Rozmowa z Mariuszem Kochańskim, członkiem zarządu Veracomp i dyrektorem Działu Systemów Sieciowych
Czy w dzisiejszych czasach bezpieczeństwo w ogóle powinno być wyróżniane jako oddzielna kategoria branży IT? Czy nie powinniśmy wreszcie zacząć oczekiwać, że wszystkie dostarczane nam rozwiązania IT z założenia będą projektowane z uwzględnieniem odpowiedniej ochrony przetwarzanych przez nie informacji?
Jest szansa, że kiedyś uda się uzyskać taki stan, gdy firmy efektywnie wdrożą filozofię „security by design”. Wówczas rzeczywiście wszystkie kwestie związane z bezpieczeństwem będą brane pod uwagę już przy projektowaniu danych rozwiązań i użytkownicy nie będą musieli się tym problemem zajmować. Ale dziś zdecydowanie tak nie jest, więc jedni producenci muszą naprawiać to, co przeoczyli inni. Tym bardziej że dziedzin i rozwiązań, które trzeba chronić, jest coraz więcej. Obecnie nie są to już tylko sieci i urządzenia końcowe, ale także szereg innych, np. aplikacje, Internet rzeczy, usługi internetowe itd. Sposoby, w jakie człowiek może drugiemu zrobić krzywdę z wykorzystaniem systemu informatycznego, są na tyle zróżnicowane, że istnieje potrzeba specjalizacji w tym zakresie. Stąd zresztą też pomysł na stworzenie serwisu All of Security, w którym chcemy dzielić się wiedzą dotyczącą bezpieczeństwa.
Jak w ten kontekst wpisuje się fakt, że prawie wszystkie firmy oferujące rozwiązania ochronne skupiają się tylko na jednym wycinku środowiska IT?
Istnieje pięć głównych obszarów, które trzeba zabezpieczać: tożsamość użytkowników, aby niemożliwe było sfałszowanie wykonywanych przez nich operacji, urządzenia końcowe (terminale), z których oni korzystają, sieci odpowiedzialne za przesyłanie danych, centralne serwery, do których są one przekazywane oraz znajdujące się na nich aplikacje. Przez długie lata mieliśmy do czynienia głównie z bezpieczeństwem urządzeń końcowych – zapewniały je klasyczne antywirusy. Potem doszło bezpieczeństwo sieci w postaci firewalli. Bezpieczeństwo aplikacji i ochrona tożsamości użytkowników to relatywnie nowe tematy, których – jako branża – cały czas się uczymy. Jak widać, wszystkie te cztery obszary w dużym stopniu są rozłączne, więc teoretycznie nic nie stoi na przeszkodzie, aby rozwiązania ochronne dla nich były dostarczane przez różne firmy. Powinny jednak móc wymieniać się informacjami o zauważonych incydentach w środowisku IT i myślę, że wkrótce będziemy świadkami rozwoju dziedziny związanej z komunikacją pomiędzy różnymi rozwiązaniami zabezpieczającymi.
Analitycy wyróżniają obecnie ponad 40 rodzajów zagrożeń, które mogą poważnie zakłócić pracę środowisk IT. Z drugiej strony branża IT na całym świecie cierpi na chroniczny brak ekspertów ds. bezpieczeństwa. W obu tych przypadkach problem pogłębia się wraz z upływem czasu. Czy można wskazać jedno, uniwersalne podejście, które firmy mogą zastosować, aby zapewnić sobie należytą ochronę?
Często zbyt duże nadzieje pokładane są w różnego typu rozwiązaniach ochronnych – sprzęcie i oprogramowaniu. Tymczasem to są tylko narzędzia, a sukces ich używania zależy i jeszcze przez długi czas będzie zależał od ludzi, ekspertów w zakresie bezpieczeństwa. Bez nich nawet najlepsze rozwiązania nie będą skutecznie wykorzystywane. Warto zauważyć, że finalnie to człowiek jest sprawcą tych nieszczęść, ale też ich ofiarą, więc tylko człowiek będzie w stanie zrozumieć cele oraz motywy innych osób i do tego dostosować swoje działania. Dlatego wiedza i doświadczenie ekspertów powinny być nieodłącznym składnikiem takiej strategii bezpieczeństwa. A ona sama może różnić się w zależności od dwóch rzeczy: wielkości przedsiębiorstwa oraz wpływu cyfryzacji na jego model biznesowy.
