Na naszym ostatnim spotkaniu w programie Digital Finance Excellence chcieliśmy przypomnieć najważniejsze zasady w tym obszarze, ważne zawsze, ale szczególnie ważne, gdy teraz nagle zmieniliśmy sposób pracy części pracowników na zdalny. Jako ekspertów zaprosiliśmy Michała Kaźmierczyka i Radosława Szczodrowskiego z Grupy Enteo.
I od interpretacji słów z wywiadu z Michałem Kaźmierczykiem ? opublikowanego w serwisie DFE https://dfe.org.pl/wladza-absolutna/ ? rozpoczęliśmy naszą rozmowę. Powiedział w nim m.in. ?Nie bez powodu Kevin Mitnick dał w swojej książce ?Sztuka podstępu? podtytuł ?Łamałem ludzi nie hasła?. W każdym systemie IT niezależnie od stopnia jego złożoności najsłabszym ogniwem jest zawsze człowiek. Im większą swobodę pozostawiamy pracownikom w zakresie IT, tym de facto są oni łatwiejszym celem ataku.? To prawda, ale bardzo niebezpieczne byłoby, gdybyśmy skoncentrowali się na ludziach, zaniedbując polityki bezpieczeństwa oraz technologie zabezpieczające przez niepożądaną ingerencją. Toteż na spotkaniu Michał Kaźmierczyk dopowiedział: ?Najpierw trzeba wdrożyć odpowiednie dla danego biznesu technologie zabezpieczające, a dopiero potem skupić się na pracownikach. Jeśli postąpimy odwrotnie, to potencjalny agresor nie będzie się wysilał, aby wykorzystać niewiedzę, lekkomyślność czy złą wolę naszych pracowników, lecz po prostu wejdzie przez niechronione systemy IT do naszych zasobów. Bo tak mu będzie łatwiej i mniej ryzykuje. Jeśli w naszym domu zostawimy drzwi otwarte, to złodziej wejdzie przez drzwi, nie będzie się łamał kodu do zamka czy przystawiał nam noża do gardła, aby uzyskać klucz?.
Więc człowiek ? owszem, zwróćmy na praktyki pracowników, wymuśmy właściwe albo zmotywujmy do odpowiedniego zachowania, ale po pierwsze wykorzystajmy technologię, aby utrudnić włamanie.
Oczywiste jest też, że firmy zabezpieczone są mniej atakowane, bowiem agresorzy wolą wybrać te słabiej chronione. Oczywiste, ale nie zawsze o tym pamiętamy.
W trakcie rozmowy wymieniliśmy wiele sytuacji, których doświadczyliśmy w naszych firmach, które spotykają audytorzy (też takie osoby były na spotkaniu), które rozwiązywali eksperci z Enteo.
Najlepiej jak systemy bezpieczeństwa działają w tle, gdy nie utrudniają pracownikom wykonywania ich zadań, gdy reagują tylko w przypadku niedozwolonych działań. Ale to kosztuje, więc zwykle trzeba dokonać wyboru, ile komfortu użytkownika, a ile bezpieczeństwa.
Pewnie wszyscy znają praktykę żółtych karteczek z hasłami przyklejonych do monitora. Dzieje tak, albo gdy jest wiele haseł do zapamiętania, albo wtedy gdy pracownicy zastępują się na stanowiskach. To jak zaproszenie dla agresorów. Zdaniem Michała Kaźmierczyka użytkownik powinien mieć dostęp do swojego stanowiska pracy, na którym ma wszystko co potrzebne, za pomocą jednego dwuskładnikowego hasła. Jeśli każdy system wymusza potwierdzenie tożsamości, jeśli trzeba przykładowo zmieniać co miesiąc hasła do trzech systemów, to na pewno strategia bezpieczeństwa nie będzie działać.
Druga sytuacja dotyczy kopii zapasowych czy nawet centrów odtworzeniowych. Trzeba je ciągle testować, ale i tak zawsze będzie to testowanie w warunkach ?laboratoryjnych?, bo przecież nie można zasymulować powodzi czy pożaru. Ale kopie zapasowe można sprawdzać, czy da się je użyć, czy nie przenieśliśmy do nich błędu lub wrogiego oprogramowania.
Kto powinien tworzyć politykę bezpieczeństwa w firmie? Nikt z zewnętrz takiej polityki dla firmy nie stworzy, bowiem nie zdobędzie ważnych informacji, np. o zwyczajach kluczowych osób, którzy powinni być dostępni w chwili zmaterializowania się zagrożenia. Muszą to być osoby z wewnątrz firmy, nie jedna osoba, lecz dwie trzy, np. prawnik, informatyk, menedżer finansowy. Mimo że mówimy o bezpieczeństwie IT, to warto pamiętać, że jeśli CIO czy specjalista od IT ustali politykę bezpieczeństwa, będzie to najlepsza polityka w jego oczach, a nie najlepsza polityka dla organizacji. Polityka tego typu może być osadzona w kontekście spojrzenia na organizacja od strony IT, a nie jej rzeczywistej struktury i sposobu działania.
Przypomniano też słowa z cytowanego wywiadu o tym, że kto inny powinien tworzyć politykę bezpieczeństwa, a kto inny ją wdrażać i monitorować: ?Jeśli jedna osoba ustala strategie, np. bezpieczeństwa i ją wykonuje, to łatwo jej popaść w swojego rodzaju pętlę i nie dostrzegać własnych błędów.?
Uczestnicy podkreślali, że dzisiaj atakami zajmują się niezwykle profesjonalne grupy, w których nie brakuje psychologów czy kulturoznawców, a przygotowania do ataku trwają miesiącami i polegają nie tylko na stworzeniu infrastruktury technicznej, prawnej czy finansowej do niego, ale przede wszystkim na uśpieniu czujności ludzi. Również dlatego walczyć z nimi trzeba technologią, bo algorytm nie podlega tej słabości.
Bezpieczeństwo jest zawsze kosztem, i to kosztem trudnym do przyjęcia, bo firma dobrze chroniona prawdopodobnie nie dozna ataku, więc nie będzie wiadomo jakich strat uniknęła, bo one po prostu nie wystąpią. Ale i nie wszystkie firmy niechronione są podmiotem ataków. Więc nie będzie wiadomo również czy brak ataku przypisywać przypadkowi czy systemom bezpieczeństwa.
Decyzja o inwestycjach w bezpieczeństwo jest więc dla menedżerów bardzo trudna. Często ulegają stereotypowemu myśleniu: ?Do tej pory nic złego się nie zdarzyło, to dlaczego miałoby teraz się zdarzyć? To innym się przytrafiają takie przypadku, ale nie nam. Przecież to mi nigdy nie zwróci.? Bezpieczeństwo bardzo często spada na sam koniec listy spraw do załatwienia. Inwestuje się w bezpieczeństwo przede wszystkim wtedy, gdy firmie już doświadczyła bolesnych skutków ingerencji albo wtedy, gdy jest ściśle przestrzegana zasada delegacji uprawnień i osoba odpowiadająca za bezpieczeństwo ma swobodę działania.
Nasze końcowe wnioski były więc dość gorzkie, co nie zmienia faktu, że będziemy CFO w Klubie Dyrektorów Finansowych ?Dialog? skłaniać do inwestycji w bezpieczeństwo.
Zapraszamy na kolejne spotkanie 23.06 g. 15-17 ?Cloud computing jako szansa na dostęp do wysokowydajnej i wysokodostępnej infrastruktury skalowalnej i elastycznej kosztowo.? https://businessdialog.pl/wydarzenia/dfe-23062020