Kiedy zaczynałem swoją przygodę z cyber bezpieczeństwem, dziedzina ta się nazywała wtedy bezpieczeństwem informacji. 13 lat temu moja wiedza na temat bezpieczeństwa informacji opierała się głównie na polskim Ustawodawstwie dotyczącym postępowania z Danymi Niejawnymi (ustawa z 1997 r.). Jak widać moja wiedza była już przestarzała. Jeśli kiedykolwiek pracowaliście w podmiotach publicznych, prawdopodobnie wiecie, że 99,9% poufnych danych zostało stworzonych i przetworzonych na papierze. Jasne, można było stworzyć coś na komputerze, ale urządzenie musiało być certyfikowane przez krajową agencję bezpieczeństwa. Było nawet specjalne pomieszczenie, które w rzeczywistości było elektromagnetyczną klatką, w której przechowywano wszystkie poufne dane. Ciii – to nie tajemnica ;) Jeśli w 2010 roku pracowaliście w podmiocie publicznym to prawdopodobnie mieliście większą wiedzę na temat bezpieczeństwa niż 98% osób pracujących w podmiotach prywatnych. Dlaczego? Cóż, na początek, jeśli pracowaliście w sektorze publicznym, musieliście mieć poświadczenie bezpieczeństwa, co oznacza, że musieliście przejść podstawowe szkolenie z zakresu bezpieczeństwa informacji. Jeszcze w 2010 roku mało kto miał takie „szczęście” pracować w międzynarodowej korporacji, zwłaszcza w Polsce. Nawet dzisiaj, jeśli pracujesz w zagranicznej firmie w Polsce, stanowisz 6% wszystkich pracowników – możesz sobie tylko wyobrazić liczby sprzed dekady.
Jeśli pracowałeś w prywatnej firmie w 2010 roku, jedynym problemem związanym z danymi z perspektywy regulacyjnej były dane osobowe, a wszyscy wiemy, że nikt tak naprawdę nie dbał o prywatność, aż do wejścia RODO w 2016 roku. Wtedy wszyscy, jako pracownicy bezpieczeństwa wiedzieliśmy, musieliśmy zadbać o Poufność, Integralność i Dostępność danych. Mówiąc prościej, musieliśmy kontrolować, kto ma dostęp do danych, chronić te dane przed niepożądanymi zmianami oraz upewnić się, że ludzie mają do nich dostęp, kiedy ich potrzebują. Ale hej, 13 lat temu nie mieliśmy tak wymyślnych rozwiązań, aby to wszystko zrobić. Na domiar złego to nie personel ds. bezpieczeństwa informacji musiał to zrobić, ale dział IT. Jeśli pracowaliście w 2010 roku w dziale bezpieczeństwa informacji, to nie zajmowaliście się zbytnio cyber bezpieczeństwem, byliście zasypani procedurami i papierami. Mogę więc powiedzieć, że zacząłem pracować w cyber bezpieczeństwie w 2010 roku, ponieważ faktycznie pracowałem jako administrator systemów IT i nie mieliśmy wtedy wielu odpowiedzi na to jak zabezpieczyć IT, mogliśmy liczyć tylko na podstawowy program antywirusowy, który mogliśmy nabyć, wszystkie inne elementy musieliśmy wdrożyć z tego, co mieliśmy do dyspozycji. Cholera, nawet nie wiedzieliśmy, jakie są konkretne wymogi bezpieczeństwa. Odpowiedzi moglibyśmy zapewne szukać w dobrze znanej normie ISO 27001; jednak pierwsza wersja tego standardu została opublikowana w 2005 roku, więc można sobie wyobrazić, że niewiele firm było nawet przyzwyczajonych do czegoś, co nazywa się bezpieczeństwem informacji. Cóż, może Banki wiedziały trochę więcej, ale tam, gdzie są pieniądze, jest też bezpieczeństwo – i to jest problem.
Od 2010 roku IT przekształciło się w Everything as a Service, a Bezpieczeństwo Informacji zmieniło nazwę na Cyber bezpieczeństwo. Wraz z tą (r)ewolucją firmy zmieniły swoje modele biznesowe, zmieniły sposób działania, stały się bardziej mobilne – nawet w sektorze publicznym. Niestety, im bardziej cyber jest nasze przedsiębiorstwo, tym więcej cyber zagrożeń musimy się martwić. Na szczęście jako eksperci ds. cyber bezpieczeństwa wiemy dziś o zagrożeniach więcej niż wiedzieliśmy 13 lat temu.
A Ty, ile dokładnie wiesz o cyber zagrożeniach?
Prawdopodobnie wiecie więcej o problemach zdrowotnych na świecie i sposobach ich leczenia niż o cyber zagrożeniach i tym, jak nie stać się ofiarą cyber przestępczości. W moim pierwszym poście porównałem cyber bezpieczeństwo do opieki zdrowotnej i jakoś mam wrażenie, że jako cyber ludzkość wciąż tkwimy w 1920 roku.