Na czym polegają te różnice?
Jeżeli wpływ cyfryzacji na model biznesowy jest bardzo duży, czyli sukces firmy w dużej mierze uzależniony jest od skutecznej ochrony jej zasobów IT, siłą rzeczy trzeba przywiązywać ogromną wagę do bezpieczeństwa na różnych poziomach. Wśród takich firm są duże przedsiębiorstwa, jak banki, telekomy, linie lotnicze, instytucje użyteczności publicznej, ale też mniejsze, jak np. duże kancelarie prawne, które nie zatrudniają tysięcy osób, lecz poufność czy – szerzej – zaufanie klienta jest bardzo ważnym elementem wpływającym na ich reputację. Takie firmy powinny budować własne zasoby specjalistów, którzy będą odpowiedzialni za całą strategię bezpieczeństwa. Oczywiście nie wszystkie osoby muszą być pracownikami danej firmy. Niektórzy eksperci, dysponujący unikalnymi kwalifikacjami, których nie posiadają lokalni pracownicy, mogą być wynajęci w modelu outsourcingowym. Natomiast w przypadku firm, których funkcjonowanie mniej zależy od IT, będzie trochę trudniej. Po pierwsze, nie będą atrakcyjnym miejscem pracy dla ekspertów zajmujących się bezpieczeństwem, bo ci są zainteresowani nieustannym rozwijaniem się, więc w ich przypadku najczęściej ma sens wdrożenie profesjonalnych rozwiązań ochronnych oraz podpisanie umowy z firmą zewnętrzną, która będzie nimi zarządzała, a gdy wystąpi poważne zagrożenie, np. atak ukierunkowany, ułatwi jego neutralizację.
Z jakimi wyzwaniami związanymi z procesem zabezpieczania informacji obecnie najtrudniej jest poradzić sobie firmom?
Największym wyzwaniem jest obecnie kształtowanie świadomości menedżerów wysokiego szczebla dotyczącej powagi sprawy, jaką jest bezpieczeństwo systemów informatycznych. To przede wszystkim oni powinni mieć świadomość, co stanie się, gdy nastąpi zbieg niekorzystnych okoliczności, jakie będą konsekwencje dla ich firmy lub instytucji oraz dla nich samych. Oczywiście techniczne poradzenie sobie z tym problemem jest w gestii działów IT, ale to zarząd powinien być zaangażowany w analizowanie regulacji prawnych, potencjalnych strat, także tych reputacyjnych i związanych z nimi utraconych korzyści itd. Tymczasem zarządy firm najczęściej martwią się o takie rzeczy jak płynność finansowa, konkurencja ze strony innych graczy na rynku, konieczność osiągania zysków, spadająca marża… W tym procesie edukacyjnym dużą rolę odgrywają integratorzy, dystrybutorzy i producenci, którzy powinni pomóc działom informatycznym w edukacji i inspiracji ich zarządów. Pokazywać w czytelny sposób, że jeśli zarządzający urzędem polityk zaniedba bezpieczeństwo danych obywateli, może przegrać kolejne wybory. Jeśli przedsiębiorca nieodpowiedzialnymi działaniami zniszczy reputację własnej firmy, może doprowadzić ją do bankructwa albo akcjonariusze zażądają jego rezygnacji.
A pieniądze?
Ten problem istnieje od początku i chyba będzie istniał zawsze. Jego właściwe zrozumienie powinno być po obu stronach – dostawców i odbiorców. Natomiast faktem jest, że do tej pory na bezpieczeństwo przeznaczano 5-8 proc. budżetów IT. Wszystko wskazuje na to, że wkrótce, aby firma była właściwie chroniona, trzeba będzie przeznaczać znacznie więcej, w pewnych branżach docelowo może nawet kilkadziesiąt procent. Oczywiście to nie są proste decyzje, bo oznaczają, że albo trzeba znacznie zwiększyć budżet, albo drastycznie obciąć inne wydatki, np. na infrastrukturę sprzętową czy aplikacje.
Rzeczywiście, wydatki na bezpieczeństwo cały czas rosną, a menedżerowie IT największych firm przyznają, że korzystają z kilkunastu lub nawet kilkudziesięciu rozwiązań ochronnych od różnych dostawców. Czy takie zjawisko należy uznać za normalne?
Moim zdaniem nie da się tego uniknąć. Wynika to z faktu, że innowacyjne rozwiązania, które skutecznie radzą sobie z nowymi problemami, pojawiają się głównie w młodych, małych firmach. Jeżeli ktoś ma ciekawy, innowacyjny pomysł i pójdzie z nim do dużego przedsiębiorstwa, aby go zrealizować, to ugrzęźnie w wielkiej biurokracji i nic nie zarobi. A jeśli pójdzie do funduszu inwestycyjnego, to jego zarządcy zaryzykują wyłożenie pierwszego miliona dolarów, nawet licząc się z ryzykiem utraty pieniędzy na poziomie 50-70 proc. A dalej wszystko zależy od rozwoju sytuacji. Taki start-up, jeśli przetrwa pierwszych kilka lat na rynku i wprowadzi na niego ciekawy produkt, albo szybko się rozwinie, albo zostanie przejęty przez większego producenta. Tak dzieje się już od kilkudziesięciu lat i nic nie wskazuje na to, aby miało się zmienić. Raczej nie nastąpi sytuacja, gdy dojdzie do masowej konsolidacji i nagle na rynku zostanie tylko kilku gigantycznych producentów, oferujących wszelkiego typu rozwiązania, jakie są potrzebne do ochrony całego środowiska informatycznego w firmie. Wraz z każdą innowacją, jak np. Internet rzeczy, pojawiają się nowe wektory ataku – rzadko duże firmy są tak skuteczne w ich blokowaniu, jak małe, nieskrępowane niczym start-upy.
Czy jednak współpraca ze start-upami nie wystawia ich klientów na pewne ryzyko? Prawdopodobieństwo, że ich biznes się nie powiedzie jest dość duże, więc klient może zostać z rozwiązaniem, dla którego nie będzie miał wsparcia. W podobny sposób rzecz dotyczy kanału partnerskiego – dystrybutorów i partnerów, z którymi młode start-upy niechętnie podpisują umowy…
Zgadza się, takie ryzyko zawsze istnieje. Dlatego dużą odpowiedzialnością po naszej stronie jako dystrybutora jest odpowiedni dobór firm do współpracy. Zdecydowanie nie interesują nas takie, które powstały wczoraj. Mamy pewien algorytm wyboru dostawców, który to ryzyko minimalizuje. Pomagają też regulacje krajowe, np. w USA, gdzie regulacje prawne wymuszają, że część wydatków federalnych i stanowych musi iść do start-upów, właśnie po to, aby mogły się rozwijać. Dlatego łatwiej jest im przetrwać okres pierwszego wzrostu.
Jedną z największych innowacji ostatnich czasów, na której zresztą w dużej mierze skupiają się właśnie start-upy, jest sztuczna inteligencja. W jakim stopniu może ona wpłynąć na skuteczność ochrony środowisk IT? Czy będzie tylko narzędziem automatyzującym niektóre procesy, czy też wprowadzi nową jakość zabezpieczeń?
W tym przypadku najważniejsze jest ustalenie, co rozumiemy przez sztuczną inteligencję. Jeżeli ma ona polegać na zautomatyzowaniu podejmowania decyzji przez maszynę, na bazie wcześniejszego procesu uczenia się, w tym analizy historycznych wydarzeń, to takie rozwiązania są dostępne już teraz i działają coraz skutecznej. Warto też pamiętać, że dokładnie z takich samych mechanizmów próbują korzystać atakujący – tworzą algorytmy automatyzujące proces poszukiwania luk w systemach zabezpieczeń, aby zwiększyć prawdopodobieństwo powodzenia ataku. Natomiast w przyszłości „pełna” sztuczna inteligencja będzie korzystała z olbrzymiej masy informacji z każdego dostępnego źródła, aby ocenić prawdopodobieństwo wystąpienia danego wektora ataku albo zdobyć szczegółowe dane na temat właśnie podejmowanej próby włamania. Teoretycznie nie jest to trudne, ale w praktyce stanowi pewne wyzwanie, szczególnie jeśli niektóre decyzje dotyczące sposobu ochrony i neutralizacji ataku muszą być podejmowanie szybko. Jeśli ustandaryzujemy bazę danych o atakach zakończonych sukcesem (w konkretnym środowisku i modelu biznesowym), sztuczna inteligencja będzie mogła wspomagać człowieka w lepszej alokacji posiadanych zasobów do obrony przed kolejnym włamaniem.
