Cyberekstraklasa – konieczny kierunek rozwoju
Dzika karta cybersecurity do wzięcia
– okienko transferowe dla firm ochrony otwarte. Kto skorzysta, ten wygra!
Jacek Tyburek
Stosując język organizacji biznesu sportowego, można powiedzieć, że przed agencjami ochrony obecnie otwiera się opcja awansu do cyberekstraklasy. Możliwość taka pojawia się z dwóch powodów. Po pierwsze firmy ochrony poprzez swoich najwyższych rangą menedżerów informują o zmianie w modelu realizacji usług ochrony. Narracja, zgodnie z którą nie ma powrotu do usługi świadczonej głównie przez pracowników ochrony, jest niezwykle atrakcyjna, cieszy się też dużym zainteresowaniem klientów. Po drugie budżety wdrożeń technicznych w firmach ochrony przebijają kolejne, pozornie szklane sufity, a to jest bardzo dobrą wiadomością dla wszystkich.
Firmy technologiczne zarabiają, agencje ochrony również, klienci otrzymują usługę na nowym, zdecydowanie wyższym poziomie. Pozornie powinno być wszystko w najlepszym porządku. Gdzie więc okienko transferowe? Dlaczego ta ekstraklasa miałaby być cyberekstraklasą?
Przeprowadzona analiza usług oferowanych przez firmy ochrony pokazuje wprost, że obecna ich oferta nie zawiera elementu wsparcia swoich klientów w sferze cyberbezpieczeństwa. Gdyby przyjąć założenie, że firma ochrony w sposób świadomy rozbudowuje swoje usługi o działania ochrony przeciw cyberzagrożeniom, kolejnym krokiem powinno być zbudowanie SOC (Security Operation Center) dedykowanego dla swoich klientów kontraktowych lub zupełnie nowych podmiotów w portfelu. Duże firmy ochrony w Polsce, a dotyczy to z pewnością pierwszej dziesiątki o największych przychodach i zasięgach operacyjnych, liczbę klientów liczą w tysiącach. To różnej wielkości firmy komercyjne, podmioty państwowe, samorządowe i z grupy infrastruktury krytycznej kraju. Z tego względu firma posiadająca w swoich strukturach działy lub osoby zajmujące się cyberbezpieczeństwem stanowią bezcenny zasób organizacyjny umożliwiający wejście na ścieżkę rozwoju.
Etap drugi tego rozwoju to niewątpliwie plan zbudowania SOC, które będzie mogło pracować na rzecz swoich klientów, korzystając z obsługi w innych, bardziej klasycznych obszarach bezpieczeństwa. Bardzo dobrą podstawą do zbudowania efektywności operacyjnej i biznesowej takiego SOC jest oferta na konsolidowanie i monitorowanie danych z systemów przedsiębiorstwa, inicjowanie procesów reagowania na incydenty oraz zarządzanie innymi działaniami związanymi z zagrożeniami cybernetycznymi. Naturalne skorzystanie z własnej specjalizacji i przejścia z jej realizacją na inny, wyższy szczebel operacyjny zapewnia harmonijny rozwój nowego obszaru biznesowego.
Security Operation Center, jako struktura rozbudowana, zgodnie z metodologicznymi założeniami musi być strukturą drogą. Zatrudnienie minimum kilkunastu osób, które od początku będą postrzegane jako pozycja kosztowa (do pierwszego udanego dla przestępców cyberataku), często jest barierą nie do przebrnięcia. Dla firmy specjalizującej się we wszystkim, tylko nie w bezpieczeństwie, zbudowanie takiego tworu organizacyjnego będzie bardzo trudne. Z kolei dla firm utrzymujących się z tworzenia produktów bezpieczeństwa wydaje się kierunkiem rozwoju z kategorii koniecznych. Jednoczesne budowanie zadowolenia klienta z usług i pogłębiania zaufania do firmy ochrony jest czynnikiem wzmacniającym przewagę konkurencyjną.
