Wrzucanie okupu w koszty to ślepa uliczka. „Cyberprzestępca nie wystawia faktury”

Materiał sponsorowany

CyberDefence24: Z rządu nie raz już płynęły deklaracje, że polskie firmy „nie będą stały na straconej pozycji” w konkurencji z międzynarodowymi koncernami. Hasło „suwerenność technologiczna” jest odmieniane przez wszystkie przypadki. Wystarczy posłuchać wypowiedzi szefa rządu Donalda Tuska czy wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego. Postawienie na polskie rozwiązania ma być szansą dla lokalnych firm. Jak Pan podchodzi do sygnałów płynących z samego rządu?

Michael Wendrowski, Prezes Zarządu Rublon: Polska jako państwo nie wejdzie na wyższy poziom rozwoju, jeżeli nie wykreuje własnych czempionów międzynarodowych, zwłaszcza technologicznych. Deklaracje płynące z rządu przyjmuję więc z nadzieją, ponieważ sektor publiczny może i powinien odegrać ważną rolę w tym procesie.

Uważam, że polscy producenci, którzy udowodnili jakość swoich rozwiązań, dbają o spełnianie rosnących oczekiwań rynku i konsekwentnie inwestują w rozwój technologiczny, powinni być preferowanym wyborem w zamówieniach publicznych. Przy porównywalnej jakości, technologii, cenie i czasie realizacji państwo powinno świadomie wzmacniać podmioty, które budują wartość w Polsce.

Takie przedsiębiorstwa tworzą nie tylko lokalne miejsca pracy, ale przede wszystkim własność intelektualną, która może zaistnieć w międzynarodowym łańcuchu dostaw i generować w kraju przychody z eksportu. Im więcej takich podmiotów posiada dane państwo, tym bardziej liczy się ono na świecie. Dotyczy to szczególnie sektora technologicznego, w którym przewagi gospodarcze coraz częściej wynikają z własnych produktów, patentów, know-how oraz zdolności do globalnej ekspansji.

Jest to słuszny kierunek dla rozwoju Polski. Liczę na to, że za deklaracjami pójdą konkretne rozwiązania prawne i organizacyjne, które ułatwią wybór rodzimych technologii w zamówieniach publicznych, oczywiście przy zachowaniu wymagań jakościowych i konkurencyjności. Pieniądze publiczne, wypracowywane przecież przez obywateli Polski, powinny w jak największym stopniu pracować na rozwój kraju, a nie wyłącznie finansować zagraniczne łańcuchy wartości.

Jeśli faktycznie deklaracje znajdą odzwierciedlenie w rzeczywistości, co to będzie oznaczało dla branży cyberbezpieczeństwa? Gdzie widzi Pan szanse?

Jeżeli deklaracje znajdą odzwierciedlenie w praktyce, dla branży cyberbezpieczeństwa może to oznaczać istotny impuls rozwojowy. Polska ma realną szansę budować w tym obszarze własne kompetencje, własność intelektualną i produkty technologiczne, które będą konkurować nie tylko w kraju, ale także za granicą.

Największą szansą jest to, że zamówienia publiczne mogą stać się dla polskich producentów ważnym źródłem referencji, przychodów i środków na dalsze inwestycje w B+R. Jeżeli krajowa firma oferuje rozwiązanie porównywalne jakościowo i technologicznie z ofertą międzynarodowego dostawcy, to wybór takiego rozwiązania wzmacnia cały polski ekosystem cyberbezpieczeństwa.

W cyberbezpieczeństwie szczególnie ważne jest też zaufanie. Państwo powinno świadomie wybierać podmioty, którym powierza ochronę krytycznych systemów, danych obywateli i infrastruktury publicznej. Rodzimi producenci, którzy rozwijają technologię w Polsce, zatrudniają tutaj specjalistów i podlegają krajowemu porządkowi prawnemu, mogą być w wielu przypadkach naturalnym wyborem dla sektora publicznego.

Wyzwania stojące przed polskimi firmami

A jeśli chodzi o zagrożenia? Na co zwróciłby Pan uwagę?

Zagrożeniem byłoby natomiast sprowadzenie tej idei do prostych preferencji, bez wymagań jakościowych i technologicznych. Preferencja dla krajowych dostawców powinna premiować realną wartość dodaną, innowacyjność, otwarte standardy, możliwość integracji oraz zdolność dalszego rozwoju produktu. W przeciwnym razie można stworzyć ryzyko vendor lock-in albo finansować rozwiązania, które nie nadążają za rynkiem.

