Janusz Syrówka
innogy Polska
Aby biznes mógł się rozwijać zgodnie z oczekiwaniami, wymaga wielu czynników, wśród których istotny jest poziom bezpieczeństwa. Bezpieczeństwo jest dla biznesu niezbędne, a jednocześnie niezauważalne.
Dotychczas w naszym kręgu kulturowym i geograficznym było na tyle bezpiecznie, że nie trzeba było o tym myśleć, a co dopiero w to inwestować. Te czasy jednak właśnie minęły. Musimy przyjąć, że problemy już tu są i zagrażają nam niemal z każdej strony. Mechanizmy rynkowe powodują, że dobra deficytowe są w cenie. W niepewnych czasach towar o nazwie „bezpieczeństwo” staje się coraz trudniej dostępny.
Cyberbezpieczeństwo
Ostatnio odmieniane przez wszystkie przypadki – konferencje o cyberbezpieczeństwie, spotkania, szkolenia. Zaangażowanie władz i informacje medialne o atakach hakerskich świadczą, że coś jest na rzeczy. Co konkretnie? Zostawmy zmagania wielkich graczy, ataki na elektrownie, wyłączanie prądu w całym kraju czy kradzieże technologii wojskowych. W to są zaangażowane państwa ze swoimi specsłużbami. Skupmy się na funkcjonowaniu biznesu.
To nie przestępczość cyfrowa jest nowym zjawiskiem. Nowym zjawiskiem jest zmiana stylu naszego życia. Nawet nie zauważyliśmy, kiedy zostaliśmy podłączeni cyfrowym łączem do sieci wzajemnych powiązań. Przestępcy z tego korzystają, a uczciwi ludzie w obliczu zagrożenia cyberprzestępczością muszą zmienić swoje obyczaje.
Czytałem kiedyś fascynujący artykuł o „wojnie” między włamywaczami a producentami kas pancernych i zamków w XIX-wiecznej Anglii. Współcześni odbierali to jako wyścig nowoczesnych technologii. Dzisiaj z tamtej kasiarskiej technologii możemy się śmiać, jednak schodząc do poziomu motywacji: jednej strona chce ukraść pieniądze, druga – nie dać się okraść. Dawniej było jednak o tyle łatwiej, że z sejfem złodziej musiał się zmierzyć fizycznie. Dziś nawet środki na koncie są wirtualne…
Cokolwiek zrobimy w zakresie cyberbezpieczeństwa, musimy pamiętać o prawdziwych motywacjach. A te są tak stare, jak ludzkość. Musimy, rzecz jasna, nadążać z zabezpieczeniami technicznymi, trzeba jednak pamiętać, że atakuje człowiek. Nadal obowiązuje też zasada, że jeśli sejf jest zbyt mocny, to zaatakowane zostanie najsłabsze ogniwo – człowiek, który trzyma do niego klucz.
Przed odpowiedzialnymi za bezpieczeństwo IT stoi dziś karkołomne wyzwanie połączenia ognia z wodą. Z jednej strony mamy wolność, swobodę, elastyczność i efektywność korzystania z najnowszych technologii – zdalna praca, rozwiązania chmurowe czy Internet Rzeczy to zupełnie nowa jakość prowadzenia biznesu. Z drugiej – zasady bezpieczeństwa stają temu na drodze: reguły bezpieczeństwa ograniczają korzystanie z wielu opcji. Wszystko to przyprawia brzydką „gębę” idei bezpieczeństwa. Jedno jest pewne – zamykanie w dyby reguł bezpieczeństwa jest skazane na porażkę. Należy kierować się zdrowym rozsądkiem i uświadamiać innych.
Problemem jest zmiana sposobu myślenia o cyberbezpieczeństwie. To pojęcie nie jest wirtualne, ale jak najbardziej realne. Potrzebne jest kompleksowe spojrzenie, które pozwoli dostrzec ważny komponent fizyczny. Kwestie systemowe bez fizycznego zabezpieczenia zasobów wirtualnych tracą na znaczeniu. Infekowanie złośliwym oprogramowaniem jest równie groźne jak fizyczna ingerencja w sieć czy sabotaż serwerów bądź destrukcja przechowywanych danych.
Specjaliści dbający o cyberbezpieczeństwo muszą od nowa zdefiniować swoją rolę, rozumieć wymogi przeciwstawiania się wirtualnym zagrożeniom, a jednocześnie szerzej pojmować zagrożenia, także te o charakterze niecyfrowym. Wyzwaniem będzie też umiejętność mówienia o sprawach technologicznych do zwykłych ludzi i przekonywanie do rozwiązań, które nie należą do najbardziej przyjaznych użytkownikom. A to właśnie oni powinni tworzyć odpowiednio skomplikowane hasła, regularnie je zmieniać i stosować różne wersje do różnych zastosowań.
Człowiek vs. maszyna
O przewadze maszyny nad człowiekiem w sektorze bezpieczeństwa dyskutuje się od dawna. Nie ma wątpliwości, że wiele zadań maszyna wykona lepiej: nie męczy się, nie śpi, niczego nie przeoczy. Do niedawna była jednak droższa. Zmiany na rynku pracy i nowe regulacje dot. wynagrodzeń powodują, że dotychczasowe kalkulacje przestają obowiązywać. Tym bardziej jeśli dodać do tego postęp technologiczny i dostępność wielu usprawnień.