Proces budowy SOC musi przewidywać dwie niezależne od siebie optyki. Optyka potencjalnego klienta to zazwyczaj poszukiwanie zarządzanego SOC. Zarządzany SOC, zwany również SOC as a Service, świadczy wszystkie usługi lub ogranicza się do monitorowania i reagowania na zdarzenia (Managed Detection and Response) przez dostawcę zewnętrznego. Opiera się zwykle na modelu subskrypcji – firma na podstawie zrealizowanych celów uiszcza okresową opłatę za uzgodnioną usługę SOC. Zarządzany SOC zapewnia firmie zespół zewnętrznych ekspertów ds. bezpieczeństwa cybernetycznego zajmujących się monitorowaniem, wykrywaniem i badaniem zagrożeń w całym przedsiębiorstwie.
W niektórych przypadkach usuwaniem wykrytych zagrożeń (łatanie dziur, usuwanie błędów konfiguracyjnych) zajmuje się zewnętrzny zespół bezpieczeństwa, w innych zespół SOC współpracuje z wewnętrznymi zespołami IT nad ich usunięciem. Dzięki zarządzanemu SOC zagrożenia cybernetyczne są monitorowane 24x7x365 bez konieczności dużych inwestycji w oprogramowanie zabezpieczające, sprzęt i ludzi.
Należy się jednak spodziewać, że ten rodzaj SOC, monitorujący głównie incydenty w obszarze systemów bezpieczeństwa budynku (CCTV, kontrola dostępu czy system ppoż.), dla klienta może nie być rozwiązaniem atrakcyjnym. Usługą bardziej pożądaną mogłoby być monitorowanie incydentów w obszarze obiektowego BMS lub innej formule zintegrowanego panelu zarządzania funkcjonalnościami obiektu.
Zdolności operacyjne, jakie powinien posiadać taki SOC w wersji podstawowej, powinny obejmować następujące elementy:
Przyjmowanie i rejestracja zgłoszeń
Przyjmowanie zgłoszeń od użytkowników systemów za pośrednictwem ustalonych kanałów komunikacji. Rejestracja w systemie obsługi zgłoszeń. Wywiad, zebranie i rejestracja informacji nt. zdarzenia czy incydentu.
Monitoring systemów bezpieczeństwa
Stały monitoring systemów bezpieczeństwa pod kątem alertów i wskaźników incydentów. Analiza zaobserwowanych zdarzeń w ramach procesu obsługi incydentów bezpieczeństwa. Rejestracja informacji o wystąpieniu alertu i przebiegu analizy. Informowanie i raportowanie zgodnie z ustalonymi ścieżkami eskalacji.
Analiza i selekcja zdarzeń
Uzupełnienie zgromadzonych artefaktów zdarzeń o informacje kontekstowe. Weryfikacja danych w źródłach TI (Threat Intelligence). Przeszukanie źródeł danych pod kątem zdarzeń powiązanych. Analiza zgromadzonych informacji i selekcja z uwzględnieniem potencjalnych incydentów bezpieczeństwa. Informowanie i raportowanie zgodnie z ustalonymi ścieżkami eskalacji.
Reakcja na incydent
Analiza szczegółów technicznych i przebiegu incydentu. Określenie wpływu incydentu na zasoby i procesy organizacji. Podjęcie działań w celu powstrzymania incydentu i likwidacji zagrożenia w ustalonym zakresie zgodnie z autoryzacją.
Zarządzanie podatnościami
Zarządzanie procesem skanowania podatności. Analiza wyników, określenie ryzyka każdej wykrytej podatności i ustalenie priorytetów postępowania, obsługa procesu zarządzania podatnościami (ewidencja, analiza postępów, eskalacja, raportowanie).
Aktywne wykrywanie zagrożeń
Aktywna analiza zdarzeń z dostępnych źródeł informacji pod kątem wskaźników incydentów.
Analiza i raportowanie zagrożeń
Analiza źródeł informacji TI pod kątem potencjalnych zagrożeń dla organizacji.