To duża szansa, ale pod warunkiem, że państwo będzie premiowało jakość, dojrzałość technologiczną i krajową wartość dodaną. Wtedy zamówienia publiczne mogą pomóc w budowie polskich czempionów cyberbezpieczeństwa.

Z jakimi problemami mierzą się obecnie firmy z branży cyber? Brakuje głównie „dźwigni” finansowej, a może słabym punktem są kwestie regulacyjne?

Prawdopodobnie największym wyzwaniem są dziś rosnące koszty pozyskania klienta, czyli CAC. Koszty marketingu i sprzedaży rozwiązań cyberbezpieczeństwa rosną bardzo szybko, a rynek jest coraz bardziej konkurencyjny. Wynika to nie tylko z dużej liczby startupów i dojrzałych produktów, ale także z ogromnej liczby firm usługowych działających w tym obszarze. W niektórych segmentach wiele podmiotów komunikuje podobną wartość, więc coraz trudniej jest się przebić do klienta. Z tego powodu producent rozwiązania cyber powinien budować silny kanał partnerski, ponieważ współpraca z integratorami zwiększa szanse na skuteczne dotarcie do rynku.

Kolejnym wyzwaniem jest budowanie trwałych przewag technologicznych. Rozwiązania cyber muszą stale dostosowywać się do technologii, które mają chronić, a te zmieniają się bardzo dynamicznie. Bez ciągłych inwestycji w B+R producent nie ma szans na długoterminowe utrzymanie konkurencyjności. Najcenniejsze wyniki B+R wypracowuje zazwyczaj doświadczona kadra, a specjaliści z zakresu cyberbezpieczeństwa są pożądani globalnie. Polskim producentom niełatwo jest konkurować o takich ekspertów z ofertami największych podmiotów zagranicznych, zwłaszcza amerykańskich. Ulga podatkowa B+R jest pomocna, ale nie rozwiązuje całego problemu finansowania rozwoju technologicznego.

Część klientów oczekuje dziś „jednego panelu” do zarządzania cyberbezpieczeństwem, co sprzyja konsolidacji platform i utrudnia przekonanie klienta do wdrożenia kolejnego narzędzia. Dlatego rozwiązania cyber powinny dobrze integrować się z innymi elementami środowiska technologicznego klienta. Udokumentowane API, wsparcie popularnych standardów i dobra współpraca z integratorami stają się w praktyce równie ważne, jak sama funkcjonalność produktu.

Dźwignia finansowa może być zdrowym narzędziem, o ile producent korzysta z niej w przemyślany sposób, rozumie oczekiwania klientów i potrafi przewidywać kierunek rozwoju rynku. Zewnętrzne finansowanie może przyspieszyć rozwój produktu, ekspansję zagraniczną i budowę kanału partnerskiego. Jest to szczególnie ważne, ponieważ sprzedaż rozwiązań cyberbezpieczeństwa często odbywa się właśnie przez partnerów. Budowy takich relacji nie da się w pełni zautomatyzować, ponieważ w dużej mierze opiera się ona na zaufaniu, kompetencjach i pracy ludzi. Na rynkach zachodnich koszt pozyskania klienta potrafi być wielokrotnie wyższy niż w Polsce, więc globalna ekspansja wymaga znaczących środków.

Regulacje dotyczące cyberbezpieczeństwa są jednocześnie szansą i kosztem. Z jednej strony mogą zwiększać popyt na profesjonalne rozwiązania, ponieważ organizacje muszą spełniać coraz wyższe wymagania. Z drugiej strony sami producenci również muszą ponosić nakłady na zgodność, certyfikacje, dokumentację i bezpieczeństwo własnych procesów. Regulacje mogą być żyłą złota dla producentów rozwiązań cyber, pod warunkiem, że posiadają oni dojrzałość organizacyjną i technologiczną potrzebną do spełnienia rosnących wymagań rynku.

Jakie warunki muszą spełnić krajowi dostawcy, aby nie zamienić „preferencji” w protekcjonizm, który podniósłby ryzyko vendor-lock-in?

Ryzyko vendor lock-in faktycznie może się pojawić, więc powinno zostać ograniczone już na etapie definiowania wymagań. Preferencja dla krajowego dostawcy nie może oznaczać rezygnacji z jakości, otwartości i możliwości dalszego rozwoju. Powinna premiować tych producentów, którzy oferują realną wartość technologiczną i nie zamykają klienta w swoim ekosystemie.

