Wszystkie drogi prowadzą do SOC
Co warto wiedzieć o „security blind spots” oraz rozwiązaniach EDR/XDR, SIEM/SOAR.
Automatyzacja procesów – dlaczego jest tak kluczowa w funkcjonowaniu Departamentu IT i jak wpływa na cyberbezpieczeństwo? Jak ważna jest świadomość pracowników i kadry zarządzającej w obszarze cyberzagrożeń? Jakie plany ma EXATEL na Europejski Miesiąc Cyberbezpieczeństwa? Zapraszamy do rozmowy z Karolem Wróblem, Dyrektorem Departamentu Cyberbezpieczeństwa i IT.
EXATELLERS to rozmowy o technologii, biznesie i trendach w obszarze telekomunikacji i cyberbezpieczeństwa. W tym podcaście rozmawiamy o tym, jak w EXATEL łączymy telekomunikację z innowacjami i dlaczego prowadzimy działania R&D tworząc własne rozwiązania. Ja nazywam się Sylwia Buźniak, jestem senior HR Business Partner i do tego programu będę zapraszać ekspertów EXATEL, aby poznać kulisy ich pracy i zrozumieć, które technologie są kluczowe dla rozwoju biznesu. Zapraszam.
Sylwia: Dzień dobry. W dzisiejszy odcinku podcastu, moim i państwa gościem jest Karol Wróbel, dyrektor departamentu cyberbezpieczeństwa i dyrektor departamentu informatyki. Cześć Karol.
Karol: Cześć Sylwia.
Sylwia: Karolu miło, że ponownie zgodziłeś się porozmawiać ze mną od naszej ostatniej rozmowy minął prawdopodobniej rok. Co u ciebie wydarzyło się w tym ostatnim roku? Jak wygląda sytuacja w departamentach?
Karol: Dziękuję ci za to pytanie. Tak faktycznie ostatnio rozmawialiśmy rok temu. Ten rok to bardzo intensywna praca w obu departamentach i dużo usprawnień, które wprowadziliśmy. Mamy szerszą ofertę, mamy dużo więcej zrealizowanych projektów komercyjnych, ogrom pracy wykonany do wewnątrz organizacji z perspektywy departamentu informatyki, departamentu cyberbezpieczeństwa i też masa doświadczeń. Przez pryzmat tego, jak skutecznie i lepiej i szybciej realizować usługi komercyjne, a przede wszystkim w zakresie systematyzowania bezpieczeństwa w rozumieniu zapewnienia podstawowej higieny. To jest kluczem i fundamentem do tego, żeby móc działać sprawnie, żeby móc zachować ciągłość zdziałania naszych firm.
Sylwia: Jak wygląda kwestia automatyzacji procesów z Twojej perspektywy?
Karol: O, to jest jakby klucz, jeżeli chodzi o Departament Informatyki. To na co stawiamy, co też pozwala nam z perspektywy Departamentu Cyberbezpieczeństwa w trakcie świadczenia usług komercyjnych, rozumieć clue i fundament, na którym stoją organizację. Czyli na systemach, które między innymi przechowują dane finansowe, przechowują dane projektowe i koncentracja wokół tego. W taki sposób, żeby jak najracjonalniej tym zarządzać z perspektywy cyberbezpieczeństwa. Jeżeli chodzi o samą automatyzację, to jak najbardziej ciągle dążymy do tego, żeby usprawniać procesy. Mamy na to, coraz więcej pomysłów w taki sposób, żeby też dawać te rozwiązania klientom w ramach komercyjnych kontraktów.
Sylwia: Przed nami miesiąc cyber. Płynnie przechodząc, powiedź co EXATEL co w tych jako dyrektor we współpracy z Biurem Marketingu i Komunikacji, planujecie z okazji Miesiąca Cyberbezpieczeństwa.
Karol: To jest wspaniała inicjatywa, żeby przynajmniej raz do roku, a najlepiej na bieżąco, móc się skupić na zagadnieniu cyberbezpieczeństwa, które koniec końców jest bardzo ważne przez pryzmat tego, żeby systemy teleinformatyczne w różnego rodzaju podmiotach działały sprawnie. Zamierzamy świętować ten miesiąc, bo jest on dla nas bardzo ważny. Zaplanowaliśmy serię artykułów, ciekawostek, podcastów, będą też niespodzianki związane z komercyjną działalnością, czyli być może jakieś promocyjne usługi. Natomiast nie chciałbym tutaj zdradzać zbyt wcześnie, zapraszam do tego, żebyście Państwo śledzili nasze media społecznościowe. Na przestrzeni października będą kolejne publikacje i kolejne informacje przekazywane przez nas.
