Artykuł miesiąca: Pracowniku pamiętaj o 1% dla Fundacji Opiekuńcze Skrzydła

AktualnościDebata ManageraITWiadomości

Cyberbezpieczeństwo – nie dajmy się zwariować

Uczestnicy Debaty Managera (od lewej): Tomasz Kałuża, IBM; Olga Budziszewska, Technology Advisory, Capability Network, Accenture; Michał Jaworski, członek zarządu, Microsoft; Szymon Ruman, dyr. ds. sprzedaży, Exatel; Janusz Żmudziński, wiceprezes PTI (moderator); Marcin Zmaczyński, dyr. marketingu i sprzedaży CEE, Aruba Cloud Autor zdjęcia: Karolina Walawander

 

Uczestnicy Debaty Managera (od lewej): Tomasz Kałuża, IBM; Olga Budziszewska, Technology Advisory, Capability Network, Accenture; Michał Jaworski, członek zarządu, Microsoft; Szymon Ruman, dyr. ds. sprzedaży, Exatel; Janusz Żmudziński, wiceprezes PTI (moderator); Marcin Zmaczyński, dyr. marketingu i sprzedaży CEE, Aruba Cloud

Biznes cały czas ma do czynienia z coraz poważniejszymi włamaniami do sieci komputerowych oraz jeszcze liczniejszymi atakami. Świadomość powagi zagrożeń nie wystarcza. Sami się nie obronimy – trzeba wybrać partnerów – to główne wnioski z Debaty Managera poświęconej cyberbezpieczeństwu.

Janusz Żmudziński, PTI: W jakim stopniu polskie przedsiębiorstwa i organizacje są zabezpieczone przed cyberatakami?

Olga Budziszewska, Accenture: W bardzo różnym. Z ostatniego badania „Barometr bezpieczeństwa”, przeprowadzanego co roku wśród największych polskich firm przez KPMG, wynika, że 70 proc. spośród nich uważa, że są zabezpieczone wystarczająco dobrze. Ale gdy podobna ankieta została kiedyś przeprowadzona na konferencji „Semafor” wśród osób odpowiedzialnych za cyberbezpieczeństwo, to już wynik był niemal odwrotny. Prawda leży zapewne gdzieś pośrodku. W niektórych obszarach, jak np. na styku wewnętrznych systemów IT z siecią komputerową zabezpieczenia są na wystarczająco wysokim poziomie, ale już w obszarze zarządzania tożsamością, dostępem czy telefonami komórkowymi – na zadziwiająco niskim. Wzrost poziomu bezpieczeństwa w tych obszarach wydaje się jednak być nieunikniony, bo z jednej strony napędzają go nowe zagrożenia i wzrost liczby ataków, a z drugiej – chociażby RODO, czyli regulacja UE dotycząca ochrony danych osobowych.

Marcin Zmaczyński, Aruba Cloud:  Firmy często potrzebują i chcą wsparcia przy podejmowaniu decyzji dotyczących tego, jak powinien wyglądać ich wewnętrzny system bezpieczeństwa. Coraz więcej spośród nich jest gotowych by zapłacić za taką usługę outsourcingu specjalistycznym firmom. Nasz raport z roku 2016 pokazuje, że polskie firmy z sektora SMB obawiają się migracji do chmury swoich danych, bo do końca nie wiedzą, jak może im ona pomóc w zwiększeniu ich bezpieczeństwa. Z drugiej strony, ciekawe wnioski płyną z niedawno opublikowanego raportu „Cloud Security Survey 2019” firmy Thales, na potrzeby którego przepytała ona 3 300 globalnych firm z sektora Enterprise. Wynika z niego, że tylko 48 proc. ankietowanych trzyma swoje dane w chmurze i tylko 49 proc. je szyfruje, a to niewiele, jak na skalę ich biznesu i może skutkować jeszcze większą liczbą głośnych wycieków danych w przyszłości. Jeszcze więcej pracy ma do wykonania sektor małych i średnich przedsiębiorstw, gdzie implementacja rozwiązań cyberbezpieczeństwa, w tym chmury, jest znacznie niższa niż w przypadku sektora Enterprise. Według raportu ESET,  80 proc. podmiotów z sektora SMB w regionie CEE używa oprogramowania antywirusowego uważając to za wystarczającą ochronę swoich danych. Z pewnością jest to dobrym pierwszym krokiem, jednak częsty brak backupu czy szyfrowania danych sprzyja utracie danych w przypadku ataków typu phishing czy ransomware polegających na wyłudzaniu prywatnych informacji, którego są one najczęstszą ofiarą.