W praktyce wybrane rozwiązania powinny wspierać otwarte standardy, posiadać dobrze udokumentowane API oraz umożliwiać integrację z innymi narzędziami wykorzystywanymi przez klienta. Integracje nie powinny być sztucznie blokowane, a eksport danych powinien być możliwy w neutralnych formatach, takich jak JSON czy CSV. Ważna jest również historia rozwoju technologicznego producenta, ponieważ pokazuje ona, czy dane rozwiązanie ma szansę być konsekwentnie rozwijane w przyszłości.

Na przykładzie Rublon MFA wszystkie te warunki są spełnione. Wspieramy otwarte standardy i protokoły wykorzystywane w integracjach uwierzytelniających, takie jak LDAP, RADIUS czy SAML, oferujemy publicznie dostępną dokumentację Rublon API oraz opisane sposoby integracji z licznymi rozwiązaniami innych producentów. Umożliwiamy również eksport danych poprzez API i neutralne formaty. Od lat rozwijamy naszą technologię w rosnącym tempie, ponieważ zależy nam na zbudowaniu międzynarodowego czempiona, a nie wyłącznie na obsłudze rynku krajowego. Dzisiaj obsługujemy klientów w ponad 50 państwach.

Najlepszą ochroną przed protekcjonizmem jest wymaganie od krajowych dostawców tego samego, czego oczekiwalibyśmy od globalnych liderów: jakości, bezpieczeństwa, otwartych standardów, dobrych możliwości integracji i konsekwentnego rozwoju produktu.

Służba zdrowia pod presją cyberataków

Ministerstwo Zdrowia stawia na cyfryzację ochrony zdrowia. Na ten cel przeznaczono m.in. ponad 3,1 mld zł, które pochodzić będą z KPO. Pana zdaniem, mówimy o pieniądzach, które pozwolą poprawić sytuację w tym niezwykle ważnym sektorze?

Ochrona zdrowia od zawsze boryka się z dylematem przeznaczania środków finansowych na działania mające bezpośredni wpływ na zdrowie pacjentów oraz na działania wspomagające ten cel pośrednio. Do tego drugiego obszaru tradycyjnie zaliczano cyberbezpieczeństwo. Uważam jednak, że wraz z postępującą cyfryzacją szpitali ta granica staje się coraz mniej oczywista. Jeżeli placówka nie ma dostępu do systemu HIS, dokumentacji medycznej, rejestracji, wyników badań lub komunikacji z laboratorium, to problem cyberbezpieczeństwa bardzo szybko staje się problemem organizacji leczenia.

Kwota ponad 3,1 mld zł może realnie poprawić sytuację w ochronie zdrowia, o ile środki zostaną przeznaczone nie tylko na zakup nowych systemów i rozwój e-usług, ale również na zabezpieczenie tej infrastruktury. Cyfryzacja bez cyberbezpieczeństwa zwiększa powierzchnię ataku. Im więcej systemów online, integracji i zdalnych dostępów, tym większa potrzeba ochrony tożsamości, dostępu oraz ciągłości działania.

Sądzę, że bez takiego naboru wiele placówek mogłoby sobie nie poradzić z narastającymi wyzwaniami technologicznymi. Przy okazji nadmienię, że niejeden szpital dzięki dostępności środków publicznych był w stanie wzmocnić bezpieczeństwo swojej infrastruktury informatycznej, stosując rozwiązanie Rublon MFA. Jest to dobry przykład inwestycji, która nie konkuruje z leczeniem pacjentów, lecz chroni możliwość jego bezpiecznej i nieprzerwanej realizacji.

Na naszych łamach regularnie opisujemy incydenty w m.in. ochronie zdrowia. Trzeba powiedzieć wprost: celem cyberataków są również polskie szpitale i placówki ochrony zdrowia. Motywacje sprawców są różne, lecz zagrożenia wynikające z incydentu są wszędzie równie poważne. Jakie rodzaje ataków najczęściej występują w przypadku polskiej służby zdrowia?

W przypadku polskiej służby zdrowia szczególnie dotkliwym zagrożeniem pozostaje ransomware, ponieważ taki atak może bezpośrednio sparaliżować pracę placówki. Zaszyfrowanie systemów, odcięcie personelu od dokumentacji medycznej lub zablokowanie części procesów administracyjnych może bardzo szybko przełożyć się na bezpieczeństwo pacjentów. Coraz częściej ransomware jest też połączony z wcześniejszą kradzieżą danych i próbą szantażu.

