Cyberbezpieczeństwo w pigułce: AI, wyzwania i czynnik ludzki - Tpay Podcast #28
Co najmniej 60% przedsiębiorców odnotowało w zeszłym roku minimum jeden incydent związany z bezpieczeństwem ich biznesu. Jeśli chcesz zacząć budować własne bezpieczeństwo i zastanawiasz się, jaki wpływ na to będzie miało AI - sprawdź ten odcinek Tpay Podcast. Naszym gościem jest Krzysztof Olejniczak z PatronuSec.
Maria Trzeciak, Tpay: Kto jest Twoim zdaniem bardziej podatny na naruszenia cyberbezpieczeństwa (wycieki danych, cyberataki): drobny przedsiębiorca czy duża organizacja?
Krzysztof Olejniczak, PatronuSec: Atakującemu zawsze chodzi o to, żeby jak najprościej i jak najtaniej wykraść takie dane, które potem może sprzedać albo wykorzystać. Duże firmy mają rozbudowane działy bezpieczeństwa, inwestują w technologie, procesy, specjalistów. Włamanie się do takiej organizacji jest stosunkowo ciężkie i drogie.
Dużo łatwiej jest spróbować zaatakować organizację mniejszą, która nie ma własnego działu bezpieczeństwa, albo nie może sobie pozwolić na tak złożone rozwiązania techniczne. Takie firmy są bardziej podatne na próby wymuszenia: bardziej się boją i często nie wiedzą, co robić w przypadku ataku.
Jak do tej pory kształtował się polski rynek w obszarze cyberbezpieczeństwa?
Od około 5-7 lat cyberbezpieczeństwo zaczyna być elementem biznesu. Coraz częściej widać sytuacje, że po wycieku danych użytkownicy odwracają się od dotkniętej nim organizacji, więc to także element strategii albo przewagi biznesowej. Widać to w obszarze np. certyfikacji: ISO 27000, gdzie jest traktowane właśnie jako przewaga nad konkurencją.
Jeśli mówimy o bezpieczeństwie, powinniśmy pomyśleć o 4 elementach. Zacznijmy od najważniejszego elementu, czyli ludzi. Możemy mieć naprawdę najdroższy sprzęt na świecie, najbezpieczniejszą technologię, natomiast jeśli człowiek nie potrafi tego skonfigurować i nie korzysta z nich świadomie, naprawdę nic nie daje.
Większość ataków ma jako swój początek czynnik ludzki. Ktoś kliknął w link, nie wiedział, coś zeskanował, czegoś nie spatchował, nie zrobił. Drugi element to wszystkie rzeczy związane z procesami. Nie wystarczy mieć ludzi; oni też muszą wiedzieć, co mają zrobić, jak zarządzać tym urządzeniem za miliony złotych, zwłaszcza w sytuacji krytycznej. Bezpieczeństwo dzisiaj jest procesem ciągłym, nie zaś obejmującym tylko "tu i teraz".
Trzeci element związany z bezpieczeństwem to zarządzanie dostawcami. Coraz mniej organizacji działa samodzielni, dlatego wiele incydentów jest związanych z atakiem na łańcuch dostaw. To znane na całym świecie przypadki, że można włamać się do dużej organizacji, hakując jednego z poddostawców.
Czwarta część to technologia. Domyślne podejście i sposób funkcjonowania w bardzo dużej ilości małych organizacji to "kupię sobie firewall, serwerownię - będę bezpieczny". To tak nie działa; technologia jest jednym z, ale nie jedynym elementem bezpieczeństwa. Klientom i współpracownikom mówię o wymienionym przed chwilą 4P, czyli o: ludziach - "people", procesach - "process", o dostawcach - "partners" i "product", czyli technologii. Te 4P pozwalają całościowo mówić o bezpieczeństwie danej organizacji.
Czy jest recepta, żeby pogodzić wszystkie wymagania, o których powiedziałeś, z naturalną potrzebą każdego biznesu, jaką jest rozwój?
