Debata: na topie

Problem ataków w Internecie zwiększa swój priorytet wykładniczo. Uczestnicy Debaty „Managera” rozmawiali o tym, jak skuteczniej pomóc biznesowi stawić czoło rosnącym zagrożeniom

Konrad Kobylecki, DOT Systems: Czy przy rosnącej dynamice rozwoju środowiska Internetu Rzeczy (IoT) biznes jest rzeczywiście zmuszony do zmiany metod zabezpieczeń systemów IT?
Grzegorz Bojar, PSE: Tak, bo te dotychczasowe sprawdzone metody po prostu sobie nie poradzą i to nie tylko z powodu IoT, lecz także Smart Grid, Smart City czy Smart Home. W naszym przekonaniu, a PSE jest firmą inżynierską, wymaga to zmiany sposobu myślenia o technologii, sterowaniu, zarządzaniu i informatyzacji. Kluczem do sukcesu jest jednak odpowiednio dobrana architektura systemów i sieci, która minimalizuje konieczność łączenia ze sobą różnego rodzaju środowisk IT. Jednocześnie trzeba sobie zdawać sprawę, że wraz z rozwojem IoT i generalnie wszędzie tam, gdzie w rachubę wchodzi sterowanie, np. w branży motoryzacyjnej, powinniśmy mówić nie tylko o bezpieczeństwie danych, lecz także o zagrożeniach fizycznych wynikających z IT, takich jak zablokowanie przez hakera hamulców w samochodzie. Skala tego problemu rośnie bowiem z dnia na dzień.

Jakub Jagielak, Atende: Warto przy tym pamiętać, że komplikacja architektury systemu zabezpieczeń nie zawsze przekłada się na uzyskanie wyższego poziomu bezpieczeństwa organizacji. Im bardziej będziemy komplikować system, dodając do niego kolejne elementy, tym mniejszy będzie ich wpływ na efekt finalny. Dlatego dodałbym do wypowiedzi mojego poprzednika konieczność opracowania procedur i metod działania w odniesieniu do ludzi w organizacji. To oni tak naprawdę są często najsłabszym ogniwem i mogą generować najwięcej zagrożeń. Nie możemy polegać w 100 proc. na technologii. Jako Atende oferujemy kompleksowe audyty bezpieczeństwa dla największych polskich firm, m.in. z sektora telekomunikacji. Opracowaliśmy także autorski system do zabezpieczania infrastruktury krytycznej dla Ministerstwa Obrony Narodowej. Obecnie rozwijamy to rozwiązanie w celu wdrożenia np. w branży energetycznej, finansowej i telekomunikacyjnej.

Tomasz Matuła, Orange Polska: W przypadku operatorów telekomunikacyjnych największy wpływ na zmianę podejścia do bezpieczeństwa ma nie IoT, ale fakt, że to, co wcześniej było realizowane przez rozwiązania telekomunikacyjne, obecnie tworzą rozwiązania IT. Po zastąpieniu pewnych sprzętowych elementów sieci telko rozwiązaniami software’owymi mamy więcej elementów aktywnych, które komunikują się ze sobą. W efekcie wzrasta ilość przesyłanych danych. Dodatkowym źródłem zagrożeń jest to, że coraz więcej urządzeń jest autonomicznych. Powoduje to wzrost skomplikowania całego ekosystemu. Czy jednak nowe zagrożenia wiążą się z koniecznością korzystania z nowych metod? Moim zdaniem – nie. Można stosować dotychczasowe metody, ale w bardziej kompleksowy sposób.

Radosław Semkło, Asseco Poland: Moim zdaniem, ze względu na coraz większą ilość danych generowanych przez miliardy sensorów, stare metody zabezpieczeń raczej się nie sprawdzą, przede wszystkim w kontekście architektury rozwiązań. Dodatkowym wyzwaniem są rozszerzenia funkcjonalne, w które są wyposażone coraz bardziej autonomiczne sensory. Weźmy dla przykładu inteligentne liczniki energii elektrycznej, nad którymi Asseco prowadzi obecnie prace badawcze w ramach projektu Asseco Demand Side Management, które będą implementacją IoT, a będą mogły włączać się i wyłączać w zależności od warunków zarówno u odbiorcy, jak i dystrybutora. Przy starych licznikach wystarczyło zamontować na nich plomby, żeby nikt do nich nie miał dostępu. Do tych można się dostać za pomocą protokołu IP i nimi sterować, a to z pewnością wymaga zastosowania innych, nowocześniejszych metod zabezpieczenia, tak aby takie działania były utrudnione lub niemożliwe.