Bardzo częstym wektorem pozostaje phishing wymierzony w personel medyczny i administracyjny. Przestępcy próbują przejmować konta pocztowe, dostęp do VPN, RDP, systemów wewnętrznych, kont uprzywilejowanych oraz paneli wykorzystywanych przez dostawców. W praktyce wiele poważnych incydentów zaczyna się od przejęcia loginu i hasła, więc trudno przecenić znaczenie silnego uwierzytelniania.

Istotnym obszarem ryzyka są również ataki na systemy szpitalne, w tym systemy HIS i aplikacje gabinetowe. Problemem bywają podatności, słabe hasła, błędne konfiguracje, brak segmentacji sieci oraz zbyt szerokie uprawnienia użytkowników. Do tego dochodzą ataki przez podmioty trzecie, czyli dostawców oprogramowania, serwisantów, integratorów i firmy utrzymujące infrastrukturę. Szpital nie działa jako samotna wyspa, lecz jest elementem większego łańcucha dostaw technologicznych.

Nie można pomijać urządzeń medycznych oraz systemów wspierających diagnostykę. Często są to środowiska trudniejsze do aktualizacji, działające przez wiele lat i krytyczne dla funkcjonowania placówki. Występują też ataki DDoS na rejestracje, portale pacjenta i systemy publiczne. Ich celem nie musi być kradzież danych, lecz zakłócenie dostępności usług.

Dane medyczne mają szczególną wartość, ponieważ zawierają nie tylko dane osobowe, ale też informacje o stanie zdrowia, historii leczenia, lekach, wizytach i wynikach badań. Mogą być wykorzystywane do szantażu, fraudów, fałszywych rozliczeń, nadużyć ubezpieczeniowych lub profilowania ofiar. Z tego powodu cyberatak na placówkę medyczną nie jest wyłącznie problemem działu IT. Jest to ryzyko dla ciągłości leczenia i bezpieczeństwa pacjentów.

W tym kontekście jednym z kluczowych działań jest ograniczenie ryzyka przejęcia kont. MFA powinno chronić nie tylko VPN, RDP i pocztę, ale także aplikacje webowe. Rublon App Shield umożliwia dodanie odpornego na phishing MFA przed dowolną aplikacją webową kontrolowaną przez klienta, bez konieczności modyfikowania jej kodu. W takim modelu można zabezpieczać również webowe systemy szpitalne HIS.

Cyberbezpieczeństwo musi być fundamentem w szpitalach

Dlaczego MFA jest krytycznym elementem „hygiene layer”, zanim szpitale sięgną po droższe narzędzia klasy XDR czy SOAR?

MFA jest jednym z najważniejszych elementów podstawowej higieny cyberbezpieczeństwa, ponieważ ogranicza ryzyko jednego z najczęstszych scenariuszy ataku, czyli przejęcia konta użytkownika. W realiach szpitala takie konto może dawać dostęp do poczty, VPN, systemu HIS, aplikacji administracyjnych, dokumentacji medycznej albo dostępu serwisowego wykorzystywanego przez dostawcę zewnętrznego. Jeżeli dostęp do tych systemów chroni wyłącznie hasło, to nawet bardzo drogie narzędzia klasy XDR czy SOAR nie rozwiązują podstawowego problemu.

Uważam, że szpitale powinny najpierw zabezpieczyć najważniejsze punkty wejścia do swojej infrastruktury. MFA nie zastępuje monitoringu bezpieczeństwa, segmentacji sieci, kopii zapasowych czy procedur reagowania na incydenty, ale znacząco zmniejsza prawdopodobieństwo skutecznego przejęcia konta. Tym samym podnosi koszt ataku po stronie cyberprzestępcy. Samo wykradzione hasło przestaje wystarczać do uzyskania dostępu.

Rozwiązania klasy XDR i SOAR są bardzo wartościowe, lecz mają największy sens wtedy, gdy organizacja posiada już uporządkowane fundamenty. W przeciwnym razie szpital inwestuje w zaawansowane wykrywanie i automatyzację reakcji, pozostawiając jednocześnie otwarte najprostsze drzwi wejściowe. To trochę tak, jakby montować zaawansowany system alarmowy w budynku, w którym część drzwi nadal zamyka się na prosty, łatwy do skopiowania klucz.

Warto też podkreślić, że nie każde MFA zapewnia taki sam poziom bezpieczeństwa. Coraz większe znaczenie ma MFA odporne na phishing, czyli takie, które nie opiera bezpieczeństwa wyłącznie na haśle i podatnych na wyłudzenie kodach jednorazowych. W przypadku placówek ochrony zdrowia jest to szczególnie ważne, ponieważ personel działa pod presją czasu, korzysta z wielu systemów i jest częstym celem ataków socjotechnicznych.