Specjaliści ds. bezpieczeństwa są w niektórych organizacjach postrzegani jako policjanci; osoby, które są przeciwko rozwojowi. Jeden z moich szefów powiedział mi dobre 15 lat temu, że muszę myśleć o swojej pracy jako o budowaniu muru albo fosy dookoła zamku. Mur ma być szczelny, spełniać swoją funkcję, ale nie może być za blisko zamku, bo zamek nie może się rozwijać.
I dokładnie w ten sam sposób możemy mówić o bezpieczeństwie: działy bezpieczeństwa budują wokół organizacji taki mur. Natomiast ten mur musi być coraz bardziej elastyczny. Coraz częściej - obrazowo mówiąc - mówimy o murze dookoła zamku i dodatkowo murach dookoła każdego domu w tym zamku.
Czy jest jakiś sposób, żeby bronić się przed wszystkimi zagrożeniami, o których powiedziałeś przed chwilą?
Jest kilka rzeczy, o których każda organizacja powinna pamiętać. Przede wszystkim - bezpieczeństwo jest procesem ciągłym: fakt, że nie nikt się nie włamał do nas dzisiaj, nie gwarantuje tego, że nie włamie się jutro. Dodatkowo, tak naprawdę o bezpieczeństwie musimy myśleć cały czas. Liczy się każdy mail. Czy muszę kliknąć, czy nie? Czy dany komunikat jest rzeczywiście kierowany do mnie? Czy mój system jest aktualny? Czy zmieniające się trendy nie powodują tego, że muszę na nowo skonfigurować, lub zmienić system, procesy, sprawdzić moich dostawców?
Zapewnianie bezpieczeństwa to działania higieniczne: praktyki zarządzania organizacją, aktualizacja, konfigurowanie, utwardzanie systemów, metody testowania, czy silne uwierzytelnianie użytkowników. Te metody działają zgodnie z zasadą Pareta: 20% takich działań pozwala odciąć 80% ataków. Bezpieczeństwo organizacji to nie jest sztuka, a bardzo dobra inżynieria i rzemiosło do wdrożenia. Sztuka zaczyna się wtedy, kiedy pojawiają się przypadki niestandardowe i niebanalne.
Brzmi to jak bardzo skomplikowany i drogi proces. Zastanawiam się, czy widzisz tutaj pokusę dla mniejszych firm, żeby odpuścić nakłady finansowe na ten obszar z uwagi na to, że np. do tej pory nie zdarzył mi się atak, wyciek danych i czują się w tej kwestii bezpiecznie?
To często powtarzana na rynku opinia: "nikt się do mnie nie włamał, więc nie muszę aktualizować moich systemów". Jednak każda organizacja musi sobie uzmysłowić dwie rzeczy. Po pierwsze - nie jesteśmy w stanie zapewnić stuprocentowego bezpieczeństwa, ponieważ jest to nieefektywne kosztowo, bardzo trudne i wreszcie - prawie niemożliwe do osiągnięcia. Nawet bardzo duże organizacje na świecie klasyfikują swoje dane i systemy i ustalają, że np. chronię systemy A, B i C, zaś D, E i F już nie.
Każda organizacja powinna więc ustalić wewnętrznie, co chroni, a potem - przyjąć adekwatne środki ochrony. Z inwestycją w bezpieczeństwo jest jak z ubezpieczeniem autocasco. Nie każdy musi je wykupić, natomiast przydaje się ono w sytuacji awaryjnej, czasem wiele razy. Co ważne, nie wiemy, ile razy ktoś próbował nas atakować, a wdrożone mechanizmy nas po prostu obroniły.
Warto też mieć na uwadze fakt, że wycieki danych to temat, który jest klikalny i związane z nim tzw. "bad publicity" pojawia się w mediach i sieci, rzutując na wizerunek firmy. Obecne regulacje prawne, szczególnie RODO, wymagają np. poinformowania wszystkich partnerów o wycieku danych osobowych. Wysłanie takiego maila nie jest rzeczą przyjemną ani łatwą dla prowadzącego organizację, a ponieważ dostaję w miesiącu kilka takich maili, widać wyraźnie, że ataki zdarzają się często.
