O tym, z jakiego rodzaju zagrożeniami mamy do czynienia, z jakimi działaniami firmy muszą zaczekać, a co mogą zrobić nie czekając na nowe przepisy, i jakie przedsiębiorstwa muszą o to zadbać, by chronić swoje zasoby i obywateli – w portalu SektorObronny.pl rozmawiamy z Tomaszem Orłowskim, ekspertem z zakresu cyberbezpieczeństwa w firmie FINSECURE.
FINSECURE to firma zajmująca się szeroko rozumianym bezpieczeństwem. Bezpieczeństwem zarówno fizycznym, jak i cyberbezpieczeństwem. W czym się specjalizujecie?
Tomasz Orłowski: Spektrum rozwiązań jest dosyć szerokie, natomiast specjalizujemy się przede wszystkim w bezpieczeństwie nowych obszarów, nowych technologii, nowych sektorów. W bezpieczeństwie teleinformatycznym, w bezpieczeństwie cybernetycznym. To jest nasz główny obszar specjalizacji.
Nic więc dziwnego, że dzisiaj będziemy rozmawiać o bezpieczeństwie właśnie. Wszak mamy do czynienia z wojną hybrydową co najmniej od wybuchu wojny w Ukrainie, a tak naprawdę pewnie znacznie dłużej. Wytłumaczmy naszym odbiorcom proszę, dlaczego tak ważna jest ochrona infrastruktury istotnej dla państwa, infrastruktury krytycznej, infrastruktury wrażliwej. Różnie to się nazywa, ale generalnie chodzi o taką infrastrukturę, bez której funkcjonowanie kraju może być zachwiane lub zagrożone.
Nie tylko funkcjonowanie kraju. Tak na dobrą sprawę infrastruktura wrażliwa, o którą należy dbać to jest infrastruktura, która dostarcza usług społeczeństwu. Chodzi nie tylko o takie dosyć intuicyjne, łatwe do wychwycenia sektory, które dbają o bezpieczeństwo fizyczne czyli nasz sektor militarny, sektor wojskowy. Natomiast głównie chodzi o sektory, których zakłócenie działalności może spowodować bezpośrednie konsekwencje i mieć bezpośredni wpływ na funkcjonowanie społeczeństwa, funkcjonowanie dużych grup społecznych, funkcjonowanie biznesu. Może mieć też wpływ na funkcjonowanie organów państwa i na realizację zadań, do których to państwo jest powołane. Więc to nie tylko kwestie związane z sektorem, który intuicyjnie przywołujemy, gdy myślimy o bezpieczeństwie, czyli jak mówiłem – z sektorem wojskowym, ale mówimy tu również o sektorach typu gospodarowanie odpadami, produkcja żywności, infrastruktura finansowa. To są wszystko dziedziny, których zakłócenie powoduje poważne reperkusje w funkcjonowaniu społeczeństwa, w funkcjonowaniu nas, zwykłych obywateli.
Dlatego warto właśnie dbać o te sektory, bo zadałeś takie pytanie. To jest rzecz oczywista, bo widzimy, co się dzieje w konflikcie z Ukrainą. Tam oczywiście największe straty i najpoważniejsze konsekwencje dotyczą sektora energetyki. Widzimy na przykład ataki z jednej i z drugiej strony na infrastrukturę krytyczną, przy czym wiadomo, że obraz, który my widzimy w telewizji, w kontekście tej niesymetrycznej, niestety nierównej walki, to jest obraz, który najczęściej pokazuje osoby poszkodowane, osoby cywilne. Wiemy, że na przykład atak na jakąś elektrociepłownię, czy na jakąś infrastrukturę, która dostarcza podstawowych, niezbędnych do życia usług i produktów, jak choćby woda pitna, istotnie wpływa na normalne funkcjonowanie osób cywilnych. No i to jest podstawowy powód, dla którego trzeba dbać o tę infrastrukturę. Mówimy o bardzo skrajnym przypadku, bo w sytuacji wojny jest wiele innych jeszcze rzeczy, które wpływają na to, że należy o infrastrukturę wrażliwą, krytyczną, kluczową dbać. Natomiast my dzisiaj jesteśmy ofiarami ataków hybrydowych, jak to powiedziałeś, czy ataków w przestrzeni cyfrowej na infrastrukturę również u nas, w Polsce. I to nie jest infrastruktura, która jest bezpośrednio zaangażowana w obronność, i nie jest ona bezpośrednio ofiarą ataków takich jak wybuch bomby, czy uszkodzenie w wyniku działań wojennych. Na to na szczęście nie jesteśmy jeszcze narażeni, ale jesteśmy narażeni na zakłócenia ciągłości działania podmiotów infrastruktury krytycznej. I te zakłócenia mają swoje źródła między innymi w atakach hakerskich. To wszystko później ma konsekwencje w usługach publicznych, które te podmioty – infrastruktury wrażliwej, krytycznej, kluczowej – świadczą.
No właśnie, bo mówiąc o infrastrukturze krytycznej czy wrażliwej, to na pierwszy rzut oka mamy przed oczami jednostki wojskowe, jednostki policyjne, na których teraz znowu pojawiają się tabliczki zakaz fotografowania, zakaz nagrywania. Ale tak naprawdę mówimy przecież o szpitalach, o telekomunikacji…
…o wszelkiego rodzaju służbach, o usługach komunalnych, typu dostarczanie wody, dostarczanie żywności, dostarczanie prądu. Bardzo dużo tego typu rzeczy, bardzo dużo sektorów jest dzisiaj dla nas po prostu kluczowych. Infrastruktura finansowa, brak dostępu do gotówki – to taki prosty przykład, ale to jest też dla nas poważne zaburzenie naszej codzienności. My nie możemy pobrać pieniędzy z bankomatu, bo na przykład system teleinformatyczny w banku został zakłócony, został być może zhakowany, narażony na jakąś dysfunkcję, zmanipulowany. To powoduje, że my, zwykli ludzie, nie możemy korzystać z tych usług. A to z kolei ma dalsze konsekwencje, bo jest taki łańcuch zdarzeń, które się niestety ze sobą wiążą. Są też mniej oczywiste obszary. Oczywiście w Polsce mamy, nie wiem czy wiesz, bardzo mocno rozbudowany przemysł kosmiczny. I to też jest infrastruktura wrażliwa, więc o nią też musimy dbać. Co więcej, jest ona na liście sektorów infrastruktury krytycznej. Ale mamy też gospodarowanie odpadami. Mamy też produkcję, na przykład elektronarzędzi. To też są podmioty kluczowe. Mamy administrację publiczną, która nie jest infrastrukturą sensu stricte, no bo to są ludzie, którzy pracują w administracji, którzy między innymi realizują usługi dla mieszkańców. Ale zakłócenie tych usług również sprawia, że my nie możemy normalnie funkcjonować. Mamy służbę zdrowia, która też jest sektorem krytycznym, kluczowym i bardzo istotnym. No i zakłócenie służby zdrowia również oznacza poważne problemy. Mamy, no może nie codziennie, ale często, ataki na różnego rodzaju instytucje rządowe, instytucje publiczne, na szpitale, które są jednym z ulubionych celów, jeżeli chodzi o atakujących w przestrzeni cyfrowej. Jest tego troszeczkę i jest kilka programów działań, zbierających to w coś większego, których celem jest wsparcie tych podmiotów tak, żeby sobie lepiej radziły ze swoją cyberodpornością, żeby miały tę cyberodporność mocniejszą, żeby w ogóle były bardziej odporne na zakłócenia, które mogą być wywołane różnymi czynnikami. Mieliśmy na przykład epidemię. Epidemia też jest czynnikiem zakłócającym. To nie był atak cybernetyczny, a jednak epidemia w znacznym stopniu sparaliżowała naszą gospodarkę. I to też jest ogromny czynnik ryzyka.
