#CyberMagazyn: Cyberbezpieczeństwo w praktyce: jak unikać błędów i wybrać właściwego dostawcę?

Michał Matuszczyk – Kierownik Zespołu Cyberbezpieczeństwa w Centralnym Porcie Komunikacyjnym (CPK), prezes zarządu firmy MSecure specjalizującej się w audytach bezpieczeństwa IT, wykładowca akademicki (SWPS i Vistula), były Dyrektor Departamentu IT i Nowych Technologii w Polskim Holdingu Obronnym. Ekspert z ponad 20-letnim doświadczeniem w zakresie inżynierii sieciowej, cyberbezpieczeństwa oraz zarządzania zespołami IT. Autor wdrożeń w sektorze publicznym i prywatnym, w tym rozwiązań zabezpieczających systemy wysokiej dostępności, infrastruktury hybrydowej oraz procedur zgodnych z ISO 27001. Pasjonat rozwoju technologii ICT i praktyk liderstwa w cyberbezpieczeństwie.

Pierwsza część wywiadu jest dostępna na naszym portalu pod linkiem: Jak chronić systemy ICS/OT? Ekspert CPK ujawnia realne ryzyka

Rola polityk

Oskar Klimczuk, CyberDefence24: Jaka jest rola polityk i norm (np. ISO 27001) w praktyce?

Michał Matuszczyk: Normy takie jak ISO 27001 nie są jedynie formalnością – to systematyczne podejście do zarządzania bezpieczeństwem informacji, które porządkuje wewnętrzne procesy, identyfikuje ryzyka i wdraża odpowiednie mechanizmy kontrolne. W praktyce są one fundamentem budowania dojrzałego systemu zarządzania bezpieczeństwem informacji (ISMS) – niezależnie od tego, czy mówimy o dużej korporacji, jednostce administracji publicznej czy firmie rodzinnej.

ISO 27001 daje strukturę, która pomaga organizacjom przejść od reaktywnego do proaktywnego podejścia do bezpieczeństwa. Zamiast czekać na incydenty, organizacja uczy się identyfikować ryzyka wcześniej, klasyfikować informacje, nadzorować dostęp i stale udoskonalać swoje zabezpieczenia. To narzędzie nie tylko dla działów IT – dobrze wdrożony ISMS integruje się z całą organizacją i staje się częścią jej kultury.

W jednej z firm, w której pracowałem jako konsultant, uporządkowanie polityk dostępu, zarządzania kopiami zapasowymi oraz procedur postępowania z incydentami zgodnie z ISO 27001 pozwoliło nie tylko zwiększyć poziom bezpieczeństwa, ale również skrócić czas obsługi zgłoszeń i zbudować większe zaufanie do działu IT wśród pracowników. Zmniejszyła się też liczba incydentów wynikających z błędów ludzkich – dzięki jasno zdefiniowanym zasadom, szkoleniom i dokumentacji.

Normy są również nieodzownym elementem przy budowaniu wiarygodności organizacji – szczególnie wobec partnerów zagranicznych, w przetargach publicznych czy w kontaktach z instytucjami unijnymi. ISO 27001 to dla wielu partnerów biznesowych warunek konieczny do rozpoczęcia współpracy – potwierdza on bowiem, że organizacja posiada odpowiednie podejście do zarządzania informacją, dba o zgodność z przepisami i potrafi zareagować w sytuacji zagrożenia.

Warto też dodać, że ISO 27001 działa jak katalizator do wdrożenia innych standardów, takich jak ISO 22301 (ciągłość działania), ISO 31000 (zarządzanie ryzykiem) czy ISO 9001 (zarządzanie jakością). Razem tworzą one spójny ekosystem zarządzania, który pozwala organizacji działać skutecznie, bezpiecznie i zgodnie z najlepszymi praktykami.

ISO to nie papierologia – to język organizacyjnego bezpieczeństwa, który w dobrze prowadzonych strukturach staje się codziennym narzędziem zarządzania, a nie tylko odhaczonym punktem na liście audytowej.

Nietrafione decyzje

Jakie decyzje związane z szeroko pojętym cyberbezpieczeństwem mogliśmy podjąć inaczej jako kraj lub Unia Europejska?

Zdecydowanie zbyt późno podjęliśmy próbę centralizacji działań na poziomie krajowym. System CSIRT GOV oraz ustawa o KSC to kroki we właściwym kierunku, ale potrzebujemy więcej – finansowania, kadr, infrastruktury testowej. W kontekście unijnym – brakuje jednolitego, scentralizowanego centrum reagowania na incydenty o charakterze transgranicznym.

Konieczne jest również zbudowanie jednego, zintegrowanego systemu do raportowania incydentów bezpieczeństwa, który byłby dostępny dla wszystkich podmiotów – zarówno publicznych, jak i prywatnych. Taki system powinien nie tylko umożliwiać zgłaszanie zagrożeń, ale także oferować wsparcie analityczne i operacyjne – zgodnie z zasadą partnerstwa państwa z biznesem.

W ramach UKSC mamy trzy sektorowe zespoły CSIRT – GOV, MON i NASK. Choć każdy z nich pełni ważną rolę, to uważam, że jeden wspólny system zgłoszeniowy mógłby skutecznie zintegrować ich działania i stworzyć profesjonalny punkt kontaktowy dla całego kraju. Centralny punkt działający w modelu federacyjnym zapewniłby spójność działania, szybką wymianę informacji i skuteczniejszą koordynację działań.

