Zarządzanie cyberbezpieczeństwem -RODO wstępem do cyberbezpieczeństwa
O cyberbezpieczeństwie zrobiło się głośno i wszyscy już wiedzą czym ono jest, mówią o nim i piszą. Od ataku Rosji na Ukrainę internet pełen jest informacji o hakerach ich atakach i zagrożeniach cyber itd. Krótko mówiąc pod hasłem cyberbezpieczeństwo kryje się ochrona systemów i informacji (w tym danych osobowych) w nich przetwarzanych. Wydaje się to najprostszym wyjaśnieniem i pozwalającym zrozumieć tą kwestię nawet laikowi. Ciekawostką jest fakt, że cyberbezpieczeństwo ma odniesienia również w RODO, bo chodzi o odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Patrząc na przepisy ochrony danych osobowych możemy potraktować RODO jako wstęp do stosowania zasad cyberbezpieczeństwa w organizacjach. Celem wprowadzonych przepisów o ochronie danych osobowych jest szybkie reagowanie przez organy nadzorujące i osoby fizyczne na wszelkiego rodzaju naruszenia. W rozporządzeniu wskazano sposoby zabezpieczania danych osobowych. Przykładowo poprzez pseudonimizację czy szyfrowanie danych, czyli elementy, które pojawiają się w ramach cyber.
Braki specjalistów ds. cyberbezpieczeństwa, niekoniecznie, trzeba zmienić sposób myślenia
Od lat już wiadomo, że zagrożenia w internecie istnieją. Zawsze pojawią się osoby, które dzięki swoim umiejętnością postanowią pozyskać środki finansowe niekończenie drogą zgodną z prawem. Cyberprzestępcy byli, są i będą, a ochrona przed tymi grupami bywa trudna. W Polsce powstało Centralne Biuro Zwalczania Cyberprzestępczości, które to ciągle poszukuje specjalistów do zatrudnienia, ponieważ mówi się, że jest ich mało. Faktycznie, ale brak takich osób na rynku spowodowany może być faktem, że dopóki nie zaczęły się pojawiać informacje o poważnych problemach organizacji jak np. WannaCry, czyli oprogramowania szantażującego, które zainfekowało ponad 200 tysięcy komputerów w 150 krajach świata większość osób nie bardzo zastanawiało się nad tym tematem. Wszystkim wydawało się, że mając system antywirusowy firma jest bezpieczna. W 2013 roku z bazy danych Yahoo, wyciekło ponad miliard rekordów. Hakerzy uzyskali dostęp do adresów e-mail, numerów kart kredytowych, haseł oraz innych istotnych informacji. Przechowywano je w mailach i antywirus ich nie powstrzymał. Ci którzy wiedzą, jak hakować często wybierają tzw. „ciemną stronę”, ale są na świecie organizacje, które wiedzą, jak wspierać swoje bezpieczeństwo. Amerykańskie firmy już od lat zatrudniają w swoich szeregach zatrzymanych bądź namierzonych przestępców, dzięki czemu ich odporność rośnie. Warto zmienić sposób myślenia i podejścia do hakerów. Może wśród nich poszukać takich osób, które mogą nas wesprzeć w działaniach zabezpieczających. Oczywiście są uczelnie szkolące z zakresu cyberbezpieczeństwa, ale na fachowców przyjdzie jeszcze kilka lat poczekać.
Można sobie radzić w inny sposób, bo radzić sobie trzeba, aby nie dopuścić do naruszenia
Brak specjalistów nie musi być powodem do załamywania rąk i tłumaczenia, że ja nie mogłem się zabezpieczyć. Bo np. spowodował to brak dostępu do cyber specjalistów itd. Dużo potencjalnych zagrożeń wynika z braku świadomości naszych pracowników, którzy są podatni na ataki socjotechniczne itp. Ta podatność wpisana jest w naturę człowieka i nie ma co się jej dziwić. Zastosowanie właściwych zabezpieczeń systemowych może często wykonać informatyk, tylko musi wiedzieć co ma zrobić, kiedy i gdzie. Inne zagrożenia, jak właśnie socjotechnika mogą zostać pomniejszone lub wyeliminowane dzięki innym osobom zatrudnionym w naszych organizacjach. Takim specjalistą jest Inspektor Ochrony Danych, Pełnomocnik Bezpieczeństwa Informacji czy audytor wewnętrzny. W jaki sposób, ano np. dzięki przeprowadzaniu szkoleń uwzględniających tego typu zagrożenia. Co istotne na rynku jest wiele rozwiązań systemowych pomagających wspierać organizacje w ich zabezpieczaniu, trzeba tylko wiedzieć do których sięgnąć. Jak widać pomysłów na poradzenie sobie z brakiem dostępności specjalistów ds. cyberbezpieczeństwa jest wiele. Często można osiągnąć właściwy poziom zabezpieczenia organizacji z wykorzystaniem już posiadanych zasobów.
