyplinarna. Magdalena Wrzosek, kierownik Zespołu Analiz Strategicznych i Wpływu Nowoczesnych Technologii, NASK PIB Powinniśmy się zastanowić, co zrobić, żeby mieć jak najlepszych specjalistów od bezpieczeństwa nie tylko w zakresie technologii, ale też prawa, audytu, analityki, zarządzania itp.
Klaudia Kruk: Cech, które ułatwiają mi pracę, nie chciałabym przypisywać do płci. Wiązałabym je raczej z moim doświadczeniem czy moim temperamentem. To bardziej indywidualne cechy.
Barbara Nerć-Szymańska: Ważne jest, aby w cyberbezpieczeństwie pracowały zróżnicowane zespoły, składające się z osób o różnych doświadczeniach wyniesionych z różnych miejsc. Dlatego ważne jest też, aby były kobiety, które pracowały wcześniej w różnych branżach i na różnych stanowiskach.
Izabela Błachnio-Wojnowska: Kobieta będzie zawsze kobietą, bez względu na to, jaki zawód będzie wykonywała, niezależnie od tego, czy będzie prawnikiem, czy inżynierem. Powinniśmy walczyć ze stereotypami, że dziewczyny nie powinny studiować na politechnice. Trzeba je zachęcać do wyboru również zawodów technicznych.
Co zrobić, żeby zmienić istniejący stan rzeczy? Jak zachęcić kobiety do pracy w cyberbezpieczeństwie?
Magdalena Skorupa: Z badań Forbesa wynika, że tylko 9% kobiet, które zajmują stanowiska w obszarze technologicznym, ma doświadczenie techniczne. Większość legitymuje się wykształceniem ekonomicznym jako bardziej interdyscyplinarnym.
Izabela Błachnio-Wojnowska: Musimy pokazywać, że cyber security to dziedzina, która oferuje cały wachlarz możliwości rozwoju – w ogóle, a nie tylko dla kobiet. Często się kojarzy ludziom tylko z pracą przy komputerach. Tymczasem można w cyberbezpieczeństwie znaleźć dla siebie również inne, ciekawe miejsca. Wydaje się, że powinniśmy w większym stopniu pokazywać te możliwości rozwoju studentkom na różnych uczelniach, nie tylko technicznych, ale i humanistycznych.
Magdalena Wrzosek: Absurdem jest hołdowanie wprowadzonym w Unii Europejskiej parytetom. To w gruncie rzeczy szkodzi kobietom. Sugeruje bowiem, że kobieta mogła zostać zatrudniona tylko dlatego, by wypełnić wymagania wynikające z parytetów. Państwo nie rozwiąże problemu zatrudnienia kobiet żadną ustawą parytetową. Potrzebna jest przede wszystkim praca u podstaw. Trzeba pokazywać, że cyberbezpieczeństwo to nie jest tylko walka z hakerami i siedzenie całymi godzinami przy komputerze, że są inne obszary, w których kobiety mogą się odnaleźć i realizować. Potrzebne są też przykłady aktywności kobiet w tej dziedzinie. Jeśli na przykład kobiety widzą, że w panelach na temat cyber security biorą udział sami mężczyźni, to mogą mieć wątpliwości, czy rzeczywiście mają czego szukać w tym męskim gronie.
Klaudia Kruk: Wiele kobiet się zniechęca do pracy w cyberbezpieczeństwie, bo brakuje im wzorców, jak się w tym środowisku odnaleźć. Warto pokazywać, że można się odnaleźć i dawać sobie radę.
Joanna Karczewska: Musimy wyjść na zewnątrz własnego środowiska i pokazać, czym jest naprawdę cyberbezpieczeństwo. Trzeba uświadamiać ludziom, że skoro wszyscy korzystają z IT, to wszystkich dotyczą również kwestie cyberbezpieczeństwa. Jest wiele pomysłów i inicjatyw, którymi można się inspirować. Na przykład w Anglii chcą edukować już dzieci od przedszkola, w tym ma być specjalny program dla dziewczynek. Czy to dobrze, czy to da efekty? Zobaczymy. Musimy jednak wychodzić na zewnątrz, do ludzi, nie możemy zamykać się we własnym gronie. I nie możemy przy tym skupiać się tylko na dużych miastach, tak jak jest teraz. A co z mniejszymi ośrodkami? Tam jest też duży potencjał ludzki do wykorzystania.
„Kobiety mają sporo empatii, która się dobrze sprawdza w zarządzaniu zespołem.”
Magdalena Skorupa, Cyber Risk, Data Privacy & Compliance Director, Reckitt Benckiser
„Cyberbezpieczeństwo to nie tylko technologia. To dziedzina interdyscyplinarna.”
Magdalena Wrzosek, kierownik Zespołu Analiz Strategicznych i Wpływu Nowoczesnych Technologii, NASK PIBPrzedsiębiorstwa coraz śmielej lokują swoje zasoby w środowiskach cloud, w tym w chmurach publicznych. Trafiają tam również rozwiązania z zakresu bezpieczeństwa oferowane przez uznanych dostawców. Nasuwa się więc uzasadnione pytanie: jak popularyzacja chmury wpływa na zagadnienia związane z bezpieczeństwem? Dyskutowano o tym podczas konferencji „Advanced Threat Summit 2019”.
Kwestia bezpieczeństwa danych w chmurze publicznej stała się ostatnio jednym z najważniejszych zagadnień współczesnego IT. Analitycy Gartnera sugerują, że chmura obliczeniowa, obok automatyzacji, to obszar, wokół którego będą koncentrować się wydatki IT w najbliższych latach. Z raportu Cisco „2020 Global Networking Trends”, w którym firma powołuje się na dane Uptime Institute, wynika, że do 2021 r. 50% wszystkich obciążeń znajdzie się poza firmowym centrum danych. Jednocześnie 53% cyberataków będzie powodować straty przekraczające 500 tys. USD.
Pascal Geenens, EMEA Security Evangelist , Radware
W lipcu br. ujawniono, że w wyniku działania hakera wyciekły dane milionów osób. Sprawa, w której częścią winy obarczono inżyniera systemowego zatrudnionego przez AWS, wciąż nie została do końca wyjaśniona. Firmy oraz amerykański Departament Sprawiedliwości, a ostatnio nawet amerykański Kongres, spierają się, czy winę ponosi bank, który źle skonfigurował firewall, czy też w systemie zabezpieczeń AWS istniała luka oraz czy firma zrobiła wszystko, żeby ochronić swojego klienta.
Niezależnie od ostatecznego wyniku sporów historia Capital One i AWS pokazuje, że niezwykle istotne jest, żeby wszyscy zdawali sobie sprawę, że w chmurze publicznej obowiązuje model współdzielonej odpowiedzialności. Zgodnie z nim dostawca odpowiada tylko za niektóre warstwy rozwiązania – ochrona aplikacji i danych spoczywa na ich właścicielu.
Chris Hill, RVP Public Cloud & Strategic Partnerships International, Barracuda Networks
Dowodzą tego rozmaite raporty pokazujące, że przedsiębiorstwa mają spore zaległości w kwestii zabezpieczania chmury, i to niezależnie, czy mówimy o chmurze publicznej, prywatnej czy hybrydowej. Przykładowo z raportu „2019 Cloud Adoption” opracowanego przez Bitglass wynika, że zaledwie 34% firm wdrożyło mechanizmy pojedynczego logowania SSO (Single Sign-On). Powód? Organizacje mają zbyt wiele wykorzystywanych od lat aplikacji, które nie obsługują nowoczesnych protokołów tożsamości.
Podejście jednak się zmienia. Choć dotychczas uwaga ekspertów koncentrowała się głównie na kontroli dostępu do danych, to teraz, w miarę jak do chmury trafia coraz więcej krytycznych obciążeń biznesowych, spojrzenie na bezpieczeństwo się zmienia. Kluczowego znaczenia nabierają dzisiaj: szyfrowanie komunikacji, zaawansowana analityka, a także pozyskiwanie najnowszych informacji o ryzyku i zagrożeniach, czyli threat intelligence oraz możliwości błyskawicznego reagowania na incydenty.
Według Pascala Geenensa ochrona aplikacji biznesowych w chmurze staje się coraz trudniejszym, bardziej skomplikowanym wyzwaniem. W kontekście rosnącej liczby i złożoności rozproszonych usług oraz aplikacji bazujących na zewnętrznych i wewnętrznych API, a także coraz większej liczbie zautomatyzowanych, wyrafinowanych ataków potrzeba nowych rozwiązań ochrony aplikacji i interfejsów API, które bazują na analizie behawioralnej, algorytmach uczenia maszynowego wzbogaconych threat intelligence czasu rzeczywistego.
Michał Ostrowski, Regional Director Eastern Europe, FireEye
Jakub Teska, Dyrektor Działu Cyberbezpieczeństwa, Bank PKO BP
Maciej Lelusz, Prezes, Inleo
Piotr Kałuża, Presales Engineer, Flowmon Networks
Małgorzata Kurowska, Senior Associate, Maruta Wachta
Kwestia bezpieczeństwa danych w chmurze publicznej stała się ostatnio jednym z najważniejszych zagadnień współczesnego IT. Analitycy Gartnera sugerują, że chmura obliczeniowa, obok automatyzacji, to obszar, wokół którego będą koncentrować się wydatki IT w najbliższych latach. Z raportu Cisco „2020 Global Networking Trends”, w którym firma powołuje się na dane Uptime Institute, wynika, że do 2021 r. 50% wszystkich obciążeń znajdzie się poza firmowym centrum danych. Jednocześnie 53% cyberataków będzie powodować straty przekraczające 500 tys. USD.
Pascal Geenens, EMEA Security Evangelist , Radware
Z pewnością do wzrostu zainteresowania bezpieczeństwem chmury przyczynia się postępująca migracja aplikacji i danych do środowisk publicznych. Jednak tym, co najbardziej napędza dyskusje, są spektakularne wycieki lub włamania do systemów zlokalizowanych w chmurze. Dobrym przykładem jest historia Capital One, jednego z największych amerykańskich banków, który stał się ofiarą ataku na serwer hostowany przez AWS. Wspomniał o tym w swoim wystąpieniu Pascal Geenens, EMEA Security Evangelist w Radware, który opowiadał o zabezpieczaniu aplikacji biznesowych w chmurze.
Tym, co najbardziej napędza dyskusje, są spektakularne wycieki lub włamania do systemów zlokalizowanych w chmurze. Przykładem jest historia Capital One, jednego z największych amerykańskich banków, który stał się ofiarą ataku na serwer hostowany przez AWS.
Nowe podejście Dostawcy chmury zdają sobie doskonale sprawę, że ich przychody zależą od tego, czy zyskają i utrzymają zaufanie klientów. Dlatego zabezpieczenie własnej infrastruktury i oferowanych usług jest dla nich kluczowe. I nie są to jedynie słowa, za którymi nie idą czyny: dostawcy dokonują znaczących inwestycji w tym obszarze. Dużo większe problemy pojawiają się po stronie, za którą odpowiedzialni powinni być użytkownicy.
Chris Hill, RVP Public Cloud & Strategic Partnerships International, Barracuda Networks
Chris Hill, RVP Public Cloud & Strategic Partnerships International w Barracuda Networks, który mówił podczas swojego wystąpienia o bezpieczeństwie w kontekście globalnej akceptacji dla chmury, zwracał uwagę, że według Gartnera powodem 80% wycieków danych i włamań do chmury w 2020 r. będą: niewłaściwa konfiguracja, błędnie przypisane uprawnienia oraz zagrożenia wewnętrzne, a nie podatności w systemach dostawców.
„Trzy największe zagrożenia publicznej chmury nie wynikają z braku funkcjonalności po stronie dostawców. To my, ludzie, za nie odpowiadamy: od błędnych konfiguracji, przez przypadkowy dostęp, po nieznajomość narzędzi umożliwiających kontrolę dostępu” – tłumaczył Chris Hill.
Według Gartnera powodem 80% wycieków danych i włamań do chmury w 2020 roku będą: niewłaściwa konfiguracja, błędnie przypisane uprawnienia oraz zagrożenia wewnętrzne, a nie podatności w systemach dostawców.
Chmura tak, ale nie zawsze Korzyści płynące z wykorzystania rozwiązań chmurowych sprawiają, że stały się one dzisiaj praktycznie nieodzownym elementem inicjatyw technologicznych i biznesowych. Czy to oznacza, że już wkrótce firmy będą się tłumaczyć, dlaczego nie korzystają z usług cloud? Tak został sformułowany temat dyskusja panelowej, w której dwa zespoły ekspertów spierały się o to, czy w perspektywie kilku najbliższych lat trzeba będzie mieć dobry powód, żeby dane przechowywać we własnych środowiskach IT, zamiast robić to w chmurze.
Odpowiedź oczywiście nie jest prosta. Jest uwarunkowana kwestiami ekonomicznymi, wynikami analizy ryzyka, oceną szans i zagrożeń, a także regulacjami prawnymi i możliwościami zapewnienia zgodności z nimi. Michał Ostrowski, Regional Director Eastern Europe w FireEye, zwracał uwagę, że bardzo często porównując koszty chmury i rozwiązań on-premise, koncentrujemy się wyłącznie na sprzęcie. Tymczasem trzeba spojrzeć na całkowity koszt posiadania i wziąć pod uwagę również koszty oprogramowania, dodatkowych usług, energii elektrycznej czy szkolenia i utrzymania specjalistów.
Należy uwzględnić cały cykl życia produktów. Rozwiązania bezpieczeństwa, podobnie jak pralki czy lodówki, spełniają wszystkie wymagania przez coraz krótszy czas. Po trzech latach warto rozglądać się po rynku za nowymi, a po pięciu latach trzeba je zmienić. Do tego dochodzi koszt wdrożenia oraz utrzymania kolejnych rozwiązań. Zwłaszcza w przypadku rozproszonej infrastruktury. Cyberbezpieczeństwo to nie tylko sprzęt i oprogramowanie, ale i warstwa awarness, która także generuje koszty. Chmura od tego uwalnia – argumentował na rzecz chmury Michał Ostrowski.
Michał Ostrowski, Regional Director Eastern Europe, FireEye
Jakub Teska, Dyrektor Działu Cyberbezpieczeństwa, Bank PKO BP
Niemniej nie wszystko jest takie proste. Podejście lift and shift w stosunku do istniejących systemów w dużych organizacjach jest praktycznie niemożliwe – zwracał uwagę Jakub Teska, dyrektor Działu Cyberbezpieczeństwa w Banku PKO BP. Co więcej, często jest tak, że ze względu na niewłaściwą implementację rachunki za usługi chmurowe są znacznie wyższe, niż początkowo zakładano. Błędy deweloperów, którzy przez niedopatrzenie zaalokują zasoby, mogą być bardzo kosztowne. Dlatego wydaje się, że jeśli chodzi o koszty i samą inicjatywę migracji do chmury, tak długo nie trzeba będzie się z tego tłumaczyć, jak długo nie będzie do tego zobowiązywać prawo oraz jak długo kalkulacje jednoznacznie nie udowodnią, że chmura zapewnia oszczędności – argumentowali przeciwnicy dyskutowanej tezy.
Ostatecznie chyba wszyscy zgodzili się, że co prawda nikt nie będzie musiał się tłumaczyć z przechowywania i przetwarzania danych lokalnie, to migracja do chmury – nie tylko publicznej – będzie trwała. Nie wszystko się da przenieść, nie wszystko też trzeba przenosić do chmury. Dominujące będzie podejście hybrydowe. Przy tym sukces każdej inicjatywy zależy od dobrego przygotowania i zaplanowania.