Taki system umożliwiłby efektywną współpracę wysokiej klasy specjalistów z różnych dziedzin IT i cyberbezpieczeństwa – od threat intelligence po audyty zgodności. Dzięki synergii kompetencji, moglibyśmy osiągnąć nie tylko lepsze wyniki w reagowaniu, ale też dalekosiężne oszczędności – zarówno finansowe, jak i organizacyjne.

Wybór dostawców usług

Jakie są najważniejsze czynniki podczas wyboru dostawcy usług?

Najważniejsze są: doświadczenie, kompetencje zespołu, transparentność procesów oraz gotowość do partnerstwa, a nie tylko sprzedaży. Dla mnie jako lidera bezpieczeństwa istotne jest to, czy dostawca potrafi zaadaptować swoje rozwiązania do specyfiki mojego środowiska, czy potrafi wspierać w rozwoju polityk i procedur, a nie tylko dostarczyć „pudełkowe” rozwiązanie.

Równie ważna jest jakość komunikacji – czy po stronie dostawcy jest osoba odpowiedzialna za projekt, z którą mogę szybko i sprawnie konsultować się w razie pojawienia się problemu. W projektach bezpieczeństwa czas reakcji i przejrzystość działań są kluczowe, dlatego preferuję współpracę z firmami, które posiadają dobrze zdefiniowane SLA (umowa poziomu jakości usług – przyp. red.), jasne zasady eskalacji problemów oraz proces onboardingu klienta.

Zwracam też szczególną uwagę na elastyczność dostawcy – nie każda organizacja ma te same potrzeby. Dla jednej istotne będzie pełne zarządzanie SOC 24/7, dla innej tylko usługa threat intelligence. Dobrzy dostawcy potrafią dopasować ofertę do sytuacji klienta, a nie odwrotnie.

Ważnym kryterium jest również zgodność z przepisami o ochronie danych osobowych, przede wszystkim z RODO. Dobry dostawca powinien nie tylko przetwarzać dane w sposób bezpieczny i zgodny z obowiązującym prawem, ale też rozumieć swoje obowiązki jako procesor danych. To oznacza m.in. prowadzenie rejestrów czynności przetwarzania, posiadanie polityk ochrony danych, wdrożenie mechanizmów ochrony prywatności (privacy by design/by default), jak również gotowość do wspierania administratora danych w realizacji praw osób fizycznych – takich jak: prawo do dostępu, sprostowania, usunięcia czy przeniesienia danych.

Nie bez znaczenia jest również to, czy dostawca korzysta z infrastruktury zlokalizowanej na terenie Unii Europejskiej, czy oferuje wysoką dostępność usług, redundancję oraz czy posiada aktualne procedury zarządzania ciągłością działania i disaster recovery.

W jednym z projektów udało się uniknąć poważnych problemów tylko dlatego, że dostawca usług SOC miał nie tylko doskonały czas reakcji, ale również jasną dokumentację, konsultanta przypisanego do projektu i elastyczne podejście do SLA. To pokazuje, że dobra współpraca to nie tylko technologia, ale też relacje, zaufanie i wspólna odpowiedzialność za bezpieczeństwo całej organizacji – również w kontekście zgodności z przepisami o ochronie danych.

Rola ochrony danych

Dlaczego ochrona danych wrażliwych jest taka ważna?

Dane wrażliwe to fundament zaufania do każdej organizacji. Ich ochrona to nie tylko wymóg prawny – to obowiązek etyczny i element strategicznego zarządzania ryzykiem. W dobie cyfryzacji dane stały się jednym z najcenniejszych aktywów każdej organizacji, a ich kompromitacja może prowadzić do poważnych strat – od finansowych, przez reputacyjne, po prawne konsekwencje wynikające z naruszenia przepisów, np. RODO.

Dane wrażliwe to nie tylko informacje osobowe – to także dane finansowe, projektowe, komunikacja zarządu, dokumentacja dotycząca systemów bezpieczeństwa czy plany inwestycyjne. Ich wyciek może zostać wykorzystany przez konkurencję, cyberprzestępców lub nawet państwa trzecie do szantażu, szpiegostwa gospodarczego czy destabilizacji.

Pracując przy migracjach danych systemów ERP (zarządzanie zasobami przedsiębiorstwa – przyp. red.), EZD (elektroniczne zarządzanie dokumentacją – przyp. red.) czy systemów HR, zawsze zwracam uwagę na klasyfikację informacji, szyfrowanie, kontrolę dostępu i śledzenie aktywności. W jednym przypadku brak szyfrowania kopii zapasowych doprowadził do utraty danych płacowych po ataku ransomware. To kosztowało firmę nie tylko kilkaset tysięcy złotych, ale i relacje z pracownikami.

Kluczowe jest podejście „privacy by design” – czyli myślenie o ochronie danych już na etapie projektowania systemów i procesów. Nie mniej ważna jest kultura organizacyjna – jeśli pracownicy wiedzą, jak rozpoznawać dane wrażliwe, jak je przetwarzać i komu wolno je udostępniać, ryzyko incydentu znacząco spada. Jeżeli pracownicy rozumieją wartość informacji, sami stają się jej strażnikami.

Jak podsumowałby Pan naszą rozmowę?

Na zakończenie: cyberbezpieczeństwo to proces ciągły. To nie jest stan, który raz osiągniemy – to zdolność adaptacji, przewidywania i reagowania. Inwestujmy w ludzi, bo technologia bez człowieka nie będzie skuteczna.

Dziękuję za rozmowę.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].