Zapraszamy też do obejrzenia wywiadu z Tomaszem Orłowskim na temat bezpieczeństwa i cyberbezpieczeństwa obiektów infrastruktury wrażliwej:
Zanim jeszcze porozmawiamy konkretnie o tych cyberzagrożeniach i konsekwencjach z nich wynikających, to chciałbym, żebyś zobrazował nam na kilku przykładach z jakiego rodzaju atakami, sabotażami, problemami spotykamy się już teraz. Bo dla nas to jest ciągle abstrakcja. Owszem, słyszymy gdzieś w telewizji, że instytucje rządowe zostały zaatakowane i zawiesiła się strona internetowa. W czym tkwi sedno problemu?
W tym przypadku faktycznie mamy konsekwencje, które nas bezpośrednio nie dotykają. Ale wyobraź sobie sytuację, w której nie jesteś w stanie zapisać się do lekarza. Albo nie jesteś w stanie zrealizować podstawowych usług, takich jak usługi podatkowe czy inne usługi publiczne, ponieważ na przykład twój najbliższy urząd został zaatakowany i wszystkie komputery zostały zaszyfrowane. Systemy nie działają. Pracownicy nie wiedzą, co robić. A co więcej, jeszcze mają kłopot z opracowaniem planu, w ogóle z działaniem takim ad hoc, bo nie mieli wcześniej wiedzy, jak należy reagować w takich sytuacjach, więc sytuacja jest taka, że to zakłócenie ciągłości działania, które może wpływać na ciebie bezpośrednio, może jeszcze dodatkowo trwać długo. Dlatego, że w warunkach stresu, w warunkach napięcia wynikającego z chaosu, który się dzieje po jakimś wydarzeniu anormalnym, nie jesteśmy w stanie szybko, w sposób poukładany, systematyczny wrócić do normalności. Działamy troszeczkę chaotycznie.
Innym takim przykładem przykrych konsekwencji jest brak wody w kranie. To taki, wydawałby się, zupełnie prozaiczny problem. Pamiętajmy, że te wszystkie media, które dzisiaj mamy w mieszkaniu, woda, ciepło, energia, one są bardzo często sterowane przez systemy teleinformatyczne, przez systemy OT, przez systemy IT. I to wszystko może ulec zakłóceniu w wyniku jakiegoś ataku. My ponosimy konsekwencje nie samych ataków, a skutków tych ataków. Po prostu nie mamy wody, nie mamy ciepła, nie mamy prądu. No bez prądu dzisiaj, przyznajmy, jest wyjątkowo trudno funkcjonować. Oczywiście są metody radzenia sobie w takich sytuacjach i pewnie moglibyśmy o nich długo rozmawiać, ale to temat na inną rozmowę.
Ale nie tylko mowa o nas, konsumentach, zwyczajnych ludziach, ale mówimy też o biznesie, który produkuje różne dobra. Ten biznes w wyniku zakłóceń wypada z łańcucha dostaw, to z kolei powoduje konsekwencje w kolejnych, być może również kluczowych, krytycznych liniach produkcyjnych dla społeczeństwa, dla regionu, dla państwa. To jest system naczyń połączonych, gdzie jedna taka anomalna sytuacja – wynikająca z ataku, który de facto wykorzystał pewną słabość – rodzi kaskadowe problemy. Oni u nas szukają tych słabości i chcą je wykorzystać. Abstrahuję od motywów, bo motywy są różne. Dzisiaj tych źródeł i motywów, dla których ktoś podejmuje takie działania, można znaleźć wiele – od zwykłej kradzieży po działania dywersyjne i destabilizacyjne. Ale konsekwencje zakłóceń dotykają zwykłego człowieka i w wielu obszarach, na wielu płaszczyznach mogą dotknąć nas bezpośrednio.
Zacznijmy od obrony czy ochrony fizycznej. Czy w tej chwili istnieje w ogóle takie zagrożenie, jeśli chodzi o infrastrukturę wrażliwą, że ktoś będzie próbował coś wysadzić, spalić, przeciąć kable?
Takie rzeczy się już przecież wydarzają. To widzieliśmy, może nie na poziomie lokalnym, ale kable, które na przykład ciągną się po dnie Bałtyku i łączą infrastruktury teleinformatyczne różnych krajów same się nie przerywają. Gazociągi Nord Stream 1 i Nord Stream 2, one się również same nie wykluczyły z funkcjonowania. Więc mówimy o takiej infrastrukturze, która jest narażona na czynniki tak zwane fizyczne, nie cybernetyczne, bo wymagające pewnego fizycznego działania.
Oczywiście przerwanie tego systemu może być również skutkiem ataku o charakterze niefizycznym, o tym pewnie też za chwilkę porozmawiamy, ale te zagrożenia fizyczne dzisiaj występują. Mówię tu o poziomie bardziej globalnym, aczkolwiek trwają przecież postępowania wyjaśniające, chociażby w kontekście pożarów, które miały miejsce w zeszłym roku w naszym kraju.
Na przykład w centrum handlowym w Warszawie?
Tak, między innymi. Więc jeśli pytasz o takie zagrożenia fizyczne, to mogą one wystąpić. Natomiast zdecydowanie bardziej – to też jest obszar mojej specjalizacji – powtórzę, zdecydowanie bardziej, widzę zagrożenia w świecie cyfrowym.
No właśnie, bo jeżeli przechodzimy do tego tego typu zagrożeń, to wydaje się, paradoksalnie, że w tej chwili atak cyfrowy jest prostszy niż atak fizyczny. Mimo, że trzeba mieć oczywiście jakąś wiedzę hakerską, czy doświadczenie w programowaniu, to tak naprawdę konieczność dostania się na określony teren, przekroczenia granicy praktycznie nie istnieje. To wszystko można zrobić zdalnie i znaleźć tylko najsłabsze ogniwo, dzięki któremu można się dostać praktycznie wszędzie.
To prawda, te ataki w przestrzeni cyfrowej nie wymagają bezpośredniego kontaktu z ofiarą czy z celem ataku. Można wykonać ten atak całkowicie zdalnie i można go też przygotować całkowicie zdalnie w oderwaniu od fizycznej, atakowanej infrastruktury.
Jakiego rodzaju ataki są teraz stosowane?
W praktyce podstawą bezpieczeństwa organizacji, w których pracujemy, organizacji, z których usług korzystamy, jest bezpieczeństwo budowane w oparciu o solidarność, o bezpieczeństwo solidarnie budowane przez pracowników.
Mówi się, że najsłabszym ogniwem jest zawsze człowiek, czyli pracownik, który jest nieświadomy, który mógł wykonać jakąś operację, niechcący gdzieś kliknął, gdzieś wszedł, coś ściągnął, coś uruchomił, niechcący coś wpuścił w sieć. I faktycznie to bezpieczeństwo na poziomie czy to administracji publicznej, czy samorządowej, czy infrastruktury krytycznej, publicznej, czy biznesu, ono się niezwykle łączy z naszą cyberhigieną. Bo, choć to też jest truizm, można inwestować w cyberbezpieczeństwo, w systemy i zabezpieczenia ogromne kwoty i nadal być otwartym, podatnym na ataki. A to ze względu na fakt, że zawsze się znajdzie tak zwany bypass, zawsze ten atakujący, co oczywiście wymaga jego cierpliwości i wysiłku, znajdzie to najsłabsze ogniwo. A dzisiaj tym najsłabszym ogniwem – i chyba tak zawsze już będzie – jest niestety człowiek, jest pracownik, jest urzędnik. Każdy z nas.
Jakie te ataki wyglądają?
Mówiliśmy trochę o zagrożeniach fizycznych, natomiast dzisiaj mamy bardzo poważny problem z atakami, które mają wywołać zamieszanie, dezinformację. Mają wywołać jakiś chaos. Są takie ataki dla nas abstrakcyjne, które oczywiście też dotykają nas w jakimś stopniu, bo słyszymy na przykład, że gdzieś wypłynęły nasze dane osobowe. Albo – to o czym wspomniałeś – że zaatakowano stronę rządową. Ale są też takie działania, które prowadzą do zablokowania jakiegoś serwisu rządowego, czy przerwania jakiegoś procesu, z którego my, użytkownicy, korzystamy. Te ataki związane z uprzykrzaniem nam życia się nasilają i będą się nasilać jeszcze bardziej, bo głównie o taki efekt chodzi agresorowi w Ukrainie, czyli Rosji. No Rosjanom przede wszystkim chodzi o to, żeby nam uprzykrzyć życie, żeby było o tym głośno, żeby było to słychać.
Ale była też ogromna fala tak zwanych ataków ransomwareowych, które polegają na zaszyfrowaniu lub zablokowaniu dostępu do danych ofiary przez cyberprzestępców. Ja dzisiaj zauważam, że te ataki to jest nadal poważne zagrożenie. Atak ransomwareowy nie kończy się tym, że widzisz ekran, który informuje cię, że wszystko zostało zaszyfrowane. On się zaczyna znacznie, znacznie wcześniej. To jest taki przykry skutek wcześniej przeprowadzonego ataku.
W Ukrainie na przykład w pewnym momencie atakującym ze strony rosyjskiej nie chodziło o to, żeby szyfrować. I choć ransomware ma swoją nazwę od tego, że chodzi tam zazwyczaj o wyłudzenie okupu, to w tym przypadku nie chodziło o to, żeby szyfrować i próbować wyłudzić pieniądze za odszyfrowanie. Chodziło wyłącznie o zniszczenie danych. O trwałe zniszczenie danych. Tam nikt nie pytał o okup. W lutym 2022 roku, kiedy wybuchł konflikt, pojawiła się bardzo duża aktywność tzw. wiperów, czyli złośliwego oprogramowania (malware) służącego do niszczenia danych poprzez ich całkowite lub częściowe usuwanie z dysku twardego. Wszędzie, zwłaszcza w Ukrainie, te wipery danych miały jeden cel. Przede wszystkim wyczyścić wszystkie dane z krytycznych systemów, tak żeby absolutnie zakłócić, najlepiej w sposób trwały, albo maksymalnie długi, funkcjonowanie infrastruktury krytycznej.
Ataki, które mamy dzisiaj, to są ataki związane z tym, że jakiś serwis przestał działać. To atak dosyć krótkotrwały i stosunkowo łatwy do wykonania. Myślę, że po krótkim instruktażu, do czego nie zachęcam, każdy z nas jest w stanie taki atak przeprowadzić. To są ataki, które wywołają krótkotrwałe przerwy w ciągłości działania.
Ale istnieją też ataki, które powodują jakieś bardziej trwałe szkody, które wymagają odtworzenia, czyli na przykład zaszyfrowanie danych na serwerach. I tak troszeczkę odrywając nas od kontekstu geopolitycznego, istnieje trend, obserwowany od dłuższego czasu, nasilenia się działalności grup ransomwareowych, które najpierw będą próbowały wyłudzić od ciebie pieniądze za klucze odszyfrowania danych, które zaszyfrowały – w wyniku działania oprogramowania, które przemycili w jakiś sposób na twoje urządzenie – a następnie poproszą cię, żebyś zapłacił im okup jeszcze raz, szantażując cię tym, że ujawnią to wszystko, co wcześniej w trakcie tego ataku z twojego komputera, z twoich stacji roboczych, z systemów, pobrały.
Tu zachodzi takie zjawisko, które nazywa się double extortion, czyli podwójna próba wyłudzenia pieniędzy – najpierw za odszyfrowanie, a później za szantaż, że ujawnią twoje tajemnice. A każdy z nas ma jakieś tajemnice i każda instytucja również ma swoje tajemnice.
I tak naprawdę nie ma żadnej gwarancji, że nie będzie trzeciego szantażu, bo skoro raz mieli dostęp do serwerów, to znaczy, że mogą mieć go nadal, a my o tym nie wiemy?
To prawda. Może tak być. Dlatego odtwarzanie infrastruktury po takim ataku to nie tylko wyłącznie i restart komputera, uruchomienie i ponowne rozpoczęcie pracy. Tak nie wolno robić, zwłaszcza w infrastrukturze krytycznej. To jest dosyć złożony proces diagnozy, analizy informatyki śledczej, której zadaniem jest przede wszystkim ustalenie, kiedy faktycznie był ten pierwszy kontakt, jaki był inicjalny wektor ataku, w jaki sposób ten atak przebiegał, do czego atakujący mieli dostęp, jak długo, jakie dane – czy to w sposób bezpośredni, czy w jakichś szumach sieciowych – pobrali z naszej infrastruktury teleinformatycznej. Dopiero, gdy informatycy śledczy będą wiedzieli, co się wydarzyło, napiszą swój raport, wtedy możemy rozpocząć tak na dobrą sprawę odtwarzanie.
Dlatego właśnie – szczególnie w przypadku infrastruktur dla nas kluczowych, podmiotów kluczowych – nie jest możliwe odtworzenie tego od razu na infrastrukturze podstawowej, na serwerach podstawowych. Trzeba je wcześniej dokładnie sprawdzić, bo nawet po raporcie analityków śledczych nie ma stuprocentowej pewności, że coś jeszcze gdzieś nie siedzi. Więc to odtwarzanie i uruchamianie biznesu, czy procesów biznesowych na nowo, jest realizowane w trybie kontrolowanym. Cały czas obserwujemy, bardzo dokładnie weryfikujemy, co się dzieje. Te pierwsze miesiące po uruchomieniu, po wznowieniu ciągłości działania, są niezwykle pracowite dla służb, które monitorują infrastrukturę teleinformatyczną, bo może być tak, że jeszcze gdzieś ta infekcja została zakamuflowana przez atakujących.
Powiedziałeś też o trzecim wymuszeniu, to jeszcze jako ciekawostkę powiem, że jest również zjawisko, które się nazywa triple extortion, czyli potrójnego wymuszenia.
Najpierw atakujący będą próbowali wyłudzić pieniądze za to, że zaoferują ci odzyskanie twoich własnych danych poprzez ich odszyfrowanie.
Później będą cię szantażować tym, że skoro już masz dane, to my też je mamy, w związku z czym opowiemy całemu światu o twoim know-how, o twoich tajemnicach, o tym, co tam trzymałeś.
A za trzecim razem powiedzą – no słuchaj, wydaje nam się, że chyba nie zgłosiłeś tego incydentu do odpowiednich służb, w związku z czym my pomożemy ci to zrobić i poinformujemy służby, że coś takiego miało miejsce. A ty byłeś zobligowany przepisami prawa, żeby to zrobić, w związku z czym zastanów się, czy nie warto zapłacić nam mniej niż wyniesie kara za to naruszenia… To jest przewrotne, ale takie zjawisko istnieje.
Chciałbym cię poprosić, żebyś zobrazował nam – zwykłym użytkownikom i pracownikom firm – jak wyglądają te momenty inicjujące, czyli w którym momencie następuje ten pierwszy atak, pierwszy kontakt i jakie mechanizmy są wykorzystywane do tego ataku przez hakerów.
Tutaj połączymy dwa zjawiska – jeden truizm i jedną tezę. Truizmem jest, że najsłabszym ogniwem jest człowiek. A teza – udowodniona przez szereg badań – jest taka, że najczęstszym inicjalnym wektorem ataku jest ukochana przez nas wszystkich poczta internetowa.
Dzisiaj tą metodą, która wykorzystuje ten inicjalny wektor ataku w postaci poczty firmowej, poczty osobistej, jest przede wszystkim phishing, czyli próba podszywania się przez atakujących pod różnego rodzaju instytucje – również instytucje zaufania, z których my korzystamy, banki, czy jakieś inne usługi publiczne – i próba wyłudzenia naszych danych.
Tu pojawia się pierwsze zagrożenie. Jeżeli podasz swoje dane dostępowe do jakiegoś serwisu, tak zwane kredki (loginy, hasła, inne dane uwierzytelniające), czy dane do poświadczenia swojego systemu bankowego, to może się wydarzyć coś, powiedzmy sobie wprost, zupełnie oczywistego. Stracisz pieniądze z rachunku lub ktoś przejmie twoje konto w sklepie internetowym albo profil społecznościowy. Ale też może się zdarzyć, że niechcący na coś klikniesz, ściągniesz kawałek złośliwego oprogramowania, coś nieopatrznie naciśniesz, zainstalujesz kawałek kodu na swoim komputerze i przekażesz kontrolę nad swoim urządzeniem atakującemu, który zrobi już resztę. I on sobie później wykona taką pracę, którą można porównać do zwiedzania hotelu, nie znając jego topografii.
Gdy intruz się już znajdzie w takim hotelu, przejdzie przez pierwsze drzwi, przejdzie przez recepcję i powie, że jest gościem, a ktoś go nie zweryfikuje, nie sprawdzi, to on się tam zaczyna poruszać i przez długi czas w tym hotelu sobie chodzi, niezauważony. Robi sobie mapę pokoi. Sprawdza, z których pokoi korzystają goście. Weryfikuje, co to są za goście i tak dalej. Od ogółu do szczegółu, aż dochodzi do momentu, w którym wie już, gdzie są najcenniejsze rzeczy, gdzie sypiają goście, którzy mają na przykład jakieś cenne asety, aktywa, które można od nich pozyskać, drogą nielegalną oczywiście. No i jak już wie, gdzie uderzyć, gdzie są luki, którędy może się tam dostać, gdzie może przejść, to po wielu, wielu dniach dokonuje uruchomienia finalnej operacji, której celem jest uzyskanie tych aktywów, czyli przejęcie, kradzież, być może też zniszczenie. Bo należy pamiętać, że czasami to zniszczenie, które obserwujemy, nie jest przyczyną, ono jest konsekwencją, dlatego że atakujący próbuje zatrzeć ślady i nieważne czy ukradł 100 złotych, sztabkę złota, czy jakieś dane bardzo wrażliwe. On po prostu ma to w swoim modus operandi, że zaciera ślady, a zaciera ślady nie kasując na przykład logi z dzienników zdarzeń, bo na to nie ma czasu, tylko po prostu generalnie próbuje wszystko zaszyfrować, zniszczyć, skasować, usunąć, bo to jest najszybszy sposób na zatarcie śladów.
Oczywiście to czasem jest skuteczne, czasem nie jest skuteczne, bo informatycy śledczy mają na to różnego rodzaju metody, niemniej jednak może to spowodować dużo szkód i czasami jakaś informacja, jakieś aktywa, które zostały wykradzione, przejęte przez atakującego nie są z perspektywy zewnętrznej oceny aż tyle warte, że należałoby niszczyć te wszystkie systemy. Tylko atakujący o tym nie myśli. On przede wszystkim chroni swoją tożsamość, chroni siebie, próbuje zatrzeć ślady.
Podsumowując to, o co zapytałeś – czyli jak najczęściej atakujący dostają się do naszej infrastruktury – to dzisiaj jest kilka takich istotnych wektorów inicjalnych ataku, ale największym zagrożeniem dla nas dzisiaj – dla ciebie, dla mnie, dla wszystkich najsłabszych ogniw, którymi jesteśmy – jest poczta, phishing i od tego się wszystko najczęściej zaczyna.
I tu nie mówimy tylko o podawaniu loginów i haseł, bo wystarczy kliknąć nieznany link czy otworzyć załącznik z niesprawdzonego źródła?
To nie jest zazwyczaj tak, że tylko kliknięcie powoduje już jakieś negatywne działania. Natomiast to z kolei inicjuje kolejne działania albo daje możliwość zastosowania kolejnych technik atakującemu.
To, że klikniesz w jakiś załącznik, wejdziesz na jakąś stronę – nazwijmy to, o niskiej reputacji – to jeszcze nie koniec świata. Natomiast jak zaczniesz tam pobierać jakieś rzeczy, zapisywać je na dysku, niechcący ci się ściągnie jakiś plik excel, PDF, cokolwiek z tej strony, co zapisze się gdzieś, coś niechcący uruchomisz. To już zaczyna być ciekawie – przynajmniej dla atakującego. Bo on widzi, że ma możliwość wykonania kolejnych działań.
Pamiętajmy, że atak to jest pewien łańcuch zdarzeń. To nie jest tak, że nagle nam, tak jak powiedziałem, zaszyfrowało komputer. Nie, to zaszyfrowanie występuje bardzo często już po przeprowadzeniu wcześniej przez atakującego szeregu operacji, które mogą trwać nawet kilka tygodni, kilka miesięcy, a zdarzają się również ataki przygotowywane przez lata.
Więc tak to wygląda. I to porównanie do intruza chodzącego po hotelu też jest nieprzypadkowe, bo im większy hotel, tym być może ten intruz potrzebuje więcej czasu, żeby sobie po omacku tę topografię hotelu rozrysować. Gdzie jest serwerownia, gdzie są pokoje hotelowe, gdzie jest kuchnia, jak wygląda tryb codziennej pracy personelu. On to sobie wszystko przez jakiś czas obserwuje, tak, żeby dotrzeć do być może już wcześniej zaobserwowanych, zidentyfikowanych celów, a być może po prostu szuka, bo są też takie niecelowane ataki. Po prostu ktoś się znalazł gdzieś w jakiejś infrastrukturze i rozgląda się, co może znaleźć, a jak coś znajdzie, to zastanawia się, czy to można spieniężyć, bo najczęściej takie są motywy. Więc jeśli znalazł powiedzmy jakiś know-how, to robi też równolegle rekonesans, czy potencjalnie można to zmonetyzować w jakiś sposób.
Jeżeli chodzi o konsekwencje dla firmy, czy dla instytucji publicznej, to część z nich jesteśmy w stanie sobie wyobrazić – zainfekowanie systemu i koszty związane z czasem i pieniędzmi, które trzeba zainwestować, żeby to wszystko odbudować i uruchomić ponownie. W przypadku firm produkcyjnych to koszty związane z przestojem, z brakiem produkcji, z zerwaniem łańcucha dostaw. Ale oprócz tego wszystkiego są jeszcze w wielu przypadkach konsekwencje prawne.
Tak. To są konsekwencje głównie nakładane na zarządy firm znajdujących się właśnie na listach obiektów infrastruktury wrażliwej. Tak, jak mówiłem na początku, są programy działań, które zmierzają do tego, żeby pomóc w budowaniu cyberodporności w ogóle, ale również cyberodporności infrastruktury kluczowej, krytycznej, na zakłócenia. Ja nazwałem to programami działań, ale zasadniczo są to najczęściej jakieś akty prawne, które docierają do nas albo z poziomu Unii Europejskiej, w postaci dyrektyw i rozporządzeń, albo w formie na przykład pewnych ustaw czy rozporządzeń lokalnych, polskich.
Skoro już jesteśmy przy cyberbezpieczeństwie, to zacznijmy od dyrektywy, która już w Polsce powinna obowiązywać od co najmniej roku, a nie została jeszcze implementowana.
Wiem, o której mówisz. W ogóle w kontekście cyberbezpieczeństwa, które dzisiaj jest na tak zwanym topie, jest triada aktów prawnych. To jest trio składające się z: dyrektywy NIS 2, rozporządzenia DORA i dyrektywy CER. Te akty prawne są ze sobą bardzo ściśle powiązane, natomiast zawierają w sobie w różnym stopniu różne instrumenty które nas dotyczą.
Takim zdecydowanie podstawowym aktem prawnym – w mojej ocenie dzisiaj top of the top – który na pewno w perspektywie czasu wspomoże budowę cyberbezpieczeństwa w obszarze sektorów, podmiotów dla nas ważnych, jest dyrektywa NIS 2. I to jest właśnie ta dyrektywa, o której pewnie wszyscy już słyszeli i o której powiedziałeś, że już powinna wejść w życie.
I ona faktycznie weszła w życie tylko nie została wprowadzona jako ustawa w Polsce. Dyrektywa NIS 2 powinna być zaimplementowana w polskim systemie prawnym mniej więcej do połowy października 2024 roku. Nadal jeszcze nie mamy jednak tej implementacji. Implementacja będzie polegała na znowelizowaniu ustawy o krajowym systemie cyberbezpieczeństwa, bo sama dyrektywa NIS 2 stanowi albo opisuje, w jaki sposób osiągnąć wspólny wysoki poziom bezpieczeństwa systemów teleinformatycznych na poziomie Unii Europejskiej i na poziomie wszystkich państw członkowskich, które również powinny ze sobą w tym zakresie współpracować. Nie tylko o tym jest ta dyrektywa, ale to jest jeden z najważniejszych jej motywów.
W Polsce, tak gwoli wyjaśnienia, funkcjonuje dyrektywa, można powiedzieć, NIS 1. Ona się nazywa NIS, ale ponieważ jest też dyrektywa NIS 2, to niektórzy się posługują formułowaniem NIS 1. Jej instrumenty zostały wdrożone w postaci ustawy o krajowym systemie cyberbezpieczeństwa i ona już kilka lat funkcjonuje w Polsce. I jak się pewnie domyślamy, na niej została zbudowana na poziomie unijnym dyrektywa NIS 2, która miała eliminować pewne niedoskonałości tej pierwszej dyrektywy, bo faktycznie takowe były. Ten system nie był do końca szczelny, było dużo wątpliwości, były różne niedoskonałości i bardzo dobrze się stało, że państwa członkowskie wspólnie wypracowały standardy budowy wspólnego, wysokiego poziomu bezpieczeństwa.
Dyrektywa NIS 2 dotyczy 18 sektorów, więc jak już teraz konkretyzujemy nasze rozważania, czym jest ten sektor, ten podmiot, ta infrastruktura kluczowa, to mówimy o 18 sektorach gospodarki, ale nie tylko gospodarki, bo również administracji publicznej. I wśród tych sektorów są takie oczywiste sektory jak energetyka, jak ciepłownictwo, ale również producenci żywności, infrastruktura finansowa, administracja publiczna, służba zdrowia, gospodarka odpadami, finanse, logistyka, transport, i tak dalej, i tak dalej. Również przemysł kosmiczny w Polsce należy do tych sektorów.
Dyrektywa wprowadza pojęcia podmiotu ważnego i podmiotu kluczowego i nakłada obowiązki na te podmioty. Tych obowiązków jest dosyć dużo, dlatego nie chcę używać mocnych słów, ale to opóźnienie we wdrożeniu, w zaimplementowaniu tej dyrektywy w polskim systemie prawnym jest niepokojące dla przedsiębiorców, którzy już dzisiaj wiedzą, że będą objęci tą regulacją i do końca nie wiedzą, kiedy mają pewne rzeczy rozpisywać w planach inwestycyjnych, bo będą wymagane inwestycje w tym obszarze, będzie wymagana implementacja nowych procesów, będzie wymagana implementacja nowych rozwiązań, które mają podnieść poziom bezpieczeństwa, począwszy od poziomu lokalnego, poprzez poziom krajowy, członkowski, aż po poziom całej Unii Europejskiej.
I na ten moment dyrektywa NIS 2 jest taką biblią, punktem odniesienia również dla innych sektorów.
Kolejne jest rozporządzenie DORA, które dotyczy głównie sektora finansowego. To jest taki akt, można powiedzieć, sektorowy, dla kilkudziesięciu typów podmiotów finansowych, które są przez ten akt regulowane i to rozporządzenie weszło już w życie w połowie stycznia tego roku. Nie trzeba go tak jak dyrektywy implementować, można je stosować wprost, oczywiście z pewnymi ograniczeniami. Są już ustawy, które będą wprowadzały pewne zmiany wynikające z tego rozporządzenia, które już obowiązuje. I chcę powiedzieć, że bardzo dużo firm w Polsce – poza sektorem bankowym, który od dłuższego czasu pracuje nad wprowadzeniem tego rozporządzenia – firm, które uczestniczą w łańcuchach dostaw dla tych podmiotów finansowych, które są regulowane tym rozporządzeniem, dzisiaj odczuwa konsekwencje wejścia w życie tego rozporządzenia, gdyż podmioty finansowe mają też obowiązek zapewnienia i dbania o poziom bezpieczeństwa informacji również w swoich łańcuchach dostaw, zwłaszcza wśród swoich dostawców usług ICT, w związku z czym już dzisiaj kierują pewne oczekiwania w stosunku do dostawców, wysyłając im między innymi aneksy, które wprowadzają dodatkowe obowiązki.
Więc dzisiaj część firm, mimo że nie występują podmiotowo w tym akcie prawnym, musi go w zasadzie przestrzegać, bo dostają one wymagania od kontrahentów, dla których świadczą usługi, a którzy są zobowiązani tym aktem.
No i jest trzeci akt, dyrektywa CER, dyrektywa o odporności podmiotów infrastruktury krytycznej. I to jest dyrektywa, która opiera się co do mechanizmu, jeżeli chodzi o mechanizmy zabezpieczające, o tak zwane kontrolki, o ogólne zasady, na dyrektywie NIS 2, ale ona jakby jeszcze zaostrza dyrektywę NIS 2 i dotyczy tej infrastruktury krytycznej, takiej naprawdę bardzo ważnej.
Dzisiaj nie jest łatwo dotrzeć do informacji, co się aktualnie znajduje na liście infrastruktury krytycznej. I to jest akurat dobrze, aczkolwiek można intuicyjnie się domyślić, że na tej liście podmiotów krytycznych są takie, a nie inne instytucje. Instytucje z obszarów, które nie należą do administracji publicznej, nie są to organy państwowe, to są normalnie biznesy, które świadczą usługi bardzo ważne, nie tylko dla państwa, ale również dla obywateli. W związku z tym może się zdarzyć też taka sytuacja, że te obowiązki, które nakłada dyrektywa NIS 2 czy rozporządzenie DORA, będą po prostu dotkliwe finansowo dla tych podmiotów, w związku z czym dyrektywa CER ma też pomóc stworzyć takie mechanizmy wsparcia tych podmiotów przez państwo, żeby one mogły podnosić poziom bezpieczeństwa i odporności na zakłócenia, bo to jest w interesie nas wszystkich.
Dyrektywa CER weszła w życie w tym samym czasie co dyrektywa NIS 2, ale bardziej angażuje państwowe organy władzy centralnej, które muszą przeprowadzić krajową analizę ryzyka i dostarczyć strategię w obszarze cyberbezpieczeństwa dla infrastruktury krytycznej oraz wymienić się tymi mechanizmami również z innymi krajami członkowskimi, tak żeby budować to cyberbezpieczeństwo i odporności na poziomie unijnym.
U nas to akurat dobrze funkcjonuje. Jest taka ustawa, którą pewnie wszyscy znamy, ustawa o infrastrukturze krytycznej. Ona jest z 2007 roku, więc można powiedzieć, że już jest wiekowa, ale ona jest bardzo często nowelizowana. Ostatnia nowelizacja miała miejsce dosłownie niedawno, przy okazji między innymi powodzi, więc tam dużo się dzieje. Jest też RCB, Rządowe Centrum Bezpieczeństwa, które jest organem wyznaczonym do tego, żeby zarządzać sytuacjami kryzysowymi i trochę wyznaczać drogę i jest też odpowiedzialne za budowanie strategii, za przygotowywanie planów zarządzania kryzysowego i to jest OK. Tutaj zostało dużo pracy wykonane. Nie we wszystkich krajach członkowskich wygląda to tak dobrze.
Ale chciałbym dopytać jeszcze o dyrektywę NIS 2, bo patrząc na proces legislacyjny, wygląda na to, że rzeczywiście, jeśli już wreszcie ten projekt trafi pod obrady Sejmu, to błyskawiczną ścieżką pewnie zostanie uchwalony…
…Nie wiem. Nie chcę tu się wypowiadać za ustawodawcę…
…Moje pytanie jest inne. Patrząc z perspektywy przedsiębiorców, którzy cały czas są w zawieszeniu, nie wiedzą co robić i kiedy robić, dyrektywa NIS-2 wprowadza między innymi taki mechanizm, że każda z firm powinna sama się określić, czy należy do któregoś z tych 18 wymienionych sektorów, czy powinna się znaleźć na tej liście i w związku z tym, czy powinna wypełniać wymogi wskazane czy to w nowelizacji ustawy, czy w dyrektywie. Jeżeli to wejdzie w życie, a tam jest miesięczny termin na dostosowanie się do wymogów z jakąś półroczną karencją ewentualnie, to tak naprawdę przedsiębiorcy mają bardzo mało czasu na przygotowanie się do tych wymogów. Spróbujmy określić taki harmonogram, czy takie kroki milowe, które przedsiębiorcom mogłyby pomóc po pierwsze, w uspokojeniu się, a po drugie, we właściwym, prostym, szybkim wdrożeniu tych wymogów, które będą obowiązywały.
Może zaczniemy od tego, że to nie jest tak, że wchodzi dyrektywa NIS 2 i wszyscy się dowiadujemy o tym, że musimy budować cyberbezpieczeństwo, bezpieczeństwo z obszaru zarządzania informacji, czy zarządzania ciągłością działań w naszych firmach, w tych podmiotach. To nie jest tak, że to się nagle stanie i wszyscy zaczniemy zastanawiać się generalnie od czego zacząć.
Nie, to nie tak. Faktycznie, dużą zmianą jest to, że te zasady obejmą bardzo dużą grupę podmiotów. To jest na pewno poważna zmiana, więc to nie przemknie nie zauważone. Harmonogram wdrożenia, z dzisiejszej perspektywy, to od kilku miesięcy do nawet kilku lat. Faktycznie będzie tam vacatio legis, bo nie wyobrażam sobie innej sytuacji.
Wiele firm, które gdzieś już o tym słyszały, o dyrektywie wie, bo mówimy o niej od lat, nie od wczoraj. Część firm pewne przygotowania w tym zakresie już poczyniła, niemniej jednak to wszystko się najprawdopodobniej skumuluje w momencie, kiedy ta ustawa faktycznie wejdzie na ścieżkę ustawodawczą i zostanie przez tę ścieżkę przepuszczona.
Element, który się pojawił, bardzo istotny, na który zwróciłeś uwagę, to jest tak zwana samoklasyfikacja. To znaczy, że ustawodawca oczekuje, że ja jako podmiot sam się sklasyfikuję i sam ocenię, czy jestem podmiotem kluczowym, ważnym, i określę, jaka jest moja istotność dla społeczeństwa lokalnego, dla społeczności lokalnej, dla regionu, być może dla państwa. Sam się ocenię i zweryfikuję, czy ja jestem kluczowy, czy ważny. Oczywiście możemy pomyśleć, że skoro jest ustawa, to ona pewnie jasno mówi, że taka firma, taki biznes, powinien być sklasyfikowany w taki sposób.
Faktycznie, jak prowadzę różnego rodzaju badania audytowe i doradzam firmom w obszarze cyberbezpieczeństwa, to mamy niekiedy kłopot z klasyfikacją. Wcale nie są to oczywiste kryteria, mimo że są kryteria i wielkościowe, i sektorowe. I jest jeszcze szereg innych kryteriów, które mogą być określone jako uznaniowe, bo niezależnie od tego, czy łapiesz się w kryteria, czy nie, są organy, które mogą podjąć decyzję za ciebie.
Ale w znakomitej większości przypadków, musisz się sam sklasyfikować i trzeba poświęcić trochę czasu, żeby to zrobić. W wielu sytuacjach będzie to oczywista sprawa i nie będzie nastręczało to problemów. Ale spotykałem się z takimi sytuacjami, co najmniej kilka razy, że ta klasyfikacja nie była oczywista. Na przykład miałem taki przypadek, w którym rozpocząłem projekt z zespołem budowy systemu zarządzania bezpieczeństwem informacji w firmie, która poprosiła o to, żebyśmy przygotowali ich na wymagania stawiane wobec nich przez podmiot finansowy regulowany przez rozporządzenie DORA. Na końcu badania okazało się, że oni w zasadzie podlegają pod dyrektywę NIS 2, która już weszła w życie i za chwilkę znajdzie swoje odzwierciedlenie w prawie krajowym. Więc byli trochę zszokowani, że będzie ich za chwilę obowiązywała nie tylko część wymagań wynikających z DORY dla dostawców usług ICT do podmiotów finansowych, ale w ogóle cała dyrektywa NIS 2.
Warto się skonsultować z kimś, kto ma wiedzę na ten temat. Co więcej – nie chcę tego oceniać, ale ustawa może być trochę przeregulowana. Patrząc na ten projekt, istnieje ryzyko, że może być tam nieco więcej wymagań i wymagania mogą być nieco ostrzejsze, niż to, co jest bezpośrednio w akcie źródłowym, czyli w dyrektywie. W związku z tym warto przejrzeć, przeanalizować i zrobić klasyfikację z kimś, kto potrafi się w tym obszarze poruszać. Zachęcam do tego.
