Cyberbezpieczeństwo made in Europe: odpowiedź na globalną niepewność

Materiał sponsorowany

W obliczu dynamicznych zmian geopolitycznych, a co za tym idzie narastającej nieprzewidywalności globalnych łańcuchów dostaw, rosnących cyberzagrożeń i erozji zaufania do sojuszników, autonomia technologiczna stała się koniecznością. 

Jej praktyczny wymiar ujawnia się chociażby w wyzwaniach związanych z ochroną infrastruktury krytycznej: od sieci energetycznych po systemy ochrony zdrowia.

Rozmowa z Pawłem Śmigielskim, dyrektorem krajowym Stormshield, rzuca światło na realia zabezpieczania systemów przemysłowych, które często nie były projektowane z myślą o współczesnych zagrożeniach.

W wywiadzie szukamy także odpowiedzi na pytanie, jak europejskie certyfikaty i przewidywalność cyklu życia produktów budują zaufanie w sektorach o najwyższym rygorze bezpieczeństwa. Przyglądamy się też nadchodzącym zmianom prawnym w ramach nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która rzuca wyzwanie blisko 40 tysiącom polskich organizacji, zmuszając je do przedefiniowania swojego podejścia do odporności cyfrowej. 

Suwerenność cyfrowa: konieczność, nie wybór

Zuzanna Sadowska, CyberDefence24: „Suwerenność cyfrowa” to pojęcie, które odmieniamy dziś przez wszystkie przypadki. Jak jej znaczenie zmienia się w zależności od skali? Co oznacza dla europejskiej firmy jak Airbus, polskiej filii Stormshield i dla Pana?

Paweł Śmigielski, Country Manager Polska w Stormshield: Może w gwoli wyjaśnienia powiem, że Stormshield jest częścią grupy Airbus, która powstała jako konsorcjum francuskich, niemieckich, brytyjskich i hiszpańskich firm. Można więc powiedzieć, że europejskość jest w naszym DNA.

To bardzo ważne ze względu na szeroką działalność firmy: Airbus działa w sektorze lotniczym i kosmicznym, a do tego oferuje technologie zarówno cywilne, jak i militarne. Firma rozwija systemy cyberbezpieczeństwa poprzez Airbus Cyber, oferując usługi oraz rozwiązania, m.in. platformę Cyber Range do symulacji zagrożeń.

Z tego punktu widzenia kwestia suwerenności może być rozpatrywana na kilku płaszczyznach. Jest to zarówno kontrola nad technologią (uniezależnianie się od zewnętrznych dostawców), jak i nacisk na ochronę danych, a szczególnie wypracowywany przez dekady know-how firmy.

Częścią suwerenności jest też zachowanie zgodności z europejskimi regulacjami (ochrona danych czy szeroko pojęte zabezpieczenia - red.). Namacalnym przykładem jest chociażby już dostępna publicznie informacja, że grupa Airbus planuje przeniesienie swoich kluczowych, krytycznych systemów i aplikacji do europejskiej chmury. 

To wielka szansa dla europejskich firm.

Słuszna uwaga. Wielka szansa dla europejskiego sektora, który też przecież w pewnym sensie konkuruje z gigantami, głównie ze Stanów Zjednoczonych.

A jaka jest rola Stormshield w tych strukturach?

Stormshield to europejski producent rozwiązań do zabezpieczania sieci teleinformatycznych i danych. Muszę przyznać, że też dość mocno wspieramy wszelkiego rodzaju działania, które można by podsumować terminem „cyber security made in Europe.”

Co to oznacza?

Sama Pani wspomniała o odmianie suwerenności przez różne przypadki. Uważam, że bardzo dobrze, iż się o tym mówi, pomimo, że część z rozmów jest trochę, bym powiedział, utopijna, bo nie oszukujmy się - nie jesteśmy w stanie, nawet w idealnym, modelowym scenariuszu, zupełnie uniezależnić się od dostawców spoza Unii Europejskiej. Myślę, że to absolutnie nie powinno być celem żadnej z organizacji. Natomiast nie zmienia to faktu, że ta napięta sytuacja geopolityczna… żyjemy w ciekawych i dość dynamicznych czasach. 

Napięta i niezwykle zmienna syuacja, jak Pan trafnie zauważył. Często jesteśmy zaskakiwani.