Dlatego MFA traktuję jako warstwę obowiązkową, którą należy wdrożyć przed budową bardziej złożonego ekosystemu bezpieczeństwa. Najpierw trzeba ograniczyć ryzyko przejęcia tożsamości cyfrowej użytkowników, a dopiero później rozwijać zaawansowane narzędzia detekcji, korelacji zdarzeń i automatyzacji reakcji.

Jak zachęcić dyrektorów szpitali, by uwzględnili cyber w planach inwestycyjnych?

Dyrektorów szpitali należy zachęcać przede wszystkim argumentem ciągłości leczenia, a nie wyłącznie argumentem technologicznym. Cyberbezpieczeństwo w ochronie zdrowia nie jest dodatkiem do informatyki, tylko warunkiem bezpiecznego funkcjonowania placówki. Jeżeli atak ransomware zablokuje system HIS, dostęp do dokumentacji medycznej, rejestrację lub komunikację z laboratorium, to problem bardzo szybko przestaje być problemem działu IT, a staje się problemem organizacji leczenia pacjentów.

Wnioski KPO są dobrą okazją do nadrobienia zaległości, które w wielu placówkach narastały przez lata. Szpitale naturalnie koncentrują się na wydatkach bezpośrednio widocznych dla pacjenta, takich jak sprzęt medyczny, remonty czy cyfryzacja procesów. Trzeba jednak pamiętać, że cyfryzacja bez cyberbezpieczeństwa zwiększa powierzchnię ataku. Każdy nowy system online, integracja, portal pacjenta lub zdalny dostęp powinien mieć przewidzianą odpowiednią ochronę.

Uważam, że cyber powinien być traktowany jako element obowiązkowy każdego projektu cyfryzacyjnego. Jeżeli szpital składa wniosek na nowe systemy, modernizację infrastruktury lub rozwój e-usług, to równolegle powinien uwzględnić środki na MFA, kopie zapasowe, segmentację sieci, monitoring, aktualizacje, szkolenia personelu oraz procedury reagowania na incydenty. Koszt wdrożenia podstawowych zabezpieczeń jest zwykle znacznie niższy niż koszt przestoju szpitala, odtwarzania systemów po incydencie, obsługi kryzysu i utraty reputacji.

Pomocne byłyby również proste rekomendacje i listy kontrolne dla dyrektorów, pokazujące minimalny, rozsądny zakres zabezpieczeń. Nie każdy szpital musi od razu budować zaawansowane centrum operacji bezpieczeństwa, ale każdy powinien chronić najważniejsze punkty wejścia do infrastruktury. Do takich podstaw należy MFA dla poczty, VPN, RDP, kont administracyjnych oraz aplikacji webowych, w tym webowych systemów szpitalnych.

Dyrektorów szpitali należy więc przekonywać językiem ryzyka klinicznego, finansowego i organizacyjnego. Cyberbezpieczeństwo nie konkuruje z leczeniem pacjentów o środki. Chroni ciągłość działania placówki, a przez to możliwość bezpiecznego leczenia pacjentów w sytuacji ataku.

Cyberataki na polskie organizacje. Inwestuj w cyberbezpieczeństwo

Grupy ransomware nie próżnują. To jedno z głównych źródeł zagrożeń dla polskich organizacji. Tego typu ataków jest coraz więcej. Wspomnieliśmy już o ochronie zdrowia, ale jakie jeszcze inne sektory są nękane przez cyberprzestępców?

Cyberprzestępcy atakują praktycznie wszystkie sektory, ale szczególnie często uderzają tam, gdzie przestój szybko powoduje duże straty finansowe, chaos organizacyjny lub presję społeczną. Ransomware nie jest więc problemem wyłącznie ochrony zdrowia. Jest to model przestępczy nastawiony na wymuszenie płatności od podmiotu, który nie może sobie pozwolić na dłuższą niedostępność systemów.

Poza szpitalami wskazałbym przede wszystkim administrację publiczną i samorządy. Urzędy, jednostki komunalne, szkoły oraz podmioty obsługujące mieszkańców posiadają dużo danych, świadczą usługi publiczne i często dysponują ograniczonymi zasobami IT. To czyni je atrakcyjnym celem dla przestępców.

