Postęp technologii dokonuje się właściwie z dnia na dzień. To, co wczoraj uznawaliśmy za bezpieczne rozwiązanie dziś już może takie nie być. Cyberbezpieczeństwo stało się jednym z kluczowych aspektów funkcjonowania właściwie każdej organizacji. Jak sobie radzić z zagrożeniami i dlaczego w ostatnim czasie coraz popularniejsze stają się rozwiązania typu SOC? O tym, w rozmowie z Tomaszem Wodzińskim – menadżerem SOC w firmie EXATEL.

Czym jest SOC?

SOC, czyli Security Operations Center, to połączenie narzędzi informatycznych, procedur oraz wiedzy specjalistów. Wszystko razem umożliwia szybkie wykrycie i zatrzymanie zagrożenia dla danych i infrastruktury każdej organizacji. Same narzędzia i procedury to „oczy” nieustannie poszukujące potencjalnych problemów. Natomiast mózgiem są specjaliści posiadający odpowiednią wiedzę oraz doświadczenie. To oni analizują zbierane dane i badają zdarzenia, które mogą być zagrożeniami dla organizacji. Codzienność SOC to monitorowanie tysięcy linii opisujących przeróżne zdarzenia w systemach IT, przeglądanie ruchu sieciowego czy łączenie pojedynczych zdarzeń składających się jak puzzle na potencjalną lukę lub też historię ataku. A jest czego szukać i co poprawiać. Według Security Report 2015 przeprowadzonego przez CheckPoint Software Technologies Ltd. średnio co 36 minut wrażliwe dane wysyłane są poza organizację. Co 6 minut do firm trafia rozpoznane już przez światowych specjalistów złośliwe oprogramowanie. A średnio co 24 sekundy komputery będące wewnątrz sieci organizacji próbują łączyć się z zainfekowanymi stronami. A skutki naruszenia bezpieczeństwa mogą być katastrofalne – od krótkiego paraliżu firmy po np. wyciek informacji finansowych firmy czy danych osobowych naszych klientów.

Czyli teraz należy zmienić mocne zamki i ochroniarzy na cyberdozorców? Ochrona fizyczna straci na znaczeniu?

Nie. Na bezpieczeństwo firmy zawsze należy patrzeć kompleksowo. Tak jak złodzieje wchodzą przez drzwi lub okna, tak hakerzy wykorzystują systemu informatyczne. SOC to wirtualny pokój ochrony spotykanych dziś praktycznie w każdej organizacji. Specjaliści od „bezpieczeństwa fizycznego” siedzą zazwyczaj przed monitorami, patrolują okolice budynku i przyglądają się otoczeniu firmy. W razie potrzeby - i zgodnie z procedurami - reagują na osoby, które, np. próbują przejść przez ogrodzenie firmy czy wynieść jej cenne zasoby. Podobnie wygląda praca w SOC. Jednak cyberprzestępcy nie są ograniczeni ogrodzeniem wokół siedziby firmy – atak mogą dokonać z dowolnego miejsca na świecie. A ryzyko jego wystąpienia nie jest zależne od pory dnia czy nocy. I od tego, ile aktualnie osób znajduje się w organizacji.

W świecie rzeczywistym możemy sobie wyobrazić instalację wysokiego płotu, bezobsługowego systemu alarmowego czy monitoringu, co daje firmie pewnego rodzaju bezpieczeństwo (odstraszanie). Podobne działania prewencyjne można zastosować w cyberświecie używając różnych, często ogólnodostępnych systemów jak firewall czy choćby program antywirusowy. Jednak bez stałego nadzoru specjalistów, które mogą rozpoznać potencjalne zagrożenia lub atak przed jego rozpoczęciem (wspomnianych wcześniej ochroniarzy), nasze bezpieczeństwo jest tylko teoretyczne. Konieczne jest ciągłe udoskonalanie ich ustawień, wdrażanie nowych rozwiązań dostępnych na rynku czy aktualizowanie już istniejących. Nie wolno też zapominać o testowaniu wykorzystywanych zabezpieczeń czyli samodoskonalenie. Wydaje się być zatem konieczne zatrudnienie kogoś, kto na bieżąco sprawdza wszystkie alarmy i – w razie konieczności – odpowiednio szybko zareaguje na incydent.

