Zamiast budować mury musimy dążyć do integracji bezpieczeństwa z biznesem
Brak spektakularnych ataków w minionym roku cieszy branżę cyberbezpieczeństwa. Czarny scenariusz o tym, że czeka nas epidemia ransomware się nie spełnił. Nie oznacza to jednak, że cyberprzestrzeń stała się spokojniejsza. W tym roku czekają nas nowe wyzwania związane m.in. z dynamicznym rozwojem takich technologii, jak np. aplikacje mobilne, chmury, IoT, sztuczna inteligencja i uczenie maszynowe. Wiele firm wciąż nie jest odpowiednio przygotowana na ataki. Wpływ na to ma dynamika zmian związanych z cyfryzacją w przedsiębiorstwach, pogłębiający się na rynku deficyt wysokiej klasy specjalistów z zakresu cyberbezpieczeństwa oraz szerszy wachlarz grup zajmujących się cyberprzestępczością. 2019-01-16Takie nazwy jak WannaCry, Petya i NotPetya wryły się głęboko w pamięć i świadomość ludzi zajmujących się cyberbezpieczeństwem. Ataki te wstrząsnęły branżą i wyrządziły ogromne szkody na całym świecie. Tym bardziej cieszy fakt, że w mijającym roku na rynku nie mieliśmy do czynienia ze zdarzeniami na tak dużą skalę. Nie jest to równoznaczne z tym, że ataków nie było. W głównej mierze dotyczyły one wycieku danych, co w świetle obowiązującego od maja RODO może być dla firm bardzo kosztowne. Wciąż groźny był też phishing i należy się spodziewać, że zarówno kwestie związane z obowiązywaniem unijnej dyrektywy, jak i podszywaniem się pod inne firmy i instytucje to tematy, które będą zajmować branżę cyberbezpieczeństwa w 2019 roku. Pojawią, a właściwie już pojawiają się także nowe wyzwania, które są bezpośrednio skorelowane z rozwojem technologii. Jednym z nich jest bezpieczeństwo aplikacji mobilnych.
Wyraźnie widać, że liczba użytkowników bankowych rozwiązań stale rośnie. IKO oferowane przez PKO Bank Polski ma już ponad 3 mln aktywnych aplikacji i pod tym względem jesteśmy liderem na rynku. Coraz większa popularność rozwiązań mobilnych to wyzwanie dla ich twórców, w tym także dla działów cyberbezpieczeństwa. Aplikacje muszą być nie tylko niezawodne, przyjazne dla klienta, ale również bezpieczne. Potrzebne jest w tym aspekcie wzajemne pogodzenie i zrozumienie interesów, jakie przyświecają zarówno biznesowi, jak i cyberbezpieczeństwu. Tym bardziej, że liczba innowacyjnych rozwiązań stale się rozszerza, a wraz z tym rosną potencjalne zagrożenia. Dobrym przykładem jest tutaj IoT.
Do niedawna abstrakcyjnym mogło wydawać się włamanie przez hakera np. do inteligentnej lodówki czy autonomicznego samochodu. Cyberprzestępcy będą jednak szukać najsłabszych ogniw w całym systemie i z premedytacją je wykorzystywać. Już w tej chwili obserwujemy olbrzymi wzrost botnetów składających się z urządzeń IoT i ich wykorzystanie do ataków na wielką skalę. Troska o bezpieczeństwo Internetu rzeczy wraz ze wzrostem popularności tego typu rozwiązań będzie zatem bardzo istotnym zadaniem zespołów cyberbezpieczeństwa. Podobnie, jak wykorzystywanie w coraz większym zakresie sztucznej inteligencji, robotyzacji i uczenia maszynowego. Masowe ataki na te rozwiązania dopiero przed nami, ale już teraz warto zastanowić się nad nowym modelem zagrożeń i odpowiednio się do niego przygotować. Równie istotne jest budowanie świadomości na temat wykorzystywania, ale i niebezpieczeństw płynących z AI i ML. Potencjał tych rozwiązań może zostać wykorzystany również do automatyzacji ataków.
Rosnące znaczenie technologii zmusza do tego, żeby przemyśleć podejście do dbania o bezpieczeństwo. Dziś stawianie firewalli już nie wystarcza. To nie mury wokół zapewnią nam obronę przed atakami, ale dobre rozwiązania w detekcji i reagowaniu oraz stosowanie zasad „security by design” i „privacy by design”. Odpowiednie praktyki, stale podnoszona wiedza oraz mądra i skutecznie realizowana polityka bezpieczeństwa to dla wszystkich firm powinna być podstawa. Musimy się zabezpieczać na wielu frontach i maksymalnie ograniczyć słabe punkty we wdrażanych rozwiązaniach. Jednocześnie trzeba być elastycznym, gdyż zupełnie inaczej wygląda np. zabezpieczenie chmury. A w świetle realizowania przez PKO Bank Polski Chmury Krajowej będzie to dla nas bez wątpienia duże wyzwanie w nadchodzącym roku. To bowiem kolejny element stawiania przez nasz Bank na cyfryzację przy jednoczesnym zachowaniu najwyższych standardów bezpieczeństwa. Dużą rolę w tym procesie odgrywa też Program Transformacji Cyfrowej wdrażany w PKO Banku Polskim.
W całym systemie cyberbezpieczeństwa ciągle ogromną rolę odgrywa człowiek, choć jestem w stanie sobie wyobrazić, że w ciągu najbliższych lat walki w sieci będą toczyć ze sobą rozwiązania oparte na sztucznej inteligencji. Zanim jednak to nastąpi branża musi zmierzyć się z rosnącym brakiem specjalistów ds. cyberbezpieczeństwa. Ten problem dotyczy firm na całym świecie. Bez odpowiednio wyszkolonych kadr coraz trudniej będzie zapewnić bezpieczeństwo. Tym bardziej, że zagrożeniem są już nie tylko cyberprzestępcy, ale coraz częściej inne państwa, które tworzą specjalne komórki hakerów, których celem jest atakowanie i penetrowanie systemów innych krajów. Brak kadr bez wątpienia utrudnia skuteczną obronę, a frontów walk w cyberprzestrzeni z roku na rok będzie tylko przybywać. Wyjście z tych wszystkich starć z tarczą przy jednoczesnym braku „żołnierzy” może być niezwykle trudne.
Piotr Kalbarczyk
dyrektor Departamentu Cyberbezpieczeństwa
w PKO Banku Polskim