Autor: Marcin Mazurek – Dyrektor Działu Cyberbezpieczeństwa w Talex SA

CRN Polska opublikował interesujące wyniki badań przeprowadzonych przez Deloitte na temat strategii instytucji finansowych w zakresie cyberbezpieczeństwa (https://crn.pl/aktualnosci/sposoby-na-lepsza-cyberochrone/).

W artykule znajdziemy m.in. informację o znacznym wzroście zainteresowania kwestiami cyberbezpieczeństwa ze strony Zarządów, co nie dziwi w kontekście związanego z pandemią globalnego trendu przenoszenia działalności operacyjnej do sieci Internet i idącą za tym wzmożoną aktywnością cyberprzestępców.

Warto w tym miejscu przytoczyć wyniki badań statystycznych podanych przez firmę Fortinet, które przewidują w 2020 roku wzrost ataków typu ransomware do poziomu powyżej miliarda przypadków (w latach 2018-2019 było ich średnio około 600 milionów) oraz przekroczenie wartości sześciu miliardów wykradzionych rekordów danych (niektóre statystyki podają, że nawet 26% skradzionych od 2013 roku rekordów zawierało dane wrażliwe z punktu widzenia GDPR/RODO).

Wracając do artykułu CRN, interesujące są również informacje o umiejscowieniu działów cyberbezpieczeństwa w strukturze organizacyjnej instytucji finansowych. Autor artykułu podaje, że tylko w 22 procentach instytucji występuje całkowita separacja działów cyberbezpieczeństwa od działów IT, co wydaje się zrozumiałe w kontekście poszukiwania optymalizacji kosztów. Przydzielenie zadań związanych z cyberbezpieczeństwem obecnym pracownikom działu IT jest oczywiście perspektywą nęcącą, szczególnie, że zatrudnienie specjalisty z doświadczeniem nie jest zadaniem łatwym. Szacuje się, że obecnie w Polsce brakuje minimum dziesięciu tysięcy specjalistów cyberbezpieczeństwa, a niektóre źródła podają nawet liczbę trzydziestu tysięcy osób. W obliczu nadchodzących zmian w ustawie o krajowym systemie cyberbezpieczeństwa, która prawdopodobnie poszerzy znacznie grono podlegających jej podmiotów, zadanie rekrutacji pracowników będzie jeszcze trudniejsze.

Koncepcja łączenia działu cyberbezpieczeństwa z IT ma jednakże istotne wady. Można tu wskazać choćby przytoczone we wspomnianym artykule zagrożenia wynikające z ograniczenia czasu i budżetu na cyberbezpieczeństwo w imię dotrzymania terminów i minimalizowania kosztów projektów realizowanych pod egidą wspólnego pionu IT.

Wydaje się jednak, że istotniejszym problemem jest często wskazywana, np. podczas audytów ISO 27001, konieczność zapewnienia niezależności podmiotów wykrywających zagrożenia od podmiotów, które podlegają ich kontroli. Niebagatelne znaczenie ma bowiem zapewnienie obiektywizmu i niezależności służb odpowiedzialnych za przeprowadzenie monitoringu zdarzeń i śledztw powłamaniowych. Jest to o tyle istotnie, że np. wg statystyk podanych przez firmę Verizon w raporcie “2020 Data Breach Investigations Report” (https://enterprise.verizon.com/resources/reports/2020-data-breach-investigations-report.pdf), aż w trzydziestu procentach incydentów powiązanych z wyciekiem danych wykryto zaangażowanie w przestępstwo pracowników danej firmy, a około połowa z nich okazała się pracownikami działu IT z prawami administracyjnymi.

Być może rozwiązaniem tego typu problemów, szczególnie dla mniejszych firm, jest outsourcing zadań związanych z monitoringiem i wykrywaniem incydentów cyberbezpieczeństwa do zewnętrznych zaufanych instytucji. Takie rozwiązanie, szczególnie udostępniane w modelu chmurowym, ma dodatkową zaletę w postaci rozłożenia kosztów, związanych z zakupem kosztownego oprogramowania, sprzętu i zorganizowania zespołu, na niskie miesięczne raty. W najbardziej rozbudowanych ofertach mówi się wręcz o usługach SOC w chmurze czyli SOCaaS (Security Operations Center as a Service). Zależnie od poziomu wykupionej usługi można w jej ramach uzyskać nie tylko monitoring zdarzeń związanych z cyberbezpieczeństwem, ale także kompleksową usługę aktywnego reagowania na wykryte incydenty i mitygowania ich skutków.