Wsparcie zarządzania systemami bezpieczeństwa
Zarządzanie konfiguracją systemów bezpieczeństwa, optymalizacja polityk bezpieczeństwa oraz monitoring wydajności w ustalonym zakresie zgodnie z autoryzacją. Zadaniem jest wyjaśnienie i ukrócenie przypadków nieuczciwości i patologii w organizacjach.
Przez wiele lat również zarządzanie sferą bezpieczeństwa i higieny pracy, określaną z języka angielskiego jako safety, a nie security, stanowiło drugi obszar rozumienia bezpieczeństwa. Tak było do momentu rozwijania się i upowszechniania technologii IT oraz rozpowszechniania metodologii ochrony informacji. Powstawały normy różnych porządków standaryzujących, w tym najbardziej rozpowszechnione normy British Standard oraz ISO.
Sytuacja, gdy IT Security Manager lub obecnie Cybersecurity Manager awansowali w strukturach organizacyjnych, jest stosunkowo nowa. Ostatnie 20 lat to był systematyczny wzrost znaczenia specjalistów zajmujących się bezpieczeństwem biznesu, czyli jego częścią operacyjną. Niektóre firmy podniosły stanowisko kierownika ds. bezpieczeństwa do poziomu wykonawczego, tworząc stanowisko dyrektora ds. bezpieczeństwa (CSO). Chociaż typowa pozycja dyrektora ds. bezpieczeństwa istnieje w korporacyjnej rzeczywistości, są obszary bezpieczeństwa, za które odpowiedzialni będą różni CSO w różnych firmach, zależnie od branży lub sektora oraz tego, jakie rodzaje ryzyka/zagrożeń są postrzegane jako ważne do rozwiązania.
Ważne, aby CSO ściśle współpracował z innymi liderami na szczeblu kierowniczym, takimi jak HR, dział prawny, IT, finanse i poszczególne jednostki biznesowe. Skuteczne ograniczanie zagrożenia bezpieczeństwa organizacji stało się ostatnio sprawą bardziej krytyczną niż kiedykolwiek.
Wiele w tym obszarze zmieniło się od momentu wyłonienia się funkcji specjalisty ds. cybersecurity, której znaczenie w organizacji zaczęło rosnąć. Sam język i znaczenie zmieniły swoje pierwotne rozumienie. Obszar bezpieczeństwa w organizacjach zaczął być utożsamiany właśnie z bezpieczeństwem danych i IT, a nie z trudnym do jednoznacznego zdefiniowania bezpieczeństwem operacyjnym. Dynamicznie rozwijający się rynek pracy w specjalizacjach związanych z bezpieczeństwem sieci i danych spowodował, że 8 na 10 ofert pracy ze słowem „security” to obecnie oferty dla specjalistów cybersecurity lub w skrajnych przypadkach specjalistów ds. bezpieczeństwa aplikacji lub sieci.
Sukcesywne przenikanie się obszarów bezpieczeństwa tradycyjnego z bezpieczeństwem w rozumieniu prawnym, cybersecurity i operacyjnym wymaga ogromnej ilości danych zarządczych i narzędzi do efektywnego zarządzania strefą bezpieczeństwa. Jednocześnie sytuacja stałego narażenia biznesu na realne ataki cyberprzestępców wymaga skutecznego działania adekwatnego do czasu.
Tradycyjnym security menedżerom coraz trudniej nadążać kompetencyjnie za wymogami dynamicznie zmieniającego się ryzyka, czego efektem jest obniżenie rangi Security Managera w strukturze organizacyjnej. Miejsce logiki zarządzania bezpieczeństwem biznesu zajmuje perspektywa cyberbezpieczeństwa. Obszar cyberbezpieczeństwa metodologicznie nie jest jeszcze w pełni ukształtowany, więc można z pełną odpowiedzialnością mówić o stanie przejściowym w sferze zarządzania bezpieczeństwem biznesu. Dodatkowym elementem, który znacznie utrudnia realizowanie przemyślanej kompleksowej polityki bezpieczeństwa organizacji jest brak wystarczającej liczby wykwalifikowanej kadry cyberspecjalistów.