Dokładnie tak. Przykładowo, nie spodziewalibyśmy się, że nasz sojusznik zza Oceanu może tak dynamicznie zmieniać politykę względem swoich sojuszników z Europy.

Powiedziałbym więc, że kwestia suwerenności, czy też cybersuwerenności, nie dotyczy wyłącznie obszaru technologicznego, ale generalnie takiej swobody czy autonomii działania, niezależnie od czasów, w których przychodzi nam żyć. Teraz ta „podchwytliwa” sytuacja geopolityczna jest swego rodzaju sprawdzianem, czy nasze organizacje i firmy (zarówno polskie, jak i europejskie - red.) są w stanie funkcjonować, gdyby na przykład okazało się, że część technologii zza Oceanu jest niedostępna. I znowu - będąc realistą, nie wyobrażam sobie, że stracimy do nich dostęp, ale z drugiej strony widzimy realne działania, które wprost mogą uderzać w europejskie czy polskie organizacje, jak na przykład nieprzewidywalne polityki związane z cłami. 

Czy też Cloud Act…

Zgadza się. I dlatego cieszą mnie wszelkie dyskusje o suwerenności cyfrowej, bo nagłaśniają temat, zwiększają świadomość. Patrząc z naszego punktu widzenia jako firmy Stormshield, chcemy pokazywać klientom, że europejskie rozwiązania w różnych kategoriach istnieją. 

Ja akurat specjalizuję się w kwestii zabezpieczania sieci, rozwiązaniach typu firewall czy UTM (Unified Threat Management - red.). Natomiast w większości obszarów tych zabezpieczeń - nieważne czy mówimy o antywirusach, ochronie endpointów, EDR-ach (Endpoint Detection and Response - red.), systemach SIEM (Security Information and Event Management - red.) czy systemach typu PAM (Privileged Access Management - red.) - mamy europejskie firmy, które się zajmują tego typu rozwiązaniami. 

Jak firmy w Polsce odczuwają dziś brak niezależności technologicznej?

Odczytuję suwerenność jako zarówno swobodę decydowania o tym, jakie technologie wybieramy, ale też przewidywalność. Często w cyberbezpieczeństwie mówimy o wszelkiego rodzaju ryzykach. Jak już przeprowadzimy analizę ryzyka, to mówimy o próbie jego mitygacji, czyli ograniczeniu za pomocą technologii, procesów, czy wprost zasobów ludzkich. Jednak weźmy pod uwagę na przykład nieprzewidywalność kosztową. Organizacja, która w 90% w obszarze IT i cyberbezpieczeństwa korzysta z rozwiązań pochodzących zza oceanu, wobec nieprzewidywalności polityki celnej i zmieniających się ceł (10%, 15% czy 20% - red.) może znaleźć się w sytuacji, w której z dnia na dzień konieczne będzie zwiększenie budżetu IT czy OT (Operational Technology - red.). A to jest niezwykle trudne, o ile w ogóle możliwe.

Nagle okazuje się więc, że koszt utrzymania naszych systemów staje się ryzykiem biznesowym, a co za tym idzie – płaszczyzną, którą odczytuję jako obszar dążenia do suwerenności. 

Gdyby miał Pan więc wskazać jedną rzecz, którą zarówno polskie instytucje, jak i firmy powinny wdrożyć „na już”, aby zwiększyć swoją cyberodporność, to co by to było?

Dobre pytanie. Trudno wskazać jedną rzecz. Może zacznę od branży, która jest mi najbliższa, ale rozwinę ją o element, jaki wydaje mi się kluczowy, nawet bym pokusił się o stwierdzenie krytyczny. 

Z jednej strony większość firm posiada rozwiązania typu firewall, next generation firewall czy UTM, które w dużym uproszczeniu służą do ochrony brzegu sieci, czyli oddzielają naszą sieć (czy sieci wewnętrzne - red.) od szeroko pojętego internetu. Więc powiedziałbym, że to, co na pewno warto zrobić, to przegląd konfiguracji. W pierwszej kolejności należy sprawdzić, czy urządzenia lub maszyny wirtualne są aktualne i czy podmiot ma aktualne umowy serwisowe i zaktualizowane oprogramowanie systemowe (czyli tzw. firmware - red.). Potem trzeba dokonać szczegółowego przeglądu konfiguracji. 