Michał Jaworski, Microsoft: Cyberbezpieczeństwo dotyczy jednak nie tylko chmury i technologii, bo najważniejsze jest przystosowanie organizacji do poradzenia sobie z tym tematem. I żeby top management dobrze rozumiał, jakie przełożenie na biznes firmy może mieć jego brak i ile, w takim razie, warto w nie zainwestować. Z jednej strony to wymagania regulacyjne takie jak RODO, z drugiej możliwość realnej straty w przychodach czy w reputacji. Potem, kiedy już wiadomo co i dlaczego trzeba chronić, należy zająć się najważniejszym pytaniem, czyli jak to zrobić. Dlatego potrzebna jest świadomość, ocena i działanie, bo kontynuacja działań z przeszłości i pozostawienie spraw na barkach wewnętrznego działu będzie błędem.

Szymon Ruman, Exatel: Poziom bezpieczeństwa podniósł się wyraźnie po wejściu w życie 8 sierpnia 2018 r. ustawy o krajowym systemie cyberbezpieczeństwa, która nakłada kary na podmioty będące operatorami kluczowych usług za niespełnienie minimalnych wymagań cyberbezpieczeństwa. Kary mogą obciążać nie tylko samą firmę, ale i zarząd. Ale i tak nic tak nie pomaga w podjęciu decyzji o zainwestowaniu w zaawansowane rozwiązania, jak incydent bezpieczeństwa, taki jak zdarzył się chociażby firmie InterCars.

Tomasz Kałuża, IBM:  A moim zdaniem dużą rolę odgrywa w tym świadomość klienta, do czego potrzebny jest jednak zewnętrzny audyt lub szeroko zakrojone testy, np. „pen-testing”. Wielu klientów decyduje się w ich następstwie na tzw. Managed Security Services i np. na skorzystanie z naszego SOC-a, który powstał we Wrocławiu, a który został stworzony przede wszystkim z myślą o klientach z Europy.

Michał Jaworski, Microsoft: Wynika stąd, że próba zorganizowania sobie bezpieczeństwa samemu z góry skazana jest na porażkę.

Marcin Zmaczyński, Aruba Cloud: Niestety, bardzo często firmy zaczynają się interesować bezpieczeństwem dopiero wtedy, gdy dotknie ich jakiś atak lub awaria i polskie przedsiębiorstwa nie są tu wyjątkiem. Szacuje się, że tylko w ubiegłym roku tego typu ataki kosztowały firmy na świecie 8 mld dolarów, a ich liczba rośnie w zastraszającym tempie. Jak twierdzi Michael Gillespie, ekspert ds. ataków typu ransomware: „Gdyby ludzie robili regularne backupy, problem ransomware przestałby istnieć”. To prawda, ale niestety wymaga zainwestowania w dobre rozwiązanie backupowe lub typu Disaster Recovery, a nie wszystkie firmy są na to gotowe.

DEFICYT SPECJALISTÓW

Janusz Żmudziński, PTI: Z badań wynika, że w 2022 r. na świecie będzie brakowało 1,5-3,5 mln specjalistów od cyberbezpieczeństwa. PTI promuje uzyskiwanie wiedzy o zdobywanie certyfikatów w tym zakresie, ale obecnie ludzi posiadających je w Polsce są setki, a nie tysiące. W jaki sposób można rozbudowywać te kompetencje i w jaki sposób je weryfikować?

Michał Jaworski, Microsoft: Kiedy brak ludzi z określonymi kompetencjami wówczas z jednej strony ruszają szkolenia, ale z drugiej zachodzi proces automatyzacji tych czynności, które oni wykonują. Ponieważ wiele usług cyberbezpieczeństwa jest zautomatyzowanych w chmurze i korzystanie z ich nie jest specjalnie kosztowne, to także świetnie rozwiązanie dla firm sektora SMB.

Tomasz Kałuża, IBM: Ponieważ przeważająca większość ataków na sieci komputerowe nie jest wyrafinowana, nie trzeba być specjalistą od IT czy cyberbezpieczeństwa, żeby zagwarantować minimum bezpieczeństwa danych np. pilnując przemyślanego planu backupów, dostępów, czy segmentując sieć. Dopiero podejście holistyczne wymaga edukacji np. na studiach podyplomowych czy usystematyzowania w ramach certyfikatów zawodowych. Powinniśmy też lepiej kierować przeszkalaniem kadry już funkcjonującej na rynku i skuteczniej zachęcać do zgłębiania zagadnień, które stanowią podwaliny bezpieczeństwa IT.

Olga Budziszewska, Accenture: Braki kadrowe w obszarze cyberbezpieczeństwa są ogromne – w cytowanym wcześniej badaniu „Barometr bezpieczeństwa”, 63 proc. przedsiębiorców przyznało, że brak specjalistów jest głównym problemem w osiągnięciu odpowiedniego poziomu bezpieczeństwa w ich organizacji. Globalnie, szacuje się, że e sumie brakuje ich ok. 2 mln. Częściową odpowiedzią na te braki jest tworzenie nowych kierunków „cyberbezpieczeństwo” na różnych uczelniach – zarówno informatycznych, jak i ekonomicznych czy też na studiach podyplomowych.