Zastanawiam się, jak dostosować zasady, o których powiedziałeś, do zmieniającej się rzeczywistości. Żyjemy w czasie popandemicznym, gdzie w większości firm na stałe wprowadziliśmy hybrydowy, lub w 100% zdalny model pracy. Stajemy się cyfrowymi nomadami, którzy - gdy mają dostęp do sieci - mogą pracować praktycznie wszędzie. Tpay jest tego dobrym przykładem: praca hybrydowa i workation to już stałe elementy. Czy tutaj powinniśmy zwrócić uwagę na coś szczególnego?
Praca zdalna jest dziś potrzebą biznesową. Otwiera nas na nowe rynki, talenty, miejsca, czy technologie. Jeśli wracamy do realizowania tej potrzeby, wracamy jednocześnie do zasady 4P. Pracownicy muszą być świadomi tego, że praca zdalna niesie za sobą zarówno pewne korzyści, jak i obowiązki. Praca w biurze to praca w bezpiecznej przestrzeni, zaś w modelu zdalnym - trzeba dbać o zachowanie prywatności: przy rozmowach przez telefon, czy używając filtra prywatyzującego tak, aby nikt nie mógł dostrzec zawartości ekranu naszego komputera. Pracując zdalnie jesteśmy w przestrzeni otwartej; budujemy ten przysłowiowy mur i fosę wokół naszego małego zamku, a nie wokół całej organizacji.
Druga sprawa to korzystanie z technologii, które umożliwiają pracę zdalną: migracja do chmury, czy rozwiązania w trybie SaaS. Trzeba przy tym rozróżnić "bezpieczeństwo chmury" od "bezpieczeństwa w chmurze". Tym pierwszym zarządza dostawca technologii. Drugim - jest bezpieczeństwo naszej organizacji. Oparte na silnym uwierzytelnieniu użytkownika, rozwiązaniach typu firewall czy wielopoziomowym bezpieczeństwie urządzeń końcowych, jak np. Twojego laptopa poprzez szyfrowanie dysków czy hasło.
Czy widzisz jakieś trendy, które w tym lub w przyszłym roku mogą w obszarze security się mocno rozgościć?
Dużym i widocznym tematem jest Chat GPT: wersja 4 otwiera nowe możliwości: zarówno dla osób, które chcą go wykorzystać w sposób produktywny, jak i dla chcących stworzyć zagrożenie dla organizacji. Chat jest w stanie napisać prostego wirusa, znaleźć błędy w kodzie, spróbować wykorzystać podatności i luki.
Są znane przypadki, kiedy GPT identyfikował błędy w programach typu bug bounty. Przetwarzanie dużej ilości danych i modele machine learning powodują, że jesteśmy w stanie lepiej zdefiniować wektory ataków i lepiej się zabezpieczyć. Z drugiej strony - kampanie phishingowe są coraz bardziej złożone; w miejsce banalnych linków pojawiły się bardzo realistyczne wiadomości.
Powiedziałeś, że nowe technologie mogą być dla nas i zagrożeniem, i szansą, w zależności od tego, jak z nich skorzystamy. Zastanawiam się, czy z punktu widzenia firmy albo pracownika, skorzystanie z takich technologii może powodować, że będziemy mieli mniej pracy?
Odpowiem jak konsultant: "to zależy". Na pewno zmieni się charakter naszej pracy: dużo powtarzalnych, manualnych rzeczy będzie w stanie wykonać za nas technologia. Z jej pomocą będziemy w stanie wyłapywać rzeczy i trendy, których obecnie człowiek (przy całej swojej doskonałości) nie jest w stanie zauważyć. Będziemy w stanie procesować duże wolumeny danych, łapać pewne wzorce, wyłapać charakterystyki ruchu albo ataków i nasza praca na pewno się zmieni. Natomiast: czy istnieje świat bez "bezpieczników"? Najprawdopodobniej nie.