Widać to między innymi w raportach z cyberataków. Dobrym przykładem jest analiza z sektora energetycznego (farm fotowoltaicznych i wiatraków - red.) z grudnia ubiegłego roku. Pod koniec stycznia, w związku z tym atakiem, został przedstawiony dość szczegółowy raport CERT-u Polska, gdzie tak naprawdę jednym z głównych zidentyfikowanych słabości były nieaktualne, niezaktualizowane rozwiązania brzegowe typu firewall oraz używanie domyślnych loginów i haseł. 

Czyli aktualizacje i unikalne hasła to absolutna podstawa.

Uzupełniłbym to także o sprawdzenie konfiguracji, żeby się zorientować, czy podmiot ma chociażby segmentację sieci. Dzisiaj to jeden z kluczowych elementów redukowania ryzyka. Jeśli w przypadku ataku sprawca dostanie dostęp do części sieci, to nie będzie miał możliwości zaszyfrowania jej w całości. A często ma to niestety miejsce. Wystarczy przytoczyć przypadki najnowszych ataków na szpital w Szczecinie, czy przypadek szpitala w Krakowie z zeszłego roku. 

Bardzo istotne jest też sprawdzanie, kto ma zdalny dostęp (oprócz pracowników - red.). Za pomocą tunelu VPN łączą się z systemem też np. firmy trzecie i serwisanci. Staje się to, można powiedzieć, codziennością, że podmioty mają serwisantów, którzy zdalnie się łączą z zasobami, konkretnymi aplikacjami czy urządzeniami. Niezwykle istotne jest więc to, żeby wdrożyć polityki szczegółowego dostępu, czyli określenie: kto, kiedy, z jakiego adresu IP może się łączyć. Dobrze by było mieć też możliwość nagrywania sesji zdalnych serwisantów. 

No dobrze, a co z uwierzytelnianiem dwuskładnikowym?

Uwierzytelnianie dwuczynnikowe jest kluczowe, a nawet krytyczne, bo nawet jeżeli atakujący w jakiś sposób przejmie loginy i hasła, znacznie trudniej jest mu się połączyć i je wykorzystać.

Często niestety nie jest zachowana należyta staranność, co widzimy w raportach - na przykład w raporcie CERT-u - gdzie jest mowa o domyślnych loginach i hasłach, które były prekonfigurowane przez producenta. To jest absolutnie fundament, żeby po wdrożeniu danego rozwiązania zmienić wszystkie loginy i hasła. Okazuje się jednak, że rzeczywistość odbiega od tych wytycznych. 

Chciałam jeszcze na chwilę wrócić do regularnych przeglądów, o których Pan wspominał. Czy są jakieś zalecenia co do ram czasowych? Jak często powinno się je robić?

Tutaj odpowiem klasycznym: „to zależy”. Nie pokusiłbym się o stwierdzenie konkretnej częstotliwości. Powiedziałbym, że taką czerwoną flagą jest moment, gdy słyszymy o incydentach w innych organizacjach i instytucjach - to powinien być moment, żeby się jednak uczyć na cudzych błędach i niedopatrzeniach. Bardzo często pojawiają się wtedy rekomendacje CERT-u, sektorowych CSIRT-ów czy chociażby Pełnomocnika rządu ds. cyberbezpieczeństwa.

Swoją drogą, bardzo mi się podoba, że Ministerstwo Cyfryzacji tak szybko i dynamicznie reaguje na incydenty, szczególnie w sektorach infrastruktury krytycznej. Regularnie pojawiają się też rekomendacje i wytyczne, które tak naprawdę stanowią swego rodzaju praktyczną checklistę, co warto zrobić, co warto sprawdzić. 

Odpowiadając bardziej ogólnie, to powinien być proces, bo nie ma czegoś takiego jak stały poziom bezpieczeństwa. Wszystko się zmienia w perspektywie czasu. Myślę też, że wymóg cyklicznych audytów wynikający z nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, to pokaże.

Jak zabezpieczyć przestarzałe systemy przemysłowe?

Często problemem jest przestarzały park maszynowy. Czy mógłby Pan pokrótce wyjaśnić, na czym polega ochrona starszych urządzeń i ich systemów? Na ile w ogóle obecne technologie są w stanie zabezpieczyć urządzenia mające 20+ lat, które same nie posiadają wbudowanych zabezpieczeń?