Mam wrażenie, że istnieją obecnie dwie bariery dla masowego wspierania pracy człowieka przez systemy. Pierwsza jest natury technicznej i tymczasowa – nikt rozsądny nie wyrzuci, ot tak, posiadanych narzędzi tylko po to, by zastąpić je nowymi. Należy opracować plan rozłożony w czasie, znajdując na ten cel środki – to trudne, ale wykonalne. Druga bariera jest znacznie trudniejsza do pokonania. To brak świadomości, brak wizji, brak wyobraźni… Typowo fordowska sytuacja – nie można ulepszać konia, zamiast budować samochód. Nie chodzi o dosłowne zastępowanie człowieka, istotą jest znalezienie obszarów do zagospodarowania przez maszyny. Pierwsze będą zapewne czynności proste, np. odźwierni, operatorzy szlabanów i inni, którzy dziś są kojarzeni z obszarem bezpieczeństwa. Zmiana ta nie będzie postrzegana jako nowinka technologiczna, lecz konieczność wymuszona przez warunki ekonomiczne.
Stare nowe zagrożenia
Zmieni się także tzw. bezpieczeństwo publiczne. Zagrożenia terrorystyczne są coraz bliżej naszych granic, a niepokoje społeczne o charakterze politycznym czy związane z kryzysem imigracyjnym nie są już wyłącznie rozważaniami teoretycznymi. Powstaje nowy obszar aktywności o bezpieczeństwie biznesu, który musi zapewnić przetrwanie w warunkach niepokoju. Zarządzanie kryzysowe i zapewnienie ciągłości działania przerodzą się w „żywy” proces biznesowy i wyjdą z hibernacji, jakiej je poddano, umieszczając w formie nieczytanych przez nikogo planów w zakurzonych segregatorach.
Do niedawna termin „bezpieczeństwo podróży” wywoływał w naszym kraju uśmiech politowania. Był odbierany jako kreatywna metoda na „wyciśnięcie” z firm kolejnych pieniędzy. Czy dzisiaj można to bagatelizować? Bezpieczeństwo pracowników w podróży służbowej nie jest ekstrawagancją, a dotyczy zarówno prezesa, jak i kierowcy ciężarówki. Okazuje się, że o tym aspekcie trzeba myśleć nie tylko w odniesieniu do podróży do Kabulu, ale także do Berlina…
Co na to biznes?
Bezpieczeństwo biznesu wymaga zdefiniowania na nowo. Powodem nie jest kumulacja nowych zagrożeń, ale sam biznes. Zmiany dokonujące się w strukturach firm niosą wiele konsekwencji, mających ogromny wpływ na bezpieczeństwo. Zmiany te w jakimś stopniu są kreowane przez nowe pokolenie pracowników, które tworzy nowe reguły. Otoczenie biznesu wraz ze swoimi „wrogimi” elementami nie różnicuje firm według sposobu ich zarządzania (tradycyjny czy nowatorski). Organizacja hierarchiczna z mocno sformalizowaną strukturą jest tak samo narażona na zagrożenia jak płaska hierarchicznie i nieformalna organizacja „turkusowa” (bez szefa). Jednak sposoby zapewniania bezpieczeństwa w obu organizacjach będą zupełnie inne.
Odpowiedzialni za bezpieczeństwo biznesu muszą wykształcić cechy, które wcześniej nie były brane pod uwagę. Bycie fachowcem to dziś zdecydowanie za mało. Zamiast dawnego „wdrażania” bezpieczeństwa musi pojawić się coś nowego – „pozyskiwanie” do bezpieczeństwa. Procedura uchwalona przez zarząd i rozesłana z poleceniem stosowania zwyczajnie nie zadziała. Bo jak ma zadziałać, gdy część pracowników jest zatrudniona na umowę o pracę, a część to niezależni eksperci na równorzędnych stanowiskach. Współpracują oni z wieloma firmami, które pozostałych pracowników i usługi pozyskują od dostawców zewnętrznych. Nie zapominajmy też o sporej grupie „wolnych strzelców” angażowanych ad hoc do projektów. Często firma nie ma też stałej siedziby (jedynie biuro współdzielone), a wszyscy funkcjonują na zasadzie home office. Czy to brzmi jak koszmar? To rzeczywistość wymagająca dostosowanych do niej rozwiązań.
Dotychczas dużo mówiło się o działaniu prewencyjnym, że każda złotówka wydana na bezpieczeństwo z pewnością się zwróci. Rzeczywiście, mówiło się dużo, ale niewiele robiło… Dziś świat działa szybciej, a każda luka w murze bezpieczeństwa jest błyskawicznie odkrywana i wykorzystywana.
Doniesienia medialne nie nastrajają optymistycznie. Spokój, jaki panował w naszym regionie jeszcze nie tak dawno, prysnął jak bańka mydlana. Powstały nowe warunki, w których musimy nauczyć się funkcjonować. Tylko od nas zależy, czy życie w „ciekawych czasach” będzie przekleństwem, czy szansą.
Janusz Syrówka
Ekspert ds. corporate security, twórca wdrożeń systemów bezpieczeństwa. Specjalizuje się m.in. w loss prevention, bezp. informacji i procesów operacyjnych, zarządzaniu kryzysowym.