Warto wyszkolić specjalistę ds. zarządzania cyberbezpieczeństwem
Skoro specjalistów ds. cyberbezpieczeństwa brakuje, ale tych, którzy samodzielnie potrafią ustrzec nasze instytucje i organizacje przed zagrożeniami to trzeba znaleźć proste i szybkie rozwiązanie. Takim rozwiązaniem może być właściwe podejście do zarządzania cyberbezpieczeństwem. Oczywiście i na tym polu można odnaleźć kierunki studiów, ale te znowu będą trwały. Można też wysłać naszego informatyka albo Inspektora KSC, albo IOD-a, albo PBI, albo osobę rozumiejącą choć trochę zależności na gruncie bezpieczeństwa informacji na szkolenie, które z reguły trwa około miesiąca, a które przygotuje taką osobę do właściwego podejścia i zarządzania tymi procesami. Zarządzanie cyberbezpieczeństwem to posiadanie umiejętności tworzenia i wdrażania strategii oraz architektury cyberbezpieczeństwa. Są to umiejętności wskazywania właściwych rozwiązań, szacowania ryzyka czy przeprowadzania audytów.
Dobry specjalista- czyli jaki?
Dobry specjalista ds. zarządzania cyberbezpieczeństwem będzie potrafił wykorzystać już posiadane zasoby w organizacji. Wskazać także możliwe do zastosowania środki wspierające to bezpieczeństwo. Przedmiotami cyberataków są bardzo często cenne bazy danych, poufne firmowe informacje, wszelkie hasła i loginy. Przede wszystkim dane, które są cenne dla właścicieli na tyle, że są w stanie zapłacić okup za ich odzyskanie. Na pewno trzeba się przed takimi atakami zabezpieczyć. Skoro nie możemy mieć osoby, która umie to zrobić to warto mieć osobę, która umie zarządzać cyberbezpieczeństwem. Specjaliści ds. cyberbezpieczeństwa to zwykle osoby po studiach technicznych lub informatycznych, a specjalista ds. zarządzania cyberbezpieczeństwem musi rozumieć te obszary. Taka osoba powinna cechować się konkretnymi umiejętnościami praktycznymi i usposobieniem – otwartością i komunikatywnością, które ułatwiają codzienną pracę.
Trzeba rozumieć, myśleć, rozwijać się, a przede wszystkim znajdować rozwiązania
Według raportu EY Global Information Security Survey 2020, w samym tylko 2019 r. amerykańskie firmy utraciły 654 mld USD w następstwie cyberataków. Kwota porażająca, a od 2019 roku skala ataków tylko rośnie. Tak jak rozwijają się zabezpieczenia, wiedza specjalistów od zabezpieczeń tak samo rozwijają się hakerzy. Ich rozwój idzie niestety w kierunku ulepszania technik ataków. Świadomość Szefów organizacji rośnie i już większość z nich wie, że powinna mieć w swoich szeregach osoby znające się na cyberbezpieczeństwie, więc może warto zacząć od osoby umiejącej tym procesem zarządzać i wykorzystywać dostępne zasoby. Wyszkolenie osoby już zatrudnionej w organizacji będzie na pewno tańsze, a zarazem będzie najprostszym rozwiązaniem zwłaszcza dla MŚP. Bazując na danych udostępnionych w raporcie PWC Wizja prezesów na czas po pandemii, w 2021 r. aż 47% prezesów na świecie wskazywało cyberzagrożenia jako powód swoich obaw. W kolejnej odsłonie zarządzania cyberbezpieczeństwem postaramy się wyjaśnić prostym językiem na czym ono polega. Pozyskanie wiedzy z zakresu procesów zarządczych może przekonać osoby do podjęcia szkoleń w tej materii i uzyskania dodatkowych kompetencji.