Sylwia: A gdybyśmy teraz przeszli do bardziej merytorycznych pytań – jeśli miałbyś wybrać jedno działanie, które poleciłbyś na początek pracy nad bezpieczeństwem w organizacji, to co by to było?
Karol: To jest doskonałe pytanie, które bazuje na naszych doświadczeniach z ostatniego roku, dwóch i wcześniej. Faktem jest, że dążyłbym do zachowania takiej podstawowej higieny bezpieczeństwa. Zaczynałbym koncentracja od tego i weryfikację, jak jest to zrealizowane w danym podmiocie.
Sylwia: Czy mogły się rozwinąć, co masz myśli mówiąc podstawowa higiena bezpieczeństwa?
Karol: Tak, jak najbardziej. Przez pryzmat lat, a w zasadzie dziesięcioleci, bo już praktycznie za rok będzie druga dekada, kiedy funkcjonuję zawodowo w świecie IT i cyber. Przez cały okres, kiedy zajmuję się zagadnieniami IT, jak i cyberbezpieczeństwa to często decyzje podejmowane są w oparciu o decyzje ochrony organizacji czy typowania na czym dane organizacją się koncentrują. Podejmowane są w oparciu basewordy o to, co dotrze do kierujących organizacją. Natomiast taką uniwersalną prawdą na przestrzeni kwartałów, lat, w zasadzie dziesięcioleci jest to, że jednak bezpieczeństwo budujemy od podstaw i należy się skupiać i weryfikować te najbardziej podstawowe zagadnienia w taki sposób, żeby mieć fundament usystematyzowany. Wszystko co wyżej też jest ważne, natomiast najbardziej podstawowe zagadnienia przygotowania się, chociażby na kwestie scenariuszy związanych z ransomwarem, czy atakami denial of service, phishingiem, szkoleniami do wewnątrz, poziomem wiedzy tak użytkowników, jak i kadry eksperckiej, czy zapewnienie odpowiedniej jakości poziomu autoryzacji wewnątrz organizacji, czyli na przykładna przykład zapewnienie multi-factor authentication.
Sylwia: Mówiąc o tych zagadnieniach, pewnie możemy wprowadzić rozróżnienie na podejście reaktywne i proaktywne. Gros tych zagadnień, które wymieniłeś, pewnie opierają się o to właśnie proaktywne podejście, a gdybyś miał opowiedzieć dlaczego ta właśnie proaktywność jest tutaj konieczna.
Karol: Bardzo celnie Sylwio. To jest bardzo ważne, żeby to przedyskutować, żebyśmy mieli tutaj zrozumienie, chociażby na przykładzie ransomware’u To jest bardzo jaskrawy przykład, który można zastosować w tej dyskusji. Jeżeli daną firmę dotknie zagadnienie ransomware’u, firmę która nie jest przygotowane. Nie ma posegmentowanej sieć, nie ma wprowadzonych odpowiednich zabezpieczeń, na podstawowym poziomie, chociażby, czyli zapewnienia odpowiedniego filtrowania poczty. Tak jak mówiłem, podzielenia owej sieci, zaktualizowanych komputerów centralnie zarządzanych, tak żeby minimalizować powierzchnię ataku, powodować, żeby tak komputery użytkowników, jak i serwery były zaktualizowane w porę. Kwestię podstawowe, kopii bezpieczeństwa w odpowiedni sposób przygotowanych czyli trzymanych w oddzielnych ośrodkach, żeby nie stosować też pewnego rodzaju uproszczeń, jeżeli chodzi o kopiowanie tych danych do backupów, taki czy w inny sposób, jeżeli tutaj na poziomie takich podstawowych zagadnień, też proceduralnych nie jesteśmy przygotowani, to uzyskanie sprawności działania po ataku, ransomware’m który najprawdopodobniej rozprzestrzeni się szybko i może dotknąć całej organizacji, może spowodować niedostępność kluczowych danych. Czyli wyłączenie systemu finansowego, systemu zarządzania zamówieniami, wszystkich kluczowych danych wewnątrz organizacji, to jest jakby worst case scenario, ale bardzo możliwy do wykonania, prawda? Teraz jeżeli dla równowagi bierzemy za przykład organizację, która jest do tego scenariusza przygotowana w taki sposób, że ma odpowiednią kulturę przygotowania sieci systemów, świadomości pracowników, ale też kadry zarządzającej, w odniesieniu do tego, jak podchodzić do zapewnienie podstawowego bezpieczeństwa. Też mamy backup’y przygotowane w sposób odpowiedni, sieci jest wyizolowana, nawet atak na pojedynczy komputer skuteczny atak, to prędzej czy później będzie miało miejsce dotyka tego jednego zasobu, a nie całej organizacji. Czyli faktycznie ktoś ma trudniej bo nie ma swoich, starych Excell’i na których bazował przez ostatnie kwartały, żeby upraszczać sobie pracę ale ciągłość działania organizacji nie jest zaburzona i na tym mi bardzo zależy, żeby dawać na polskim rynku usługi, które systematyzują to podstawowe bezpieczeństwo w sposób efektywny. Żeby to nie było drogie, żeby próg wejścia że w tego rodzaju usługi był tak, żeby firmy mogły się na to zdecydować i żebyśmy mogli zweryfikować tutaj, w którą stronę warto iść. Zależy mi na tym bardzo mocno i dążę do tego od wielu lat pracując w EXATEL, żeby EXATEL był zaufanym partnerem w sferze cyberbezpieczeństwa. W EXATEL mamy misję, żeby faktycznie pomagać i nieść realną pomoc.
