Podczas ostatniego etapu Security Excellence 2018 - w Warszawie, Marcin Maruta poprowadził panel ekspercki o tym jak zmienia się cyberbezpieczeństwo i jakie szanse ma Polska na sprostanie wymogom ustawy o Krajowym Systemie Cyberbezpieczeństwa. W panelu wypowiadali się: Bartłomiej Danek z Beyond.pl, Przemysław Kania - dyrektor generalny Cisco w Polsce, Piotr Żygadło z Dimension Data, Paweł Malak z Trend Micro i Marius Baczynski z Zscaler.
Marius Baczynski: Dług technologiczny powstrzymuje firmy przed zmianą paradygmatu bezpieczeństwa
Wiele firm zainwestowało ogromne pieniądze w tradycyjne narzędzia ochrony stacji końcowych i sieci firmowej. Przywiązanie do tej inwestycji i zbyt mały rynek pracy w branży cyberbezpieczeństwa prowadzi do tego, że mimo ogromnych kosztów zabezpieczenia są nieskuteczne, bo nie ma ludzi, którzy by je nadzorowali. Problemy piętrzą się, kiedy firmy próbują zwiększać skalę projektów – tradycyjne rozwiązania po prostu nie mają tej elastyczności co chmurowe. Te drugie, poza skalowalnością, nie wymagają ręcznej aktualizacji ani dostawiania kolejnych urządzeń.
Bartłomiej Danek: Nie da się realnie ocenić stanu bezpieczeństwa chmury
Żaden poziom zabezpieczeń nie gwarantuje absolutnego bezpieczeństwa, dopóki w utrzymywanie infrastruktury zaangażowany jest człowiek. Wystarczy jeden błąd albo wyjątkowo zmyślnie przeprowadzony atak socjotechniczny, aby obejść najsilniejsze zabezpieczenia. Nie znaczy to oczywiście, że można sobie darować próby zabezpieczenia przed konwencjonalnymi i przewidywalnymi zagrożeniami.
Przemysław Kania: Za mało rozmawiamy o bezpieczeństwie sieci
Poza zabezpieczeniem stacji końcowych, datacenter i chmury, należy zapewnić też bezpieczeństwo sieci. Urządzenia sieciowe powinny mieć wbudowaną możliwość wykrywania zagrożeń z możliwie często aktualizowaną ich bazą. Na świecie jest to oczywiste, choć w Polsce nadal bardzo nisko na liście priorytetów.
Piotr Żygadło: Infrastruktura krytyczna nie jest gotowa na samodzielną obronę przed atakami
Placówki publiczne takie jak np. szpitale, mają nieporównywalnie niskie zasoby w stosunku do tego, czego wymaga bezpieczeństwo. Przeciętny szpital zatrudnia tylko kilku specjalistów od infrastruktury i są małe szanse, żeby te zespoły się znacznie powiększyły. Na szczęście sytuacja nie jest beznadziejna, bo pracowników in-house mogą zastąpić partnerzy technologiczni.
Paweł Malak: Nowe regulacje o cyberbezpieczeństwie wzmocnią branżę audytową
Ustawa o KSC wymaga od firm nią objetych przeprowadzenia co najmniej jednego audytu bezpieczestwa w roku. Firmy po prostu nie mają ludzi, ktorzy mogliby się zająć pentestami, audytami i raportami. Największe banki mają deficyt w dziale bezpiecznikowym rzędu kilkunastu osób. W mniej rozbudowanych technologicznie instytuacjach publicznych ludzi jest jeszcze mniej.