Mam okazję prowadzić jeden przedmiot na takim kierunku na Collegium Civitas i bardzo mnie ostatnio zaskoczyło to, że jednym z moich uczniów jest Chief Security Officer z jednej z największych w Polsce spółek Skarbu Państwa. Ale na naukę nigdy nie jest za późno, bo tak naprawdę największym źródłem specjalistów w tym zakresie powinno być dokształcanie i budowanie nowych kompetencji obecnych pracowników. Takie podejście w Accenture bardzo dobrze się sprawdza. Z jednej strony współpracujemy z uczelniami, z drugiej – dokształcamy pracowników w najbardziej pożądanych na rynku kompetencjach. Na przykład w cyberbezpieczeństwie.

Marcin Zmaczyński, Aruba Cloud: Braki kadrowe to duży problem. Wystarczy spojrzeć na nasze podwórko. Wystarczyło, że międzynarodowy bank Standard Chartered Bank otworzył w Polsce swoje centrum cyberbezpieczeństwa dla całej organizacji, a pozostałe instytucje finansowe stanęły przed sporym wyzwaniem wydrenowania ich ze specjalistów z zakresu cyberbezpieczeństwa. Jeszcze trudniej jest w przypadku małych firm, które nie mają takich budżetów, jak te duże by zatrudnić tak wysokiej klasy specjalistów. Rozwiązaniem dla małych i średnich firm może być w tym przypadku korzystanie z usług outsourcingu np. dostawców chmury, którzy posiadają swoje zespoły ds. cyberbezpieczeństwa.

Szymon Ruman, Exatel: Ja też prowadzę wykład z zarządzania cyberbezpieczeństwem,  ale na SGH, wśród moich studentów są nie tylko specjaliści od tego tematu, ale myślę, że świadomość zagrożeń dzięki takim studiom rośnie. Ci najlepsi na rynku, po dobrych studiach, trafiają do banków, które budują świetne, własne zespoły,  dlatego nie są najlepszym klientem na cyberbezpieczeństwo w usłudze, albo do dostawców rozwiązań IT lub firm doradczych. Wysysa to na tyle rynek z ekspertów, że nawet w takich potentatach rynkowych, jak duże spółki państwowe czy prywatne jest ich czasem 2 czy 3, podczas gdy w dużych bankach dziesiątki. Dobrze się więc stało, że Ministerstwo Cyfryzacji postanowiło ostatnio dofinansować kilkanaście polskich uczelni, które uruchomią  studia II stopnia poświęcone sztucznej inteligencji, nauczaniu maszynowemu i cyberbezpieczeństwu.

Olga Budziszewska, Accenture: Niestety, moje doświadczenie z Accenture pokazuje, że żaden z polskich produktów z  obszaru cyberbezieczeństwa nie jest eksportowany w skali globalnej do naszych klientów, a można sporo takich wskazać, które powstały lokalnie np. w Izraelu, choć to dość skrajny przykład. Życzyłabym sobie, żeby takie projekty powstawały, rosły i były wdrażane w polskich firmach i organizacjach. A potem oczywiście żeby były implementowane globalnie. Jednak żeby to było możliwe, należałoby stworzyć korzystne warunki do inkubacji takich projektów – tak, żeby wiedza zdobyta w czasie nauki mogła zostać wykorzystana w praktyce. Wydaje mi się, że w tym obszarze jest konieczna współpraca pomiędzy sektorem publicznym, prywatnym i NGO.

Michał Jaworski, Microsoft: Bo będąc developerem aplikacji lepiej od razu myśleć o rynkach globalnych, tym bardziej, że w Polsce i tak nie byłoby na nie odbiorców.

Szymon Ruman, Exatel: Ci najlepsi zostają często w Polsce, tylko w centrach R&D zagranicznych koncernów, których w Polsce jest mnóstwo: Motoroli, Ericssona, Samsunga czy Nokii.

Janusz Żmudziński, PTI: W obszarze cyberbezpieczeństwa dość trudno jest komercjalizować rozwiązania finansowane przez NCBiR. Łatwiej jest na rynku gier komputerowych, czego najlepszym przykładem jest CD Projekt RED.

Marcin Zmaczyński, Aruba Cloud: Jednak niektórym europejskim graczom udaje się zbudować swoją markę w obszarze cyberbezpieczeństwa. Patrząc chociażby na rynek oprogramowania antywirusowego, to jest na nim nie tylko amerykański Norton, ale także słowacki ESET, rumuński Bitdefender czy czeski Avast.