Decyzja o migracji do chmury zależy od wielu czynników. Jest uwarunkowana kwestiami ekonomicznymi, wynikami analizy ryzyka, oceną szans i zagrożeń, a także regulacjami prawnymi oraz możliwościami zapewnienia zgodności z nimi.
Narzędzia i plany awaryjne
Maciej Lelusz, Prezes, Inleo
W tym kontekście istotne jest przygotowanie sobie drogi powrotu, o czym mówił podczas swojego wystąpienia Maciej Lelusz, prezes firmy Inleo. Przekonywał on, że zwykle na początku myślimy, że wiemy wszystko, później myślimy, że jesteśmy ekspertami, a jeszcze później znowu wiemy, że nic nie wiemy. Choć na początku projektu przenoszenia się do chmury będzie nam się wydawało, że jest on bardzo prosty, to może się okazać, że im dalej będziemy posuwać się w jego realizacji, tym więcej będzie pojawiać się problemów. Migracja do chmury to zawsze podróż. Wyruszając w nią, trzeba opracować plan B do wykorzystania w sytuacji, kiedy trzeba będzie wrócić do środowiska on-premise.
Maciej Lelusz podkreślał także, że sukces migracji zależy od współpracy z interesariuszami w organizacji i otwartości na nowe narzędzia. „Musimy tak budować politykę współpracy, żeby wejść do środka zespołów biznesowych. Przy tym ważne jest, żeby rozmawiać szczerze. Wreszcie trzeba szukać nowych narzędzi. Nie zrobimy migracji za pomocą starych technologii” – przekonywał Maciej Lelusz.
Na konieczność zastosowania nowych narzędzi zwracał także uwagę Piotr Kałuża, Presales Engineer w firmie Flowmon Networks. Ze względu na ograniczony dostęp do infrastruktury chmury jej monitorowanie jest dużo bardziej skomplikowane niż monitorowanie lokalnych zasobów sieciowych. „Celem monitorowania chmury jest poznanie prawdziwej natury ruchu. Różni się ona od tego, co jest w środowiskach on-premise. Zyskujemy szczegółowe statystyki o tym, kto, co i jak długo przechowywał w chmurze z możliwością wejścia w poszczególne przepływy” – mówił Piotr Kałuża, opowiadając o monitorowaniu środowiska chmury publicznej.
Piotr Kałuża, Presales Engineer, Flowmon Networks
Małgorzata Kurowska, Senior Associate, Maruta Wachta
Niezależnie od technologii warto spojrzeć na kwestie ochrony danych w chmurze również od strony prawnej. O typowych przypadkach i kluczowych trudnościach w redagowaniu i negocjowaniu postanowień umownych dotyczących bezpieczeństwa danych osobowych i nieosobowych w kontekście usług chmurowych opowiadała Małgorzata Kurowska, Senior Associate w kancelarii Maruta Wachta.
Kluczowe problemy kontraktowe dotyczą bowiem nie tylko lokalizacji danych. Skupiają się również wokół zarządzania podwykonawcami, przetwarzania danych osobowych, zakresu i zasad odpowiedzialności, a także prawa właściwego i jurysdykcji. Mówiąc o bezpieczeństwie danych, nie można więc pominąć zagadnienia: jakie umowy pisać, a jakie podpisywać.
Migracja do chmury to zawsze podróż. Wyruszając w nią, trzeba opracować plan B do wykorzystania w sytuacji, kiedy trzeba będzie wrócić do środowiska on-premise.
