Wysoka cena za ignorowanie cyberbezpieczeństwa

Marek Meissner (Materiał partnera strony)
21-11-2017, 22:00

Rozmowa z Radosławem Wesołowskim, współzałożycielem i prezesem spółki Grey Wizard chroniącej przed cyberzagrożeniami

Jakie są największe zagrożenia bezpieczeństwa IT dla polskiego biznesu? Numerem 1 jest ransomware, ale czy inne zagrożenia, np. kradzież danych lub trojany finansowe nie są także istotne?

Radosław Wesołowski, współzałożyciel i prezes spółki Grey Wizard: Na początek warto zwrócić uwagę, że ransomware nie jest jedynym istniejącym zagrożeniem. Mówimy też o malware, phishingu, atakach targetowanych na wybrane osoby czy firmy. Zagrożenia ujawniają się przy okazji lokowania danych w chmurze czy przynoszenia własnych urządzeń do firmy i włączania ich do jej systemu IT (BYOD). Teoretycznie ma to zmniejszać koszty firmy, ale dzieje się często kosztem jej bezpieczeństwa, ponieważ urządzenia te są słabo zabezpieczone.

Oczywiście zawsze w systemach cyberbezpieczeństwa najsłabszym ogniwem jest człowiek, podatny na ataki socjotechniczne, często niezwracający uwagi na bezpieczeństwo IT. Potwierdzają to liczne badania, m.in. PriceWaterhouseCoopers, według których 68 proc. firm przyznaje, że największe zagrożenie dla bezpieczeństwa informatycznego pochodzi z wewnątrz, od własnych pracowników. W branży cyberbezpieczeństwa, w której działamy, największymi problemami są wycieki danych wrażliwych, ataki DDoS i ataki na aplikacje. To zresztą problem globalny: z Equifax wyciekły dane 143 mln Amerykanów, ataki DDoS z kolei powodują paraliż aplikacji czy części systemu, a nawet całej firmy. Często nie są to ataki jednorazowe, lecz trwające nawet tygodniami kampanie. Te są najgroźniejsze.

Jak ocenia pan poziom cyberbezpieczeństwa w najbardziej newralgicznym dla polskiej gospodarki sektorze MSP, zważywszy, że polityki bezpieczeństwa i dwuskładnikowe uwierzytelnianie są wśród tych firm nieomal nieznane?

Jest źle. Zaledwie 10 proc. budżetów informatycznych w małych i średnich przedsiębiorstwach przeznacza się na cyberbezpieczeństwo. To o połowę mniej niż w firmach takiej samej wielkości za naszą zachodnią granicą, a tam uważa się, że inwestycja w cyberbezpieczeństwo na poziomie 20 proc. to i tak zbyt mało. W efekcie firmy oprócz podwyżek podatków i utraty klientów najbardziej obawiają się cyberzagrożeń. Ujawniają się one najczęściej w najgorszy sposób — z zewnątrz. To z internetu bądź od klientów, przedsiębiorstwo dowiaduje się o zakończonym powodzeniem ataku na własną infrastrukturę. Powstały w efekcie czarny PR negatywnie wpływa na działalność firmy przez co najmniej kilka miesięcy. Pierwszą i podstawową tego przyczyną jest brak wiedzy na temat bezpieczeństwa, a drugą brak na rynku ekspertów specjalizujących się w cybersecurity. Globalnie jest ich o 1 mln za mało. Jest to obecnie najbardziej pożądany zawód w branży IT. Warto też pamiętać, że wycieki danych są kosztowne. I to bardzo. Na Paste.bin lub innym serwisie takie dane sprzedawane są w pakietach powiedzmy od 80 centów do 1 dolara za rekord. Tymczasem dla zaatakowanego przedsiębiorstwa ten sam rekord ma wartość 150 dolarów! Atak DDoS kosztuje około 5 dolarów, przy czym w internecie istnieją już całe webowe aplikacje, panele do konfigurowania takiego ataku, bardzo proste w obsłudze, bo jest to już usługa. Dla zaatakowanej firmy już godzina przerwy w działalności oznacza wielkie straty. Podobne efekty przynoszą ataki na platformy e-commerce, jak ostatnio przeprowadzony w Polsce atak na firmę jubilerską z próbą szantażowania jej klientów. W tym przypadku zawiodła platforma do handlu elektronicznego, na której działał sklep: nie było to rozwiązanie dedykowane tylko gotowe pudełkowe, a takie mają typowe luki. Wystarczy więc zidentyfikować rodzaj platformy i atakujący już wiedzą, jakie są jej słabe punkty.

Gdyby miał pan wyliczyć „grzechy” polskich firm w dziedzinie cyberbezpieczeństwa, to jakie byłyby najistotniejsze?

Pierwszym grzechem jest poprzestanie na werbalnym zainteresowaniu tematem na poziomie zarządów, nie idzie za tym wdrożenie konkretnych mechanizmów bezpieczeństwa. Drugim — nieznajomość własnych zasobów oraz brak zdefiniowania zasobów krytycznych, które powinny być w firmie za wszelką cenę chronione. Trzecim grzechem jest brak polityki bezpieczeństwa lub niewykonywanie postanowień wynikających z polityki bezpieczeństwa, jeśli już taka jest. Czwarty grzech to brak wiedzy i aktywnych szkoleń w dziedzinie bezpieczeństwa. No i wreszcie brak aktualizacji oprogramowania. To są najważniejsze grzechy firm w zakresie cyberbezpieczeństwa.

