Bezpieczeństwo sieci komputerowych, nawet gdybyśmy potrafili je zapewnić, nie wystarczy w epoce splątania wielkich sieci. Obok systemów IT istnieje OT, czyli technologie procesów produkcyjnych, systemy sterowania automatyką przemysłową czy internet rzeczy. Pandemia, nie tylko przez pospieszną cyfryzację, dodała do tego obrazu nowe wyzwania. Jak na nie odpowiedzieć – w kolejnej debacie z cyklu REstart zastanawiali się Magdalena Wrzosek kierująca Zespołem Analiz Strategicznych i Wpływu Nowych Technologii w NASK, Przemysław Kania, szef polskiego oddziału Cisco, gen. Włodzimierz Nowak, Jacek Samujło, CSO Lufthansa Systems Poland, Krzysztof Słotwiński, CSO BNP Paribas oraz prof. Piotr Płoszajski.
Sieci OT i automatyki przemysłowej tworzono ignorując zasady bezpieczeństwa – przyznał Przemysław Kania, szef polskiego oddziału Cisco. Wynikało to z przyjętego założenia, że będą one fizycznie odseparowane od internetu. Od lat jednak narasta trend łączenia ich z globalną siecią, co ujawnia potężne problemy.
Chaos w internecie rzeczy
Urządzenia przemysłowe projektowano nie przewidując możliwości aktualizowania zabezpieczeń. I choć ciągle odkrywane są kolejne podatności, to nie daje się ich w prosty sposób załatać. Według Przemka Kani jedynym rozwiązaniem jest w tej sytuacji wprowadzenie dobrych praktyk, takich jak segmentacja sieci, wyspecjalizowane firewalle czy sprawdzone mechanizmy autentykacji. Trzeba jednak zdawać sobie sprawę z tego, że to działania doraźne, które nie gwarantują pełnego bezpieczeństwa.
Problem zaczyna się już na poziomie topologii sieci – stwierdził gen. Włodzimierz Nowak z zarządu T-Mobile. Większość firm nie kontroluje swoich połączeń z internetem, a nawet nie wie, z ilu korzysta. To pokazuje pewną lukę na rynku. Włodzimierz widzi potencjał dla firm, które potrafiłyby analizować i zabezpieczyć styk sieci IoT z siecią zewnętrzną. Dużą zmianę w poziomie bezpieczeństwa IoT mogłyby przynieść działania regulacyjne na poziomie Unii Europejskiej.
Dodatkowa trudność bierze się stąd, że największy wpływ na bezpieczeństwo mają działania bądź zaniechania ludzi. Krzysztof Słotwiński, CSO BNP Paribas, ocenia, że technologia decyduje o bezpieczeństwie tylko w 30%. Reszta zależy od ludzi. Dlatego wysiłki przedsiębiorstw powinny koncentrować się na poprawie kultury organizacyjnej, podnoszeniu kompetencji i świadomości użytkowników.
Paradoksalnie: czas pandemii może się temu przysłużyć. Magdalena Wrzosek, kierująca Zespołem Analiz Strategicznych i Wpływu Nowych Technologii w NASK, zauważa bezprecedensowy wzrost zainteresowania kwestiami bezpieczeństwa informatycznego, widoczny w serwisach i na profilach prowadzonych przez NASK. Z drugiej strony pandemia przyniosła też wzrost liczby ataków, co zaobserwowali Przemysław Kania i Jacek Samujło, CSO Lufthansa Systems Poland.
Strategia bezpieczeństwa
Choć nie da się zbudować całkowicie bezpiecznego środowiska informatycznego, arsenał środków, jakie mają do dyspozycji firmy i instytucje do umocnienia swoich systemów jest całkiem obszerny i może znacząco ograniczyć liczbę i szkodliwość ataków. Krzysztof Słotwiński, który wcześniej zwracał uwagę na znaczenie postaw pracowników, pokreślił znaczenie szkoleń i ciągłej edukacji. Ich efekt wzmacniają ćwiczenia cyberobronne. W BNP Paribas prowadzone są one cyklicznie, raz w roku. Pozwalają sprawdzić szybkość reagowania i procedury w sytuacjach krytycznych.
Przemysław Kania rekomenduje tworzenie wspólnych zespołów łączących specjalistów IT i OT, aby uwspólnić ich cele: z jednej strony bezpieczeństwo, a z drugiej konieczność utrzymania ciągłości działania. Przysłuchujący się dyskusji Robert Pławiak przypomniał o konieczności stosowania sprawdzonych rozwiązań w środowiskach IT i OT, przede wszystkim segmentacji sieci i blokowaniu ruchu urządzeń backendowych i middleware’u. Robert zachęcał także do stosowania podejścia risk-based approach, ale w prowadzonych analizach szukać nie tylko zagrożeń, ale i ukrytych szans, które można wykorzystać w trakcie obrony.