Drugim ważnym obszarem jest przemysł, produkcja, transport i logistyka. W tych sektorach nawet krótki przestój może zatrzymać linię produkcyjną, opóźnić dostawy albo zaburzyć cały łańcuch dostaw. Z perspektywy grup ransomware jest to bardzo wygodna sytuacja, ponieważ presja na szybkie przywrócenie działania jest ogromna.

Kolejną grupą są firmy z sektora finansowego, ubezpieczeniowego, handlowego oraz e-commerce. Posiadają one wartościowe dane klientów, obsługują płatności i są silnie zależne od dostępności systemów. Atak ransomware może w ich przypadku uderzyć zarówno w operacje, jak i w reputację.

Nie można też pomijać sektora edukacji, uczelni, instytutów badawczych oraz firm technologicznych. Te organizacje posiadają dane osobowe, własność intelektualną, wyniki badań oraz dostęp do środowisk, które mogą być później wykorzystane do ataku na inne podmioty. Szczególnie istotne są firmy IT, integratorzy i dostawcy usług, ponieważ przejęcie jednego takiego podmiotu może otworzyć drogę do wielu jego klientów.

Grupy ransomware szczególnie często wybierają organizacje, które posiadają wartościowe dane, są zależne od ciągłości działania i mają złożoną infrastrukturę technologiczną. W praktyce oznacza to, że zagrożenie dotyczy nie tylko największych podmiotów, ale również średnich firm, samorządów, szkół, dostawców usług i organizacji działających w łańcuchach dostaw większych przedsiębiorstw.

Dlaczego – Pana zdaniem – pomimo rekordowych kar GDPR i głośnych incydentów, wciąż wiele firm w Polsce nie stosuje MFA do krytycznych systemów?

Powodów jest kilka. Pierwszym jest przekonanie, że skoro firma nie miała jeszcze poważnego incydentu, to ryzyko jest teoretyczne. Jest to błędne podejście, ponieważ brak incydentu w przeszłości nie oznacza odporności na incydent w przyszłości. Często oznacza jedynie, że organizacja miała szczęście albo jeszcze nie wie, że doszło do kompromitacji.

Drugim powodem jest traktowanie MFA jako dodatkowej niedogodności dla użytkowników, a nie jako podstawowego elementu bezpieczeństwa. Część organizacji obawia się oporu pracowników, komplikacji wdrożenia albo spadku wygody pracy. Tymczasem dobrze wdrożone MFA nie musi być uciążliwe i może znacząco zmniejszyć ryzyko przejęcia kont bez istotnego wpływu na codzienną pracę użytkowników.

Trzecim problemem jest niedoszacowanie roli tożsamości cyfrowej. Wiele firm inwestuje w firewalle, antywirusy, backupy albo narzędzia monitorujące, ale nadal dopuszcza sytuację, w której dostęp do krytycznego systemu chroni wyłącznie hasło. Tymczasem przejęcie konta użytkownika lub administratora jest jedną z najprostszych dróg wejścia do organizacji. Hasło może zostać wyłudzone, odgadnięte, kupione na czarnym rynku lub ponownie użyte po wycieku z innego serwisu.

Istotna jest też kwestia odpowiedzialności. Dopóki cyberbezpieczeństwo jest postrzegane wyłącznie jako zadanie działu IT, dopóty podstawowe decyzje bezpieczeństwa bywają odkładane na później. MFA dla krytycznych systemów powinno być decyzją zarządczą, ponieważ dotyczy ciągłości działania firmy, ochrony danych klientów, reputacji oraz ryzyka regulacyjnego.

Rekordowe kary związane z RODO i głośne incydenty działają na wyobraźnię, ale często tylko przez krótki czas. Po kilku tygodniach organizacja wraca do bieżących priorytetów, jeżeli nie ma wewnętrznego właściciela tematu oraz konkretnego planu wdrożenia. Problemem nie jest więc brak świadomości samego istnienia MFA, ale brak konsekwencji w uznaniu go za warstwę obowiązkową. Każda firma posiadająca krytyczne systemy, dane klientów, dostęp zdalny lub konta uprzywilejowane powinna traktować MFA jako podstawę, a nie jako opcjonalne rozszerzenie bezpieczeństwa.

Organizacje na różne sposoby podchodzą do żądanego przez cyberprzestępców okupu. Jedne nie płacą, inne decydują się na taki krok i kombinują, jak go ująć w służbowym Excelu. Pana zdaniem scenariusz „zapłać, a okup zaklasyfikujesz jako koszt podatkowy” ma sens z perspektywy polskich realiów prawnych?

