Cyber security nie tylko giganto%cc%81w
Cyber Security nie tylko dla gigantów

Duże firmy są świadome zagrożeń, które mogą nieść za sobą cyberataki. Powszechna jest praktyka powoływania zespołów Cyber Defence Center (CDC), mających na celu przeciwdziałać i zapobiegać niepożądanym zdarzeniom. Co zwykle wchodzi w zakres zadań CDC?

Andrzej Dalasiński:  Potocznie błędnie ogranicza się bezpieczeństwo do poufności. W końcu najbardziej oczywistą konsekwencją cyberataku jest kradzież danych. Należy jednak pamiętać, że poufność to tylko jeden z trzech aspektów bezpieczeństwa. Pozostałe dwa to dostępność i integralność. Mając to na uwadze, naturalnymi zadaniami zespołów Security Operation Center są monitoring oraz zarządzanie incydentami bezpieczeństwa. Cyber Defence Center to nic innego jak rozwinięcie SOC, a zakres zadań CDC to SOC rozszerzony najczęściej o zarządzanie podatnościami, testy penetracyjne, Security Intelligence, audyt bezpieczeństwa i compliance. Powyższy zestaw to tylko przykłady, każda organizacja powinna sama zdecydować o centralizacji funkcji, które pozwolą na szybsze i skuteczniejsze rozwiązywanie naruszeń bezpieczeństwa.

Kto zwykle zajmuje się bezpieczeństwem w organizacji?

A.D.: Moim zdaniem mamy tutaj dwa słowa klucze: współpraca i automatyzacja. Nie ma już w zasadzie w organizacjach procesów niewspieranych przez IT, dlatego bez współpracy pomiędzy różnymi komórkami a działem IT nie uda się prowadzić skutecznie polityki bezpieczeństwa. Wydaje się, że czasy, gdy dział bezpieczeństwa był wewnętrzną policją, oderwaną od reszty organizacji, mamy już za sobą.

Z drugiej strony ilość informacji, jaką przetwarzamy, jest tak ogromna, że bez automatyzacji, przynajmniej części procesów analitycznych, nie jesteśmy w stanie wyciągać wniosków, raportować ich i reagować na nie skutecznie. Wyzwaniem jest połączenie automatyzacji i współpracy, które z pozoru są dość odległe, wymagają różnych narzędzi i kompetencji, ale razem stanowią ogromną wartość dla organizacji.

 

To wygląda na kosztowne działanie. Czy angażowanie się w cyberbezpieczeństwo jest opłacalne?

A.D.: Budowanie CDC nie jest procesem ani łatwym, ani tanim, jednak trudno mi wyobrazić sobie prowadzenie biznesu obciążonego ryzykiem i jednoczesne lekceważenie Cyber Security. W bezpieczeństwie stosuje się trójkąt znany z zarządzania projektami: Czas-Budżet-Jakość. Nie można zapewnić wysokiej jakości bezpieczeństwa, ograniczając czas i budżet. Jeśli bezpieczeństwo ma być na odpowiednim poziomie, wymaga to odpowiedniego czasu i/lub budżetu. Im większy projekt, tym więcej technologii, osób i procesów, a co za tym idzie, większe potrzeby czasowe i budżetowe.

Obecnie pracuję w Bosch, gdzie w ramach Centrum Kompetencyjnego IT dostarczamy oprogramowanie do produkcji nowoczesnych podzespołów, więc bezpieczeństwo naszych projektów ma dla mnie ogromne znaczenie. Niedopilnowanie tego tematu może mieć daleko idące, kosztowne skutki. Wystarczy wyobrazić sobie, że system kontrolujący stan zapasów w fabryce zostanie złośliwie zmieniony, tak aby zamówić zamiast kilku tysięcy akcelerometrów, kilkanaście tysięcy fotodetektorów lub zamiast wysłać kilka tysięcy czujników do Stuttgartu, wyśle je do portu w Hamburgu.

 

Czy takie wypadki naprawdę się zdarzają?

A.D.: Te aspekty i ryzyka z nimi związane to nie science-fiction. To realny świat i realne zagrożenia. Przed laty, gdy zamówienie wysyłało się w postaci dokumentu papierowego faksem albo pocztą, przynajmniej jeden człowiek ten dokument podpisywał, a inny odbierał. Trwało to niekiedy kilka tygodni i było naprawdę dużo czasu na korektę. Obecnie od zauważenia potrzeby uzupełnienia stanów magazynowych do wyjazdu skompletowanego zamówienia od dostawcy mijają czasami minuty. Naprawdę niewiele jest czasu na korektę, dlatego bardzo ważne jest zapewnienie bezpieczeństwa systemów i danych, na których pracujemy.

Wierzę, że kierunek, jaki obraliśmy, jest gwarancją, iż produkty Bosch tworzone są w kontrolowanym przez naszych ekspertów środowisku, że niepowołane osoby nie mają wpływu na procesy projektowania i produkcji naszych rozwiązań. Również dane klientów i użytkowników, przechowywane w naszych systemach, zarówno tych tradycyjnych, jak i będących częścią Bosch IoT Cloud, są bezpieczniejsze dzięki naszej pracy.

 

Czy cyberbezpieczeństwo to temat zarezerwowany tylko dla dużych firm?

A.D.: Zdecydowanie nie! Zasady bezpieczeństwa należy wprowadzać niezależnie od wielkości projektów i skali przedsiębiorstwa, odpowiednio dostosowując zadania CDC do jego potrzeb. W zależności od skali firmy i jej skomplikowania organizacyjnego brak dedykowanego zespołu bezpieczeństwa grozi spowolnieniem reakcji na zagrożenia. Cyber rozwiązań używamy dziś w każdym obszarze działalności biznesowej: kadry, księgowość, logistyka, produkcja i jej najnowsza odsłona – Industry 4.0, a także same produkty i Internet Rzeczy. To wszystko jest gdzieś połączone. Jeśli w konsekwencji zagrożenia następuje atak, długi czas reakcji oznacza w zasadzie brak możliwości obrony albo nawet wykrycia, że taki atak nastąpił.

 

Jak powołać Cyber Defence Center w swojej firmie?

A.D.: Należy zacząć od zdefiniowania jasnych celów i oczekiwań wobec takiego centrum. Następnym krokiem jest sprawdzenie, jakie funkcje bezpieczeństwa już mamy w organizacji, a jakich jeszcze potrzebujemy. Możliwe, że część funkcji już istniejących przeniesiemy do CDC, pozostawiając resztę w zespołach już istniejących. Gdy znana jest odpowiedź na pytanie, czym CDC ma się zajmować, należy ustalić kolejną kwestię: z kim i dla kogo zespół będzie realizować te zadania oraz w jakie kompetencje i narzędzia należy go wyposażyć.

Na CDC ciąży duża odpowiedzialność, dlatego bardzo ważne jest odpowiednie planowanie i znalezienie odpowiedzi na pytanie, czego potrzebuje organizacja. Jestem jednak przekonany, że przy odpowiednim przygotowaniu, wdrożenie szybko się opłaci.

Rozmówcą był Andrzej Dalasiński, Manager Zespołu w firmie Robert Bosch Sp. z o.o