Cyfrowa transformacja i postępująca migracja do chmury obliczeniowej radykalnie zmieniają sposoby budowania oraz wykorzystywania zasobów IT przez użytkowników indywidualnych i organizacje. Nowe technologie mobilne, ogromne zbiory danych, robotyzacja, uczenie maszynowe i sztuczna inteligencja sprawiają, że potrzebne są poważne zmiany w podejściu do cyberbezpieczeństwa. Choć tematem przewodnim tegorocznej konferencji „Advanced Threat Summit” była „chmura dla cyberbezpieczeństwa i bezpieczeństwo chmury”, to poruszonych i gruntownie przedyskutowanych zostało również wiele innych zagadnień, istotnych z punktu widzenia CSO, CISO czy dyrektora IT.
Wszyscy wiedzą, że nie istnieją technologiczne srebrne kule, które pozwalają skutecznie mierzyć się ze wszystkimi ryzykami i wyzwaniami cyberbezpieczeństwa. Wiadomo, że dzisiaj bez wielu rozwiązań nie da się funkcjonować, ale nie oznacza to jednocześnie, że zapewniają nam one wystarczającą ochronę. Poziom zaawansowania działań przestępców i złożoność wykorzystywanych przez nich schematów oraz rozwiązań technicznych w ciągu ostatnich kilku lat znacząco wzrosły. Dlatego jedyne, co mogą zapewnić najlepsze nawet punktowe rozwiązania, to złudne poczucie bezpieczeństwa.
W takiej złożonej technologicznie i biznesowo rzeczywistości wyzwaniem pozostają wszystkie aspekty związane z zarządzaniem cyberbezpieczeństwem, jego mierzeniem, kosztami czy edukowaniem i podnoszeniem świadomości. Coraz większym wyzwaniem jest rekrutacja ekspertów ds. bezpieczeństwa. Stąd rosnąca popularność „bezpieczeństwa jako usługi”, co pozwala na uzupełnianie kompetencji w wewnętrznych zespołach. Jednak korzystanie z usług dostawców zewnętrznych niesie ze sobą odrębny zestaw kłopotów i ryzyk.
Na potwierdzenie tego można przytoczyć opinię Gartnera: mechanizmy kontroli dostępu muszą ewoluować do chmury, ponieważ tam przebywa większość użytkowników i tam przenoszone są aplikacje. To jeden z kluczowych trendów wpływających na cyberbezpieczeństwo. Jak widać, od chmury nie ma ucieczki, nawet w cyberbezpieczeństwie.
„Nie poradzimy sobie bez części papierowej i nie skończymy na części technicznej, bo bezpieczeństwo to jest cały zestaw narzędzi, które powinny tworzyć cebulkę obejmującą nasze zasoby” – mówił Tomasz Wodziński, prezes zarządu ISSA Polska, otwierając wspólnie z Przemysławem Gamdzykiem, CEO Evention, konferencję „Advanced Threat Summit 2019”.
Nowoczesne, holistyczne podejście do walki z cyberprzestępczością i cyfrowym szpiegostwem opiera się przede wszystkim na zapewnieniu całego aktualnego obrazu całego środowiska. Musi on bazować na pełnej widoczności wszystkich podatności i wektorów ataku, na analizie całego ruchu w sieci i pełnej aktywności na urządzeniach, które obejmuje, również końcowych. Warunkiem jest oczywiście posiadanie kompletnej wiedzy o wszystkich zasobach sieciowych, w tym inteligentnych urządzeniach wchodzących w skład internetu rzeczy oraz urządzeniach mobilnych. Konieczne jest przy tym zastosowanie mechanizmów automatyzacji pozwalających skutecznie przedzierać się przez ogromne ilości danych w poszukiwaniu anomalii. Potrzebna jest także praca nad przyspieszaniem i optymalizacją procesów związanych z analizowaniem ryzyka i reagowaniem na incydenty.
Kompletna informacja daje przewagę
Holistyczne podejście musi mieć charakter globalny. „Powstające chmury lokalne, takie jak w Niemczech czy Polsce, to zasadniczo dobry pomysł, jednak nie dają żadnej przewagi w kwestii bezpieczeństwa. Dają wprawdzie ochronę przed zagranicznymi zagrożeniami, ale uznanie, że lokalni przestępcy nie są dostatecznie sprytni, jest błędne. Dlatego trzeba zapewnić ochronę przed wszystkimi zagrożeniami – lokalnymi i globalnymi. Co więcej, lokalna chmura może stanowić wąskie gardło bezpieczeństwa, ponieważ łatwo jest przeoczyć istotne zagrożenia pochodzące z zagranicy. Dlatego lepszym rozwiązaniem jest podejście Zero Trust, w myśl którego nie należy ufać nikomu. Korzysta z niego coraz więcej organizacji” – mówił Stefan Mardak, Senior Cloud Security Architect w Akamai. Jego zdaniem, biznes potrzebuje dzisiaj możliwie szerokiego modelu bezpieczeństwa, w tym usług Global Threat Intelligence.
O znaczeniu jakościowych informacji „wywiadowczych” na temat zagrożeń dla ochrony biznesu opowiadał także Paweł Łakomski, Technology Solution Professional w Microsoft. Sama wiedza o zjawisku nie wystarcza. Żeby podejmować skuteczne działania potrzebna jest właściwa interpretacja. Jej znaczenie jest tym większe, im szybciej możemy ją otrzymać, idealnie – w czasie rzeczywistym.
Dlatego w obliczu zachodzących zmian tradycyjne znaczenie Threat Intelligence musiało zostać zaktualizowane. Konieczne okazało się połączenie ekspertyz ludzi od bezpieczeństwa z wiedzą specjalistów od data science. Dzięki takiemu zespołowi zajmującemu się cyberprzestępczością w Microsoft udało się, jak zapewniał Paweł Łakomski, wytworzyć nowe algorytmy wykorzystujące uczenie maszynowe i służące do wykrywania zjawisk. Co więcej, są one nieustannie sprawdzane i dostosowywane do zmieniającej się sytuacji. Często efektem tych działań są nowe hipotezy badawcze, które napędzają badania i rozwój w obszarze cyberbezpieczeństwa.
Mobilność i tożsamość
Istotnym elementem nowoczesnego podejścia do cyberbezpieczeństwa jest uwzględnienie urządzeń mobilnych. Choć inwestycje w cyberbezpieczeństwo systematycznie rosną, to o bezpieczeństwie urządzeń mobilnych często się zapomina. Tymczasem generowany przez nie ruch dynamicznie wzrasta. W miarę jak millenialsi zasilają w coraz większym stopniu szeregi korporacji, mobilne w coraz większym stopniu stają się całe organizacje. Rośnie jednocześnie skala zagrożeń. Dzisiaj o wiele większa liczba użytkowników wymaga dostępu do usług biznesowych spoza firmy niż z biura. Dynamicznie wzrasta również liczba niezarządzanych urządzeń. Z „Cybercrime Report” opracowanego przez firmę LexisNexis Risk Solutions, który powstał na podstawie analizy w czasie rzeczywistym cyfrowych interakcji z konsumentami w sieci Digital Identity Network w pierwszej połowie 2019 r., wynika, że rośnie liczba ataków inicjowanych przez człowieka (wzrost w ciągu sześciu miesięcy o 13%) i zarazem liczba ataków mobilnych (wzrost w tym samym okresie o 9%). Technologie mobilne mają ogromny wpływ zarówno na biznes, jak i na konsumentów. Co najważniejsze, wydaje się, że nie jest to koniec mobilnej rewolucji: sieci 5G wykreują nowe architektury, modele operacyjne i dostarczania usług. Oczywiście, stworzy to równocześnie nowe zagrożenia i ryzyka.
W raporcie LexisNexis przeczytać można m.in., że systematycznie coraz więcej transakcji inicjowanych jest z urządzeń mobilnych. Co ciekawe, na razie konsumenci wykorzystujący technologie mobilne są narażeni na atak w znacznie mniejszym stopniu niż użytkownicy tradycyjnych komputerów – liczba ataków na transakcje mobilne jest o połowę mniejsza. Przy tym o wiele bardziej bezpieczne są transakcje dokonywane w obrębie aplikacji niż te za pośrednictwem przeglądarki zainstalowanej w telefonie. Wszystko to oznacza jednak, że z punktu widzenia przestępców transakcje mobilne stają się niezwykle łakomym kąskiem i można być pewnym, że w ciągu najbliższych lat proporcje ataków względem tradycyjnych komputerów nie będą już tak korzystne.