Nie budowałbym żadnej strategii reagowania na ransomware wokół założenia, że „zapłacimy okup, a później jakoś ujmiemy go podatkowo”. Jest to bardzo ryzykowne podejście zarówno organizacyjnie, prawnie, jak i etycznie. Cyberprzestępca nie wystawia faktury, nie daje gwarancji odzyskania danych i nie podpisuje wiarygodnej umowy o poufności. Trudno więc traktować taki przepływ pieniędzy jak zwykły koszt prowadzenia działalności.

Z perspektywy polskich realiów prawnych sprawa nie jest zero-jedynkowa, ale właśnie dlatego wymaga szczególnej ostrożności. Teoretycznie przedsiębiorca może próbować argumentować, że działał w celu zabezpieczenia źródła przychodów lub ograniczenia strat. W praktyce pojawia się jednak wiele poważnych pytań: komu faktycznie przekazano środki, czy odbiorca nie znajduje się na listach sankcyjnych, czy płatność nie narusza przepisów AML, czyli dotyczących przeciwdziałania praniu pieniędzy, lub innych regulacji związanych z finansowaniem działalności przestępczej, jak udokumentować taki wydatek oraz czy organ podatkowy uzna go za racjonalny i należycie wykazany.

Uważam, że scenariusz „zapłać, a później zaklasyfikuj okup jako koszt podatkowy” nie powinien być traktowany jako rozsądny element zarządzania ryzykiem. Może on wręcz tworzyć niebezpieczną zachętę do finansowania kolejnych ataków. Jeżeli przestępcy widzą, że ofiary płacą, to ten model biznesowy staje się dla nich jeszcze bardziej opłacalny.

Znacznie lepiej jest planować koszty, które można obronić biznesowo, prawnie i technicznie: MFA, kopie zapasowe, segmentację sieci, monitoring, testy odtwarzania, szkolenia, audyty, ubezpieczenie cyber oraz gotowy plan reagowania na incydenty. To są wydatki, które realnie zmniejszają ryzyko i wzmacniają odporność organizacji.

Okup nie powinien być traktowany jako zwykły koszt prowadzenia biznesu, lecz jako skrajny scenariusz kryzysowy, którego organizacja powinna próbować uniknąć przez wcześniejsze inwestycje w odporność. Oczywiście w sytuacji kryzysowej każda organizacja będzie działała pod ogromną presją, ale decyzja o płatności powinna być konsultowana z prawnikami, specjalistami od cyberbezpieczeństwa, ubezpieczycielem i właściwymi służbami. Nie powinien to być temat rozwiązywany wyłącznie księgową kwalifikacją wydatku.

Bezhasłowe, bezagentowe MFA

Pana firma – Rublon – otrzymała dofinansowanie w wysokości 3,6 mln zł na projekty dotyczące bezhasłowych, bezagentowych MFA odpornych na phishing. Może Pan zdradzić jakie technologie rozwijacie?

W dzisiejszych czasach bezpieczeństwo informatyczne rozpoczyna się od tożsamości cyfrowej użytkownika. Z tego powodu w ramach Rublon MFA skupiamy się na ochronie procesu uwierzytelniania oraz dostępu do systemów przedsiębiorstwa.

W projekcie B+R, współfinansowanym ze środków Unii Europejskiej, prowadzimy badania nad technologiami związanymi z bezhasłowym i bezagentowym MFA odpornym na phishing. Celem jest umożliwienie wdrażania silnego uwierzytelniania w praktycznie każdym środowisku technologicznym oraz przed dowolnym istotnym punktem styku użytkownika z technologią przedsiębiorstwa.

Dotyczy to zarówno aplikacji webowych, systemów wewnętrznych, dostępu zdalnego, narzędzi administracyjnych, jak i innych zasobów wykorzystywanych przez organizację. Szczególny nacisk kładziemy na odporność na phishing, ponieważ klasyczne hasła są jednym z najsłabszych elementów bezpieczeństwa. Mogą zostać wyłudzone, przechwycone, ponownie użyte po wcześniejszym wycieku lub kupione na czarnym rynku.

Prowadzimy więc badania nad rozwiązaniami, w których uwierzytelnianie użytkownika w coraz większym stopniu odchodzi od hasła na rzecz mechanizmów odpornych na phishing. Naszym celem jest zwiększenie bezpieczeństwa dostępu bez zwiększania złożoności po stronie klienta. MFA powinno być skuteczne, odporne na współczesne ataki i możliwe do wdrożenia w realnych, często złożonych środowiskach przedsiębiorstw.