Dlatego pojawia się szansa dla firm ochrony osób i mienia, które często dysponują ogromnymi zasobami ludzkimi, wykształconymi strukturami handlowymi i siecią relacji biznesowych we wszystkich sferach gospodarki. Agencje ochrony już dzisiaj mają bazę do rozwoju usług bezpieczeństwa wykraczających poza typowe usługi ochrony fizycznej. Coraz szersze oczekiwanie klientów na monitorowanie różnego typu technologicznych systemów kontrolnych i bezpieczeństwa wzmagają apetyt na nowe rozwiązania. Zintegrowane (hybrydowe) centra mają tę zaletę, że wykonują usługi na rzecz wielu klientów, dzięki czemu są efektywne kosztowo. Z reguły nie świadczą żadnych usług, które można zakwalifikować jako związane z cyberbezpieczeństwem – nawet w odniesieniu do urządzeń i systemów pracujących w formule IoT, które monitorująca firma sama instalowała u klienta.
Liczne przykłady z dużych organizacji biznesowych, zwłaszcza firm przemysłowych (produkcyjnych), logistycznych i z obszaru infrastruktury krytycznej kraju, wskazują na tworzenie osobno przez różne służby silosowo zorganizowanych struktur interwencyjnych. Tak więc korporacyjna (zakładowa) straż pożarna posiada własne służby ratunkowe, z własnym wydzielonym centrum zarządzania operacjami oraz dyspozytornią. Podobnie zorganizowane są służby security posiadające własne pomieszczenia monitoringu wizyjnego, czasem połączone z monitoringiem GPS. Także zakładowe służby medyczne, których personel pełniący dyżury odbiera powiadomienia o zdarzeniach. Firmowe służby medyczne lub paramedyczne współpracują często ze strukturami BHP. Do tej wyliczanki służb i stanowisk zarządczych dochodzą specjaliści od utrzymania budynków oraz utrzymania technicznego obiektów. Na końcu dochodzimy do SOC, które, jeśli istnieje, jest dziełem i dumą działów IT.
Definicja hybrydowego SOC mówi, że jest połączeniem zasobów wewnętrznych z zewnętrznymi. Wyznaczona osoba (lub kilka osób) w firmie jest odpowiedzialna za bieżące operacje SOC, a w razie potrzeby angażuje się dzielących też inne obowiązki członków zespołów, a także strony trzecie. Jeśli organizacja nie może działać w trybie 24x7x365, powstałe luki mogą być pokryte przez kilku dostawców usług bezpieczeństwa, co daje w efekcie hybrydowy model SOC. Dostawcy ci mogą świadczyć pełne usługi bezpieczeństwa MSSP (Managed Security Services Provider) lub ograniczać się do wykrywania zagrożeń MDR (Managed Detection Risks) i reagowania na nie, wykorzystując zewnętrzną platformę obsługi incydentów SIEM (Security Information and Event Management). Hybrydowy model funkcjonowania SOC pozwala zredukować koszty. Jest stosowany nie tylko w małych i średnich przedsiębiorstwach współpracujących w szerokim zakresie z firmami zewnętrznymi, ale także w większych organizacjach i dojrzałych SOC, które mogą selektywnie zlecać pewne usługi bezpieczeństwa na zewnątrz.
Model hybrydowy jest również stosowany jako rozwiązanie tymczasowe przez organizacje, które chcą budować kompetencje wewnętrzne (podwykonawstwo insourcingowe), ale:
- muszą natychmiast rozwiązać problem,
- mają ograniczone kompetencje, aby od razu stać się autonomiczne,
- chcą wykorzystać dostawcę usług bezpieczeństwa do transferu wiedzy i ciągłego rozwoju.
Motorem przyjęcia takiego modelu są braki w dostępności specjalistycznej wiedzy, ogólne ograniczenia budżetowe i znaczne koszty całodobowych operacji bezpieczeństwa.
