Większość wartościowych działań wiąże się z pewnym ryzykiem, szczególnie w biznesie. Powyższą zależność zauważa się od starożytnych wypraw na niezbadane terytoria, po współczesne cyfrowe podróże — wśród kliknięć i „lajków”. Fortuna i sława przychodzą tylko do tych, którzy rozumieją zagrożenia i potrafią nimi zarządzać. Jednak na granicy tego co znane i nieznane, zrozumienie ryzyka zdaje się być towarem deficytowym i często zastępowane jest strachem, niepewnością i wątpliwościami. Z angielskiego: Fear, Uncertainty, Doubt — a więc trio, które lepiej znane jest jako „FUD”.
Tendencję tę świetnie obrazują stare „mapy potworów”, jak m.in. słynna „Carta Marina” przedstawiona poniżej. Prawdziwe niebezpieczeństwa ukazywane były jako fantastyczne bestie, ku przestrodze podróżników. Jest to doskonały przykład jak FUD może przekształcić rzeczywiste zagrożenia w mityczne wręcz niebezpieczeństwa. Zanim skwitujemy starożytne przestrogi, jako prymitywną ignorancję, zastanówmy się przez chwilę, czy w dzisiejszym cyberświecie również nie zmagamy się z sianiem paniki (nieco bardziej napędzanym przez FUD niż rzeczywiste fakty).
W Europie w 2013 r. rozpoczęły się prace nad ujednoliceniem zakresu i poziomu cyberbezpieczeństwa w krajach UE. Efektem końcowym było przyjęcie dn. 6 lipca 2016 r. tzw. „Dyrektywy NIS” (ang. Network and Information Systems Directive), która weszła w życie w sierpniu 2016 r.[1] Dokument ten wymusza na firmach i innych instytucjach podjęcie wszelkich niezbędnych działań, aby ustandaryzować bezpieczeństwo infrastruktury IT. Celem zarządzenia jest zwiększenie bezpieczeństwa i ochronę danych Europejczyków[2].
Kogo dokładnie dotyczy Dyrektywa? Wskazane zostały dwa typy podmiotów: Operatorzy Usług Kluczowych (np. banki, szpitale, dostawcy energii elektrycznej, wody pitnej) oraz dostawcy usług cyfrowych (wyszukiwarki internetowe, dostawcy usług chmurowych, platformy handlowe). Pominięte niestety zostały szeroko pojęte social media i administracje publiczne, które z definicji posiadają bardzo dużo naszych danych[3].
Kluczowymi wydają się być pytania: dlaczego takie prace zostały podjęte kilka lat temu? Czy Internet rzeczywiście jest tak niebezpiecznym miejscem, w którym za każdym rogiem kryje się mityczny Kraken lub Zeus[4]? Czy ulegliśmy naszemu strachowi i panuje powszechny FUD, czy może rzeczywiście świat online jest niebezpieczny niczym dziki zachód, w którym zwykli użytkownicy nie posiadają broni?
Najrozsądniej będzie przyjrzeć się danym z całego świata. Według firmy Carbon Black cyberprzestępcy wydają ponad 10 razy więcej pieniędzy na rozwijanie swoich narzędzi niż światowy biznes na cyberochronę[5]. Chcąc być bardziej dokładnym, kryminaliści wydają $1tn, natomiast wydatki na ochronę wynoszą zaledwie $96bn.
Wśród zagrożeń, największe inwestycje kładzie się na Malware, Botnet i wykorzystywanie dziur w oprogramowaniu — tzw. Exploit’y. Według firmy Fortinet, która rokrocznie zaliczana jest w Magicznym Kwadrancie Gartnera do Liderów[6], powyższe trzy niebezpieczeństwa są aktualnie w trendzie wzrostowym. Rozwój Exploitów i Botnetów wzrósł o 2% względem poprzedniego roku, a Malware aż o 4%[7].
W mediach nie słyszymy wielu informacji o spektakularnych włamaniach, ani atakach w naszym kraju. Mogłoby się wydawać, że jesteśmy białą plamą na mapie świata i cyberbezpieczeństwo nas nie dotyczy. Nic bardziej mylnego… Według najnowszego raportu przeprowadzonego przez firmę doradczą PwC, aż 44% firm w Polsce poniosło straty finansowe na skutek ataków, a ponad 60% spółek odnotowało zakłócenia i przestoje funkcjonowania[8].