W krajach o wysokich dochodach 60% wszystkich organizacji zatrudnia nie więcej niż 500 osób. Na całym świecie 95% wszystkich firm zatrudnia około 50 osób. Wejdźmy więc zatem na chwilę w sytuację właściciela firmy z sektora MŚP, który zatrudnia 200 osób świadczących usługi biznesowe dla ludzi i innych firm. Ile dokładnie muszą wydać na cyberbezpieczeństwo, jeśli chcą mieć jakąś ochronę w swojej firmie? Zakładając, że każdy pracownik ma laptopa z systemem Microsoft Windows, to macie już ochronę przez wbudowane oprogramowanie antywirusowe. Ale czy to wystarczy? Można to porównać do przyjmowania aspiryny na przewlekły ból głowy, łagodzi ból, ale nie wyleczy choroby. Jeśli chcecie trochę mieć większą kontrolę nad swoim poziomem bezpieczeństwa, musicie kupić coś więcej, prawda? Możecie z łatwością pozostać w świecie Microsoftu i wydawać zaledwie 1680 euro miesięcznie na ochronę wszystkich laptopów – to tak, jakby co miesiąc kupować nowego iPhone'a 14 Pro. Czy to wystarczy? Cóż, ile wiesz o konfigurowaniu usług zabezpieczeń firmy Microsoft, budowaniu zasad, wdrażaniu, monitorowaniu i tak dalej? Prawdopodobnie niewiele, więc zatrudnijmy kogoś, kto wie więcej o zabezpieczeniach firmy Microsoft, co daje dodatkowe kilka tysięcy euro miesięcznie. To powinno wystarczyć. Zobaczmy, kiedy ostatnio aktualizowaliście swoje urządzenia sieciowe – zakładam, że macie co najmniej jedno? Zobaczmy zatem ile macie tych urządzeń — serwerów, przełączników, drukarek, ekranów, telefonów komórkowych, projektorów, kamer konferencyjnych… A lista wciąż rośnie. Ok, więc jak sobie z tym poradzimy? Kupmy coś do monitorowania i aktualizacji naszych urządzeń. Kolejne 500-1000 euro, czekaj, czy ekspert Microsoftu wie, jak obsługiwać oprogramowanie Vulnerability Management – no to jeszcze kilka tysięcy euro. Ok, teraz powinniśmy być gotowi na wszelki cyber wypadek! Na pewno?! Większość cyber ataków koncentruje się obecnie na najsłabszym ogniwie – człowieku. Czy moi pracownicy wiedzą, co zrobić, jeśli padną ofiarą cyber ataku? Czy moi eksperci techniczni będą wiedzieć, jak postępować w przypadku incydentu związanego z cyber bezpieczeństwem? No dobra to zatrudnijmy jeszcze menedżera ds. cyber bezpieczeństwa, który zajmie się tym wszystkim. Jaki jest teraz rachunek? Coś około 25-30 tysięcy euro miesięcznie! Wow, całkiem pokaźna kwota jak dla 200-osobowej firmy. Może skorzystamy z outsourcingu? Jasne, możemy obniżyć jakieś 15-20% z tego rachunku, który wciąż jest dość drogi. Małe i średnie przedsiębiorstwa często wybierają najłatwiejszy sposób i po prostu się nie martwią, ponieważ wierzą, że nigdy nie będą ofiarą cyberataku. Smutna prawda jest taka, że nie chodzi już o „czy”, ale „kiedy”. Co gorsza, wiele firm (nawet tych dużych) nie jest nawet świadomych, że tak naprawdę już padło ofiarą cyberataku.
Rzeczywistość jest taka, że porządne cyberbezpieczeństwo jest dość kosztowną grą, w którą mogą grać tylko uprzywilejowani, ponieważ jest zbyt droga, a MŚP tak naprawdę nie mogą sobie na nią pozwolić. Ale sytuacja staje się jeszcze gorsza teraz, gdy organy regulacyjne wywierają większą presję na MŚP, aby przyłączyły się do tej gry. Wkrótce wszystkie firmy będą musiały mieć cyberbezpieczeństwo, niezależnie od profesji i wielkości.
Na szczęście jest jeszcze nadzieja, a wiedza jest kluczem. Podobnie jak w przypadku opieki zdrowotnej, im więcej mamy wiedzy, tym lepiej możemy przygotować się do długiego i zdrowego życia. Tak jak lekarze zaczęli popularyzować wiedzę na temat opieki zdrowotnej, tak i naszym obowiązkiem jako ekspertów ds. cyber bezpieczeństwa jest zacząć upowszechniać tę wiedzę, aby społeczność było bardziej bezpieczne w cyber przestrzeni. Ponieważ pracujemy z technologią od dłuższego czasu, nie mamy problemów z omawianiem tego tematu wewnętrznie w naszej społeczności. Nauka osób nietechnicznych nie przychodzi łatwo, ponieważ staramy się przetłumaczyć cały ten techniczny bełkot na język zrozumiały dla wszystkich. Wyobraź sobie, że musisz wyjaśnić sprzedawcy procedurę przeszczepu serca wraz ze wszystkimi etapami i narzędziami, i oczekiwać, że zrozumie wszystko, co powiedziałeś, a nawet więcej, że wykona tę procedurę następnym razem, gdy wejdzie do swojego sklepu. To samo dotyczy cyber bezpieczeństwa, nie możemy oczekiwać, że ludzie zrozumieją wszystko, co mówimy, i następnego dnia będą bardziej bezpieczni w cyberprzestrzeni. Musimy zacząć uczyć ich, jak bezpiecznie żyć w cyber świecie, abyśmy nie musieli przeprowadzać operacji serca, jeśli nie jest to naprawdę konieczne. Im wcześniej zaczniemy uczyć, tym lepsze będą tego efekty. A tak przy okazji – ile lat miało Twoje dziecko, kiedy zacząłeś je uczyć myć ręce, aby pozbyć się zarazków? A Ile lat miało Twoje dziecko, kiedy po raz pierwszy zapoznałeś je z YouTube na swoim telefonie komórkowym? Niech zgadnę, YouTube był wcześniej…
Ale więcej na ten temat w następnym poście.
A jeśli podobał wam się ten tekst to zapraszam do subskrypcji.
Comments