Duża i rozwinięta produktowo agencja ochrony ma wszelkie zasoby, by utworzyć swoisty Hybrid SOC dla swoich klientów, którzy mogliby korzystać z istniejących zaawansowanych rozwiązań zarówno w modelu stałego abonamentu, jak i podejścia projektowego na czas zgodny z okresem życia projektu. Z powyższego opisu wyłania się realny obraz, dobrze znany w wielu dużych organizacjach. Próba znalezienia wspólnego mianownika dla wszystkich działań wspierających podstawowe działania przedsiębiorstwa prawdopodobnie początkowo napotka opór twórców pierwotnych rozwiązań. Niemniej znane są przypadki podejmowania próby integracji wymienionych służb. W takiej sytuacji problemem może być pokonanie uprzedzeń ich twórców, aby stworzyć bardziej zintegrowaną strukturę pracującą w modelu synergii sił i środków organizacyjnych i technologicznych. Drugą przeszkodą są te technologie, które zazwyczaj należałoby zastąpić nowymi przy nowym modelu działania.
To bardzo poważny koszt, który wiąże się z podróżą w nieznane. Obecnie znany jest kierunek tej podróży – jej celem jest gromadzenie jak największej ilości przydatnych danych i przekazywanie konkluzji z ich analizy do zarządów przedsiębiorstw. Dlatego same centra monitoringu, SOC czy innego rodzaju rozproszone stanowiska zarządcze służbami w coraz mniejszym stopniu odpowiadają na potrzeby biznesu. Konieczne jest tworzenie swoistych „control tower”. Struktury takie, działające w reżimie odpowiedzialnego korzystania z narzędzi technologicznych w sposób bezpieczny z punktu widzenia cyberbezpieczeństwa, powstają pod hasłem hybrydowych SOC.
Konieczne jest przywołanie standardów korporacyjnych, które z reguły ubierały w ramy organizacyjne działanie w tym obszarze. W erze big data funkcjonujemy przy całkowicie nowych wymaganiach. Zadaniem naczelnym jest informacyjne wyprzedzanie materializacji ryzyka tak, by organizacje unikały strat. Coraz trudniej je spełnić, trzeba korzystać z wyspecjalizowanych usług lub budowy własnych, ale niezwykle kosztownych rozwiązań. Przy każdej analizie ryzyka zawsze rozważa się aspekt zarządzania odpowiedzialnością za powodzenie działań.
Przed agencjami ochrony, które swoje działania coraz odważniej opierają na technologiach teleinformatycznych, stoją dziś trudne zadania. Sprzedając klientowi produkt materialny lub usługę, muszą brać pod uwagę wszystkie aspekty jakościowe i bezpieczeństwa, posiadać pełną wiedzę na temat ich podatności. Czy zaproponowanie rozwiązania z wadami technologicznymi lub podatnościami na skuteczne ataki cyberprzestępców stanowi odpowiedzialność producenta technologii, czy dystrybutora handlowego koordynującego sprzedaż i wdrożenie? Nawet jeśli umowy są skonstruowane w sposób korzystny dla producenta rozwiązania lub jego dystrybutora, to ciągle pozostaje sfera konfliktu z klientem w sytuacji kryzysowej i utrata wizerunku.
Znacznie poważniejsze konsekwencje spotykają stronę zaatakowaną. Obecnie funkcjonujące centra monitoringu alarmów, centra monitoringu wizyjnego i monitoringi GPS znacznie rozszerzają swoje pole działania. Wolumeny przychodów ze sprzedaży systemów bezpieczeństwa (elektroniczne wraz z oprogramowaniem) rosną wykładniczo rok do roku. To oczywiście bardzo dobra wiadomość. Gorzej, że rośnie również ryzyko pośredniczenia w sprzedaży rozwiązań security z dużymi podatnościami na cyberataki.
Jednak siła, zasięg, zasoby organizacyjne i możliwości finansowe sprawiają, że firmy ochrony – przynajmniej te największe, z tzw. pierwszej piątki w Polsce – stoją w obliczu okna transferowego do ekstraklasy nowoczesnych firm posiadających zasoby organizacyjne i technologiczne, by wypełnić lukę na rynku.
|