Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

To jest Sparta!

Data publikacji: 26-08-2021 Autor: Michał Jaworski

Generał Karol Molenda, szef polskich cyberwojsk, powiedział kiedyś, że pola walki dla klasycznych sił zbrojnych nie zmieniły się od stuleci. Okolice Grunwaldu wyglądają tak samo jak w 1410 r., bitwę pod Oliwą można stoczyć w tej samej Zatoce Gdańskiej, a samoloty poruszają się w tym samym środowisku co podczas bitwy o Anglię. Cyberprzestrzeń zmienia się całkowicie co dwa lata.

 

Wzrosły wszystkie liczby – wektorów ataku, potencjalnych słabości, chętnych do ataku. Mamy więcej urządzeń, jesteśmy podpięci do sieci przez całą dobę, polecenia wydajemy przez inteligentnych asystentów, działanie firmy, urzędu, szpitala, miasta (skreśl lub dopisz następne) jest zależne od IT. Jednocześnie cyberbezpieczeństwo nie jest najważniejszym problemem dla wielu twórców sprzętu i oprogramowania, które wykorzystujemy. My zaś wierzymy, że znowu jakoś się uda, lub bazujemy na tym, co już mamy. Jeśli dodamy strategię niektórych krajów, by militarną i polityczną pozycję podnieść dzięki cybernetycznej wojnie, wywiadowi i manipulacjom, to mamy koktajl, który musi wybuchnąć. Trzeba tylko katalizatora w postaci niefrasobliwego użytkownika. Lub nawet nie.

Skoncentruję się tylko na dwóch aspektach, które widać w każdej firmie. Pierwszym z nich jest rzeczywiste vs. dokumentowane bezpieczeństwo (doskonale widoczne w Polsce). Można spędzić tygodnie na sprawdzaniu, czy rozwiązanie będzie wypełniało wymagania rozporządzenia z 2005 roku. Można w nieskończoność rozważać mało prawdopodobne scenariusze problemów po stronie dostawcy. Można dopytywać się, czy szyfrowanie listy osób na dzisiejszym spotkaniu będzie odporne na komputery kwantowe. Lub żądać zmian w zapisach kontraktu całkowicie przerzucających odpowiedzialność na dostawcę. Każda odpowiedź budzi kolejne, jeszcze głębiej drążące pytania. Czas płynie, decyzji nie ma. Okazuje się, że dla zamawiającego prawdziwym problemem nie jest rzeczywiste bezpieczeństwo, ale obawa przed kontrolą, która wykazać może brak dokumentu XYZ lub niedostateczną grubość ściany w budynku centrum bezpieczeństwa. Nic tak skutecznie nie broni przed cyberatakiem jak cegła. Takie podejście oznacza też, że jak nie ma przepisu – to nie robimy. A przepisy wchodzą dużo wolniej niż technologia i często nie odpowiadają rzeczywistości. Przykłady można mnożyć – dyrektywa NIS i polska ustawa o krajowym systemie cyberbezpieczeństwa dopiero co weszły, a już są nowelizowane. Cybersecurity Act miał przynieść przełom w certyfikacji produktów i usług – jesteśmy w lesie. Za zakrętem kolejne akty takie jak DORA, dyrektywa Resilience of Critical Entities, e-Privacy i następne. Kwity, druki, papiery, dokumentacja audytowa, certyfikacje i normy…

Drugi aspekt to problem organizacji bezpieczeństwa. Można postawić tezę, że samodzielnie obronić się może tylko kilka podmiotów na świecie. Wszyscy pozostali, w tym wszystkie bez wyjątku firmy, organizacje i urzędy w Polsce, nie są w stanie samotnie stawić oporu. Wynika to z wielu wspomnianych już wcześniej przyczyn: zmian w technologii, zmian w sposobach jej używania, liczby potencjalnych wektorów ataku itd. A wszystko to konfrontujemy z ograniczeniami w zasobach (czas, ludzie, pieniądze). Pozostaje nam tylko wykorzystanie sił własnych i cudzych, aby wzmocnić potencjał obrony. Do tej pory jednak wszystko w firmie robiliśmy sami, czasem tylko sięgając po usługę zewnętrzną i to tylko do określonego celu. Zmiana pola walki oznacza jednak konieczność zmiany myślenia, stworzenie umiejętności i kompetencji współpracy. Okazuje się to bardzo trudne, bo niesie za sobą konieczność zmiany organizacyjnej i zdobycie najpierw nowych kompetencji, a potem doświadczenia. Nie damy rady jednak używać dobrze chronionej chmury w naszym systemie cyberbezpieczeństwa, jeśli będziemy myśleli, że przeniesiemy na nią wszystkie nasze dotychczasowe polityki, nałożymy wymagania na dostawcę, a nasz prawnik napisze taką umowę, że im pójdzie w pięty. To myślenie podszyte jeszcze obawą, że jak ta chmura się pojawi, to może nas roboty pozbawić. No i wtedy dyskusje wyglądają, jakby w salonie samochodowym klient wprawdzie przyznawał, że ten pojazd ma większą prędkość, nośność i strefy zgniotu, ale niestety (och, jakże mi przykro!) nie reaguje na „wio” i na „prrrr”, co zapisane jest w naszej polityce… Żeby zacząć korzystać z samochodów, trzeba przejść zmianę organizacyjną, a sama technika – z całym szacunkiem dla coraz doskonalszych narzędzi i ludzi, którzy potrafią je obsługiwać – jest przy tym wyzwaniu dużo prostsza.

 

[...]

 

autor jest członkiem Rady Polskiej Izby Informatyki i Telekomunikacji. Od ponad 26 lat pracuje w polskim oddziale firmy Microsoft.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"