I teraz rzecz, która nie jest odkrywcza w dyrektywie NIS 2, ale zaczyna mieć znaczenie, bo mówimy o odpowiedzialności. Do tej pory było już kilka takich aktów prawnych, które wprowadzały pewne mechanizmy, które trzeba było zaimplementować w obszarze ochrony informacji i jej bezpieczeństwa. Takim sztandarowym przykładem jest RODO, które weszło w życie w maju 2018 roku. To już kilka dobrych lat temu. I tam obowiązywał i nadal obowiązuje taki mechanizm – oczywiście w odniesieniu do obszaru ochrony danych osobowych – że należy stosować środki techniczne i organizacyjne adekwatne do ryzyka.
Żeby stosować coś, co jest adekwatne do ryzyka, żeby zapewnić bezpieczeństwo informacji, to trzeba to ryzyko mierzyć, oceniać, analizować. I mechanizm analizy ryzyka jest dzisiaj praktycznie w każdym akcie, który dotyka bezpieczeństwa informacji albo ciągłości działania. Czy to podmiotów kluczowych i ważnych, patrzmy tutaj na dyrektywę NIS 2, czy sektora finansowego, czy infrastruktury krytycznej, co wynika z dyrektywy CER. Wszędzie jest analiza ryzyka. Ona się tam też nie wzięła znikąd, dlatego że to jest wiedza, która funkcjonuje od wielu dekad i która jest przemycana, można powiedzieć, albo promowana przez międzynarodowe standardy w obszarze bezpieczeństwa informacji. Analiza ryzyka w tych standardach była prawie od zawsze. Zawsze był tam mechanizm, który zachęcał do tego, żeby odpowiadać adekwatnie do zagrożeń, z którymi się możemy zderzyć.
Więc są sprawy, na których po prostu do tej pory się nie skupialiśmy, bo może nie mieliśmy powodów, natomiast teraz będziemy musieli się na nich skupić. Powiedziałeś o odpowiedzialności i faktycznie jest tak, że dyrektywa NIS 2 nakłada obowiązki, ale również wylicza sankcje za brak realizacji tych obowiązków. No i jakiego rodzaju to są sankcje? Są to sankcje finansowe.
Wiadomo, w RODO też były sankcje finansowe. Wielkie kwoty się pojawiały.
I zarządy zaczęły ubezpieczać się od odpowiedzialności.
No dokładnie. I tam trochę odpowiedzialność za wdrażanie tych mechanizmów się rozmywała. Natomiast tutaj już jest wprost powiedziane, że za bezpieczeństwo w obszarze informacji, za ciągłość działania odpowiada kierownictwo danego podmiotu, który jest albo uznany za podmiot kluczowy, albo za ważny, albo za podmiot infrastruktury krytycznej, albo za podmiot finansowy regulowany przez rozporządzenie DORA.
Kierownictwo ma osobistą odpowiedzialność za nadzór oraz za zapewnienie mechanizmów służących do podnoszenia bezpieczeństwa. I tam są konkretne kwoty. U niektórych osób widać pewne zaniepokojenie, albo występują tak zwane dreszcze na plecach, jak słyszą, że mogą w konsekwencji nierealizowania tych obowiązków dostać zakaz pełnienia funkcji publicznych, albo mogą zostać na nich nałożone kary finansowe w wysokości nawet do sześciokrotności wynagrodzenia.
To są już realne sankcje, które od razu działają na wyobraźnię osób zarządzających i dlatego też teraz być może ten fokus na obowiązki wynikające z DORY jest większy i można powiedzieć, że tworzący prawo trochę też o to zadbali w ten sposób, bo dyrektywa NIS 1 nie wiązała się z konsekwencjami osobistymi, w związku z czym, jak się pewnie można domyślać, ta odpowiedzialność się nieco rozmywała i mechanizmy przewidziane w tej dyrektywie nie były takie efektywne.
Natomiast w tym momencie faktycznie mamy do czynienia już z wyraźnym określeniem, wskazaniem, że odpowiedzialność jest osobista. Oczywiście mówimy też o odpowiedzialności podmiotu, ale ta z reguły nie interesuje aż tak szerokiego grona. Natomiast odpowiedzialność osobista już działa na wyobraźnię i sprawia, że menadżerowie, prezesi, osoby zarządzające, kierownictwo dzisiaj zastanawia się w jaki sposób się przygotować na to NIS 2, co zrobić, co można zrobić już dzisiaj, a z czym trzeba poczekać.
Są rzeczy, z którymi należy poczekać, bo nie ma aktów wykonawczych do ustawy, która jeszcze nie jest uchwalona, więc to jest oczywista sprawa. Ale są rzeczy, które już można dzisiaj zrobić. Przede wszystkim właśnie w obszarze analizy ryzyka, w obszarze analizy wpływu na biznes, czyli w kontekście procesów ciągłości działania, można się już przygotowywać. Nie mówię, żeby już dzisiaj uruchamiać jakieś nowe linie budżetowe, bo trzeba przede wszystkim wiedzieć, w jaki sposób mamy zaimplementować poszczególne mechanizmy. Pamiętajmy też, że te mechanizmy muszą być nie tylko adekwatne do zagrożeń, adekwatne do ryzyk, ale też uzasadnione ekonomicznie. Nie o to chodzi, żebyśmy inwestowali jakieś fortuny tylko po to, żeby je zainwestować. Albo jeżeli na przykład wartość informacji, którą chronimy jest po prostu mała, to nie ma sensu inwestować milionów w systemy zabezpieczeń.
Analiza ryzyka to jedno, dobór adekwatnych rozwiązań to drugie. Trzecie to wdrożenie rozwiązań, a ocena skuteczności tych rozwiązań to jest czwarta ważna rzecz. Bo jesteśmy zobligowani, żeby ocenę skuteczności zaimplementowanych mechanizmów realizować cały czas, weryfikować, czy one faktycznie działają. Bo to, że coś mamy, nie oznacza, że to działa.
Czyli po wdrożeniu konieczne są zarówno kolejne audyty, jak i kolejne analizy ryzyka?
Tak, i pojawiają się właśnie tego typu wymagania. Kolejny truizm – powszechny w świecie „bezpieczników”, czyli osób zajmujących się bezpieczeństwem – bezpieczeństwo to jest proces. I niestety nie da się go wdrożyć jednorazowo, za pomocą jednego projektu, jednego wydatku. Nie ma jednego uniwersalnego systemu, który zapewni nam bezpieczeństwo na zawsze. Cały czas musimy się poruszać w tym cyklu ciągłego doskonalenia. Analizować problemy, które się pojawią. I szukać rozwiązań. I usprawniać procesy. Dopracowywać rozwiązania, systemy. Być może szukać kolejnych, jeżeli uznamy, że ryzyko jest poza kontrolą albo jest na poziomie nieakceptowalnym, bo nagle się pojawiły jakieś nowe okoliczności albo nowy kontekst. Również kontekst, który może mieć swoje źródła w geopolityce, co też może się zdarzyć. I to też trzeba analizować. Dlatego to jest proces. I obowiązek wynikający z NIS 2 polega na tym, że monitorujemy się w trybie ciągłym.
Ten tryb ciągły nie zawsze jest dokładnie określony. Nie to, że raz w miesiącu, raz w tygodniu, czy codziennie. W trybie ciągłym. Ciągle się doskonalimy. Dobrymi mechanizmami tu są mechanizmy polegające na wdrożeniu systemów zarządzania bezpieczeństwem informacji, czy systemy zarządzania ciągłością działania. Są na to standardy, normy, różnego rodzaju wiedza i zebrane doświadczenia, które nam powiedzą, jak to zrobić. Jest też bardzo ważna według mnie rzecz, mianowicie obowiązek budowania świadomości najsłabszego ogniwa, czyli nas tutaj, czyli każdego z nas, każdego z pracowników. Jest wymóg budowania tej świadomości poprzez programy szkoleń, poprzez symulacje, poprzez testy, poprzez weryfikacje, poprzez uwrażliwianie, różnego rodzaju działania. One nie są bezpośrednio wskazane w dyrektywie NIS 2, bo znowu muszą być adekwatne do ryzyk, oraz do kontekstu organizacji, w której pracujemy.
No i rzecz, która jest według mnie też pozytywna, jeżeli chodzi o obowiązki, a nie jest – w mojej ocenie – jakoś drastycznie obciążająca. To, są cykliczne szkolenia kadry zarządzającej, kierownictwa, które jest odpowiedzialne za obszar bezpieczeństwa informacji, obszar ciągłości działania w organizacji, dotyczące nie tylko z aktualnego stanu przepisów i ich ewentualnych zmian, ale też w typowym kontekście budowania świadomości, również tego najwyższego kierownictwa, zarządów, prezesów, którzy są odpowiedzialni, tak żeby mieli jakiś instrument nie tylko sankcji, nie tylko kary, nie tylko odpowiedzialności osobistej, ale żeby też mieli zapewniony w ustawodawstwie instrument, który pomaga im realizować te obowiązki.
Więc to jest pozytywny mechanizm, dobrze zsynchronizowany z tym obowiązkiem, z odpowiedzialnością za bezpieczeństwo informacji. Jest też szereg innych, ale to jest pewnie inna dyskusja.
Wszystkich wątków nie poruszymy dzisiaj na pewno, to prawda, ale po to właśnie są też takie firmy jak wasza, żeby osoby zainteresowane mogły się do nich zgłosić, dowiedzieć się, zapytać i ewentualnie budować tę swoją odporność, czy na cyberataki, czy na ataki fizyczne.
Potwierdzam to co mówisz. Faktycznie po to jesteśmy, żeby korzystać z naszej wiedzy, doświadczenia, żeby podnosić poziom bezpieczeństwa, bo doradzamy, wdrażamy mechanizmy, jak najbardziej. Natomiast rzeczą, która mnie osobiście trochę niepokoi, i to ma swoją genezę w wielu różnych czynnikach, jest to, że bardzo często myślimy o bezpieczeństwie, o obowiązkach wynikających z regulacji, w sposób bardzo powierzchowny. Próbujemy coś wdrożyć, tak żeby, nazwijmy to tak nieelegancko, coś odhaczyć. I ja się spotykam podczas audytów, czy to takich typowo biznesowych, czy ustawowych, z takimi sytuacjami, w których niestety te rozwiązania, te mechanizmy, te systemy zarządzania, czy to bezpieczeństwo informacji, czy ciągłości działania, są kompletnie niedostosowane do kontekstu organizacyjnego, do organizacji, do potrzeb, do ekspozycji na ryzyko. I w ogóle to są po prostu takie odhaczone sprawy, jakby tylko po to, żeby gdzieś wykazać zgodność. I to jest trochę oszukiwanie samych siebie. To jest złudne bezpieczeństwo.
Fakt, możemy dyskutować, czy być może niektóre mechanizmy zawarte w tych aktach prawnych nie są nadmiarowe, może są trudne do wdrożenia przez zwykły biznes, przez osoby prowadzące mniejsze firmy. Ale na koniec dnia, z perspektywy eksperta o długoletnim doświadczeniu w obszarze bezpieczeństwa informacji, mogę powiedzieć, że te propozycje i te mechanizmy nie wzięły się znikąd. One tam się nie pojawiły tylko dlatego, że jakiś urzędnik, jakiś biurokrata gdzieś na poziomie Unii Europejskiej sobie to po prostu wymyślił i wpisał do dyrektywy. Nie, to jest poparte doświadczeniami i wiedzą zebraną przez osoby, które tworzyły, wpisywały te mechanizmy do aktów prawnych.
A odhaczając pewne rzeczy, czyli wdrażając tylko i wyłącznie na tak zwaną zgodność papierową, narażamy się na konsekwencje w sytuacji, kiedy faktycznie coś się wydarzy. Bo procedury, które nie są dopasowane do naszego kontekstu organizacyjnego nie zadziałają. Plany ciągłości działania, plany przywracania ciągłości działania nie zafunkcjonują. To są plany, tak kolokwialnie mówiąc, skopiowane z innej organizacji, która jest zupełnie inna od naszej, więc nieskuteczne. Będziemy działali w trybie chaosu, w pośpiechu, w nerwach, w stresie, więc są pewne rzeczy, które trzeba dopasować do kontekstu organizacyjnego i później oczywiście weryfikować ich skuteczność poprzez symulację, testy. Natomiast nie da się takiego samego bezpieczeństwa zaimplementować w każdej firmie tak samo. To jest bez sensu.
Ten błąd popełniają firmy, które przede wszystkim chcą tylko i wyłącznie wykazać zgodność działań firmy z przepisami, ale również administracja publiczna, która próbuje wykazać zgodność z regulacjami. Natomiast to ma swoje dalsze konsekwencje.
I dzisiaj, gdybym mógł zaapelować na przykład do podmiotów, do biznesu, ale również do administracji publicznej, to apeluję o to, żeby wdrażać dyrektywę NIS 2 z głową.
To znaczy, po pierwsze, faktycznie przeanalizować potrzeby, zweryfikować, przeprowadzić analizę ryzyka. To bardzo pomaga. Później się okazuje, że wiele rzeczy, które chcieliśmy wdrożyć na początku, bo jakiś informatyk postanowił działać, to były rzeczy nadmiarowe. Nie trzeba było tego robić i można było zaoszczędzić czas i pieniądze. Przestrzegam przed takim nieprzemyślanym podejmowaniem decyzji.
Warto pewne rzeczy wcześniej przeanalizować, wykonać pracę i dopasować rozwiązania i mechanizmy do kontekstu i do sposobu funkcjonowania naszej organizacji. Znaleźć takie rozwiązania, które będą najbardziej skuteczne w naszym otoczeniu i będą uwzględniały różne uwarunkowania. Więc o to naprawdę apeluję. Można wiele zaoszczędzić, ale również można naprawdę zbudować bezpieczeństwo, które w sytuacji nieoczekiwanej wyciągnie nas z niej, albo pozwoli nam łatwiej przejść przez sytuację stresową. Procedury faktycznie zadziałają. Każdy będzie wiedział co robić, a gdy nie będzie wiedział co robić i zajrzy do procedur to nie znajdzie tam 15 osób, których role są tylko na papierze, bo ich nie ma w organizacji.
Więc trzeba się zastanowić, co kto ma robić. Niech znajdzie się tam faktycznie stanowisko i odpowiedzialność oraz konkretny plan działania na konkretnym odcinku, które są dopasowane do naszej organizacji i opis procesu wychodzenia z opresji. Proces wychodzenia z trudnej sytuacji będzie uporządkowany, będzie szybszy i będzie na pewno mniej kosztowny. Zapewniam.