Sylwia: Tutaj przede wszystkim mówiłeś o takim proaktywnym podejściu. Czy jesteś w stanie podać w ogóle przykłady, kiedy organizacje mogą sobie pozwolić na reaktywność?
Karol: Reaktywność może być i jest zagadnieniem, które jest prowadzone stale, wyeliminować tego zupełnie się nie da. Jednym z zagadnieniem proaktywnych jest przygotowanie się na funkcjonowanie reaktywne. Co to znaczy? Jeżeli mamy dobrze przygotowany proces obsługi zdarzeń różnego rodzaju, które pojawiają się jako niespodziewane, to słuchajcie do tego też się można przygotować, prawda? Stąd w EXATEL mamy chociażby Network Operations Center, Security Operation Center, ponieważ to są ludzie w dyżurach. W Departamencie Informatyki, pozostałych biur zarządzania siecią, nawet w Biurze Architektury i Planowania Sieci też mamy ludzi w trybie dyżurowym. Żeby móc obsługiwać zdarzenia, które wcześniej nie były w jakiś sposób skwantyfikowane. Natomiast jeżeli tutaj mamy do tego dołożone jakieś proces, plus proces eskalacji na poziom wyższego kierownictwa, to możemy sobie pozwolić na część zagadnie, które trafia w tą sferę działania reaktywnego. Tego nigdy nie wyeliminujemy do zera, prawda? Proaktywnie możemy się przygotować jak najlepiej wykonując taką pracę u postaw, reaktywnie reagujemy w momencie, w którym rzeczywiście pojawiają się jakieś zagadnienia, które wcześniej nie były przewidziane. Natomiast to co ważne, jeżeli wykonamy pracę u postaw, przygotujemy się od strony systemów, od strony sieci, od strony narzędzi bezpieczeństwa, to o wiele łatwiej jest reagować reaktywnie z tego tytułu, że mamy mniej zmiennych w procesie. Pojawiło się coś niespodziewanego, ale mamy przygotowany już fundament, w oparciu o który działamy. Czyli już o wiele mniej czynników może zaburzyć nasze działanie i o wiele więcej jesteśmy w stanie obsłużyć rzeczy nieprzewidziany w danym czasie. Nawet nie chodzi o to co wewnątrz tutaj się dzieje, to jest przykład, który mówi o każdej w zasadzie firmie. Jeżeli mamy fundament ułożony w sposób poprawny, to łatwiej i stabilniej będziemy reagować na działania, które były niespodziewane, ale też szybciej je obsłużymy i zmniejszy potencjalnym efektem. Tak jak tutaj powiedziałem o tym radsomwarze przy szyfrowaniu, lepiej jedna stacja niż cała firma, podobnie jest z atakami Denial of Service. Mamy ten etap wdrożenia usługi, to jest bardzo ciekawy przykład. Wdrożenia usługi kupienia jej odpowiednio wcześniej i spowodowania, że zespół, który zajmuje się ochroną danych zasobów, ma już wiedzę co do tego, jakie systemy w których w klasach adresowych chroni. To jest etap przygotowania, później przychodzi atak, na którym jesteśmy gotowi, tutaj prowadzimy monitorowanie 24/7, reagujemy, ten proces, może być skalowany, zarządzimy tym, prawda? W dowolny sposób, w jaki ten atak będzie skomplikowany, będziemy w stanie pomóc. Natomiast drugi przypadek, to jest taki, w którym klient nie jest przygotowany na ochronę z perspektywy operatora, zdarza mu się duży, złożony atak i zaczynamy tę pracę. Już nawet przy pełnej zgodzie i wiedzy po stronie zarządzających po stronie tego biznesu, który został za atakowany, to to zdarzenie technicznie też będzie trudniejsze. Żeby zapewnić tę ochronę racjonalnie i relatywnie szybko. Chociaż zazwyczaj tutaj jeszcze dochodzi ten element umowny, kwestii dostępu do zasobów i tak dalej, czyli ten cały proces się wydłuża. Automatycznie straty będą większe straty wizerunkowe, dostępu do konkretnych zasobów. Jeżeli usługa jest przygotowana wcześniej, jest o wiele łatwiej jeżeli działamy w trybie reaktywnym, jest to trudniejsze i kosztuje więcej. Kosztuje więcej uwagi.