Jakub Antczak, Country Manager w LexisNexis® Risk Solutions, opowiadał podczas konferencji o tym, jak cyfrowa tożsamość użytkownika i ślady urządzenia pozostawione w sieci mogą posłużyć za skuteczne narzędzie detekcji i zwalczania nadużyć, a jednocześnie być wykorzystane jako narzędzie do rozpoznawania uprawnionych użytkowników.
O znaczeniu ochrony tożsamości i zabezpieczaniu zdalnego dostępu mówili także inni prelegenci. Mariusz Baczyński, dyrektor regionalny w Zscaler, argumentował, że podejście ZTNA, czyli zero trust network Access, zrewolucjonizuje dostęp do prywatnych aplikacji. Korzystanie z nich nie wymaga bowiem dostępu do sieci ani połączenia przy użyciu technologii VPN. Przy tym połączenia wychodzące zapewniają, że aplikacje nie są widoczne w internecie dla nieautoryzowanych użytkowników, co zapewnia ochronę przez atakami DDoS. Wreszcie mamy do dyspozycji segmentację aplikacji bez segmentacji sieci – użytkownicy łączą się z aplikacjami ponad siecią, uniemożliwiając propagację zagrożeń. Mariusz Baczyński przekonywał, że dzięki temu internet staje się nową bezpieczną siecią korporacyjną zbudowaną z zaszyfrowanych mikrotuneli TLS.
Nie ma idealnych rozwiązań
Wzrost popularności chmury sprawia, że stała się ona w ostatnim czasie jednym z głównych tematów dyskutowanych przez ekspertów od cyberbezpieczeństwa. Coraz więcej firm przenosi tam swoje dane, do chmury migrują także technologie bezpieczeństwa. Tworzy to nie tylko niedostępne wcześniej możliwości działania, ale także przynosi wyzwania pojawiające się na styku starego z nowym. Dlatego powstają nowe praktyki zabezpieczania infrastruktury i aplikacji.
Mówił o nich – przedstawiając 10 faktów, na które warto zwrócić w tym kontekście uwagę w przyszłym roku – Pascal Geenens, EMEA Security Evangelist w Radware. Przede wszystkim powierzchnia ataku chmury publicznej określona jest przez uprawnienia, a zagrożenia wewnętrzne w takim środowisku są tak naprawdę zewnętrzne. Do ochrony aplikacji cloud-native nie nadają się tradycyjne technologie. Zwłaszcza że atakujący wykorzystują coraz bardziej zaawansowane zautomatyzowane metody. Przykładowo, stosując roboty do oszukiwania captcha, osiągają dzięki algorytmom deep learning skuteczność sięgającą 98%. Dlatego także obrońcy muszą zacząć wykorzystywać na coraz większą skalę uczenie maszynowego i głębokie, w szczególności zaawansowane rozwiązania łączące metody nadzorowane i nienadzorowane.
Niewątpliwie sztuczna inteligencja ma ogromny potencjał, niemniej nawet ona nie może być uznana za panaceum na wszystkie problemy cyberbezpieczeństwa. „AI to trudny biznes. Zajmujemy się tym od 10 lat. Zbudowanie i trening naszego systemu zajęły nam 5,5 roku. To ogromna inwestycja. Sztuczna inteligencja w punktowych rozwiązaniach zwykle nie jest efektywna, ponieważ wymaga dużego zaangażowania, nadzorowania, zarządzania i monitoringu” – przekonywał Keith Rayle, Security Strategist w Fortinet. W umiejętny sposób zastosowana może jednak pomóc rozwiązać wiele problemów.