Włodzimierz Nowak zaleca wprowadzenie zasady ograniczonego zaufania do update’ów pochodzących od dostawców, zwłaszcza instalowanych automatycznie, bo samo zestawienie połączenia otwiera możliwość ataku. Brak kontroli nie pozwala dodatkowo stwierdzić, na ile twarde są reguły i mechanizmy pojedynczych elementów. W tej sytuacji należałoby uznać, że certyfikat bezpieczeństwa danego urządzenia czy rozwiązania ma jakiekolwiek znaczenie do zainstalowania pierwszej łaty bezpieczeństwa. Zdaniem Jacka Samujło istotne podniesienie poziomu bezpieczeństwa można uzyskać wprowadzając automatyzację i mechanizmy wykorzystujące sztuczną inteligencję. Korzysta z nich już BNP Paribas – deklaruje Krzysztof Słotwiński. Sztuczna inteligencja została zaprzęgnięta do badania, jak w danym momencie wygląda ruch w wewnętrznej sieci w odniesieniu do stanu typowego, co pozwala wykryć anomalie.
Naprawa błędów z czasów pandemii
Dziś w łatwiejszej sytuacji są firmy, które przed pandemią stosowały pracę zdalną i dostosowane do niej reguły bezpieczeństwa. Z punktu widzenia organizacji, które stosowały restrykcyjne zasady zero trust, opracowały reguły korzystania przez pracowników z prywatnych urządzeń czy określiły warunki dostępu do firmowych zasobów z zewnątrz, COVID i przejście na pracę z domu nie sprawiło trudności – przekonywał Przemysław Kania. Wymagało jedynie przeskalowania dotychczasowych procesów związanych z bezpieczeństwem. Przy szybkiej migracji do pracy zdalnej wygrały te organizacje, które wcześniej stosowały zasady zarządzania kryzysowego – dodała Magdalena Wrzosek z NASKu.
Firmy zaskoczone przez konieczność pracy zdalnej, które nie wypracowały wcześniej odpowiednich procedur bezpieczeństwa, powinny teraz zdaniem Jacka Samujło usunąć niedociągnięcia zaczynając od najprostszych do opanowania, po to żeby w następnym etapie, gdy najpoważniejsze zagrożenia zostaną opanowane, zbudować kompleksową architekturę bezpieczeństwa. Zdaniem Jacka warto przy tym rozważyć przejście z rozwiązań on-premise na chmurę, co nie tylko ułatwi pracę zdalną, ale także ustanowi pewne reguły bezpieczeństwa.
Przemysław Kania proponuje zacząć od przyjrzenia się najprostszym mechanizmom, działaniu antywirusa, połączenia VPN, sposobom autentykacji użytkownika, a następnie prześledzić, czy i jak rozwiązania wprowadzone w czasie pracy zdalnej zostały zintegrowane z obowiązującą w firmie architekturą bezpieczeństwa.
Włodzimierz Nowak przypomniał o sprawdzeniu zasad dostępu z zewnątrz do firmowych systemów. Pracownicy w trybie home office używający własnych komputerów powinni używać je jako terminali, a więc w trybie tzw. cienkiego klienta, co sprawi, że dane nie opuszczą firmowych serwerów.
Gotowość na nieznane zagrożenia
Prof. Piotr Płoszajski w podsumowaniu dyskusji wyraził przekonanie, że dzisiejsze systemy są na tyle złożone, że ich skuteczne zabezpieczenie przestało być możliwe. Dlatego na znaczeniu zyskują procedury, które pozwalają reagować na sytuacje, jakich nie mogliśmy przewidzieć. Pomóc mogą w tym zwinne metodyki, jeśli przeniesiemy je z rozwoju oprogramowania na kolejne procesy w firmie, także te dotyczące bezpieczeństwa. Pandemia powinna także uwrażliwić nas na znaczenie niewielkich zakłóceń początkowych, rodzących gigantyczne perturbacje.
Profesor przestrzegł także przed nadmiernym optymizmem związanych ze wsparciem bezpieczeństwa przez sztuczną inteligencję. Masowe stosowanie różnych opartych na niej mechanizmów, kontrolujących te same procesy w nachodzących na siebie domenach i danych, może doprowadzić do interferencji wywołujących nieprzewidziane skutki.