Sylwia: Bardzo podobała mi się Twoja gra słów i to twoje porównanie, że właśnie proaktywność powoduje, że w pewnym momencie możemy pozwolić sobie na pewną minimalną reaktywność. Czyli trochę tak, że klient wybierając, chociażby EXATEL jako dostawcy usług cyber może sobie pozwolić na pewną reaktywność w obszarze oddając nam pod opiekę, dany obszar czy korzystając z naszych usług.
Karol: Zdecydowanie we współpracy którą ja preferuję, to jest współpraca w modelu wsparcia bezpieczeństwa, gdzie naszym klientom pomagamy ułożyć odpowiednio te proporcje pomiędzy układaniem i systematyzowaniem poszczególnych obszarów, a kwestię akceptacji ryzyka. Można dążyć do tego, że świat jest doskonały, wszystkie rozwiązania będą doskonałe. Prawdziwe cyberbezpieczeństwa już takie dojrzałe, to jest równowaga pomiędzy inwestycją, ilością pracy, którą należy włożyć w to, żeby przygotować odpowiednio środowisko a akceptacją ryzyka. Gdzie coś może wystąpi, staramy się znaleźć tutaj złoty środek, dać pewnego rodzaju zabezpieczenie na wszelkie inne ewentualności w postaci naszego chociażby Security Operations Center czyli grupy ludzi, która doskonale wie co robi, jeżeli chodzi o zagadnienia, które mogą być nieprzewidziane w taki sposób, żeby nasi klienci i czuli się bardziej bezpiecznie.
Sylwia: Reasumując, jak byśmy powiedzieć, co oprócz proaktywności, czyli dostawcy proaktywnego z tym proaktywnym podejściem do cyber, jakie są najważniejsze czynniki albo inne czynniki, które klienci powinni wziąć pod uwagę wybierając dostawcę usług cyber. Jakie pytania powinni sobie zadać przed podjęciem takiej decyzji, jak Ty to widzisz?
Karol: W relacjach, w biznesie dla mnie zawsze bardzo jest ważna transparentność. Jeżeli my od strony dostawcy znajdziemy partnera czyli naszego klienta, który też w sposób otwarty komunikuje na czym mu zależy, jest w jakikolwiek sposób świadomy, to to jest świetne. Z naszej strony też super jest mieć taką relację, żeby można było układać priorytety dla poszczególnych zdarzeń i prac. Wtedy w porozumieniu możemy dążyć do tego, żeby jak najlepiej poukładać zagadnienia związane z cyberbezpieczeństwem na tej organizacji.
Sylwia: Karol, myślę, że na tym możemy zakończyć naszą dzisiejszą rozmowę. Potraktujmy ją jak wstęp ze względu na Twoje wyczucie biznesowe i taką szerszą perspektywę, masz też wpływ na budowę i kształt produktów cyberbezpieczeństwa i o tych porozmawiamy sobie w kolejnych podcastach – na co serdecznie Państwa zapraszamy.
Karol: Bardzo serdecznie dziękuję, Sylwio, już czekam na następną rozmowę z Tobą.
Sylwia: Dzięki bardzo Karol
Karol: Dzięki
Co warto wiedzieć o „security blind spots” oraz rozwiązaniach EDR/XDR, SIEM/SOAR.
Jak mądrze zagospodarować środki na cyberbezpieczeństwo w Twojej firmie?