Ostatnio zadałem czatowi GPT pytanie na temat interpretacji pewnych ustaw w polskim prawie i on... zmyślił odpowiedź. Weryfikacja danych, analiza, krytyczne myślenie i analizowanie wyników rzeczy podawanych przez sieć czy modele - to praca, którą będziemy wykonywać. Ale jeśli pytasz mnie, jak będzie wyglądała nasza praca za 5 lat, to szczerze powiedziawszy - nie do końca wiem, ale już nie mogę się doczekać.
Nie byłabym sobą, gdybym nie zapytała, czy w tej świetlanej przyszłości dostrzegasz jakieś wyzwania albo ryzyka.
Oczywiście, że tak. Jest dużo rzeczy, o których obecnie wiemy, że mogą stanowić wyzwanie i dużo tych, o których jeszcze nie wiemy, że nim będą. Dla przykładu: coraz więcej organizacji idzie w kierunku budowania własnych modeli, które pozwolą im optymalizować procesy. Inwestując dużą ilość danych i czasu, można nauczyć model, aby odpowiadał w sposób przystający do danej organizacji. To rozwiązania ważne i cenne, jednocześnie mogące paść ofiarą ataku. Modele mogą zostać skradzione, wiemy też, że funkcjonują już mechanizmy tzw. "zatruwania" modeli.
Pamiętajmy o tym, że bezpieczeństwo to triada CIA, czyli poufność, integralność i dostępność. W ślad za tym - integralność i poufność danych jest kluczowa. Wyobraź sobie sytuację, że ktoś loguje wszystkie zapytania w organizacji dodanej do czata GPT. Na podstawie danych z promptu (zapytania/polecenia jakie wydajemy czatowi GPT) można wyciągnąć dane poufne lub wrażliwe.
Pracownicy często wklejają do czata GPT (publicznego lub prywatnego) całe procedury, fragmenty kodu - to jest, lub może być odebrane jako naruszenie własności intelektualnej. Niektóre licencje wręcz nakazują, że kod zbudowany za pomocą danej licencji open source musi być ujawniony. Wyobraź sobie, że cały model danych, który został zbudowany, musi zostać udostępniony. Dla niektórych organizacji to jest ogromne zagrożenie i krytyczna informacja biznesowa.
Pojawiają się zatem obszary, które nie do końca mamy zagospodarowane i nie zawsze znamy wszystkie odpowiedzi. Dlatego przyszłość jest z jednej strony ciekawa, z drugiej - pełna wyzwań, przed którymi będziemy stali. Może nie będziemy tak często zajmować się rzeczami, które nam obecnie spędzają sen z powiek, np. patchowaniem systemu, bo będzie się to działo automatycznie. Będziemy jednak siedzieli i myśleli, w jaki sposób zabezpieczać całe modele danych, elementy danych, jak spełnić wymagania związane z RODO.
Bo wyobraź sobie, że organizacja loguje wszystkie zapisy, które są wysyłane do czata GPT i nagle ktoś zapyta na czacie "jak usunąć krew ze skóry?". Czy w tym momencie nie dostajemy informacji, o których nie chcielibyśmy wiedzieć? Czy organizacja powinna zareagować, że być może pracownik popełnił przestępstwo, zgłosić to na policję, czy nie? Ludzie pytają naprawdę o różne rzeczy i czasami nie zdają sobie sprawy, że ktoś to czyta i na tej podstawie profiluje danego użytkownika. Tutaj zaczynamy dochodzić to tematu prywatności związanej z czatem GPT i tego, jak on wykorzystuje dane.
Reasumując, systemy AI to nie tylko praca i pomoc przy codziennej automatyzacji, wsparciu elementów procesów firmy, czy wytwarzaniu prostych skryptów. Również i tutaj trzeba koniecznie rozważyć element związany z zachowaniem prywatności, logowaniem promptów, ich analizą i przechowywaniem. Tutaj mogą dochodzić kwestie związane z RODO i innymi regulacjami, które dany business może mieć u siebie jako obowiązkowe do spełnienia.
