Październik to europejski miesiąc cyberbezpieczeństwa. EXATEL, jak co roku, wykorzystuje ten czas do popularyzowania wiedzy o bezpieczeństwie w cyberprzestrzeni. Naszym celem jest nie tylko przestrzeganie przed potencjalnymi zagrożeniami, ale również promowanie odpowiedzialnego korzystania z sieci. W ramach cyklu podcastów porozmawiam z ekspertami z departamentu cyberbezpieczeństwa na temat trendów i zagrożeń w obszarze security oraz o tym, jak EXATEL wychodzi im naprzeciw. Zapraszam, Sylwia Buźniak, Senior HR Business Partner EXATEL.

[00:00:33]

Dzień dobry. W dzisiejszym odcinku, moim i państwa gościem jest Karol Wróbel, dyrektor departamentu cyberbezpieczeństwa i departamentu informatyki w EXATEL. Cześć Karol.

• Cześć Sylwia.

Karolu, ponieważ rozmawiamy po raz pierwszy w tej formule, chciałabym najpierw zapytać, co teraz zawodowo u ciebie słychać.

• Faktycznie, trochę w moim życiu się zmieniło w EXATELu, od trzech i pół roku jestem szefem departamentu cyberbezpieczeństwa, ale od początku tego roku również jestem szefem departamentu informatyki, więc zadań jest bardzo dużo, ale bardzo się cieszę, że mogę je realizować, jakby, spójnie realizować też koncepcję i strategię, którą przyjęliśmy wcześniej z zarządem.

Skoro zajmujesz się dwoma departamentami, właściwie sprawujesz pieczę menedżerską nad dwoma departamentami, to jakie masz plany na najbliższe, na najbliższą przyszłość?

• Też jest ciekawe pytanie, jakby, wychodzimy ze standaryzacją dużej ilości usług, takich na początek współpracy, jeżeli chodzi o departament cyberbezpieczeństwa, ale też komercjalizujemy te zagadnienia, które są w ramach departamentu informatyki, bo oba te departamenty to w sumie czternaście zespołów niezależnych od siebie, które każdy, powiedzmy, w procesie, tak, poprawy cyberbezpieczeństwa, jak i zagadnień związanych z wdrażaniem nowych technologii IT, wsparciem i rozwojem, współdziała ze sobą.

Yhm. No IT i cyber, jakby, zawsze będzie się przenikać, jednak skupiłabym się teraz szczególnie na obszarze cyber. Karol, a z jakimi problemami zgłaszają się do was klienci?

• No właśnie i te problemy i zagadnienia w zasadzie, z naszej perspektywy, są bardzo różne, tylko często zdarza się tak, że jakby to pierwsze zagadnienie, z którym klient przychodzi i myśli, że to jest przyczyna źródłowa, niekoniecznie nią jest, jeżeli chodzi o planowanie całości procesu poprawy sytuacji w tym konkretnym podmiocie, bo my staramy się być przede wszystkim partnerem godnym zaufania w tej współpracy, tak, żeby jak najlepiej doradzić, co w naszej ocenie jest najlepszą ścieżką postępowania, tak, żeby to było kosztowo optymalne i żeby przynosiło rzeczywiście realny efekt, oczywiście na sam koniec dnia to klient jasno decyduje o tym, czy z naszą optyką się zgadza, czy jakby pozostajemy przy pierwotnym koncepcie, bo jakby bardzo mocno wsłuchujemy się w potrzebę naszych klientów, niemniej jednak no jakby ta rozmowa to jest i, i, i doszukiwanie się przyczyny źródłowej w tej relacji, którą chcemy zbudować, to jest clou całego przedsięwzięcia, w mojej optyce.

Czyli kwestia badania potrzeb na początek.

• Oj tak, zdecydowanie, zdecydowanie.

A jakie propozycje macie właśnie w tej początkowej fazie współpracy?

• Tak, no, nad tym zagadnieniem pracujemy już od, w zasadzie kilku lat, ja odkąd jestem szefem departamentu cyberbezpieczeństwa bardzo mocno zwracam uwagę na właśnie propozycje, które możemy złożyć na sam początek współpracy, chociażby rekonesans bezpieczeństwa. Małe przedsięwzięcie relatywnie, jeżeli chodzi o koszt i jeżeli chodzi o zaangażowanie eksperckie tak po naszej i po klienta stronie, a w mojej ocenie, dające bardzo duży efekt, czyli no, przedzie, przywdziewamy kaptur atakującego i realnie tak jak zdeterminowany atakujący próbujemy się włamać do tej organizacji, co zakończone raportem daje świetne efekty. Innym zagadnieniem w tym aspekcie, jest chociażby, no, podzbiór tego rekonesansu, czyli na przykład wykana, wykonanie kampanii phishingowych. Zupełnie innym zagadnieniem, od takiej drugiej strony, bo tu mieliśmy ten wątek atakującego, ale w całym tym przedsięwzięciu mamy też drugą stronę, czyli broniącego, prawda?

Yhm.

• I co wtedy możemy zrobić. No, jeżeli mamy to szczęście i mamy na swoim pokładzie wewnątrz firmy jakiegoś cyberbezpiecznika, prawda? No to on nas wesprze, ale czy w pełni i w każdym rodzaju incydentu? No, nie uważam tak, prawda? Bo jakby te siły wymiarujemy przez pryzmat, w cudzysłowie, pokoju, a kiedy zdarza się incydent, który możemy nazwać incydentem poważnym, który się rozwleka na dni, na tygodnie, to przeważnie już tej konsekwencji, tej siły, nawet w zespole, który jest relatywnie duży, może zabraknąć i wtedy potrzebne jest wsparcie. I tutaj takim zagadnieniem na sam początek współpracy, w mojej ocenie, jest SOC assistance, czyli też, kosztujące w zasadzie w podstawowej wersji naście tysięcy, naście tysięcy rocznie produkt, który pozwala mieć realne wsparcie całego departamentu cyberbezpieczeństwa EXATELA, czyli to jest kilkadziesiąt osób gotowych do wspierania konkretnej organizacji, jeżeli wydarzy się coś niebezpiecznego. Więc na tych, na tych produktach się skupiamy.

[00:05:25]

Yhm, a w jakich konkretnie zagadnieniach pomagają tak zwane „produkty niskiego progu wejścia”?

• Tak, po pierwsze i to jest bardzo ważne właśnie, odrobinę o tym powiedziałem, ale przede wszystkim pozwalają nam poznać się nawzajem, prawda? Jako odbiorcy usługi i jako wykonawcy usługi. Bo teraz w przypadku usług IT, cyberbezpieczeństwo, te kombinacje są bardzo mocno poszukiwane, więc mi zależy, jako szefowi tych dwóch komórek, na tym żebyśmy mieli realną, uczciwą relację, w której rozmawiamy, dopasowujemy działania, rzeczywiście do potrzeb. Ja nie potrzebuję przewymiarowywać projektów, bo nie o to chodzi. Ja potrzebuje poznać klienta, zespół po drugiej stronie i postanowić, czy mi się będzie z nimi efektywnie współpracowało, bo to jest korzyść tak dla odbiorcy końcowego, jak i dla mnie, prawda? To jest najlepsza z możliwych sytuacja. Oczywiście nie jest to wymagane w tych „produktach niskiego progu wejścia”, bo po to one są, żebyśmy mogli się poznać, tak? Żebyśmy mogli zobaczyć jak nam się współpracuje. Oczywiście, efekt tej pracy, czy, czy clou wykonywania tych ćwiczeń, takie pierwszy, to jest zupełnie gdzie indziej, czyli raport, dostarczenie informacji do klienta końcowego i powiedzenie mu czy dana infrastruktura jest bezpieczna, powiedzenie mu jak może ją lepiej zabezpieczyć, powiedzenie mu, które kroki warto by było wykonać na początku.

Yhm. A w jaki sposób najlepiej dowiedzieć się więcej o tym jak działają te usługi?

