Każdy pomysł na poprawę cyberbezpieczeństwa jest dobry

Interia: Czy kluczowe elementy polskiej infrastruktury (sieć energetyczna, usługi publiczne) mogą być podatne na ewentualny skoordynowany atak hackerski jak to miało miejsce np. na Ukrainie?

Szymon Ruman, Exatel: - Z założenia każda infrastruktura jest podatna na ataki hackerskie. Cyberbezpieczeństwo to ciągły wyścig pomiędzy tymi, którzy ją chronią, a tymi, którzy chcą złamać jej zabezpieczenia. Trzeba pamiętać, że hakerzy (tym bardzie grupy hakerskie) to już nie są "domorośli" informatycy. To często wysoko wykwalifikowani ludzie, którzy dysponują pokaźnym budżetem i nowoczesnym sprzętem - np. dzięki środkom pozyskanym ze sprzedaży wykradzionych informacji. Co więcej ataki - jak te na Ukrainie - to dobrze przygotowane działania, które poprzedza nawet wielomiesięczne rozpoznanie oraz stopniowa infiltracja systemów. Samo włamanie to "tylko" zwieńczenie całego procesu.

- W Polsce cyberbezpieczeństwo przestało być tylko marketingowym sloganem. To konieczność dla firm i organizacji obecnych w sieci. Szczególnie, że za atakami stoją już nie tylko samozwańczy aktywiści, ale często wyśmienicie zorganizowane grupy czy nawet państwa. Przykład Ukrainy jest tego idealnym przykładem - choć nie jedynym. W tym aspekcie sytuacja w Polsce nie jest zła. Mamy jednak jeszcze sporo do zrobienia.

Gdzie istnieją obszary zagrożeń bezpieczeństwa IT w administracji publicznej i firmach dostawcach mediów; czy są to bardziej niewyszkoleni pracownicy, stare i nie spełniające standardów bezpieczeństwa rozwiązania IT czy konieczność dużych inwestycji w bezpieczeństwo IT, których kosztów nikt nie chce ponosić?

- Cyberbezpieczeństwo to połączenie trzech elementów - sprzętu, procedur oraz ludzi. Podstawowym problemem wielu firm, ale też każdego z nas, jest brak elementarnej wiedzy o potencjalnych zagrożeniach i sposobach radzenia sobie z nimi. Jesteśmy w sieci prawie cały czas. Smartforny, zegarki, samochody, inteligentne domy, telewizory czy nawet lodówki - czyli tzw. Internet Rzeczy (Internet of Things, w skrócie IoT) - to wszystko jest potencjalnym źródłem zagrożenia. A naszą niewiedzę często przenosimy również do pracy. Przesyłamy ważne dokumenty nieszyfrowaną pocztą czy zapisujemy swoje hasła na kartkach przyklejonych do monitorów.

- Bezpieczeństwo IT to też systemy informatyczne, które chronią i monitorują sieć firmową. Jeśli są odpowiednio przygotowane, mogą znacząco podnieść poziom cyberbezpieczeństwa. Jednak najważniejszym elementem bezpieczeństwa są ludzie. Eksperci, którzy na bieżąco monitorują całą infrastrukturę i potrafią zinterpretować niecodzienne zachowania. Ci ludzie codziennie biorą udział w wyścigu z hakerami. I tutaj pojawia się największy problem bezpieczeństwa - pieniądze. Biznes i administracja publiczna dokładnie liczy każdy grosz wydawany z własnych budżetów. A trzeba wiedzieć, że jeśli standardowy antywirus czy domowy firewall może wystarczyć do prywatnych celów, tak koszty profesjonalnego systemy ochrony mogą iść już w miliony złotych. Do tego kwestia zatrudnienia specjalistów od cyberbezpieczeństwa, którzy - nie ma co ukrywać - są wręcz rozchwytywani zarówno w Polsce, jak i na całym świecie. Dlatego nie każdą firmę lub podmiot publiczny stać na samodzielne zbudowanie odpowiedniego systemu ochrony. Tu z pomocą przychodzą wyspecjalizowane firmy, takie jak Exatel, który świadczy usługi telekomunikacyjne, ale też w pełni zabezpiecza infrastrukturę klientów. A może to robić dzięki wiedzy i doświadczeniu ekspertów zebranych w tzw. Security Operations Center.