To jest kolejne pytanie, o którym mogliśmy rozmawiać przez pół godziny. Może zacznę od wskazania głównej różnicy między infrastrukturą IT, do której jesteśmy przyzwyczajeni (większość z nas korzysta z komputerów w pracy), a tą infrastrukturą OT, czyli taką, gdzie występują elementy automatyki przemysłowej. W tej drugiej kluczowe jest utrzymanie ciągłości działania procesu, na przykład tego produkcyjnego. 

To, co dla nas jako obywateli jest najbardziej widoczne, to wszelkiego rodzaju sterowniki, siłowniki i mierniki, z którymi mamy do czynienia. Natomiast istnieje też dedykowane oprogramowanie typu SCADA, służące do ich zarządzania. Czy to produkcja części samochodowych, czy pieczywa - wszędzie tam, gdzie są linie produkcyjne, głównym celem biznesowym jest utrzymanie ciągłości produkcji.

Kilkanaście czy kilkadziesiąt lat temu, gdy urządzenia z automatyki przemysłowej były projektowane i wdrażane, nikt nie myślał o tym, że będzie możliwy dostęp z zewnątrz (z internetu - red.) do tego typu systemów. 

Dokładnie, nie były one projektowane z myślą o jakichkolwiek mechanizmach cyberbezpieczeństwa.

Począwszy od tego, że często komunikacja nie była szyfrowana - była jawnym tekstem. Nie było też uwierzytelniania. Nie było zaawansowanych wymogów odnośnie do loginów i haseł.

Jest jeszcze inna kwestia: część producentów tego typu urządzeń może ich już nie wspierać, część z nich może już nie funkcjonować, a co za tym idzie część tych rozwiązań funkcjonuje na starych systemach operacyjnych jak Windows XP. To się wciąż zdarza, mimo że od dawna nie jest już wspierany. 

Sporo różnych wyzwań do zaadresowania. W jaki sposób pomagacie je „ogarnąć”?

To, co robią rozwiązania Stormshield, to nałożenie bariery ochronnej, bez zakłócania procesu produkcyjnego. Przy wdrażaniu naszych rozwiązań głównym zadaniem jest z jednej strony odseparowanie sieci lub infrastruktury z automatyką przemysłową od internetu, od sieci IT i sieci zewnętrznych.

Z drugiej strony mamy określenie kontroli dostępu. Jak już wspomniałem, bardzo często w firmach są zewnętrzni serwisanci, którzy łączą się zdalnie, żeby zrobić aktualizację lub w ramach umowy serwisowej sprawdzić czy dana aparatura lub urządzenia funkcjonują poprawnie. 

Na naszych urządzeniach możemy określić kto, kiedy i z jakich adresów może łączyć się do sieci. A co za tym idzie, klient wymusza wówczas na trzeciej firmie podanie określonego terminu, kiedy serwisant będzie się łączył; kto to będzie; z jakiego adresu oraz na jaki czas potrzebuje tego dostępu. 

I wbrew pozorom wciąż często spotykamy takie sytuacje, w których zdalny dostęp, nie jest serwisantowi wyłączany, nie jest blokowany czy usuwany po skończonym przeglądzie. Może się więc okazać, że po takiej interwencji, która trwała godzinę, zdalny dostęp cały czas funkcjonuje przez kolejne dni, a czasami nawet tygodnie, stanowiąc potencjalny wektor ataku. 

Może doprecyzujmy. Nie chodzi o podejrzewanie serwisanta o ingerencję w system, lecz sam fakt włączonego zdalnego dostępu stanowi podatność, zgadza się?

Dokładnie tak. Mało tego, zdarza się, że firma, która posiada elementy automatyki przemysłowej współpracuje z zewnętrznymi dostawcami i producentami. I ten dostawca w ramach umowy jest zobligowany do stawienia swojego urządzenia dostępowego, za pomocą którego jego serwisanci łączą się z infrastrukturą klienta. 

Często problemem jest to, że klient chce mieć kontrolę nad tym kto i kiedy łączy się do jego systemów, a firma trzecia (serwisująca - red.) traktuje to jako utrudnienie, bo nie zawsze łączy się ta sama osoba; nie zawsze łączy się z tego samego komputera. W efekcie powstaje konflikt interesów, w którym należy szukać kompromisu w kosztach, wygodzie i kontroli nad tym, co się w danej infrastrukturze dzieje. 