• Wiesz co i tu ostatnio, w zasadzie od tego roku przyjęliśmy pewnego rodzaju koncept EXATEL roundtables, który wcześniej stosowaliśmy na konferencjach, natomiast doszliśmy do porozumienia tutaj z różnymi zespołami wewnątrz EXATELa, że taka formuła czterdziestopięciominutowej rozmowy inżynierów bądź menedżerów od strony klienta, którzy mają świadomość co do tego jakie zagadnienie chcieliby rozwiązać, bezpośrednio już z twardymi inżynierami, z menedżerami po stronie departamentu cyberbezpieczeństwa, czyli realnymi praktykami, pozwoli lepiej skwantyfikować tą potrzebę, czyli to, co mówiłem wcześniej, prawda? Że zazwyczaj to zagadnienie, z którym ktoś mający potencjalny problem przychodzi, niekoniecznie musi być tym, co stanowi przyczynę źródłową problemu i w trakcie takich spotkań próbujemy zrozumieć się nawzajem, te spotkania są niezobowiązujące, prawda? I przedyskutowa, próbujemy zrozumieć się nawzajem i przedyskutować jak najlepiej to konkretne zagadnienie, jaką my optykę przyjmujemy, jakie w naszych oczach, ludzi z wieloletnim, często dziesięcio-, piętnastoletnim doświadczeniem w branży, jakie widzimy tutaj rozwiązanie, co możemy zaproponować z naszej perspektywy i wtedy to już, jakby, jeżeli prospekt, klient jest zainteresowany, możemy kontynuować tą rozmowę już w odrębnym, odrębnym trybie, prawda?

A jeżeli klient tak naprawdę nie wie jeszcze czego potrzebuje, bądź jego świadomość jest bardzo ogólnikowa na temat cyberbezpieczeństwa, czy takie spotkanie może rozwiać jego wątpliwości, albo wzbogacić jego wiedzę i żeby mógł potem podjąć decyzje?

• Tak, tak, tak jak wspominałem właśnie, to nie jest zobowiązujące spotkanie, natomiast to jest spotkanie właśnie po naszej stronie z ekspertami o wieloletnim doświadczeniu, więc staramy się jak najszybciej tym doświadczeniem podzielić, natomiast to jest jedna z formuł, prawda? To jest pewnego rodzaju rozmowa, zamknięta w trzy kwadranse, tak się staramy do tego dążyć, żeby dać jakąś odpowiedź. Natomiast jeżeli ktoś jest konkretnym zagadnieniem dużo bardziej zainteresowany, no to na przykład świetna jest też formuła warsztatowa, którą prezentujemy na warsztatach InTech Day, no najbliższy już za chwilę, więc serdecznie zapraszam, wobec powyższego można na, na, na takich warsztatach przy tej koncepcji InTech Dayowej rzeczywiście dotknąć klawiatury, przygotowywane są ćwiczenia różnego rodzaju, sam bodajże trzy lata temu ostatni raz takie scenariusze ćwiczeń budowałem, co sprawiło mi niesamowitą przyjemność, teraz to już zostawiam kolegom i koleżankom, którzy zdecydowanie robią to lepiej ode mnie, natomiast mamy grupę technologii, w której uważam, że bardzo dobrze się znamy i na podstawie tego budujemy formułę, często opartą o taką formułę zawodów Capture The Flag, więc to jest z jednej strony możliwość poznania platformy, z drugiej strony możliwość poznania technik i taktyk atakującego i obrony przed tymi technikami i taktykami, ale też możliwość dotknięcia jakiegoś interfejsu, platformy jednej, dwóch, to w zależności od tego jaką przyjmiemy formułę tych konkretnie, tych czy innych, konkretnie warsztatów, w każdym bądź razie pozwala to też mieć chwilę na to, żeby po pierwsze, zapoznać się z platformą, po drugie porozmawiać z ludźmi, którzy bardzo dobrze się na tym znają.

Dzięki Karol. Brzmi bardzo zachęcająco, więc ja również dołączam się do zaproszenia Karola, mam nadzieję, że będziemy mieli okazję porozmawiać o, bardziej szczegółowo, o produktach EXATEL w kolejnych podcastach.

• Bardzo dziękuję Sylwio, jak zawsze jestem do dyspozycji, dzięki.

Dzięki.