18 listopada 2017, 09:00:LiveChat Hackathon #3 - LiveChat Software, al. Dębowa 3, 53-134 Wrocław, Polska

Radosław Kaczorek, Immusec – o cyberbezpieczeństwie i rozporządzeniu RODO

Radosław Kaczorek, Immusec -

Cyberbezpieczeństwo to temat, który poruszany jest niemal każdego dnia. Codziennie słyszymy o wyciekach danych i innych atakach hakerskich – nawet na duże firmy, które powinny posiadać dobrze rozwinięte zabezpieczenia. Jak to wygląda na polskim rynku? Jakie koszty trzeba ponieść przez atak hakerski? Jak się bronić? I dlaczego akurat teraz temat cyberbezpieczeństwa jest tak istotny?

Między innymi na te pytania odpowiedział CEO Immusec Radosław Kaczorek. Z prezesem Immusec rozmawiał Rafał Tomaszewski.

Czytaj także: Telekom Banking – czyli Alior oficjalnie startuje w Rumunii

Rafał Tomaszewski: Dzień dobry! Czym zajmuje się Immusec? Jakie usługi Państwo świadczycie?

Radosław Kaczorek: Dzień dobry. IMMUSEC istnieje od 2007 roku i wspiera firmy na każdym etapie budowy bezpiecznego biznesu. Projektujemy systemy bezpieczeństwa, procesy oraz architekturę IT, a na etapie utrzymania aktywnie chronimy dane klienta. Budujemy strategię IT i bezpieczeństwa zgodnie z normami i wymaganiami, np. RODO/GDPR, ISO 27001, przeprowadzamy analizę ryzyka oraz testy podatności (testy penetracyjne, socjotechniczne, testy aplikacji). Kolejny element naszego biznesu to wdrożenie zabezpieczeń: projektowanie oraz integracja w środowisku klienta z wykorzystaniem technologii naszych partnerów. Na etapie utrzymana oferujemy aktywną ochronę: monitorowanie i reagowanie na incydenty bezpieczeństwa.

Pomagamy klientom zidentyfikować źródła incydentu i ograniczyć jego skutki oraz prowadzimy działania z obszaru informatyki śledczej.  Od kilku lat rozwijamy naszą ofertę bezpieczeństwa w ujęciu holistycznym. Zbudowaliśmy jeden z najsilniejszych na polskim rynku zespołów ds. bezpieczeństwa, składający się z ekspertów w poszczególnych obszarach: zarządzania bezpieczeństwem informacji, twórców działów bezpieczeństwa w czołowych firmach oraz największych instytucjach, doświadczonych menedżerów rozwoju biznesu, certyfikowanych etycznych hackerów, audytorów, inżynierów infrastruktury i bezpieczeństwa IT oraz informatyków śledczych.

Posiadamy też silny dział R&D. Wspólny mianownik tego zróżnicowanego zespołu to pasja bezpieczeństwa. Dzięki temu możemy powiedzieć, że zapewniamy naszym klientom spokojny sen i usługi na najwyższym poziomie.

R.T.: Jak wygląda sytuacja polskich firm w kwestii bezpieczeństwa? Czy są gotowe odeprzeć cyberataki?

R.K.:

Ostatnie badania rynku wskazują na to, że 71% ataków cyberprzestępców jest skierowane w małe firmy, które posiadają cenne dane i są słabo zabezpieczone. Taka zmiana profilu zagrożenia wynika z tego, że rynek notuje od kilku lat rosnący deficyt specjalistów zajmujących się bezpieczeństwem. Zgodnie z oceną Gartnera luka na polskim rynku będzie się powiększać, a to oznacza rosnący koszt zatrudnienia takich specjalistów.

Już dzisiaj 58% firm z sektora MSP dostrzega potrzebę inwestowania w bezpieczeństwo, co potwierdza wzrost świadomości cyberzagrożeń wśród polskich przedsiębiorców. Ogromna dynamika zagrożeń, brak zasobów uniemożliwia jednak firmom skuteczną ochronę przez cyberatakami. W tym zakresie niezbędne jest wsparcie wyspecjalizowanych dostawców usług – takich jak IMMUSEC, którzy inwestują ogromne środki w wiedzę swoich pracowników, posiadają doświadczenie z wielu branż oraz wykorzystują zaawansowane technologie często niedostępne dla szerokiego rynku.

R.T.:Jak najczęściej wygląda cyberatak od strony hakerów? Czy do jego przeprowadzenia koniecznie jest specjalistyczny sprzęt lub oprogramowanie?

R.K.: Haker kojarzy nam się z osobą siedzącą przy komputerze w zaciemnionym pokoju i atakującą konkretny komputer konkretnego użytkownika. Taki obrazek od wielu lat jest już nieaktualny. Dzisiejsze ataki prowadzone są z wykorzystaniem narzędzi o wysokim stopniu automatyzacji, na bardzo szeroką skalę, a ofiary dobierane są niemal losowo. Skutkiem tego mamy dzisiaj do czynienia ze stałym zaawansowanym zagrożeniem (ang. Advanced Persistent Threat / APT), które dotyka ogromną ilość ofiar w ciągu jednego dnia.

Przykładem takich ataków były ataki  branżowe przeprowadzone w ubiegłym roku na biura rachunkowe i kancelarie prawne. Jednocześnie dostępność darmowych narzędzi wykorzystywanych przez hakerów stwarza pokusę dla młodych osób, które chcą zdobyć uznanie wśród rówieśników. Takie osoby często nie rozumiejąc konsekwencji swojego działania atakują firmy i instytucje i publikują zdobyte informacje w Internecie. Można więc powiedzieć, że zagrożenie stało się powszechne i absolutnie każdy może stać się ofiarą cyberataku.

R.T.: A jak dużym kosztem dla firmy są ataki hakerskie?

R.K.: Żeby odpowiedzieć na to pytanie, warto przyjrzeć się stratom, które odnotowały firmy dotknięte przez ransomware Petya/NotPetya, który zaatakował wiele firm w czerwcu tego roku. W tym przypadku działanie hakerów zmusiło kilka światowych firm, takich jak np. giganta logistycznego Moller-Maersk, do powrotu do epoki zarządzania za pomocą kartki i ołówka.  W firmie tej po ataku wyłączono wszystkie systemy, a pracownicy mogli komunikować się z klientami jedynie za pomocą telefonów.

Trzy dni po ataku uruchomiono nowy serwer pocztowy, ale pracownicy nie mieli już historii korespondencji. Byli zmuszeni korzystać z własnych komputerów, a zamówienia rejestrowane były w zeszytach. Miesiąc po ataku produkcja, badania i sprzedaż nadal nie działały, wyłączono 76 terminali portowych, a firmie udało się przywrócić tylko pracę działu pakowania. Zgodnie z obecnymi szacunkami straty wyniosły 300 milionów dolarów. Kolejnym, świeższym przykładem, jest incydent w amerykańskiej firmie Equifax, która jest potentatem na rynku badania zdolności kredytowej, posiada zatem mnóstwo wrażliwych danych klientów. W marcu 2017 roku doszło do włamania do systemów, co zostało odkryte dopiero w maju. Trwająca do września analiza incydentu ujawniła, że wyciekły dane 143 milionów osób.

W ciągu tygodnia notowania firmy spadły o 33%, a wartość firmy skurczyła się o ponad 6 mld USD, a kluczowe osoby w firmie straciły pracę. Oczywiście wycena strat będzie różna w zależności od wielkości podmiotu, czy branży, ale jak widać na tych przykładach, konsekwencje wycieku danych czy ataku hakerskiego i dłuższego paraliżu firmy mają wymierną wartość – wizerunkową, personalną i finansową.

R.T.: Jak dużym kosztem jest samo utrzymanie systemów bezpieczeństwa?

R.K.: Sprawny system bezpieczeństwa to nie tylko technologie, ale również procesy zarządzania oraz wykwalifikowany i kompetentny personel. Dosyć często obserwuję, że firmy inwestują ogromne środki w nabycie zaawansowanych narzędzi, licząc na to że ochronią je przed cyberzagrożeniami.

Te same firmy po bardzo krótkim czasie przekonują się, że nikt nie potrafi skorzystać z tych narzędzi i inwestycja nie obniżyła liczby incydentów bezpieczeństwa. Takie podejście to mentalna pułapka, w którą wpadają zarządy firm budując sobie mylne poczucie bezpieczeństwa. Każda firma powinna dokładnie zmierzyć ryzyko związane z cyberzagrożeniami i na tej podstawie określić opłacalność inwestycji w całą strukturę bezpieczeństwa, która musi obejmować właściwy proces zarządzania tym obszarem, personel oraz narzędzia wspierające.

Warto przy tym zauważyć, że na duże inwestycje w bezpieczeństwo pozwolić sobie mogą tylko duzi gracze. Znacznie bardziej efektywnym ekonomicznie podejściem jest skorzystanie ze specjalistycznych usług oferowanych na rynku. Podobnie jak to ma miejsce w przypadku ochrony fizycznej, z której wszyscy korzystamy od wielu lat.

R.T.: Dlaczego akurat teraz warto zwiększyć budżet na bezpieczeństwo w firmie?

R.K.: Po pierwsze, mamy do czynienia z atakami hakerskimi na niespotykaną wcześniej skalę. Rocznie na cyberprzestępczości gospodarka światowa traci blisko 600 mld USD, a koszty ponoszone przez firmy na świecie w związku z cyberatakami wzrosły w ciągu ostatniego roku aż o 34%. Warto wspomnieć, że koszt zlecenia ataku ransomware nie jest wysoki – czarnorynkowa cena takiego ataku wynosi zaledwie 400 USD. Obecnie 90% ataków to właśnie ransomware, który potrafi sparaliżować firmę na wiele dni i pozbawić ją bardzo cennych danych.

Trzeba też jasno powiedzieć, że żaden komputer podłączony do internetu nie jest w 100% bezpieczny, a przecież liczba tych urządzeń przyrasta w tempie geometrycznym. W 2015 roku było to 10 miliardów urządzeń, a zgodnie z szacunkami w 2020 to co najmniej 3 razy więcej.

Silnym motorem rozwoju rynku cyberbezpieczeńswa są nowe wymagania prawne w zakresie ochrony prywatności i danych osobowych (GDPR, ePrivacy). W związku z tym, że firmy gromadzą coraz większe ilości danych na temat klientów, Unia Europejska zdecydowała się na szczególną ochronę swoich obywateli wprowadzając zupełnie nową filozofię ochrony prywatności – Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO / GDPR).

R.T.: Właśnie, jak polskie firmy powinny przygotować się na wdrożenie RODO? Mam tutaj na myśli procesy informatyczne, które stoją za zintegrowanym wdrożeniem.

R.K.: Wdrożenie wymagań Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO / GDPR) to ogromny wysiłek dla wielu firm. Wymagań tego rozporządzenia nie można zbagatelizować, bo narażamy firmę na kary administracyjne, które mogą sięgać 4% obrotu globalnego firmy albo 20 mln EURO. Co więcej od maja 2018 roku otwiera się możliwość pozwów cywilnych za naruszenie bezpieczeństwa danych osobowych.

Żeby uniknąć tak ogromnej odpowiedzialności firma powinna zinwentaryzować przetwarzane dane osobowe, przeprowadzić analizę ryzyka dla tych danych, ocenić adekwatność zastosowanych zabezpieczeń, podnieść poziom tych zabezpieczeń i utrzymywać ten poziom w procesie ciągłym. To duże wyzwanie operacyjne dla wielu firm, które przecież muszą się koncentrować na swoim biznesie.

Jako minimum należy potraktować wykonanie kompleksowego przeglądu stan zdrowia organizmu, którym zarządzamy. Bez tego nie będziemy w stanie nawet odpowiedzieć na pytanie, jak ten stan zdrowia poprawić.

Czytaj także: Marcin Parczewski, Inteca – Jak banki skorzystają na otwartym API?

R.T.: Jakie konsekwencje dla polskich firm będzie miało RODO z punktu widzenia bezpieczeństwa?

R.K.: Konsekwencje nowych regulacji w zakresie danych osobowych są wielowymiarowe. Warto jednak nie popadać w panikę z powodu nowych wymagań, ale wykorzystać tę szansę na podniesienie poziomu bezpieczeństwa w firmie i zbudowanie w ten sposób przewagi konkurencyjnej. Bezpieczeństwo stało się w ostatnich latach jednym z kluczowych kryteriów zakupu produktów i usług – zarówno w obrocie gospodarczym pomiędzy firmami, ale również na rynku konsumenckim.

Skutek końcowy jest taki, że ci, którzy oferują bezpieczny produkt lub usługę, mają szansę nie tylko zbudować większe zaufanie klienta, ale również otrzymują większą premię za dbałość o bezpieczeństwo klienta. Filozofia stojąca za ochroną danych osobowych otwiera rynkowi drogę do ewolucji i eliminacji tych uczestników rynku, którzy mogą stanowić zagrożenie. Jakkolwiek brutalnie to brzmi, jest to  konieczne w dobie internetu, Internetu Rzeczy (IoT) i usług, za które płacimy swoimi danymi.

R.T.: Dziękuję za rozmowę.

R.K.: Dziękuję.

Podziel się artykułem
Share on FacebookTweet about this on TwitterShare on Google+Email this to someone