Szymon Ruman, Exatel: Też dostaliśmy od NCBiR pieniądze na trzy projekty, z których jeden jest już zakończony i jego efektem jest własne oprogramowanie antyDdos Tama. Nie zrobiliśmy tego tylko dla idei, bo obecnie uruchamiając u klientów nasze oprogramowanie zamiast  amerykańskiego jesteśmy w stanie wygenerować dużo większą marżę przy tej samej fakturze po stronie klienta. Rozwijamy też własne rozwiązanie sprzętowe, SDNBox, które jeśli pomyślnie przejdzie fazę testów będzie mogło zastąpić urządzenia zagranicznych dostawców w sieciach światłowodowych, których na terenie Polski tylko Exatel posiada ponad 20 000 km. Jak to możliwe? Nie zawsze możemy konkurować z gigantami wysokością zarobków, ale staramy się przyciągać najlepszych inżynierów także oferując udział w ciekawych projektach security i R&D. A to naprawdę im gwarantujemy.

Sektor SMB

Janusz Żmudziński, PTI: To jak w tej sytuacji ma sobie radzić z cyberbezpieczeństwem firma z sektora SMB?

Marcin Zmaczyński, Aruba: Tak jak mówiłem wcześniej, bezpieczeństwo wymaga ponoszenia regularnych nakładów. Jeśli firma korzysta z przestarzałego sprzętu, przechowywanego w serwerowni niespełniającej standardów, a do tego nie archiwizuje kluczowych danych, to prosty atak ransomware, polegający na ich zaszyfrowaniu, może ją doprowadzić do konieczności zamknięcia działalności, jeśli oczywiście nie stać jej na zapłacenie haraczu za ich odszyfrowanie.

Realnym rozwiązaniem wielu problemów z tym związanych jest migracja całego swojego środowiska IT do chmury, a minimum to regularny backup danych, tym bardziej, że w modelu subskrypcyjnym wcale nie musi on dużo kosztować. Podzielenie się odpowiedzialnością z dostawcą usług oraz outsourcing części IT pozwala po prostu zniwelować część ryzyka związanego z bezpieczeństwem.

Szymon Ruman, Exatel: Nasza firma oferuje dostęp do Security Operation Center (SOC) także firmom sektora SMB, ale tylko te najbardziej dynamicznie rozwijające i świadome są gotowe przyjąć, że zapewnienie bezpieczeństwa ich danych kosztuje trochę więcej niż dostęp do Internetu, bo jeszcze długo większość z nich nie będzie w stanie przeskoczyć tej bariery psychologicznej. Tę świadomość widzimy w sektorze prywatnej medycyny, e-commerce oraz w energetyce.

Michał Jaworski, Microsoft: Chmura daje pakiet usług zwiększających bezpieczeństwo, także dla tych najpopularniejszych produktów jak Office 365. Przykładowo poczta elektroniczna nie jest od razu przesyłana na adres docelowy, tylko najpierw sprawdzana w chmurze pod kątem bezpieczeństwa, możliwa jest klasyfikacja danych pod kątem tego, które można wysyłać na zewnątrz, a które nie i czy coś jest daną osobową. Więc jeśli klienta nie stać jest na drogą usługę Exatela, to  rozwiązaniem jest partnerstwo z dostawcą chmury. A kiedyś, gdy już urośnie, może zdecyduje się na więcej.

Tomasz Kałuża, IBM: Ale na środowiska posadowione wyłącznie w chmurze też zdarzają się skuteczne ataki, co często wynika z tego, że użytkownicy albo nie wiedzieli jakimi rodzajami zabezpieczeń dysponują albo popełnili błędy konfiguracyjne, albo jedno i drugie. Niezależnie od wybranej platformy solidne bezpieczeństwo danych wymaga ciągłego szkolenia kadry, i to nie tylko tej z działu informatycznego, lub wsparcia z zewnątrz.

Marcin Zmaczyński, Aruba: To prawda, że przeniesienie danych do chmury nie zwalnia z odpowiedzialności za cyberbezpieczeństwo. Niedawno szeroko opisywany był przypadek firmy Capital One. Z serwerów tego potentata finansowego, hostowanych w ramach Amazon Web Services, wyciekły dane 100 mln obywateli USA – w tym ok. 140 tys. numerów ubezpieczenia społecznego i dane dotyczące 80 tys. kont bankowych. Za wyciekiem stała jedna z pracownic AWS, która wykorzystała źle skonfigurowaną zaporę sieciową typu Web Application Firewall. Eksperci byli zgodni, że dostawca usług chmurowych nie może odpowiadać za wszystkie kwestie bezpieczeństwa, a w tym konkretnym przypadku wina leżała po stronie Capital One, które było regularnie informowanie przez AWS o błędach w konfiguracji, ale nic z tym nie zrobiło.

Szymon Ruman, Exatel: Polska charakteryzuje się jednym z najniższych w Europie poziomów wykorzystania chmury w biznesie (11,5 proc. – przyp. red.), będąc pod tym względem nawet za Rumunią czy Bułgarią, co jest wynikiem niskiego zaufania do niej. Ale jak ma być wysokie, skoro media co jakiś czas informują o  incydentach z tym związanych, a to o przechwyceniu danych wyborców przez Cambridge Analytica w czasie wyborów w USA, a to o wycieku danych pacjentów z chmury globalnego gracza, który swoje usługi oferuje często za darmo.

Michał Jaworski, Microsoft: Ale przecież o tym samym słyszą też użytkownicy z Finlandii, gdzie stopień wykorzystania chmury przekracza 70 proc.

Szymon Ruman, Exatel: To prawda, ale jeśli chodzi o użycie kart kredytowych czy płatności zbliżeniowe to już jesteśmy europejskim liderem. Skąd te rozbieżności? Otóż bez konta elektronicznego nie da się w Polsce żyć i pracować, ale bezbezpiecznych usług chmurowych– można.

Tomasz Kałuża, IBM: Niedawno IBM we współpracy z Ponemon Institute udostępnił raport dotyczący szacunkowych kosztów wycieku danych, który przedstawia kluczowe czynniki – przygotowania i zaniedbania – przekładające się na koszty ponoszone w przypadku wycieku danych. Największe koszty zarejestrowano w USA, trochę mniejsze w bliższej nam okolicy. Danych z Polski jeszcze nie mamy, być może nie dość nagłaśnia się te przypadki, lub nie ujawnia wielkości poniesionych strat. Kwotowe ujęcie zagrożenia, z pewnością ułatwiłoby przekonanie top managementu do adekwatnego inwestowania w cyberbezpieczeństwo.

Olga Budziszewska, Accenture: Wszyscy pamiętają głośny wyciek danych ze sklepu internetowego morele.net. Nie na wszystkich zrobiło to jednak wrażenie, bo jeśli to nie „nasza” branża, to tak jakby nas nie dotyczyło.

Szymon Ruman, Exatel: Od pewnego czasu dla wielu naszych klientów istotne zaczynają się stawać kwestie geopolityczne, np. skąd pochodzi dostawca usług, kto go kontroluje, komu ujawnia kody źródłowe i gdzie przechowuje dane. Obecnie to szczególnie gorący temat w obszarze 5G. O przypadku Huawei wszyscy słyszeli, ale już nie każdy wie, że w Korei Południowej właśnie kończy się wdrożenie sieci 5G obsługiwanej przez trzech lokalnych operatorów i dostępnej w 85 miastach? Dzięki niej już teraz celebryci koreańscy mogą nosić na szyi obręcze, które transmitują w tej technologii co robią i tym samym wzbudzać podziw swoich fanów. Chociaż nie wiem, czy to akurat kierunek, który warto naśladować u nas.

Michał Jaworski, Microsoft: Czasami dostajemy pytanie czy do danych w chmurze może mieć dostęp ktoś jeszcze. W rzeczywistości upoważnione organy mogą żądać wydania danych dokładnie na takich samych zasadach jak do danych, które utrzymywane są we własnej infrastrukturze. Co więcej, dostawca chmury ma zawsze prawo przekierować władze do właściciela danych lub nawet odmówić organom. Microsoft publikuje statystyki takich żądań, było ich kilkadziesiąt tysięcy w pierwszej połowie, w tym 63 związane z amerykańskim CLOUD Act, ale odpowiedzieliśmy tylko na jedno.

Marcin Zmaczyński, Aruba: Ważne jest jednak, żeby firmy miały świadomość gdzie przechowywane są ich dane, jakim regulacjom podlegają, a także kto, w tym jakie służby, mogą żądać do nich dostępu.

Michał Jaworski, Microsoft: Kiedy dane obywatela UE są przetwarzane poza UE to także obowiązuje RODO! Warto także pamiętać kontekst takich żądań władz – to sprawy związane z terroryzmem lub praniem brudnych pieniędzy. Na podstawie zasad, które były uzgadniane pomiędzy państwami na wiele lat przed ekspansją Internetu, można było szybko zareagować tak, że kiedy doszło do ataku terrorystycznego w Paryżu, a terroryści mieli konta w USA, to oba kraje porozumiały się w sprawie sprawdzenia tych danych w ciągu 45 minut.

Marcin Zmaczyński, Aruba Cloud: Sprawa dostępu do danych, w tym działań związanych z Cloud Act wymaga jednak doprecyzowania w postaci umowy pomiędzy UE i USA, analogicznie do bilateralnej umowy pomiędzy Amerykanami a Brytyjczykami. Dzięki temu będziemy mieli jasną sytuację, a zaufanie do dostawców będzie rosło. Obecna sytuacja nie jest nikomu na rękę i raczej pokazuje, że prawo nie nadąża za zmianami w zakresie technologii, która jest bardziej globalna niż narodowa.

BEZPIECZEŃSTWO DANYCH

Janusz Żmudziński, PTI: Jak się przekładają wymagania na bezpieczeństwo danych na bezpieczeństwo systemów IT? Jakie standardy powinny być spełnione przez systemy IT?

Szymon Ruman, Exatel: Istnieje Kodeks Dobrych Praktyk Chmurowych, tylko mało kto o nim słyszał. Miasto Wrocław zrobiło przetarg na usługi chmurowe, żeby przenieść tam swoje zasoby, ale nie dogadało się z jego zwycięzcą co do regulaminu świadczenia usług, bo było tam za dużo niezgodności z obowiązującym w Polsce prawem i w efekcie własnym siłami postawiło chmurę prywatną. A przy dużych kontraktach może to się wkrótce okazać wyzwaniem, bo klienci będą mieli coraz więcej wymagań.

Olga Budziszewska, Accenture: Czy od tego nie jest obecnie Operator Chmury Krajowej (OChK)?

Szymon Ruman, Exatel: Ta spółka komercyjna założona przez bank PKO BP i PFR może sprzedawać usługi chmurowe firmy Google, ale przecież nie o to chodziło w tym projekcie. OChk może również sprzedawać usługi własne, świadczone z data center w Warszawie. Przełom w zakresie usług Google nastąpi wtedy, gdy będą one świadczone o oparciu o centra danych zlokalizowane na terenie naszego kraju.

TECHNICZNE WSPARCIE

Janusz Żmudziński, PTI: Kto może wesprzeć polskiego przedsiębiorcę w zdefiniowaniu wymagań co do bezpieczeństwa np. proponując mu przeniesienie danych do chmury?

Marcin Zmaczyński, Aruba Cloud: Myślę, że docelowo należy stworzyć organ na poziomie UE, który będzie tworzył rzetelne i przyjazne dla firm wytyczne dotyczące cyberbezpieczeństwa. Dobrym zaczątkiem takiej działalności jest działająca przy Komisji Europejskiej CISPE – Stowarzyszenie Europejskich Dostawców w Chmurze, którego jednym z założycieli jest Aruba Cloud, a które ma pomagać firmom europejskim w bezpiecznym migrowaniu do chmury tłumacząc, jak mają skutecznie zabezpieczyć swoje dane.  Dopiero niedawno w pełni uświadomiliśmy sobie, że technologia ma narodowość. Jeszcze niedawno świetnie się nam pracowało używając amerykańskiego oprogramowania na chińskim sprzęcie. Nagle okazało się jednak, że gdy na szczeblu globalnym następuje gdzieś jakaś rozbieżność interesów, to brakuje kogoś, kto zadbałby o europejskich klientów. Europa potrzebuje także alternatywy dla amerykańskich dostawców usług, bo dane też mają narodowość.

Michał Jaworski, Microsoft: Wracając do głównego pytania, obecnie pewien kanon standardów cyberbezpieczeństwa wytyczają dostawcy technologii, ale żaden z nich nie może tych warunków dyktować innym. Odpowiedzialność za formalne wymagania cyber w kraju  powinny przejąć agendy państwowe, jak NASK, a dla poszczególnych sektorów przemysłu ich regulatorzy.

Szymon Ruman, Exatel: To dobry pomysł, bo nierzadko klienci sami nie wiedzą, co mają wybrać, a jeśli są z SMB, to dodatkowo nikt nie będzie chciał z nimi dyskutować o zgodności z regulaminami.

Olga Budziszewska, Accenture: Dobrym pomysłem w sprawie wypracowania standardów jest utworzenie czegoś na kształt Polskiego Towarzystwa Cyberbezpieczeństwa – zresztą pierwsze kroki w tym kierunku już są postawione. Generalnie w cyberbezpieczeństwie standardów powinno być jak najwięcej – bo stanowią one bezpieczne ramy wielu rozwiązań. Z drugiej strony standardy nie powinny zabijać rozwoju biznesu, a takie zagrożenie niestety istnieje. Jak zwykle, zdrowy rozsądek jest podstawą.

SZANSE I ZAGROŻENIA

Janusz Żmudziński, PTI: W cyberbezpieczeństwie już od jakiegoś czasu dużą rolę zaczyna odgrywać automatyzacja i sztuczna inteligencja. Jakie to daje szanse, jakie niesie zagrożenia i z jakimi wiąże się wyzwaniami?

