Security First: nośmy cyfrowe maseczki – Computerworld

Security First: nośmy cyfrowe maseczki - Computerworld

Za nami pierwsza edycja organizowanej przez redakcję „Computerworld” konferencji „Security First”. Wydarzenie przeprowadzone w formie webinarium zainaugurowało cykl spotkań poświęconych bieżącym zagadnieniom ochrony w cyberprzestrzeni – na początek uwaga prelegentów i uczestników była skupiona na kwestiach bezpieczeństwa w czasach pandemii, ochrony danych firmowych oraz zabezpieczania środowisk OT.
Najważniejszym elementem krajobrazu niebezpieczeństw cybernetycznych od lat pozostaje wzrost skali i złożoności cyberprzestępczości. W ciągłej grze w kotka i myszkę przestępcy zwykle o krok wyprzedzają ofiary – firmy i użytkowników indywidualnych – oraz cyfrowych strażników, czyli służby i dostawców narzędzi ochronnych.

Polskie firmy też mają sporo do nadrobienia w zakresie cyberbezpieczeństwa. Jak wynika z danych zebranych przez firmę KPMG na potrzeby najnowszego badania „Barometr cyberbezpieczeństwa”, w 15 % przedsiębiorstw odpowiedzialność za bezpieczeństwo nie jest przypisana do żadnej jednostki organizacyjnej. W 45 % takie obowiązki ciążą na dziale informatycznym, co znaczy, że nie istnieją tam wydzielone działy zajmujące się wyłącznie ochroną infrastruktury.
Zobacz również:Jak mówił Michał Kurek, specjalista ds. cyberbezpieczeństwa w KPMG, jeden z prelegentów „Security First”, na to wszystko nakłada się stosunkowo świeży problem braku wiedzy o bezpieczeństwie chmury. Ankietowani przez KPMG mieli problem z identyfikacją używanych w ich organizacjach usług (IaaS, PaaS itp.). Tymczasem to właściwa inwentaryzacja zasobów oraz odpowiednie zrozumienie procesów i danych, które umieszcza się w chmurze, pozwalają dobrać optymalne narzędzia do ich ochrony.

Firmy mają co prawda pewne usprawiedliwienie – cyberbezpieczeństwo to obszar, gdzie trudno zbudować kompetencje i utrzymać je. Biorąc pod uwagę kadrowe niedobory takich fachowców na rynku łatwo sobie wyobrazić, że dla wielu organizacji utrzymanie pracowników-specjalistów w zakresie bezpieczeństwa cybernetycznego jest nie lada wyzwaniem.
Kluczowe wyzwanie w zarządzaniu bezpieczeństwem to zachowanie równowagi między inwestycjami a ryzykiem, jakie stwarzają. Do efektywnego ograniczania ryzyk cybernetycznych w organizacji niezbędny jest odpowiedni dialog na linii biznes – bezpieczeństwo. Brak komunikacji lub ograniczenie się tylko do realizacji celów swojego departamentu prowadzi do zaburzeń. Nowe inicjatywy biznesowe są niepotrzebnie blokowane, co może osłabiać kondycję finansową spółki.
Wtedy bezpieczeństwo jest dla biznesu przysłowiową kulą u nogi: działy operacyjne nie widzą potrzeby komunikacji z IT/security, nie chcąc po raz kolejny usłyszeć odmowy lub krytyki pomysłów na nowe wdrożenia czy projekty istotne z punktu widzenia biznesu. Z drugiej strony biznes może „pruć do przodu” nie oglądając się na ryzyko i potencjalnie narażając na szwank firmowe dane i infrastrukturę.
Dział bezpieczeństwa zrobiłby lepszą robotę, proponując racjonalne rozwiązania wspierające realizację projektów i zabezpieczające aspekt security. „Tak funkcjonujący dział cyberbezpieczeństwa staje się dla biznesu partnerem godnym zaufania, a biznes mając takie wsparcie chętniej sięgnie po właściwe technologie” – podkreśla Kurek.
A i tak przy każdym nowym projekcie najlepiej pomyśleć o zapewnieniu bezpieczeństwa tak wcześnie, jak to możliwe. Odpowiednio szybkie zaadresowanie tej kwestii zmniejszy koszty usuwania z systemu ewentualnych błędów na późniejszych etapach produkcji czy wdrożenia. Bo z punktu widzenia Cyberbezpieczeństwa właściwie postawione pytanie nie brzmi dziś, czy ktoś zaatakuje moją organizację?” ale „Kiedy to nastąpi?”. A jeszcze lepsze podejście to przyjęcie, że atak już miał miejsce.
Nośmy cyfrowe maseczki. Na brak cyberbezpieczeństwa nie ma stuprocentowo pewnej szczepionki – dodała Joanna Karczewska, ekspert ds. cyberbezpieczeństwa i ochrony danych osobowych.
Bezpieczne OT
O ile tradycyjny świat informatyczny (bazy danych, chmura, przeróżne systemy biznesowe, np. ERP i CRM) jest pod względem bezpieczeństwa nieźle „ogarnięty”, to zupełnie nowy wymiar ochrony dotyczy sieci przemysłowych (OT). Tu zabezpieczenia wymaga automatyka przemysłowa, aparatura, zawory, silniki, elementy fizyczne, linie produkcyjne, systemy komunikacji między człowiekiem (operatorem), a systemami realizacji produkcji, SCADA, sterowniki PLC, protokoły przemysłowe…
„Przez lata świat OT był zupełnie odseparowany. Dziś biznes ma ogromną potrzebę na dostęp do informacji, po to by adekwatnie zarządzać łańcuchem dostaw czy zapotrzebowaniem energetycznym. Dziś te środowiska są połączone, więc dla środowisk OT pojawiają się te same zagrożenia, co dla IT i musimy zacząć coś z tym robić” – podkreślał w trakcie konferencji Wojciech Kubiak, dyrektor ds. Bezpieczeństwa teleinformatycznego w PKP Energetyka.
Dlaczego cyberbezpieczeństwo w przemyśle jest tak ważne? Bo przekłada się na realne zjawiska i wydarzenia w świecie fizycznym. Świat IT porusza dane wirtualne, które tam egzystują, a świat automatyki przemysłowej porusza urządzenia fizyczne. Nie bagatelizując sprawy, cyberprzestępstwo w świecie IT ma zwykle wymiar kradzieży – gdy właściciela zmieniają wirtualne pieniądze lub dochodzi do utraty danych. Ryzyko w świecie rzeczywistym polega na tym, że fizyczne urządzenie może wyrządzić komuś krzywdę.


Source link

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *