Wideorelacja z II konferencji Technology Risk Management Forum

John Salomon, FS-ISAC - wystąpienie

Technology Risk Management Forum 2017

W tegorocznej, ponownie zorganizowanej we Wrocławiu w dniach 21 i 22 czerwca 2017 r., drugiej edycji Technology Risk Management Forum – jedynej w Polsce konferencji poświęconej tematyce zarządzania ryzykiem technologicznym i innowacjom w cybersecurity – uczestniczyło łącznie ponad 180 profesjonalistów odpowiedzialnych za zarządzanie ryzykiem technologicznym i bezpieczeństwo informacji w przedsiębiorstwach.

To były intensywne dwa dni spotkań, podczas których odbyło się łącznie 45 sesji w różnych formułach. Była to znakomita okazja do wymiany informacji oraz doświadczeń – podsumował konferencję Łukasz Guździoł, Przewodniczący Rady Programowej Forum.

Bezpieczeństwo powinno stanowić nieodłączną część każdego biznesowego projektu. Wobec stale powiększającego się obszaru zagrożeń i ryzyk technologicznych, wobec coraz szybszego tempa zmian, trzeba zmieniać podejście do zapewnienia bezpieczeństwa. Najważniejsze obecnie wyzwania to bycie na bieżąco ze stale zmieniającymi się metodami cyberataków oraz wykorzystywanie innowacji do zapewnienia bezpieczeństwa i przy zarządzaniu ryzykiem technologicznym.
Automatyzujmy w cyberbezpieczeństwie wszystko co się da – zachęcali eksperci. Zgodnie też podkreślali potrzebę wprowadzania innowacyjnych technologii, wspomagających analizę danych i wykrywanie cyberzagrożeń (takich rozwiązań jak algorytmy sztucznej inteligencji, mechanizmy deep learning itp.), które mogą pomóc m.in. w rozwijaniu predyktywnych technik ochrony. Nadchodzi czas stosowania platform kognitywnych dla centrów zarządzania bezpieczeństwem w sieci, która wspiera analityków w szybszym docieraniu do informacji, których pozyskiwanie do tej pory było pracochłonne. Algorytmy nie zastąpią zupełnie specjalistów IT, ale udoskonalą metody cyberochrony.

Jednocześnie należy pamiętać, że innowacyjne technologie IT wykorzystywane w firmach wywołują też ciągłe zmiany po stronie ryzyk. Dlatego tak ważne jest określanie kontekstów najważniejszych aktualnych i przyszłych zagrożeń stojących przed organizacją, oraz rozpoznawanie kierunków działań zmierzających do poprawy bezpieczeństwa.

Kryminaliści pistolet lub łom obecnie coraz częściej zastępują klawiaturą komputerową, mówił obecny na sali przedstawiciel organów ścigania, zaznaczając, że policja nie zastąpi fachowością zespołów specjalistów IT. Cyberprzestępczość ma transgraniczny charakter, a w grupach przestępczych korzystających najczęściej z gotowych narzędzi również rządzą prawa ekonomii. Rozpoznanie profilu atakującego pozwoli przewidzieć potencjalne scenariusze jego działania, skalę możliwych zagrożeń oraz ułatwi dobranie adekwatnych środków obrony.

Najprostsze błędy i luki w systemach ochrony to 90 proc. skutecznych naruszeń bezpieczeństwa, włamań i infekcji. Przy zarządzaniu podatnościami największym problemem jest skala: rocznie średnio wykrywanych jest 7 tys. podatności. W kontekście powstawania nowych, złożonych środowisk, takich jak Internet Rzeczy – za niezbędne wskazywano wprowadzanie odpowiednich regulacji przygotowywanych przy współpracy ustawodawców i różnych podmiotów. Walka z cyberprzestępczością wymaga współpracy, wymiany informacji i edukacji. Zaufanie pozostaje najcenniejszą walutą. Nie można dopuścić, do jego utraty.

Technology Risk Management Forum 2017 w liczbach

  • 30 prelegentów
  • 45 sesji ogółem
  • 2 sesje plenarne
  • 2 ścieżki równoległych sesji tematycznych
  • 2 panele dyskusyjne
  • 15 sesji roundtables
  • 3 równoległe warsztaty

Wśród uczestników konferencji byli:

  • CISO/CSO;
  • audytorzy bezpieczeństwa IT;
  • eksperci bezpieczeństwa informacji;
  • menedżerowie i specjaliści z działów zarządzania ryzykiem;
  • eksperci odpowiedzialni za zarządzanie kryzysowe i ciągłość działania;
  • audytorzy i eksperci IT Governance.

Dzielenie się wiedzą w obszarze cyberbezpieczeństwa
John Salomon, Director for continental Europe, the Middle East, and Africa, Financial Services Information Sharing and Analysis Center (FS-ISAC)

Walka z cyberprzestępczością wymaga ścisłej współpracy między rządowymi regulatorami a środowiskami i partnerami krajowymi i międzynarodowymi. Niezbędna jest wymiana informacji i edukacja, warto sięgać po narzędzia automatyzujące wymianę informacji.