Czy w warunkach polskich ma sens w MON program taki jak amerykański Hack The Army, wprowadzony przez Department of Defense i Pentagon za czasów prezydenta Obamy, stały hackaton, gdzie hackerzy badają podatność usług webowych i portali US Army na ataki?

- To pytanie powinno być skierowane bezpośrednio do Ministerstwa Obrony Narodowej. Ale moim zdaniem każdy pomysł na poprawę cyberbezpieczeństwa jest dobry. Stara zasada mówi, że jeśli chcesz pokoju, szykuj się do wojny. Systemy IT to żywe organizmy, które ciągle się rozwijają. Wraz z ich rozwojem pojawiają się też nowe zagrożenia. Im szybciej je wykryjemy, tym lepiej dla nas. Dlatego każdy sposób na znalezienie luk jest dobry. Przykładem rozwiązania może być właściwe wykorzystanie potencjału społecznego. Nie jest problemem zorganizowanie tzw. bug bounty (program, w którym za odkrycie błędów lub podatności systemu na zagrożenia, przyznawane są nagrody). Trzeba jednak jeszcze wiedzieć, jak właściwie wykorzystać pozyskaną dzięki temu wiedzę.

Mówi się bardzo dużo o Planie Morawieckiego zakładającym oparcie kraju na rozwiązaniach innowacyjnych zwłaszcza w zakresie IT i wystawienie wielu usług administracyjnych w postaci webowej dla firm i obywateli. Na ile będzie to oznaczało zmiany w zakresie bezpieczeństwa informatycznego?

- Mówi się też, że Polska programistami stoi. Wygrywamy liczne konkursy, jesteśmy uznawani za jeden z najbardziej utalentowanych narodów w tej dziedzinie. Polacy tworzą systemy w każdej liczącej się firmie na świecie, a duża część globalnych zespołów R&D pracuje właśnie u nas. Dlatego ten kierunek jest jak najbardziej właściwy. Nasza firma jest tego dobrym przykładem, bo - jako polski podmiot - również chcemy rozwijać nowoczesne technologie. Exatel bierze udział w międzynarodowym projekcie RAPID 5G, który tworzy podwaliny pod następcę LTE, czyli sieć 5G.

- Co zaś się tyczy e-usług publicznych - nie ma innego kierunku dla administracji niż dostosowanie się do potrzeb obywatela XXI wieku, który większości informacji szuka w sieci. Jeśli czegoś w niej nie ma, staje się dla niego archaizmem. W Polsce działają już dobrze zaprojektowane i przemyślane usługi - np. Historia Pojazdu, która umożliwia sprawdzenie podstawowych informacji o pojeździe przed jego zakupem. Jednak musimy pamiętać, że każda e-usługa, która pobiera informacje z rejestrów państwowych, to potencjalne zagrożenie dla bezpieczeństwa zgromadzonych tam danych. Jeśli otwieramy gromadzone latami systemy, musimy mieć pewność, że nikt niepowołany nie będzie miał do nich swobodnego dostępu. Możemy sobie wyobrazić, co by się stało, gdyby hakerzy włamali się np. do Systemu Rejestrów Państwowych, w którym przechowywane są dane o wszystkich obywatelach, czyli ich PESEL, dane stanu cywilnego, dowodów osobistych itp. Dlatego państwo musi podejść do cyberbezpieczeństwa w sposób systemowy. Wykorzystać potencjał, który już posiada. Zbudować silne kompetencje we własnych strukturach i odpowiednio je rozwijać.