Biznes i Finanse
Cyfryzować czy zbankrutować? Pandemia jako szansa na rozwój biznesu [WYWIAD]
„Obawiam się, że liczba ataków może przybierać na sile, a cyberprzestępcy prawdopodobnie już teraz prowadzą rekonesans przygotowując się do jakiegoś większego ataku, który może się zdarzyć już po pandemii” - mówi Karol Okoński, dyrektor w PwC w Europie Środkowo-Wschodniej. W wywiadzie, były pełnomocnik rządu ds. cyfryzacji komentuje również zmiany w świecie IT, szanse dla cyberprzestępców oraz czy e-administracja wypełniła swoje zadanie w okresie pandemii.
Wydaje się, że pandemia koronawirusa była nie tylko wyzwaniem dla służby zdrowia, ale również dla osób z branży cyberbezpieczeństwa. Jakiego rodzaju to było wyzwanie?
W pierwszej kolejności było to wyzwanie dla wszystkich działów IT, a w szczególności tzw. lokalnego IT i infrastruktury sieciowej firm. Z dnia na dzień trzeba było zwiększyć przepustowość łącza albo ustanowić drugie, dokupić licencji, przetestować nowe rozwiązania VPN czy zdobyć nowy sprzęt dla pracowników wykonujących swoją pracę zdalnie. W takich "ekstremalnych" warunkach trzeba było również normalnie świadczyć usługi, a w przypadku instytucji rządowych - wypełniać obowiązki wynikające z ustaw, które nie powinny zostać zakłócone przez brak możliwości przyjścia do pracy w biurze. Okazało się również, że dużo łatwiej miały wszystkie firmy i instytucje, które wcześniej zdecydowały się na pełną cyfryzację procesów i wejścia np. w rozwiązań chmurowych. Dokonywanie takiej zmiany z dnia na dzień było olbrzymim wyzwaniem zarówno dla kierownictwa jak i pracowników.
Nie próżnowali też cyberprzestępcy, którzy otrzymali dodatkową okazję w związku z pandemią. Sprzyjał temu nastrój pośpiechu, wdrożenie nowych procesów oraz nieprzetarte ścieżki. Stanowi to olbrzymie pole do popisu dla spamowania, phishingu, wyłudzania danych poprzez fałszywe aplikacje i witryny internetowe czy zainfekowania urządzeń końcowych. Niestety działania te okazały się skuteczne ze względu na brak świadomości użytkowników, którzy po raz pierwszy znaleźli się w takiej sytuacji, a z uwagi na dynamikę zdarzeń, nie było czasu na przeprowadzenie uświadamiającej kampanii w tej problematyce. Okazało się również, że niektóre z procedur kontroli bezpieczeństwa, które dotychczas działały w firmie były niewystarczające i niemożliwe było zbudowanie ich od nowa de facto z dnia na dzień. Zamiast tego były wybierane najprostsze dostępne rozwiązania.
Teraz przychodzi czas na analizę wcześniej podjętych decyzji. Czy faktycznie były wykonywane z pełną świadomością? Czy były one robione na chwilę czy może jednak z myślą o dłuższej perspektywie? Nie każdy zdawał sobie sprawę, ile potrwa okres pracy zdalnej. Wyzwania w obszarze IT i cyberbezpieczeństwa były na początku pandemii, ale myślę, że są nadal. Szczególnie w ramach dokładnej oceny ryzyk, które mogły się pojawić w związku z wdrożeniem nowych narzędzi czy kanałów komunikacji z pracownikami czy z klientami. To jest odpowiedni moment, aby ocenić, które z rozwiązań mogą pozostać trwale w architekturze IT danej firmy, a które z nich trzeba zastąpić.
Musimy też pamiętać o tym, że żadna firma nie działa w izolacji, ale jest częścią jakiegoś ekosystemu. Kłopoty podwykonawców czy dostawców w procesach biznesowych czy obszarze IT mogą spowodować zatrzymanie działalności całej firmy. Decydując się znowu na wykorzystanie rozwiązań stron trzecich, które były potrzebne w danym momencie trzeba sprawdzić czy instytucje nie stworzyli ryzyka w innych miejscach.
Moment pandemii zbiegł się również w Pana przypadku ze zmianą pracy. Jak wyglądało wdrażanie się w pracę w PwC, w szczególności, jeśli chodzi o koronawirusa i cyberbezpieczeństwo?
PwC jeszcze przed epidemią oferowało dostępność narzędzi niezależnie od miejsca przebywania wraz z odpowiednim poziomem ich zabezpieczenia np. przez rozwiązania VPN. Są one też zduplikowane więc jeżeli przestanie działać jedno to jest drugie z odpowiednimi zabezpieczeniami. Od strony pracownika miałem możliwość je wypróbować, oczywiście przechodząc serię szkoleń, która miała zbudować odpowiednią świadomość zagrożeń. W PwC przygotowujemy również pracowników na próby phishingowe, organizując co jakiś czas symulowane ataki na nich.
Wspólnie z klientami staraliśmy się pokazać szerszy wymiar analizy ryzyka, który pokazywał, że trzeba długofalowo planować działania związane z cyberbezpieczeństwem, a nie pracować w trybie „gaszenia pożarów”. Z drugiej jednak strony zdajemy też sobie sprawę, że firmy mają również inne priorytety. Prowadzenie własnej działalności w warunkach izolacji społecznej jak miało to miejsce obecnie i angażowanie się w to, żeby można było świadczyć usługi na odpowiednim poziomie jest priorytetem dla przedsiębiorców. My zwracamy uwagę, że praca w takich warunkach może być niebezpieczna. Cyberprzestępcy dobrze to wiedzą.
Najłatwiej zweryfikować to poprzez dokładniejszą analizę zagrożeń, które mogą się pojawić. Najskuteczniejszą metodą pozostaje jednak symulacja, czyli przeprowadzanie "kontrolowanego" ataku, najlepiej o charakterze hybrydowym, który wykorzystuje techniki przestępców takie jak phishing w celu sprawdzenia jak procedury zabezpieczenia, w tej zdecydowanie bardziej skomplikowanej rzeczywistości, działają. To są rzeczy, które doradzamy, ponieważ firmy wciąż skupiają się na podtrzymaniu podstawowych procesów biznesowych, a cyberprzestępcy wiedząc o tym, szukają luk gdzie indziej.
Na jakie usługi IT w czasie pandemii było największe zapotrzebowanie?
Z racji tego, że firmy musiały wykonać pierwsze czynności z dnia na dzień, często były to podstawowe rodzaje pomocy, nie zawsze nawet zamieniane na formalny kontrakt. Dużą rolę odegrali również dostawcy, którzy już świadczyli usługi u klienta, bo to do nich w pierwszej kolejności były kierowane prośby o zwiększenie liczby sprzętu, licencji czy przepustowości sieci. W przypadku PwC staramy się pokazać, że w tym momencie ważne jest zwrócenie uwagi jak zmienia się profil ryzyka i czy zasoby firmy nie zostają wystawione na dodatkowe ryzyko związane z wyciekiem danych, kradzieżą informacji czy własności intelektualnej. Przykładowo w tej samej sieci mogą pojawić się urządzenia służbowe i prywatne, nad którymi praktycznie nie ma się żadnej kontroli. Nie ma tam zainstalowanych odpowiednich aplikacji, dane są niezaszyfrowane, nie ma również rozwiązań ochrony przed utratą danych (DLP).
Po tym jak firmy wdrożyły rozwiązania, następnym etapem są testy jak wypadają ich zabezpieczenia zanim zrobi to przestępca. Sprawdźmy, czy pracownicy są świadomi zagrożeń i czy wdrożono odpowiednie zabezpieczenia oraz narzędzia, aby wykryć atak jak najszybciej. Jest to kluczowe. Oczywiście najlepiej jest atak od razu zneutralizować, ale jeśli nawet nie mamy takiej możliwości to musimy go identyfikować.
Pandemia może być również pretekstem, aby odważniej zaangażować się w transformację cyfrową. Oczywiście musimy pamiętać, że niesie to ze sobą dodatkowe ryzyka. Nie możemy również zapomnieć o konieczności wdrożenia strategii cyberbezpieczeństwa oraz odpowiednich narzędzi i dostosowaniu procesów. Wiąże się to również ze szkoleniem pracowników w obszarze nowego rodzaju ryzyk, które mogą się pojawić.
Jakie pojawiły się nowe wektory ataków?
Mamy do czynienia z wykorzystaniem w nowy sposób dotychczas znanych zagrożeń, metod i okoliczności. Atmosfera pośpiechu i strachu temu sprzyjała. Były przypadki aplikacji, które rzekomo miały oceniać stan zdrowia użytkownika czy zebrać najnowsze informacje o stanie rozwoju wirusa, a okazywały się być złośliwym oprogramowaniem, które mogło doprowadzić do instalacji ransomware, albo wycieku danych. Cyberprzestępcy bazują również na tym, że ludzie poszukiwali informacji na temat koronawirusa, często zaglądając w niesprawdzone źródła. Druga rzecz to sytuacja, w której duża część pracowników po raz pierwszy zaczęła pracować zdalnie. Z tego powodu musieliśmy się zmierzyć ze zdecydowanie większą liczbą wszelkiego rodzaju ataków phishingowych, kiedy przestępcy podszywali się pod pracownika, który np. dzwoni do działu IT i chce uzyskać dostęp do sieci, żeby dokonać konkretnych czynności czy akcji wewnątrz sieci. Mieliśmy do czynienia również z phishingiem w drugą stronę, czyli ktoś podszywa się pod pracownika IT w celu wyłudzenia danych od pracownika, który się tego nie domyśla.
Należy również pamiętać o obszarze opieki zdrowotnej. Skupienie podmiotów leczniczych na podstawowej działalności jaką jest ratowanie życia, niestety może być wykorzystywane przez przestępców do tego, aby dokonać ataku hakerskiego, albo zwykłego fizycznego jak np. kradzież laptopa z danymi. Inny obszar, który wymaga wyjątkowego skupienia od strony bezpieczeństwa to telemedycyna. Niestety przy braku stosowania pewnych zabezpieczeń przy teleporadach czy identyfikacji pacjenta lub lekarza automatycznie narażamy się na pewne ryzyko. Dotyczy to również urządzeń, które mogą powodować zakłócenia wyników medycznych bądź prowadzić po prostu do przesłania danych do miejsca, w których nie powinny się one znaleźć. Ten obszar wymaga obserwacji, testowania, budowania świadomości po stronie pracowników placówek zdrowia jak i pacjentów. Obawiam się, że liczba ataków może przybierać na sile a cyberprzestępcy prawdopodobnie już teraz prowadzą rekonesans przygotowując się do jakiegoś większego ataku, który może się zdarzyć już po pandemii.
Cyberbezpieczeństwo często było traktowane jako zło konieczne w firmach. Czy może się zdarzyć, że pandemia to zmieni i wreszcie przedsiębiorstwa podejdą do tego problemu na poważnie?
Niezwykle istotne jest, aby nie promować cyberbezpieczeństwa przez pryzmat strachu czy zagrożenia. Oczywiście te rzeczy trzeba podkreślać i jest to pierwszoplanowy cel, czyli zabezpieczenie się i przeciwdziałanie takim zagrożeniom. Niemniej odpowiednio przemyślana architektura IT pod kątem cyberbezpieczeństwa może być bazą do bezpieczniejszej transformacji cyfrowej, która uruchamia nowe możliwości, generuje nowe oszczędności czy możliwości biznesowe. Mam nadzieje, że te firmy, które były bardziej wstrzemięźliwe w obszarze cyfryzacji i cyberbezpieczeństwa zostały zmuszone do zmiany dlatego, że np. uruchomiły pracę zdalną na dużą skalę czy zaczęły korzystać z rozwiązań chmurowych.
Ważne jest, aby przy okazji działań z cyfryzacją nie zapomnieć o aspekcie cyberbezpieczeństwa. Zachęcałbym do podjęcia próby, aby w warstwie komunikacyjnej podkreślać, że cyberbezpieczeństwo i ochrona klientów jest ważna i tworzyć z tego wizytówkę danej firmy a także budować przewagę konkurencyjną. Nieraz słyszałem, że cyberbezpieczeństwo trudno się sprzedaję. Może dodatkową konsekwencją pandemii będzie dowartościowanie cyberbezpieczeństwa.
Czy chmura jest największym wygranym pandemii?
Pandemia pozwoliła pokonać pewne opory i przyzwyczajenia, które już się nie zmienią. Oczywiście w instytucjach, które nie są w pełni scyfryzowane nastąpi powolny powrót pracowników do biur, ale nowe możliwości, które się pojawiły będą nadal wykorzystywane. W firmach komercyjnych są nawet pewne przemyślenia, żeby z góry założyć, że część pracowników może pracę wykonywać zdalnie. Rozwiązania chmurowe oczywiście to ułatwiają oraz umożliwiają szukanie oszczędności. Nie chciałbym jednak, żeby wybór rozwiązań chmurowych był bezrefleksyjny i sterowany tylko i wyłącznie ceną. Trzeba patrzeć na całkowite koszty użytkowania chmury w dłuższej perspektywie czasu i firmy powinny rozważać to rozwiązanie porównując je z kosztami własnej infrastruktury.
Wdrażając chmurę trzeba też pamiętać o odpowiednich warunkach kontraktu, który podpisujemy. Czy gwarantują one, dodatkowe zabezpieczenia takie jak firewall, VPN czy szyfrowanie plików w tranzycie i tych przechowywanych w bazach danych? A może zawierają również inne rozwiązania, które przeciwdziałają atakom DDoS? Wiążąc się z jakąś firmą bez tzw. exit planu, czyli potencjalnego planu zmiany dostawcy należy sobie zadać pytanie czy nie generujemy takiego ryzyka, że po prostu uzależniamy się od firmy trzeciej nad którą nie mamy przecież kontroli i może się to okazać problemem. Jeśli dana firma zaczyna mieć kłopoty, to sami możemy stać się ofiarą jej problemów finansowych lub wydajnościowych. Z perspektywy realizacji biznesu musimy potem uwzględniać to, że jesteśmy uzależnieni od dostawcy i w momencie, kiedy zaczyna on podnosić ceny to bardzo trudno jest nam go zmienić na jakiegoś innego. Dlatego przesłanka analizy ryzyka i analizy kosztów całkowitych (w dłuższej perspektywie) zawsze powinna mieć miejsce.
Uważam, że rozwiązania chmurowe będą najczęściej wybierane. Wymagania klientów powinny doprowadzić do tego, aby pewne standardy dotyczące umów po prostu stały się normą. Dostawcy chmury na starcie muszą być kwalifikowani względem spełnienia pewnych wymagań po to, żeby późniejsi użytkownicy i zamawiający mieli gwarancję, że decydując się na rozwiązania chmurowe nie generują dodatkowego ryzyka związanego z uzależnieniem się od dostawcy.
Jak Pan ocenia e-usługi wprowadzane przez administrację państwową w czasie pandemii? Czy zdały one egzamin?
Mieliśmy cały szereg e-usług, które były już wcześniej dostępne i pozwalały na realizowanie spraw urzędniczych bez konieczności odwiedzania instytucji publicznych. Mieliśmy wcześniej zbudowany proces środków identyfikacji elektronicznej, który jest niezbędny do wykorzystania w e-usługach. Były również procesy w urzędach, które były oparte na elektronicznym zarządzaniu dokumentacją, więc pozwalały pracownikom zdalnie załatwiać określone sprawy. Działania podejmowane na przestrzeni ostatnich lat ewidentnie się opłaciły i pokazały, że to miało sens. Pandemia uwydatniła jednak szereg rzeczy do poprawy. Przykładowo proces wydawania profili zaufanych mógłby być jeszcze bardziej przyjazny dla obywatela, warto również wdrożyć kolejne usługi, które pozwoliłby unikać wizyt w urzędach. Jest również ważny projekt na etapie prawnym i implementacyjnym, czyli e-doręczenia, które z kolei pozwolą przenieść korespondencję urzędową do warstwy elektronicznej. Mam nadzieję, że pandemia będzie bodźcem zachęcającym, aby dynamiczniej iść w cyfryzację.