Czy wdrożenie własnego centrum bezpieczeństwa w firmie wymaga bardzo dużych nakładów finansowych?

Tak. Trzeba nie tylko zainwestować w odpowiednią infrastrukturę czy wdrożyć (i później pilnować) odpowiednich procedur. Konieczne jest też zatrudnienie wysokiej klasy specjalistów. Dlatego dla większości firm jest to w ogóle nieosiągalne. Alternatywnym rozwiązaniem - i nieporównywalnie efektywniejszym kosztowo - jest przekazanie kompetencji monitorowania, reagowania czy instalacji narzędzi bezpieczeństwa do specjalizowanej zewnętrznej komórki SOC, której to pracownicy „są na czasie” z bieżącymi zagrożeniami w cyberświecie.

Ranking: 10 najlepszych aplikacji na Androida
Ranking: 10 najlepszych aplikacji na Androida

Zobacz również

Jak ważne według Pana jest inwestowanie w to rozwiązanie na tle innych wydatków w firmie?

Według mnie wdrożenie SOC-u wewnętrznego czy zlecenie zewnętrznej firmie jest taką samą koniecznością jak zatrudnienie ochrony, inwestycja w alarmy, zamki w drzwiach, kamery, czujki pożaru czy ruchu. Pamiętajmy, że dziś to informacja jest największą wartością firmy, stanowiącą o jej przewadze nad konkurencją. A znaczna większość danych jest obecnie przechowywana w postaci cyfrowej. Standardowy użytkownik zapytany o to, czy potrzebuje większej ochrony swoich danych, zaprzeczy. Bo niby dlaczego ktoś miałby włamywać się akurat do jego komputera. Wszystko do czasu pierwszego incydentu polegającego na wykradzeniu dostępu do konta społecznościowego, kradzieży pieniędzy z e-banku czy zaszyfrowania dysku i w konsekwencji utraty dokumentów czy zdjęć rodzinnych. Podobne podejście obserwujemy w firmach. Co zaskakujące to takie zachowanie dotyczy nie tylko laików, ale także wielu informatyków nieśledzących na co dzień trendów w cyberświecie. O ile utrata niezaszyfrowanych zdjęć czy pitów przechowywanych na dysku może być gorzką pigułką dla osoby indywidualnej, taki incydent w przypadku liczącej się na rynku organizacji może być pierwszym krokiem prowadzącym do jej upadłości. Oczywiście nie należy wpadać w panikę i natychmiast odcinać firmy od dostępu do publicznego Interentu. SOC dysponuje całym wachlarzem specjalistycznych narzędzi. Zakres zabezpieczeń i dobór środków ochrony powinien zależeć od skali działalności, wielkości przedsiębiorstwa i zagrożeń cybernetycznych na które może być narażone.

W takim razie na co powinni zwracać uwagę przedsiębiorcy, aby właściwie zabezpieczyć zasoby firmy przed zagrożeniami płynącymi z sieci?

Podstawowymi wskaźnikami, które powinny inicjować myślenie kierownictwa firmy w kierunku korzystania z SOC są pytania: czy zniszczenie/zatrucie/kradzież danych w systemie relacji z klientami może skutkować zagrożeniem stabilności przedsiębiorstwa? Czy długotrwała utrata przychodów z systemu e-commerce nie będzie szkodliwa dla istnienia firmy? Czy usunięcie lub kradzież danych księgowych, umów lub innych wartości niematerialnych lub prawnych przechowywanych w formie cyfrowej, może naruszyć fundamenty firmy?

Podobnych scenariuszy można przytoczyć wiele. Pamiętajmy, że systemy informatyczne są z natury skomplikowane. Ich rozwój jest bardzo dynamiczny a postęp technologiczny dokonuje się właściwie z dnia na dzień. To, co wczoraj uznawaliśmy za bezpieczne już dziś może takie nie być. Dlatego należy ciągle doskonalić system bezpieczeństwa. Najlepszym narzędziem weryfikującym jest techniczny audyt bezpieczeństwa, który można zlecić wyspecjalizowanej firmie. Wtedy okaże się, czy dla dobra własnej organizacji nie powinniśmy pomyśleć o SOC.