Co powinniśmy rozumieć pod pojęciem „bezagentowe” z punktu widzenia administratora dużej organizacji?

Z punktu widzenia administratora dużej organizacji bezagentowość oznacza możliwość egzekwowania MFA tam, gdzie nie da się skutecznie polegać na agencie zainstalowanym na urządzeniu końcowym. Dotyczy to zwłaszcza narzędzi administracyjnych, aplikacji webowych, systemów wewnętrznych oraz punktów dostępu, w których podejście agentowe nie daje wystarczającej szczelności albo nie może zostać skutecznie zastosowane.

Dzięki podejściu bezagentowemu można egzekwować MFA bliżej samego punktu dostępu, zanim użytkownik uzyska dostęp do aplikacji, systemu lub narzędzia administracyjnego. W praktyce pozwala to zwiększyć szczelność zabezpieczeń w całej infrastrukturze, ponieważ ochrona nie zależy wyłącznie od tego, czy na danym komputerze działa właściwy agent, czy jest aktualny i czy nie został ominięty.

Oczywiście część organizacji może nadal wykorzystywać agentów równolegle do rozwiązań bezagentowych, na przykład ze względu na określony user experience albo specyficzne wymagania środowiska. Nie traktowałbym więc tego jako całkowicie wykluczających się modeli. Kluczowe jest jednak to, że bezagentowe MFA pozwala objąć ochroną szerszy zakres infrastruktury.

Dla administratorów ma to również znaczenie operacyjne. Skupienie się na wdrożeniu bezagentowym obniża złożoność integracji i utrzymania, ponieważ nie trzeba instalować, aktualizować i diagnozować dodatkowego oprogramowania na każdym urządzeniu końcowym. W dużych organizacjach, posiadających wiele typów urządzeń, systemów i użytkowników, jest to istotna przewaga.

Kiedy Pana zdaniem rynek dojrzenie do pełnej rezygnacji z haseł? To perspektywa 3-5 lat czy nawet dekady?

Uważam, że pełna rezygnacja z haseł to raczej perspektywa dekady niż 3 do 5 lat. W ciągu najbliższych kilku lat zobaczymy natomiast znaczący wzrost wdrożeń passwordless, czyli uwierzytelniania bezhasłowego, w wybranych obszarach. Dotyczy to zwłaszcza kont uprzywilejowanych, dostępu zdalnego, systemów o krytycznym znaczeniu oraz organizacji regulowanych. Pełne odejście od haseł w całej organizacji jest znacznie trudniejsze niż wdrożenie MFA dla najważniejszych systemów.

Powodów jest kilka. Po pierwsze, wiele firm w Polsce nadal posiada systemy legacy, czyli starsze rozwiązania, które nie były projektowane z myślą o nowoczesnych mechanizmach uwierzytelniania bezhasłowego. Po drugie, organizacje muszą rozwiązać kwestie odzyskiwania dostępu, pracy na współdzielonych stanowiskach, rotacji pracowników, integracji z wieloma aplikacjami oraz edukacji użytkowników. Po trzecie, część rynku nadal traktuje MFA jako projekt dodatkowy, a nie jako podstawę bezpieczeństwa.

Sądzę, że realistyczny scenariusz będzie etapowy. Najpierw firmy będą wdrażały MFA, następnie MFA odporne na phishing, a dopiero później będą konsekwentnie ograniczały użycie haseł. W praktyce oznacza to, że przez wiele lat będziemy funkcjonować w modelu hybrydowym. Hasła nie znikną od razu, ale będą coraz częściej odsuwane na dalszy plan albo zabezpieczane dodatkowymi mechanizmami.

Najbardziej dojrzałe organizacje mogą przejść na passwordless w wybranych obszarach już w perspektywie następnych paru lat. Dotyczy to zwłaszcza firm technologicznych, sektora finansowego, dużych organizacji z rozwiniętym IT oraz podmiotów, które mają silną presję regulacyjną. Natomiast masowy rynek, w tym wiele MŚP, samorządów, szkół i placówek ochrony zdrowia, będzie potrzebował więcej czasu.

Najbliższe lata nie będą jeszcze końcem haseł, lecz początkiem ich systematycznego wypierania. Najważniejsze jest to, aby organizacje nie czekały na idealny moment, tylko już teraz chroniły krytyczne systemy MFA, najlepiej odpornym na phishing. Passwordless jest celem, ale pierwszym praktycznym krokiem powinno być ograniczenie ryzyka przejęcia konta.

Dziękuję za rozmowę.