Tomasz Kałuża, IBM: W centrum IBM we Wrocławiu korzystamy z rozwiązań kognitywnych opartych o Watsona. Przetrenowany system wykonuje fantastyczną pracę korelując historyczne i aktualnie rejestrowane wydarzenia w środowiskach klientów i priorytetyzując je. Mamy oczywiście przy tym świadomość, że automatyka może i jest wykorzystywana także po drugiej strony mocy – potencjalne zagrożenie zademonstrowali specjaliści IBM budując DeepLocker.

Natomiast zupełnie inny aspekt zagrożeń obrazuje przykład manipulacji AI sterującej autonomicznym pojazdem. Algorytmy zostały wyuczone, aby interpretować wybrane znaki drogowe STOP jako znaki ograniczające prędkość do 45 mph. Wydaje mi się, że niedługo czekają nas ataki mające na celu manipulację mechanizmów decyzyjnych AI, które będzie bardzo trudno wykryć. Zapewne też pojawi się więcej rozwiązań, takich jak platforma Watson OpenScale, służących do badania i wynajdywania systematycznych błędów w modelach AI.

Olga Budziszewska, Accenture: Opis zagrożeń można znaleźć w książce Yuwala Harari „21 lekcji na XXI wiek”. To lektura, którą czyta się jak science fiction – dopóki nie zrozumiemy, że te scenariusze dzięki technologii są już właściwie realne. Jednym z przykładów takich nowych zagrożeń lub starych ale wzmocnionych uczeniem maszynowym i deep learning’iem, jest „spare phishing”, który mógły na masową skalę pozwolić wyłudzać pieniądze podszywają się pod cudzy głos. Sztuczna Inteligencja musi stać po obu stronach barykady. Popularne stają się ostatnio rozwiązania klasy SOAR (Security Operations Automation and Response) które pomagają zautomatyzować zarządzanie bezpieczeństwem. To ważne, bo różnorodność i rozproszenie systemów jest wielkim wyzwaniem dla bezpieczeństwa w niemal każdej większej organizacji.

Szymon Ruman, Exatel: Te zagrożenia to nie będą, tylko już są. Bo jeśli w Chinach są już używane systemy do punktowania zachowań ludzi w sieci, od czego zależy ich pozycja wobec banku czy państwa, to – jak mówi minister cyfryzacji Marek Zagórski – różni się to istotnie od kultury europejskiej, w której centrum jest człowiek. A co do AI, to daje ona tyle samo szans co zagrożeń.

Marcin Zmaczyński, Aruba Cloud: My jako Europa przegrywamy tę walkę i to z kilku powodów: naszej kultury, ale i kwestii prawnych. Aruba jako rejestr domeny .CLOUD działa też w Chinach i widzimy, że to co w Europie będzie za 5-10 lat, w Kraju Środka już funkcjonuje. Brak regulacji dotyczących przechowywania i przetwarzania danych, w połączeniu z faktem, że 50 proc. z 1,2 mld  obywateli ma dostęp do Internetu powoduje, że każda firma z sektora SMB ma szanse pozyskać miliony klientów na całym świecie. Fenomenem jest Alibaba Cloud Intelligence, a także oparty na niej MYBank – bank oferujący mikropożyczki dla mikroprzedsiębiorstw korzystających z platformy Alibaba Cloud. MYBank w ciągu kilku minut w oparciu o Big Data jest w stanie przeanalizować działalność firmy i przyznać jej niewielki kredyt, który jest natychmiast przelewany na konto klienta. A to tylko jeden z wielu przykładów jak można w praktyce stosować Big Data.

Michał Jaworski, Microsoft: Dwiema potęgami w rozwoju AI na świecie są USA i Chiny mając w sumie 90 proc. wszystkich innowacji. Europa jest daleko, a Polska nieobecna. Możemy to zmienić, ale bez wielkomocarstwowego zadęcia. Gdyby Polska zdecydowała się na silne wsparcie rozwoju AI w sektorze cyberbezpieczeństwa to byłoby coś! Z perspektywy Microsoft to oznacza polskie firmy i polskich partnerów, których produkty i usługi cyberbezpieczeństwa będą sprzedawane na całym świecie. Nie ma lepszej promocji Polski! Natomiast obawiam się, że jeśli zostanie uruchomiony program poświęcony sztucznej inteligencji to skoncentruje się na akademickich projektach bez realnego wpływu na gospodarkę i bez związku z problemami jakie mają polskie przedsiębiorstwa. AI to sensowna technologia, która powinna przynosić korzyści!