Jak powinna wyglądać polityka bezpieczeństwa dla średniej firmy?

Należy zacząć od wyspecyfikowania rzeczy najważniejszych: określenia danych wrażliwych, stworzenia polityki przydzielania dostępu do zasobów informatycznych, polityki reakcji na incydenty bezpieczeństwa, wydzielenia osób odpowiedzialnych za konkretne obszary bezpieczeństwa oraz określenia niezbędnych szkoleń z tego zakresu. Szkoleń nie dla działu IT, ale dla wszystkich np. dla działów księgowości, administracji, logistyki itd. Jestem wielkim zwolennikiem procedur automatycznego nadzoru: niech więc taka polityka nie będzie martwym dokumentem zalegającym na półce w segregatorze, ale niech prowadzi do zaimplementowania narzędzi, które po konfiguracji, będą automatycznie tę politykę realizowały.

Jakie rozwiązania bezpieczeństwa powinna wdrożyć polska średnia lub nieco mniejsza firma, jeśli mamy na uwadze, że jej zarząd dokładnie ogląda każdego złotego przed wydaniem?

Problem polega na tym, że niemal w każdej firmie większość zasobów finansowych jest tak alokowana, aby przyniosły jak najszybciej zysk. Tymczasem polityka bezpieczeństwa i jej wykonanie to polisa. A polisy są często odkładane w czasie. Jeśli chodzi o same rozwiązania, to warto zwrócić uwagę na automatyczne aktualizacje, dobry antywirus i oprogramowanie zapewniające zgodność z RODO. Istotne są także aplikacje monitorujące sieć pod kątem działań niestandardowych i niechcianych oraz narzędzia monitorujące rozwiązania webowe, jak witryny czy portale. Grey Wizard zajmuje się przy tym ochroną newralgicznego obszaru IT — rozwiązań webowych np. CMS-ów, protokołów komunikacyjnych służących do transferu danych — rzeczy, które są wystawione na zewnątrz i tym samym podatne na ataki. Zwykły administrator nie wychwyci podejrzanej aktywności, ponieważ ruch jest zbyt szybki i duży. Potrzebne są urządzenia automatyczne, najnowszej generacji i my je zapewniamy.

Czym jest, wobec tego, i jak działa wasze rozwiązanie Grey Wizard Shield?

To tarcza na hakerów jutra. Oprogramowanie dostępne w chmurze zabezpieczające strony i aplikacje internetowe. Chroni firmy, które mają własne hostingi, serwerownie czy serwisy zbudowane w chmurze. Przewagą rynkową naszej tarczy jest to, że bazuje na sztucznej inteligencji — mechanizmie maszynowego uczenia, nieustannie analizuje dane i uczy się, jak bronić systemy klientów przed atakami. Oprogramowanie dostarczamy jako prostą w obsłudze usługę w chmurze, gotową do podłączenia w 15 minut.

Dziś nawet niewielkie przedsiębiorstwa wdrażają rozwiązania mobilne — aplikacje, witryny, rozwiązania wspomagania sprzedaży oparte na IoT. Bezpieczeństwo tych rozwiązań jest często „ziemią nieodkrytą”. Jakich wskazówek udzieliłby pan firmom, które przymierzają się do wdrożenia tych rozwiązań?

Zwykle aplikacje mobilne komunikują się poprzez interfejs API. O ile aplikacje mobilne są zwykle naprawdę wszechstronnie testowane, o tyle na API mało kto zwraca uwagę. Tymczasem to tu jest ten słaby punkt, umożliwiający ataki typu „bruteforce”, czyli łamanie haseł użytkowników. A hasła te zwykle są bardzo proste. Bez wątpienia konieczne jest wykonanie przynajmniej jednego audytu penetracyjnego dla sprawdzenia „szczelności” systemu i wyeliminowania najgroźniejszych luk. To absolutne minimum. Dla pełnego zabezpieczenia każdej firmy, tym bardziej tej wdrażającej rozwiązania mobilne czy infrastrukturę internetu rzeczy, konieczne jest skorzystanie z wyspecjalizowanych usług firmy, zapewniającej całodobową ochronę, takiej właśnie jak Grey Wizard.

Za Grey Wizard stoją znane nazwiska, między innymi jeden z najbogatszych Polaków — Sebastian Kulczyk. Czy macie jeszcze innych inwestorów? Kto poza panem tworzy zespół założycielski?

Grey Wizard tworzą przede wszystkim pasjonaci inteligentnej technologii, eksperci od maszynowego uczenia, każdego dnia zgłębiający cyberprzestrzeń. Zespół założycielski z kolei tworzą ludzie, którzy są autorami sukcesów takich marek jak OLX, Wykop czy Beyond — weterani polskiego internetu i e-commerce. Mamy dwóch znanych inwestorów — fundusz Garvest oraz Sebastiana Kulczyka. Sebastian Kulczyk, rozbudowując swoje portfolio, stawia przede wszystkim na nowe technologie. Inwestując w Grey Wizard, uznał, że nie ma nic lepszego niż połączenie chmury, machine learningu i światowej klasy ekspertów. Potencjał produktu był dla niego oczywisty.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Marek Meissner (Materiał partnera strony)

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Inne / Wysoka cena za ignorowanie cyberbezpieczeństwa