No właśnie, co na to wszystko nasze otoczenie regulacyjne? Bo zarówno my, jako Tpay, jesteśmy firmą działającą na bardzo regulowanym rynku finansowym, jak i nasi klienci również podlegają pod pewne regulacje. Czy te regulacje nas wspierają w jakiś sposób?
Te regulacje dają pewną podstawę i zapewniają - w pewnym stopniu - kodyfikację bezpieczeństwa naszych systemów. Jeśli organizacja jest świadoma, wówczas dokładnie wie, co ma zrobić w kwestiach bezpieczeństwa. Regulacje są kierowane głównie dla tych organizacji, które albo nie chcą, albo nie są świadome, albo nie mogą sobie pozwolić. Wtedy właśnie z pomocą przychodzi prawo i obowiązek prawny. Trzeba przy tej okazji powiedzieć, że ilość regulacji, która w tym i przyszłym roku wchodzi w życie, w obszarze finansowym, płatności internetowych, czy tzw. infrastruktury krytycznej, jest ogromna.
Dokładnie, to nie jest takie proste. Poza tym one mówią mniej więcej o tym samym, każda używając własnego języka. Więc z jednej strony nie zazdroszczę przedsiębiorcom analizy tych wszystkich dokumentów, z drugiej - to nie jest temat super skomplikowany i tak naprawdę przejście przez tę dokumentację samemu, albo za pomocą partnerów, pomaga znaleźć rozwiązanie, które nie powinno ograniczać biznesu. Tak naprawdę większość standardów wprost nie zabrania niektórych rzeczy, a jest to bardziej interpretacja wdrażającego.
Na zakończenie naszej rozmowy: może pokusisz się o krótkie podsumowanie dla naszych słuchaczy. Jakie najważniejsze rzeczy sprawią że nasze biznesy będą bardziej bezpieczne?
Po pierwsze nie ma Świętego Grala i jednego elementu związanego z bezpieczeństwem organizacji, ale podam kilka z nich.
1. Myśląc o bezpieczeństwie myślmy o 4P: o ludziach, procesach, dostawcach i technologii. Te cztery elementy związane ze sobą, one tak naprawdę powodują podniesienie bezpieczeństwa w organizacji.
2. Zapewnienie bezpieczeństwa jest procesem ciągłym, to znaczy "jeśli jestem bezpieczny dzisiaj, nie znaczy, że będę bezpieczny jutro". Przy rozwoju produktu, biznesu, przy wdrażaniu nowych systemów e-commerce, nowych metod płatności - zawsze trzeba myśleć o bezpieczeństwie.
3. Myślmy o wieloetapowym i wielowarstwowym budowaniu mechanizmów bezpieczeństwa, czyli dbamy o zasady wejścia do budynku, ale również elementy związane z personalizacją laptopów, zabezpieczeniem danych, zabezpieczeniem wszystkich naszych systemów.
4. Regulacje, które musimy wdrożyć, bo działamy na danym rynku. Akceptujemy płatności kartą, więc musimy podejść pod PCI DSS, przetwarzamy dane osobowe więc, musimy spełniać wymogi RODO itp. Pamiętajmy natomiast, że większość z tych regulacji wprost nie zabrania rozwoju organizacji. Często problemem bywa tu doświadczenie wdrażającego i jego pomysł.
5. Bądźmy otwarci na nowe technologie. Otwierają nam super możliwości, ale powodują też, że musimy zredefiniować podejście do bezpieczeństwa. Elementy, które były dobre w przeszłości, mogą nie działać w nowych miejscach, przy nowych rozwiązaniach. Po prostu bądźmy otwarci. Musimy nadążać za tym rynkiem, musimy się cały czas uczyć. Ale to znowu wiąże się z elementem ludzkim i elementem i tym naszym 4P, o którym mówiliśmy na samym początku.