Wojciech Gryciuk

Komentarz ekspercki 1:

Marcin Cabak, PTI

Certyfikat z cyberbezpieczeństwa

Funkcjonuje powszechny pogląd o braku dostatecznej liczby specjalistów z zakresu cyberbezpieczeństwa w Europie i na świecie. Problem dotyka również polskiego rynku pracodawców, zarówno w sektorze prywatnym, jak i państwowym. Połowa alertów o incydentach bezpieczeństwa w organizacjach pozostaje bez odpowiedzi z powodu braku wykwalifikowanych kadr. Ich pozyskanie powinien zapewnić system edukacji. Mnożą się inicjatywy uczelni tworzących kierunki studiów zarówno dyplomowych, jak i podyplomowych. Pojawiają się kursy i szkolenia nieformalne, w tym e-learningowe. Jak jednak stwierdzić, że osoba wchodząca w czuły obszar cyberbezpieczeństwa faktycznie posiada właściwe kwalifikacje? To jest pytanie, które zadaje sobie wielu managerów.

W problemem tym zmierzyło się Polskie Towarzystwo Informatyczne uruchomiając projekt utworzenia krajowego systemu certyfikacji zawodowej w obszarze cyberbezpieczeństwa. Analizując różne warianty realizacji przedsięwzięcia wybrano możliwość jakie daje instytucja Zintegrowanego Systemu Kwalifikacji i opracowanie kwalifikacji rynkowych, które można zdobywać w sposób pozaformalny. PTI we współpracy z Instytutem Badań Edukacyjnych opracowało, a następnie złożyło wnioski o włączenie do ZRK trzech kwalifikacji rynkowych z obszaru zarządzania cyberbezpieczeństwem na poziomach managerskim, eksperckim i specjalistycznym. Jednocześnie wystąpiło z wnioskiem o uznanie PTI za instytucję certyfikującą. Propozycje te znajdują się obecnie w Ministerstwie Cyfryzacji w procesie formalnej oceny.

PTI głęboko wierzy, że propozycja wpłynie docelowo na podniesienie standardów ochrony wykorzystywanych systemów teleinformatycznych oraz zwiększy poczucie bezpieczeństwa managerów w dynamicznie zmieniającej się rzeczywistości cyfrowej.

Komentarz ekspercki 2:

Michał Kurek, partner, szef zespołu ds. cyberbezpieczeństwa w KPMG w Polsce

Cyfrowo, (nie)bezpiecznie

W erze digitalizacji przedsiębiorstwa coraz odważniej korzystają z dobrodziejstw wynikających z wdrożenia nowych technologii. Dynamicznie rozwija się Internet Rzeczy, coraz mniej procesów wymaga ingerencji człowieka, zaawansowana analityka danych pomaga w podejmowaniu decyzji. Niestety nowe technologie to również nowe zagrożenia. Zawrotne tempo przemian technologicznych sprawia, że bezpieczeństwo nie nadąża za nimi. Ekspotencjalnie rośnie skala i złożoność cyberprzestępczości. Straty z tytułu cyberataków przekraczają globalnie 1 proc. światowego PKB, a przychody cyberprzestępców dawno już przerosły wpływy z handlu narkotykami. W zapewnieniu bezpieczeństwa przeszkadza mocno odczuwalny na całym świecie brak ekspertów w zakresie cyberbezpieczeństwa (bariera numer jeden według corocznych badań Barometr Cyberbezpieczeństwa KPMG) oraz konieczność ponoszenia coraz to większych wydatków. Z powodu tych ograniczeń, konieczne staje się dziś inteligentne podejście do zarządzania bezpieczeństwem, polegające na kierowaniu ograniczonych zasobów w obszary najwyższego ryzyka biznesowego dla organizacji. Analiza ryzyka powinna towarzyszyć każdej decyzji dotyczącej cyberbezpieczeństwa. Jej jakość jest zależna od informacji, na bazie których jest prowadzona. Dlatego tak ważna staje się komunikacja pomiędzy jednostkami biznesowymi, potrafiącymi określić wartość informacji a specjalistami, rozumiejącymi cyberzagrożenia oraz nowe technologie. Niestety często występujące nieefektywności w tym obszarze wprost przekładają się na możliwość podejmowania przez organizacje optymalnych decyzji w zakresie adaptacji nowych technologii, pozwalających na bezpieczne korzystanie z ich dobrodziejstw.

Autor zdjęcia: Karolina Walawander

Wojciech Gryciuk

z-ca red. nacz. Manager Report

mail: w.gryciuk@managermba.pl

kom. 797 314 113

Polecane artykuły
AktualnościDebata ManageraWiadomości

ERP na miarę XXI w.

AktualnościWiadomości

Kierunki rozwoju ERP

AktualnościWiadomości

Biznes potrzebuje AI

AktualnościWiadomości

Czy ERP to tylko planowanie zasobów przedsiębiorstwa

Zapisz się do Newslettera
Bądź na bieżąco i otrzymuj najnowsze artykuły
%d bloggers like this: