#CyberMagazyn: 2024 rokiem regulacji i wzrostu znaczenia roli CISO

Beata Kwiatkowska jest absolwentką Wyższej Szkoły Zarządzania na kierunku Zarządzanie i Marketing w zakresie zarządzania strategicznego oraz studiów MBA Oxford Brookes University. Ukończyła także studia podyplomowe SGH na kierunku Blockchain, Inteligentne Kontrakty oraz Waluty Cyfrowe oraz Zarządzanie Cyberbezpieczeństwem w Akademii Leona Koźmińskiego.

Z branżą IT Beata związana jest od ponad 25 lat, z czego ostatnia dekada to zdobywanie doświadczenia w obszarze cyberbezpieczeństwa. Pracując dla producentów, dystrybutorów oraz integratora, poznała potrzeby poszczególnych uczestników łańcucha dostaw do klienta końcowego, a także szeroki wachlarz rozwiązań cybersecurity.  

Legitymuje się certyfikatami Audytora Wiodącego systemu ISO 27001, „Zarządzanie cyberbezpieczeństwem – specjalista” wydanym przez PTI oraz Certified in Cybersecurity od (ISC)2.

Społecznie trzecią kadencję aktywnie działa w Radzie Dyrektorów Stowarzyszenia ISSA Polska, odpowiadając za współpracę z Partnerami Wspierającymi. Jest również członkinią organizacji branżowych ISSA International, Społeczności Kobiet w Cyberbezpieczeństwie oraz (ISC)2.

Jest prelegentką na konferencjach cybersecurity oraz członkinią Rady Programowej konferencji SEMAFOR (Security Management Audit Forum).

Zawodowo na pokładzie polskiej firmy Secfense. Kierując się maksymą „To nie korporacje robią biznes, lecz ludzie” uwielbia pracę z ludźmi i dla ludzi.

Zmiany i wyzwania 2024 roku

Oskar Klimczuk, CyberDefence24: Jak podsumowałaby pani rok w branży cyberbezpieczeństwa i nowych technologii?

Beata Kwiatkowska: Wysokopoziomowo wskazałabym na dwa elementy. Pierwszym z nich jest znaczące przyspieszenie rozwoju generatywnej AI, która zrewolucjonizowała sposoby ochrony danych, ale równocześnie stworzyła też nowe ryzyka związane z rosnącym wykorzystaniem generatywnej AI przez cyberprzestępców do tworzenia bardziej wyrafinowanych ataków i automatyzacji ataków.

Drugim jest tzw. „tsunami regulacyjne” - wiele osób w ten sposób określało kumulację nowych unijnych regulacji z zakresu cyberbezpieczeństwa: Aktu o usługach cyfrowych (DSA), AI Act, Ustawy o cyfrowej odporności operacyjnej (DORA) oraz dyrektywy CER i NIS 2, których celem jest wprowadzenie wspólnego dla wszystkich wysokiego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej. Jednak ich mnogość oraz brak jednoznaczności w hierarchii aktów prawnych i ich wzajemnych odniesieniach powodują trudności w interpretacji i wdrożeniu przepisów przez przedsiębiorstwa.

Na co dzień często rozmawiam z szefami bezpieczeństwa, więc podsumowując rok 2024 chciałabym zwrócić uwagę na jeszcze jeden według mnie bardzo istotny (i pozytywny) element, jakim jest wzrost znaczenia cyberbezpieczeństwa w strategii organizacji. To z kolei pociągnęło za sobą znaczącą zmianę również roli CISO (Chief Information Security Officer).  W 2024 roku, aby sprostać dynamicznie zmieniającym się wyzwaniom w obszarze cyberbezpieczeństwa, CISO stali się jednymi z kluczowych liderów organizacji, stając przed koniecznością połączenia kompetencji technicznych, strategicznych i zarządczych.

Rok 2024 podsumowałabym jako pełen wyzwań, w którym zmiany dokonywały się tak szybko, że często trudno było za nimi nadążyć. Wielu rzeczy nie dało się przewidzieć, a to, co działało wczoraj, następnego dnia okazywało się nieskuteczne. Wiele sprzecznych informacji lub sytuacji, w których dwie rzeczy się wykluczają, ale obie wydają się prawdziwe, znacząco utrudniało podejmowanie decyzji i planowanie. Do tego wszystko jest ze sobą powiązane niczym splątanie kwantowe i nic nie istnieje w pełnej izolacji od reszty świata.

Działanie w branży cyberbezpieczeństwa i nowych technologii (choć nie tylko) wymaga elastyczności, otwartości na zmiany i szybkiego reagowania. To świat, w którym planowanie jest ważne, ale równie istotna jest umiejętność dostosowania się do nieoczekiwanych wyzwań.

Jakie najważniejsze zmiany przyniosło ostatnie 12 miesięcy?

• Wzrost liczby i zaawansowania cyberataków, często będących elementem skoordynowanych kampanii prowadzonych przez wyspecjalizowane i zaawansowane technologicznie grupy APT;
• Wzrost znaczenia sztucznej inteligencji - AI stała się zarówno narzędziem wspierającym wykrywanie i przeciwdziałanie zagrożeniom, jak i technologią wykorzystywaną przez cyberprzestępców do tworzenia coraz bardziej wyrafinowanych ataków;
• Rosnące znaczenie bezpieczeństwa łańcucha dostaw, oznaczające konieczność monitorowania i zabezpieczania nie tylko własnych systemów, ale także infrastruktury dostawców i partnerów biznesowych;
• Wprowadzenie aktów prawnych takich jak AI Act, NIS2 czy DORA, które nałożyły dodatkowe obowiązki na podmioty z różnych sektorów, zmuszając je do dostosowania swoich systemów i procedur w celu zapewnienia zgodności z nowymi standardami.

Co okazało się być największym wyzwaniem w 2024 roku w branży cyberbezpieczeństwa w Polsce?

Braki kadrowe (niedobór wykwalifikowanych specjalistów) oraz ograniczenia budżetowe w obszarze cyberbezpieczeństwa (choć to nic nowego, bo z tymi wyzwaniami polskie organizacje mierzą się kolejny rok z rzędu) oraz przygotowanie w terminie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) – powstają kolejne wersje projektu, ale wciąż nie wiadomo kiedy nowe regulacje zostaną przyjęte, mimo upływu terminu ich implementacji (i to właściwie także nic nowego).

Kluczowe incydenty i wydarzenia

Jakie incydenty bezpieczeństwa z 2024 roku wyróżniłby pani jako kluczowe w skali globalnej oraz w Polsce?

W skali globalnej, ze względu na skalę rażenia, wskazałabym incydent spowodowany przez awarię oprogramowania EDR Crowdstrike Falcon, który jasno pokazał jak wielkie znaczenie ma zadbanie o zapewnienie bezpieczeństwa łańcucha dostaw, także w kontekście cyberbezpieczeństwa.

W Polsce cyberatak na Polską Agencję Prasową (PAP), który skutkował publikacją fałszywej depeszy. Incydent ten można analizować wielowymiarowo, natomiast chciałabym zwrócić szczególną uwagę na zachowanie zdecydowanej większości dziennikarzy, redakcji i stacji telewizyjnych, którzy w tej sytuacji jednak wykazali się odpowiedzialnością, nie powielając niezweryfikowanych informacji. Wybrałam ten incydent, bo wyraźnie pokazał jak dużo w przeciwdziałaniu cyberzagrożeniom i dezinformacji zależy od uważności i świadomości człowieka.

Wniosek? Równie istotne jest inwestowanie w nowoczesne i skuteczne technologie wspierające użytkowników (np. passkey), jak i w ich edukację, mającą na celu podnoszenie świadomości zagrożeń, pokazanie metod przeciwdziałania poszczególnym zagrożeniom, ale także uświadomienie, że za cyberbezpieczeństwo odpowiada każdy z nas.

W obu wymiarach, zarówno globalnym jak i lokalnym, w mojej opinii na specjalne wyróżnienie zasłużyły incydenty, w których wektorem ataku były podatności urządzeń do zdalnego dostępu do zasobów organizacji, czyli VPN (Virtual Private Network). Uświadomiły nas, że VPN - technologia która była traktowana jako super bezpieczny sposób na zdalny dostęp do wnętrza organizacji - wcale taka bezpieczna nie jest, a tradycyjne mechanizmy uwierzytelniania są niewystarczające.

Jakie mogą być konsekwencje dostania się cyberprzestępcy do wnętrza firmy przez VPN z pominięciem całej infrastruktury bezpieczeństwa organizacji? Kradzież wrażliwych danych, infekcje ransomware, szpiegostwo przemysłowe, straty finansowe i reputacyjne – to te najbardziej oczywiste. I nie jest to problem marginalny, bo podatności wykryto w urządzeniach VPN takich producentów jak Pulse Secure, Fortinet, Palo Alto Networks czy Citrix.

Co uznałaby pani za najważniejsze wydarzenie w branży w 2024?

Opublikowanie przez Narodowy Instytut Standaryzacji i Technologii (NIST) standardów kryptografii postkwantowej, wyznaczających nowe algorytmy odporne na ataki z użyciem komputerów kwantowych. Wielu ekspertów szacuje, że komputery kwantowe mogą wejść do praktycznego i szerokiego użycia za 10-20 lat, ale warto pamiętać, że cyberprzestępcy mogą uzyskać do nich dostęp szybciej. Dlatego w mojej opinii jest to kluczowy krok w kierunku zabezpieczenia danych w przyszłości, pozwalający się przygotować na erę komputerów kwantowych.

Podjęcie kroków w kierunku instalacji pierwszego w Polsce komputera kwantowego w Poznańskim Centrum Superkomputerowo-Sieciowym (PCSS), która jest planowana na połowę 2025 roku. Dzięki temu Polska, poprzez PCSS, stanie się jednym z sześciu europejskich ośrodków wyposażonych w komputer kwantowy w ramach inicjatywy EuroHPC JU (obok Czech, Niemiec, Hiszpanii, Francji i Włoch). Komputer kwantowy w PCSS ma być dostępny dla naukowców, przemysłu oraz sektora publicznego z całej Europy, umożliwiając zaawansowane badania i rozwój w dziedzinach takich jak medycyna, kryptografia, finanse oraz sztuczna inteligencja. Realizacja tego projektu wzmacnia udział Polski w europejskich badaniach kwantowych i otwiera nowe możliwości w zakresie innowacji technologicznych.

W wymiarze społecznym, biorąc pod uwagę jak Big Techy ignorują regulacje, a Meta nie przejmuje się bezpieczeństwem użytkowników (co pokazała usuwając wpis CERT-u oraz blokując profil Sekuraka, bo ostrzegali przed oszustami działającymi na Facebooku) myślę, że ważnym wydarzeniem ubiegłego roku był wyrok polskiego sądu w sprawie Rafała Brzoski przeciw firmie Meta.

Dla przypomnienia - Rafał Brzoska, prezes InPostu oraz jego żona Omenaa Mensah, podjęli działania prawne przeciwko firmie Meta, właścicielowi Facebooka i Instagrama, w związku z publikacją fałszywych reklam wykorzystujących ich wizerunki bez zgody. Reklamy te zawierały zmanipulowane treści, w tym deepfake’i, rozpowszechniające nieprawdziwe informacje. Polski sąd przyznał im rację, wydając postanowienie zakazujące firmie Meta wyświetlania takich reklam, a złamanie zakazu będzie skutkować nałożeniem kar finansowych na firmę Meta. Jak podkreślił Brzoska - „to postanowienie stanowi krok w kierunku pociągnięcia dużych platform do odpowiedzialności za publikowane treści”. Oby!

Trendy, decyzje i AI

Jakie najważniejsze trendy wskazałaby pani na nadchodzący 2025 rok?

Z pewnością w 2025 r. zagrożenia będą coraz bardziej wyrafinowane, a wykorzystanie AI i technologii deepfake jeszcze bardziej ułatwi zadanie atakującym oraz znacząco zwiększy skuteczność ataków socjotechnicznych, przy jednoczesnym obniżeniu bariery wejścia dla cyberprzestępców, zarówno kompetencji, jak i kosztu ich przygotowania.

Jako jeden z najważniejszych trendów na rok 2025 wskazałabym passkey jako nowoczesny sposób logowania się do kont online bez używania tradycyjnych haseł, a tym samym wsparcie użytkowników w dbaniu o swoje bezpieczeństwo. Zamiast wpisywać hasło, używamy swojego urządzenia, takiego jak telefon, komputer czy klucz bezpieczeństwa, które potwierdzają naszą tożsamość za pomocą odcisku palca, skanu twarzy lub PIN-u. Dzięki zaawansowanemu szyfrowaniu passkey jest sposobem szybkim, wygodnym i odpornym na phishing, a więc zwiększającym nie tylko bezpieczeństwo, ale także wygodę logowania i możliwym do zastosowania także do ochrony tożsamości i danych w chmurze, gdzie wiele firm ostatnio poprzenosiło swoje środowiska.

Drugim istotnym w mojej opinii trendem będzie AI-Driven Threat Intelligence, bo narzędzia oparte na sztucznej inteligencji mogą analizować ogromne zbiory danych, wykrywać wzorce i przewidywać potencjalne zagrożenia z szybkością i dokładnością, której nie dorówna żaden ludzki zespół. Adwersarze oczywiście również wykorzystują sztuczną inteligencję, dlatego bycie o krok przed nimi ma kluczowe znaczenie.

Jako trzeci ważny trend wskazałabym Operational Technology (OT) Security, czyli bezpieczeństwo sieci przemysłowych, zwłaszcza gdy rozpatrujemy ten aspekt w kontekście wojny za naszą wschodnią granicą. W przeciwieństwie do systemów IT, środowiska OT często działają na starszym sprzęcie i oprogramowaniu, co czyni je wyjątkowo podatnymi na ataki. Naruszenie w tym przypadku nie tylko kosztuje, ale może zagrażać życiu.

2025 będzie także rokiem dostosowywania się organizacji do zgodności z regulacjami: AI Actem, Ustawą o cyfrowej odporności operacyjnej (DORA) i dyrektywą NIS 2, mających na celu stworzenie jednolitych standardów ochrony krytycznych branż. Dla organizacji objętych tymi regulacjami zgodność nie jest opcjonalna, a niespełnienie tych standardów będzie prowadzić do wysokich grzywien i utraty reputacji.

Z racji na tegoroczne wybory prezydenckie musimy się przygotować na poważne zagrożenie, jakie niesie ze sobą dezinformacja. Będzie to niełatwe zadanie, bo jest to ogromne wyzwanie nie tylko technologiczne, ale także społeczne, wymagające świadomego zaangażowania wszystkich uczestników tego demokratycznego procesu.
Beata Kwiatkowska

Jaką decyzję z 2024 roku można było podjąć inaczej?

Jestem przekonana, że w organizacjach, które dały się skutecznie zaatakować cyberprzestępcom jest wiele takich decyzji, które zarządy tych organizacji mogły podjąć inaczej…

Jak AI zmieniła dziedzinę, którą pani się na co dzień zajmuje?

ChatGPT i inne rozwiązania AI były jednymi z najbardziej popularnych narzędzi w 2024 roku wśród tzw. zwykłych użytkowników, zachwyconych ich niesamowicie szybkim rozwojem i ogromnym potencjałem ich wykorzystania. Cyberprzestępcy też je uwielbiają!

Eksperci firm zajmujących się analizą zagrożeń pojawiających się w cyberprzestępczym podziemiu potwierdzają, że liczba wątków o ChatGPT lub sztucznej inteligencji na forach cyberprzestępczych uległa podwojeniu od 2023 roku. Cyberprzestępcy nie tylko mówią o sztucznej inteligencji - oni aktywnie wykorzystują narzędzia GenAI do swoich ataków, głównie phishingowych i socjotechnicznych. Generatywna sztuczna inteligencja w rękach cyberprzestępców jest niestety doskonałym narzędziem do tworzenia wiadomości phishingowych, które są niemal nie do odróżnienia od autentycznych, a dodatkowo skutecznie omijają tradycyjne filtry zabezpieczające.

Warto także zwrócić uwagę na ryzyka związane z udostępnianiem poufnych informacji narzędziom generatywnej sztucznej inteligencji, co może zagrażać bezpieczeństwu danych oraz reputacji organizacji.

Dziękujemy za rozmowę.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].