Już przeanalizowanie tych kilku powyższych informacji może skłaniać ku refleksji, że cyberbezpieczeństwo przestaje być fanaberią, a zaczyna pełnić kluczową rolę w każdej instytucji.
Jakie więc obowiązki nakłada Dyrektywa NIS na każdy kraj członkowski? Do najważniejszych z nich należą:
· wdrożenie systemu zarządzania bezpieczeństwem (od razu nasuwa się rozwiązanie SIEM, jak na przykład FortiSIEM, Splunk, czy QRadar);
· powołanie wewnętrznych struktur, bądź zawarcie umów z podmiotami świadczącymi usługi z cyberbezpieczeństwa;
· wdrożenie odpowiednich i proporcjonalnych środków technicznych i organizacyjnych, uwzględniających bezpieczeństwo IT, fizyczne i środowiskowe (czyli przede wszystkim NextGen Firewall, Ochrona Maili, Kontrola Dostępu do Sieci — NAC);
· przeprowadzanie co najmniej raz na dwa lata audytu bezpieczeństwa teleinformatycznego.
Obowiązków jest znacznie więcej, jednak powyższe są kluczowe z perspektywy rozwiązań sprzętowych. Oczywiście kłuć w oczy mogą tak ogólne stwierdzenia jak „odpowiednie i proporcjonalne środki”, jednak musimy zdać sobie sprawę, że przy tak ogromnej dynamice rozwoju IT nie można na sztywno zdefiniować konkretnych reguł. Miejmy jedynie nadzieję, że ustawodawcy leży na sercu dobro obywateli, a nie efektywność wystawiania mandatów.
Dyrektywa NIS wymusza pośrednio posiadanie Security Operation Center (potocznie zwanym SOC). Niestety wygląda na to, że polskie firmy nie są absolutnie na to przygotowane. Według PwC ponad 20% firm nie posiada ani jednego pracownika odpowiedzialnego za cyberbezpieczeństwo, a 46% spółek nie posiada operacyjnych procedur reakcji na incydenty. Średnio 3% budżetu IT stanowią wydatki na bezpieczeństwo — to co najmniej o trzy razy za mało[9].
Cyfry to nie wszystko. Liczy się przede wszystkim realne zagrożenie oraz ochrona, która rzeczywiście działa. Należy myśleć o cyberbezpieczeństwie, jako o kluczowej inwestycji i zdawać się na profesjonalistów, którzy oferują 100% ochronę — jak m.in. Fortinet i jego FortiMail[10]. Ochrona IT to nie tylko zakup pudełek, ale przede wszystkim strategiczne podejście do całej organizacji. Prowadząc projekty najlepiej jest współpracować z partnerami, którzy mają doświadczenie i będą w stanie spojrzeć z jak najszerszej perspektywy.
#NIS # Network #Information #Systems #Directive #IT #cybersecurity #cyberbezpieczeństwo #cyberbezpieczenstwo
[1] http://www.een.org.pl/index.php/prawo/page/13/blind_style/1/articles/cyberbezpieczenstwo-unii-europejskiej.html
[2] DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii
[3] https://rcb.gov.pl/abc-cyberbezpieczenstwa-na-podstawie-wymogow-dyrektywy-nis/
[4] https://usa.kaspersky.com/resource-center/threats/zeus-virus
[5] https://www.computerweekly.com/news/252448383/Cyber-criminals-outspend-businesses-in-cyber-security-battle
[6] https://investor.fortinet.com/news-releases/news-release-details/fortinet-again-named-leader-2018-gartner-magic-quadrant
[7] Fortinet Threat Report Q32018 https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q3-2018.pdf
[8] PwC Polska Sp. z o.o. „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępczością liczą na szczęście” — https://www.pwc.pl/pl/pdf/publikacje/2018/cyber-ruletka-po-polsku-raport-pwc-gsiss-2018.pdf
[9] PwC Polska Sp. z o.o. „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępczością liczą na szczęście” — https://www.pwc.pl/pl/pdf/publikacje/2018/cyber-ruletka-po-polsku-raport-pwc-gsiss-2018.pdf
[10] https://www.fortinet.com/de/corporate/about-us/newsroom/press-releases/2018/fortinet-fortimail-receives-top-aaa-rating-in-se-labs-email-secu.html