I tutaj pomagają rozwiązania Stormshield?

To, co nasze rozwiązania mogą zrobić, to z jednej strony segmentacja, czyli oddzielenie różnych obszarów sieci klienta. Z drugiej, monitoring i kontrola tego, kto i kiedy ma dostęp do naszej sieci. Możemy też iść o krok dalej i monitorować (oraz kontrolować - red.), jakie komendy czy polecenia są w tych systemach automatyki przemysłowej wydawane. 

Może Pan to zobrazować na konkretnym przykładzie?

Wyobraźmy sobie, że mamy stację do uzdatniania wody i chcemy zabezpieczyć komendy, które mówią o możliwych do ustawienia wartościach na danych urządzeniach. Jeśli wartości się różnią od zdefiniowanego przez nas przedziału, pojawia się alert, a w skrajnym przypadku może też dojść do zablokowania takiej komendy. 

Trochę jak tarcza ochronna.

Ja bym to porównał do zabytkowego budynku, który jest pod opieką konserwatora zabytków - nawet jakbyśmy chcieli, nie jesteśmy w stanie zrobić za wiele modyfikacji. Czasami nie możemy zmienić nawet instalacji elektrycznej, ale nic nie stoi na przeszkodzie, żeby zamontować systemy kontroli dostępu, monitoringu i innych systemów zewnętrznych. Już nie mówiąc oczywiście o zewnętrznym płocie czy jakimś strażniku. Naszym zadaniem jest tworzyć właśnie taki ekosystem ochronny, nie ingerując w systemy automatyki przemysłowej. 

Jakie są korzyści z podłączenia urządzeń do internetu i czy zawsze jest to potrzebne?

To zależy od specyfiki konkretnej organizacji i klienta. Możemy sobie wyobrazić, że na przykład spółka wodociągowa, posiadająca przepompownie i stacje uzdatniania wody, często zarządza obiektami, gdzie nie ma personelu. W takiej sytuacji, fizyczne dojeżdżanie do każdego z nich, aby wykonać aktualizację czy pracę serwisową, byłoby często nieefektywne i wiązałoby się ze znacznymi kosztami utrzymania umów.

Dodatkowo, mimo że wielu klientów twierdzi, że mają oddzielone sieci IT i OT, praktyka pokazuje, że rzadko jest to pełne, fizyczne oddzielenie. A z drugiej strony każda organizacja oczywiście musi dokonać takiej swojej analizy ryzyka, ale faktycznie, coraz częściej ciężko sobie wyobrazić kompletne odseparowanie od sieci.

Certyfikacja i przewidywalność jako fundament bezpieczeństwa

Rozwiązania Stormshield chronią sieci instytucji o najwyższym rygorze bezpieczeństwa (Unia Europejska czy NATO. Jak doświadczenie zdobyte w „wielkiej dyplomacji” i obronności przekłada się na produkty, które trafiają do polskiego szpitala czy urzędu gminy?

To dobre pytanie, bo tutaj trochę odchodzimy od perspektywy związanej chociażby z liczbą funkcjonalności na rzecz stabilnego działania, przewidywalności cyklu życia i certyfikacją, od której tak naprawdę powinienem. 

Nasze rozwiązania są certyfikowane na poziomie Common Criteria, który jest takim złotym standardem, jeżeli chodzi o sektor cyberbezpieczeństwa - każda szanująca się firma działająca w branży tego typu posiada certyfikację Common Criteria. 

Natomiast istotne jest też to, że ze względu na fakt, iż Polska jest zarówno częścią NATO, jak i członkiem Unii Europejskiej, nasze rozwiązania znajdują się w katalogu o dość zabawnej nazwie NIAPC (NATO Information Assurance Product Catalog - red.). To katalog produktów autoryzowanych przez Sojusz do wykorzystania w państwach członkowskich. Dotyczy głównie komunikacji szyfrowanej i działania urządzeń jako koncentratorów VPN (możliwości zestawiania tuneli VPN - red.). 

A z kolei Unia Europejska ma listę, która się nazywa LACP (List of Approved Cryptographic Products - red.), czyli znowu mówimy o produktach kryptograficznych, które mogą zostać wykorzystane w obrębie Unii Europejskiej. 

Do jakiego stopnia rozwiązania się pokrywają na obydwu listach?

Ciężko mi powiedzieć, bo akurat mamy rozwiązania typu Next Generation Firewall i UTM, które skupiają w sobie kilka, czy tak naprawdę kilkanaście różnych modułów dotyczących zarówno cyberbezpieczeństwa, jak i zarządzania siecią. Jak przeglądamy listę produktów, często są tam rozwiązania dedykowane na przykład do zestawiania tuneli VPN, ale znajdują się tam też rozwiązania wielofunkcyjne, takie jak produkty oferowane przez naszą firmę. 

Stormshield jest na obydwu z nich?

Tak. Zależy nam jako europejskiej firmie, żeby pokazywać europejskie certyfikaty i autoryzacje. 

Co to w praktyce oznacza dla klienta?

Wspomniałem o stabilności działania. My w Stormshield mamy taką zasadę, że nasze oprogramowanie systemowe (firmware) jest cyklicznie aktualizowane. 

Z jednej strony głównym celem jest dodawanie nowych funkcjonalności, odpowiadających na współczesne potrzeby organizacji, a z drugiej - łatanie wszelkiego rodzaju wykrytych podatności, które tak naprawdę występują w każdym urządzeniu czy oprogramowaniu. To tylko kwestia czasu, chęci i zasobów cyberprzestępców, aby je sprawdzać i wyszukiwać. 

Co Was wyróżnia na rynku?

To, co oferujemy dodatkowo, wynika ze współpracy z klientami z infrastruktury krytycznej. Mowa o rozwiązaniu o nazwie LTSB (Long Term Support Bridge - red.). To firmware, który nie zawiera wszystkich najnowszych funkcjonalności, ale jest już sprawdzony przez setki, a czasem nawet tysiące klientów. Jego głównym celem jest zapewnienie stabilnego działania przez co najmniej rok od momentu publikacji danej wersji firmware’u. 

Głównym celem jest stabilność działania, a nie dodawanie nowych funkcjonalności. Jeśli pojawiają się krytyczne funkcje, np. wsparcie uwierzytelniania dwuczynnikowego, to po około 6 miesiącach udostępniana, wersja firmware jest oznaczona jako LTSB. Ma to zagwarantować klientowi przede wszystkim stabilne działanie, ale kosztem mniejszej liczby funkcjonalności. 

Tak naprawdę to od samego klienta zależy, z której wersji oprogramowania będzie korzystał. Wynika to też z doświadczeń z bardziej wymagającymi i wrażliwymi klientami. 

Czy przekłada się to na cykl życia oprogramowania?

To jest właśnie ten trzeci element, który wiąże się z przewidywalnością cyklu życia. To, jak długo wchodzące na rynek urządzenie jest utrzymywane, jest u nas publiczną informacją. I tu ciekawostka - jeżeli ogłaszamy tzw. end of life, czyli koniec życia produktu, to od momentu ogłoszenia zawsze mija 5 lat, podczas których to urządzenie będzie jeszcze w pełni wspierane. 

Tak żeby pokazać Pani mniej więcej skalę czy perspektywę czasową - z reguły rozwiązania typu UTM czy Next Generation Firewall funkcjonują w sieciach klientów średnio 3 do 5 lat. Zdarzają się oczywiście klienci, którzy używają tego typu rozwiązań 7 lat czy dłużej, ale to są raczej wyjątkowe sytuacje. 

W związku z tym, że zmieniają się funkcjonalności, przepustowości i zagrożenia na rynku, każdy model jest utrzymywany przynajmniej przez 10 lat, co z reguły przekracza czas życia jego funkcjonowania w tradycyjnych organizacjach. Pokazywanie tej przewidywalności jest jednym z elementów dodatkowej wartości — jeśli klient kupi nasze rozwiązanie, ma pewność, że nie będzie sytuacji, w której na przykład po dwóch latach powiemy: wygaszamy daną linię rozwiązań i masz rok na znalezienie alternatywy albo migrację do nowszej wersji. Moim zdaniem, pięć lat to naprawdę zdroworozsądkowe podejście, choć najczęściej i tak nie jest w pełni wykorzystywane, bo rzadko kto korzysta z rozwiązania przez 8, 9 czy 10 lat.