W kontekście cyberbezpieczeństwa dużo mówi się również o Big Data, czyli o przetwarzaniu dużych ilości danych nieustrukturyzowanych. Obecnie stosowane w ich przypadku metody zabezpieczeń w Polsce tylko jeden z operatorów komórkowych wdrożył tzw. mechanizmy kerberyzacji, które umożliwiają zarządzanie poziomem udostępniania danych wybranym grupom odbiorców. Dzięki temu wgląd w dane dostępne dla jednego działu firmy są niewidoczne dla innego. Zapewne można by uniemożliwić taki dostęp do danych w inny sposób, ale w przypadku Big Data, gdzie nie mamy relacyjnej bazy danych, nie wystarczy cykliczne zmienianie haseł ani zastosowanie firewalla. A to oznacza, że nie tylko funkcjonalności, lecz także dane, wyniki oraz algorytmy otrzymane w wyniku ich przetwarzania mogą mieć określoną wartość, którą firmy będą chciały kiedyś monetyzować. W związku z tym należy je chronić przed niepożądanym dostępem zupełnie innymi metodami niż dotychczas.

Podsumowując, moim zdaniem klasyczne systemy przetwarzania danych nie są obecnie gotowe na stawienie czoła wyzwaniom rewolucji cyfrowej chociażby w kontekście zabezpieczania sensorów, które będą generować coraz więcej danych. Dlatego w Asseco pracujemy obecnie nie tylko nad nowymi mechanizmami zabezpieczeń oraz nowymi architekturami, lecz także nad rozwojem algorytmów zabezpieczających już nie urządzenia, ale poszczególne warstwy ekosystemu czy całego środowiska zintegrowanego.

Grzegorz Bojar: Z tego wynikałoby, że IT poradzi sobie ze wszelkiego rodzaju zagrożeniami, a taka teza nie bardzo mi się podoba. Cyberbezpieczeństwo, w moim przekonaniu, nie może polegać wyłącznie na opracowywaniu kolejnych produktów zabezpieczających i nie tylko trzeba stosować metodę Security by Design, lecz także zmodyfikować sam Design. Wielu dostawców technologii IT w dalszym ciągu chce wygrywać konkurencję, łącząc wszystko ze wszystkim i powiększając obszary sterowania. W branży energetycznej w trosce o cyberbezpieczeństwo trzeba rozważać, czy nie wprowadza się nadmiaru centralnego sterowania, które w efekcie wprowadza nowe podatności i zwiększa obszar ryzyka.

Piotr Skibiński, Polkomtel: Generalnie koncepcja Security by Design
sprawdziła się w świecie IT. Jednak gdy w sieci operatora komórkowego czy w sieci energetycznej pojawią się urządzenia, np. samochody lub sprzęt medyczny, w których koncepcja Security by Design nie została zastosowana, wtedy dla przestępców stworzy to nowe możliwości przeprowadzania ataków. Użytkownicy takich urządzeń najczęściej są klientami dużych podmiotów, od których kupują łączność, prąd czy usługi finansowe lub chociażby chcą załatwić coś w instytucjach rządowych. Ta kumulacja użytkowników we wcześniej wymienionych obszarach może powodować narastające problemy i rosnącą podatność użytkownika na skuteczny atak. Użytkownik będzie potrzebował pomocy, a od nas oczekiwał ochrony. Stosując uznane metodyki zarządzania bezpieczeństwem, staramy się już teraz przewidywać zagrożenia dla klienta i planować, co możemy zrobić, aby mu pomóc. Operatorzy telko ani inne podmioty nie mogą znać się na wszystkich urządzeniach, z których korzystają ich klienci, mają jednak dużą wiedzę o tym, co się dzieje w sieci.

I tu widzę miejsce na wykorzystanie systemów uczących się, analizę anomalii oraz sztuczną inteligencję, która mogłaby pomóc wykryć zagrożenie nieznane. Trzeba zdawać sobie sprawę, że przynajmniej część takich działań jest niemożliwa ze względu na obowiązujące regulacje, które zabraniają np. profilowania klientów.

POTOP DANYCH

Konrad Kobylecki: Wyzwaniem ze strony Big Data jest więc nie tylko ilość, lecz także różnorodność, którą trudno ogarnąć bez wykorzystania sztucznej inteligencji, np. do rozpoznawania anomaliii podnoszenia alarmów?
Grzegorz Bojar: Owszem, ale jeśli uwzględnić to, że niedługo w Polsce będzie 15 mln inteligentnych liczników energii, potem miliony inteligentnych pojazdów, nie mówiąc o podłączonych do Internetu ekspresach do kawy czy lodówkach, to nie wierzę, by jeden, nawet bardzo inteligentny, system w sieci telko mógł je wszystkie skutecznie monitorować i zabezpieczać. System taki trzeba konsekwentnie uczyć nowego, zmieniającego się środowiska, natury i funkcjonalności wszystkich urządzeń, których rodzajów, modeli i wersji jest olbrzymia liczba i ona stale rośnie.

My to właśnie robimy w naszym Security Operation Center (SOC), „rozpruwając” stosowane przez urządzenia protokoły komunikacyjne, definiując i klasyfikując ich wzorce działania oraz agregując i korelując zarejestrowane zdarzenia.  A miejsce na sztuczną inteligencję będzie zapewne na kolejnym etapie rozwoju tego typu technologii. Otwarte pozostaje także pytanie, kto ma być właścicielem procesu bezpieczeństwa w przypadku tych wszystkich urządzeń podpiętych do Internetu, np. pomp insulinowych: producent, operator sieci czy jakiś specjalny podmiot, bo to obecnie nie jest rozstrzygnięte.

Jakub Jagielak: I dlatego potrzebna jest w tym zakresie ścisła współpraca pomiędzy producentami a firmami IT, żeby uzyskać oczekiwany efekt finalny. Przypomnijmy sobie jeden z największych ataków DDoS w historii, kiedy to jednego z dużych dostawców usług DNS zaatakowały kamery przemysłowe czy właśnie ekspresy do kawy wyposażone w sensory. Jakie wnioski z tego wyciągnięto? Chyba żadnych, bo nadal dowolny system IT można zhakować, wykorzystując nieinformatyczne technologie, chociażby monitoring telewizyjny. Żeby to zmienić, za bezpieczeństwo fizyczne musi zacząć odpowiadać informatyka, a to jest już ewidentna zmiana w metodyce jej działania. To, co kiedyś było przypisane bezpieczeństwu fizycznemu, musi stać się domeną IT. Atende Software z naszej Grupy Kapitałowej oferuje autorski system anty-DDoS –redGuardian. Jest on przygotowany do odpierania ataków znacząco większych niż te obecnie obserwowane – nawet do kilkuset Gbps. Z naszego systemu korzystają m.in. Kancelaria Sejmu RP oraz lider polskiego rynku Data Center – firma Atman.

Tomasz Matuła: Sztuczna inteligencja może w tym pomóc, a najlepszym przykładem jest CERT Orange Polska, gdzie dzięki zautomatyzowanym rozwiązaniom monitorującym i korelującym ze sobą miesięcznie miliardy zdarzeń w ruchu sieciowym pod kątem występowania anomalii jesteśmy w stanie wyizolować tysiące faktycznych incydentów do dalszej obsługi przez operatorów.

Radosław Semkło: Przyznaję, że skuteczność algorytmów do analizowania odczytów z sensorów poprawiła się na tyle znacząco, że można je stosować powszechnie w biznesie, i to w obszarach krytycznych, takich jak zabezpieczenie przychodów. Jako przykład mogę podać jednego z operatorów alternatywnych, który wykorzystuje rozwiązanie Pionu Telekomunikacji i Mediów Asseco do wykrywania anomalii w przepływie danych w sieci telekomunikacyjnej, które mogłyby być źródłem nadużyć. To mimo wszystko wciąż jednak prosty system, który na miano sztucznej inteligencji chyba jeszcze nie zasługuje, ale wykorzystuje tylko niektóre jej zdobycze, takie jak wnioskowanie heurystyczne czy sieci neuronowe.

GDPR/RODO

Konrad Kobylecki: Mówiąc o cyberbezpieczeństwie, nie możemy pominąć nowej regulacji unijnej GDPR/RODO, która dotyczy ochrony danych osobowych, a która może odcisnąć na niej swoje piętno. Kto na tym straci, a kto skorzysta i czy przeprowadzanie audytów przez firmy komercyjne stanie się wymogiem regulacyjnym, tak jak w księgowości?
Piotr Skibiński: Na działalność firm, które korzystają z Security by Design, RODO nie będzie miała istotnego wpływu, bo analizą ryzyka zajmują się one na bieżąco. Trzeba będzie tylko dostosować do niej procesy biznesowe, np. dodać obowiązki związane z raportowaniem incydentów naruszenia danych osobowych, chociaż akurat w przypadku operatorów nie jest to problem, ponieważ już od pewnego czasu muszą to robić. Audyty bezpieczeństwa będą oczywiście potrzebne, ale z naszego punktu widzenia nie ma znaczenia, czy przeprowadzi je GIODO, czy jakaś firma zewnętrzna.

Grzegorz Bojar: Tylko że przewidziane kary są bardzo wysokie i przypominają czasy, kiedy KNF wprowadziła nowe rekomendacje dla sektora finansowego. Ukaranych było niedużo, ale banki szybko dostosowały się do obowiązujących wymogów. Dyrektywa RODO ma bardzo podobny charakter i dlatego jest oczywiste, że przełoży się to na powstanie usług certyfikacyjnych, które pozwoliłyby się uchronić przed ewentualnym ryzykiem poniesienia kary.

Radosław Semkło: Rozmawiamy tu jednak na poziomie przedstawicieli dojrzałych biznesów, które z tą problematyką borykają się od dawna i w rozwiązywaniu problemów z tym związanych mają już spore doświadczenie. Dla nich RODO to formalizacja całego procesu bądź adaptacja regulacji do specyfiki danej firmy. W przypadku sektora telekomunikacyjnego stosunkowo niewiele pozostało do zrobienia w kontekście zabezpieczania danych produkcyjnych, za to dużo więcej w obszarze procesu wytwórczego, czyli dostarczania nowych rozwiązań w modelu time-to-market. Większość dużych operatorów sobie z tym poradzi, bo ekspertyzy i plan działania przygotowują dla nich ich działy prawne w porozumieniu z dostawcami IT, jednak mniejsze firmy mogą nie zdążyć na czas w dostosowaniu się do rygorystycznych wymagań. Dla tych ostatnich mamy specjalizowaną ofertę, poczynając od analizy zagrożeń, metodyki, jak zorganizować sobie proces wytwórczy, a kończąc na wytycznych, jak sobie poradzić z takimi wymaganiami regulacyjnymi w środowisku produkcyjnym.

Nie oferujemy jednak tego rozwiązania jako pakietu standardowego, tylko dostosowujemy je do potrzeb poszczególnych sektorów, bo dojrzałość każdego z nich jest po prostu różna. Przykładowo w przypadku sektora telekomunikacyjnego nasza oferta ogranicza się do realizacji wymagań RODO w procesie wytwórczym i z pewnością nie obejmuje całości wyzwań, bo z tym firmy muszą poradzić sobie wewnętrznie.

Tomasz Matuła: Dla nas RODO jest istotną regulacją, ale nie postrzegamy jej jako rewolucji, bo już mieliśmy z takimi wyzwaniami do czynienia wcześniej. Za najważniejszą w tym obszarze uważamy analizę ryzyka, która jest kluczowym elementem wdrażania bądź budowania niekompletnych rozwiązań w procesach biznesowych. Proponowane kary są wysokie, ale dopóki nie pojawi się ustawa określająca, jak te regulacje zostaną wdrożone w Polsce, dopóty analiza ryzyka jest trudna do przeprowadzenia.

Radosław Semkło: Dlatego my w tym obszarze dotychczas ograniczamy się do weryfikacji zgodności środowisk testowych i wdrożeniowych. Tomasz Matuła: I to jest właściwe podejście. W zeszłym tygodniu byłem na konferencji, na której prezentowano rozwiązania technologiczne będące jakoby receptą na RODO. To marketingowe nadużycie, bo takie rozwiązania po prostu jeszcze nie istnieją.

Jakub Jagielak: I tu pojawia się pytanie, czy taki oferent zgodziłby się wpisać do umowy warunek należytego wykonania kontraktu. Przecież jeśli potem audyt uznałby, że jego klient nie zabezpieczył się prawidłowo przed kradzieżą danych, to odpowiedzialność finansową musiałby ponieść dostawca technologii. A przy obecnej wysokości kar, zależnych od obrotu globalnego, to tak duże ryzyko, że chyba najwięksi integratorzy IT nie będą chcieli go ponosić. Tak czy inaczej dojrzały biznes na tym nie ucierpi, natomiast sektor MŚP powinien poważnie rozważyć pójście w outsourcing, np. korzystając z rozwiązań Security as a Service (SaaS).

EPICENTRUM ATAKÓW

Konrad Kobylecki: Według IBM X-Force najbardziej zagrożone atakiem są finanse, a potem ICT, przemysł, handel detaliczny i służba zdrowia. Nie widzę tu energetyki. Czy dlatego, że odpowiednio wysoki poziom technologiczny IT jeszcze tam nie dotarł i po prostu nie ma jak się do niego włamać?
Grzegorz Bojar: Nie zgadzam się z taką opinią. Zresztą energetyka to jest przemysł. Branża elektroenergetyczna jest bardzo dobrze zinformatyzowana i proces ten trwa od dawna. Gdy na Ukrainie doszło do pierwszego na świecie wyłączenia prądu z powodu ataku hakerskiego w grudniu 2015 r., a potem w grudniu 2016 r., przeraziło to całą branżę energetyczną w Europie i na świecie. Ataki te, a konkretnie wyłączenie prądu na sześć godzin na zachodzie Ukrainy w 2015 r. i w jednej piątej Kijowa w 2016 r., byłyby jeszcze dużo większym problemem, gdyby Ukraina miała wyższy poziom informatyzacji i automatyzacji, jaki występuje w innych krajach. Części skutków ataków na Ukrainie w zakresie sterowania i rozwiązań technicznych nie usunięto do dziś, ale m.in. dlatego, że wymienia się tam teraz niemal całą. A fakt, że systemy energetyczne udało się uruchomić po sześciu godzinach, to efekt tego, że można to było zrobić ręcznie, bez wykorzystania automatyki. W USA, gdzie zdecydowana większość stacji energetycznych jest sterowana automatycznie, byłoby to niemożliwe. W Europie i Polsce – jeszcze tak.

Jakub Jagielak: A skala zagrożeń rośnie z każdym kolejnym węzłem, który zwiększa liczbę punktów, w których i z których może nastąpić atak.

Tomasz Matuła: Tylko w 2016 r. CERT Orange Polska rejestrował średnio 9 mld zdarzeń systemowych miesięcznie. Dzięki uruchomionej przez Orange unikalnej platformie przeciwdziałającej zagrożeniom CyberTarcza ochroniliśmy przed kradzieżą danych lub zaszyfrowaniem dysku 1,2 mln klientów. Z kolei przed atakami DDoS chronimy instytucje finansowe, a także firmy z sektora e-commerce. W sektorze ICT dzieje się zbyt wiele i gra idzie o zbyt wielkie pieniądze, by był on wolny od ryzyka cyberprzestępczości. Całkiem niedawno przestępcy, wykorzystując pewną podatność, wyłączyli w Deutsche Telekom ponad 1 mln klientów. W Polsce służba zdrowia jeszcze nie była atakowana, ale na świecie ten obszar padł już ofiarą cyberprzestępców. Uważam, że z czasem może być z tym duży problem – w Europie coraz częściej spotykamy się z atakami ransomware, których celem są właśnie szpitale! To cynizm na poziomie ekstremalnym, wiadomo przecież, że w przypadkach systemów krytycznych dla zdrowia okup po prostu trzeba zapłacić.

Piotr Skibiński: Biuro Bezpieczeństwa Teleinformatycznego odpowiada za bezpieczeństwo obszaru sieci telekomunikacyjnej, IT i usług dla klientów. Bierzemy udział zarówno w tworzeniu nowych usług, jak i projektowaniu nowych systemów oraz monitorowaniu bezpieczeństwa. Nawiązując do zmian w świecie IT i telekomunikacji, kiedy Polkomtel operował tylko siecią GSM, 15 lat temu miał około 25 central. Teraz w zasadzie wystarczają trzy, które obsługują wszystkie technologie mobilne i zapewniają znacznie większą niezawodność. W zasadzie wszystkie usługi są realizowane na podstawie oprogramowania i nowoczesnych rozwiązań. Zmieniając nieco temat – do możliwych punktów ataku dodałbym jeszcze końcowego użytkownika, czyli przeciętnego obywatela. Kiedy będzie miał dostęp do mDokumentów, przez ePUAP będzie mógł zrobić prawie wszystko w kontaktach z administracją, a bankowość internetowa będzie standardem, wówczas stanie się łakomym kąskiem i to nie dla hakera-amatora, ale dla zorganizowanych grup przestępczych. Okraść go będzie bowiem dużo łatwiej niż jakiegoś rekina biznesu.

Radosław Semkło: Grupa Asseco w zakresie cyberbezpieczeństwa w swojej działalności rozróżnia kilka obszarów. Po pierwsze, koncentrujemy się na systemach państwowych: tych cywilnych, dla centralnych instytucji publicznych oraz służb mundurowych. Po drugie, na kluczowych sektorach gospodarki, m.in. telekomunikacji, bankowości, energetyce, przedsiębiorstwach oraz samorządach. I wreszcie na zabezpieczeniu obywatela. Dodatkowo nasze główne centra zabezpieczeń przed atakami znajdują się w Polsce, Izraelu, Turcji, na Słowacji i w Chorwacji. Co więcej, nasze Centrum Certyfikacji Certum jest liderem sprzedaży certyfikatów SSL w Polsce i obsługuje większość rodzimego rynku usług kwalifikowanych. Certyfikowane rozwiązania bezpieczeństwa mamy też wszędzie tam, gdzie występują zagrożenia i wchodzą w rachubę przepisy.

Jakub Jagielak: Wracając do ataku na obywatela: to już się dzieje coraz   częściej, a ataki są coraz bardziej wyrafinowane i z coraz większej liczby kierunków. Są one realizowane nie tylko poprzez przejęcie infrastruktury IT, lecz także poprzez różnego rodzaju socjotechniki. A w jakich obszarach należy się spodziewać zmasowanych ataków? We wszystkich, bo firmy dzielą się na te, które zostały zaatakowane i o tym wiedzą, i na te, które zostały zaatakowane, ale o tym nie wiedzą. Każda branża ma jakieś swoje podatności i jest atrakcyjna dla hakerów, szczególnie jeśli się automatyzuje. Dziś mówimy o zagrożeniach struktury krytycznej, ale jutro może się zacznie mówić o zagrożeniach w służbie zdrowia. Tak czy inaczej przeważająca liczba ataków jest skierowana na klienta końcowego i ma oczywiście charakter komercyjny.

JAK SIĘ ZABEZPIECZYĆ

Grzegorz Bojar: Coraz więcej rodzajów ryzyka cyber niosących skutki finansowe można ubezpieczyć. Problem pojawia się wtedy, gdy potencjalne straty w sferze gospodarczej i ekonomicznej mogą być ekstremalnie duże. Wtedy niezbędne są dobre planowanie oraz konsekwentne i skuteczne działanie. Najpierw trzeba wiedzieć, jaki jest stan bezpieczeństwa informatycznego oraz jaki powinien być. Trzeba opracować strategię, inicjatywy, przygotować roadmapy projektów. My tak zrobiliśmy. Cały czas za pomocą projektów trzeba „utwardzać” cyberbezpieczeństwo. W firmach powinny powstać odpowiednie dedykowane organy wspomagające działania organizacji w tym obszarze. U nas w tym celu powstał Komitet Bezpieczeństwa, w którego skład wchodzą przedstawiciele zarządu oraz szefowie Departamentu Bezpieczeństwa, Biura Ryzyka oraz Departamentu Teleinformatyki. Trzeba pamiętać, że cyberbezpieczeństwo jest drogie albo bardzo drogie.

Piotr Skibiński: Polkomtel też ma polityki bezpieczeństwa, plany rozwoju ochrony, bieżące monitorowanie bezpieczeństwa, przy czym w te tematy zaangażowanych jest wiele działów. Wspólna wizja działań całej organizacji i dobre wytłumaczenie zagrożeń oraz sposobu ochrony przed nimi daje komfort psychiczny kadrze zarządzającej, że podejmowane działania są właściwe. Fundusze na inwestycje w bezpieczeństwo mogą się pojawić dopiero wtedy, gdy to wszystko zostanie zrealizowane i właściwie wytłumaczone.

Jakub Jagielak: Podsumowując, mamy już jedną regulację, która będzie wymuszała raportowanie incydentów. Pytanie, kiedy powstaną kolejne, które zmuszą firmy do ich upubliczniania, nawet jeśli nie będzie to wyglądało dobrze wizerunkowo. To przyczyni się bowiem do znacznej poprawy wyedukowania w tym zakresie.

Tomasz Matuła: Kluczowe wydaje się przekonanie decydentów o krytycznej roli bezpieczeństwa i uświadomienie, że musi być ono obecne na każdym szczeblu w organizacji. Im więcej ćwiczeń,  tym mniej problemów: dbając o bezpieczeństwo od powstania projektu, pracując nad świadomością zagrożeń u pracowników, znacznie ograniczamy ryzyko i w efekcie poprawiamy swoje szanse w nieprzerwanej rywalizacji z przestępcami.

fot.: Karolina Walawender