Sieć współpracy jako klucz do cyberodporności

Często mówimy o cyberbezpieczeństwie w kontekście strachu i zagrożeń. My też dzisiaj trochę rozmawialiśmy pod tym kątem, jednak w Pana wypowiedziach przewijało się sporo optymizmu. Tak więc patrząc na kierunek zmian polskich organizacji, gdyby miał Pan wskazać jedną rzecz, która daje Panu jego największą dawkę, co by to było?

Ja bym powiedział, że to jest wzmacnianie współpracy, wszystkich zainteresowanych stron, czyli z jednej strony klientów polskich firm, organizacji, a także przedstawicieli administracji publicznej z instytucjami, które odpowiadają za cyberbezpieczeństwo, m.in. z CERT-em Polska, czy z sektorowymi CSIRT-ami. 

Zresztą też nowelizacja ustawy o KSC spowoduje, że powstanie więcej sektorowych CSIRT-ów, które, mimo że pełnią rolę centrów reagowania na incydenty, służą też wymianie informacji o specyficznych dla konkretnych sektorów podatnościach i cyberatakach. Aktualnie dość prężnie funkcjonuje CSIRT w Centrum Zdrowia, stanowiąc można powiedzieć, główny organ, do którego mogą zwracać się szpitale, w razie cyberataków. 

A co ze współpracą między państwem a sektorem prywatnym?

Coraz częściej firmy prywatne współpracują na poziomie nie tylko komercyjnym (czyli sprzedają klientom dane rozwiązania - red.), ale też angażują się w takie programy jak PW Cyber, prowadzony przez Ministerstwo Cyfryzacji.

Takim namacalnym efektem tej współpracy są chociażby szkolenia dla różnych podmiotów Krajowego Systemu Cyberbezpieczeństwa. Często są organizowane bezpłatnie i stanowią platformę dla ekspertów do dzielenia się swoją wiedzą, kompetencjami i dobrymi praktykami, Nie możemy też zapominać (bo mamy się czym tutaj pochwalić) o DKWOC, dzięki któremu współpraca z sektorem militarnym odnosi sukcesy na arenie międzynarodowej. 

NATO Locked Shields może być dobrym przykładem.

Dokładnie, Polska od kilku lat zajmuje tam miejsca w czołowej trójce. Inicjatywa Cyber Legion jest kolejnym przykładem - eksperci ze świata cywilnego mogą dołączyć i budować cyberarmię, nie będąc zobligowani do przywdziania munduru. Mogą funkcjonować w swoich firmach, jednocześnie dzieląc się kompetencjami - dla mnie to jest bardzo budujące. Takie inicjatywy wprost tworzą polski ekosystem cyberbezpieczeństwa. 

Do tego bym dodał jeszcze element szkolnictwa, gdzie coraz częściej obserwujemy współpracę biznesu z instytucjami edukacyjnymi; zarówno uczelniami wyższymi jak i szkołami średnimi. Także, współpraca na linii klienci - CERTY - firmy prywatne - akademia - państwo, naprawdę napawa mnie sporym optymizmem. 

Natomiast oczywiście nie możemy zapominać o tym, że wyzwań też jest coraz więcej - trendy są rosnące. Wbrew pozorom jednak, informacje o rosnącej liczbie incydentów które otrzymujemy, wynikają po części też z tego, że mamy coraz lepsze systemy monitorowania, i zbierania logów, więc po prostu dużo więcej widzimy. 

Z moich ostatnich obserwacji wynika, że faktycznie - ten dialog jest coraz częstszy, a efekty stają się coraz bardziej widoczne.

Tak i myślę też, że takim spoiwem są również różnego rodzaju konferencje, gdzie spotykają się wszystkie zainteresowane strony, o których mówiliśmy. Zresztą, nie trzeba daleko szukać - dobrym przykładem jest wasza konferencja Cyber24Day.

Już podsumowując, uważam, że z jednej strony kluczowe są technologie, ale równie ważnymi filarami są procesy i procedury, a na końcu ludzie. Jeśli te wszystkie elementy ze sobą współpracują i funkcjonują wspólnie, to poziom cyberbezpieczeństwa i cyberodporności jest zdecydowanie wyższy.

Dziękuję za rozmowę.