Artificial Intelligence w Cyber Security
Justin Grant, Strategy Director – Managed Security Services, IBM Security

Systemy kognitywne, takie jak IBM Watson, znacząco pomogą w analizie cyberzagrożeń. Nie zastąpią ludzi, lecz wspomogą ekspertów ds. bezpieczeństwa w szybszym docieraniu do informacji, których pozyskiwanie do tej pory było pracochłonne. Niedawno przeprowadzone przez IBM badanie pokazuje, że obecnie zaledwie 7 proc. specjalistów korzysta w swojej pracy z narzędzi kognitywnych, jednak w najbliższych 2-3 latach ta liczba może wzrosnąć nawet trzykrotnie.

Dyskusja panelowa 1: Poznać wroga

Marcin Ludwiszewski, Dyrektor Cyber Risk Services, Deloitte

Znajomość profili atakujących pozwoli przewidywać scenariusze ich działań, lepiej ocenić skalę zagrożeń oraz dobrać adekwatne środki obronne.

mł. insp. Ryszard Piotrowski, biegły sądowy

Tradycyjne narzędzia w rękach przestępców – takie jak łom czy pistolet – odchodzą już do lamusa, zastępuje je komputerowa klawiatura. Cyberprzestępczość ma transgraniczny charakter, a w grupach przestępczych również rządzą prawa ekonomii – starają się oni atakować jak najmniejszym własnym kosztem, sięgając głównie po dostępne online, gotowe narzędzia do przeprowadzania ataków. Zazwyczaj oceniają, czy potencjalne korzyści istotnie przewyższą konieczne nakłady.

Dyskusja panelowa 2: Wokół skutecznych odpowiedzi na szybkie zmiany w obszarze ryzyk technologicznych

Łukasz Guździoł, Vice President, Head of CISO CD Poland, Credit Suisse/TRISW/ISSA Polska

Samoprowadzące auta czy lodówki to kolejne komputery podłączone do Sieci w ramach systemów IoT. Będą one wymagały szczególnych zabezpieczeń, jako że wiele z nich ma bezpośredni wpływ na nasze życie, zdrowie I bezpieczeństwo. Wobec ogromnego ryzyka technologicznego jakie stwarza Internet Rzeczy, obok konieczności testowania i regularnego patchowania systemów IoT niezbędne będą specjalne regulacje, w także sektorowe.

Kirsten Mycroft, Chief Privacy Officer, BNY Mellon

Ryzyko stanowi nieodłączną część innowacji, a sposoby i narzędzia na jego ograniczanie powinny być uwzględniane w budżetach.

Jacek Skorupka, Regional Information Risk Manager, Coca-Cola Services

Wszechobecność urządzeń działających w ramach IoT sprawi, że łatwiej nas będzie szpiegować czy zostać celem cyberataku. Wymusi to zmianę myślenia o bezpieczeństwie, o które szczególnie będą musieli zadbać producenci urządzeń IoT. Na przykład, dokonując w ASO przeglądu serwisowego naszego samoprowadzącego auta podłączonego do Sieci trzeba będzie również zadbać o software pojazdu, jego aktualizację i załatanie luk. Remedium na złożoność współczesnych systemów jest automatyzacja, konsolidacja oraz integrowanie procesów i polityk ochrony. Wszelkie regulacje generalnie pomagają organizacjom w robieniu tego, co należy – ułatwiają monitoring i kontrolę przepływu danych, szczególnie tych wrażliwych.

Aleksander Ludynia, Senior Manager – Advanced Security Center, EY

Nigdy nie zapominajmy o stosowaniu podstawowych zasad i środków ochrony. Bezpieczeństwo musi stanowić integralną część każdego biznesowego przedsięwzięcia już na etapie jego projektowania.

Andrzej Piotr Kleśnicki, Technical Account Manager, Qualys

Codziennie są wykrywane nowe podatności (rocznie średnio 7 tys.), które są wykorzystywane do przeprowadzania skutecznych ataków. Co najczęściej nie działa w systemach zarządzania podatnościami? Problemem jest skala – trudno łatać  tak dużą ilość luk. Niedostateczna widoczność zasobów powoduje problemy z wykrywaniem słabych punktów. Ponadto, szwankuje komunikacja wewnętrzna w organizacjach, stosowana jest niewłaściwa priortytetyzacja patchowania, brakuje skonsolidowanej ochrony danych, patching dokonywany jest ad hoc oraz wykorzystuje się niewłaściwe narzędzia. Co można zrobić lepiej w zakresie zarządzania podatnościami? Ważne jest zachowywanie ciągłości, zastosowanie automatyzacji, uwzględnienie skalowalności i elastyczności. Podatności należy umieszczać w kontekstach zagrożeń.

Fabian Kienle, Manager, Distribution CH-AT-EE, Citrix Systems GmbH

Wielu dostawców chmury kładzie większy nacisk na funkcjonalności i ceny, zamiast na bezpieczeństwo – a to zaufanie jest najcenniejszą walutą w chmurowym biznesie. Może ono zostać łatwo utracone, jeżeli pozwolimy, żeby pokonali nas hakerzy. Eksperci Citrix zalecają orkiestrację i agregację różnego rodzaju chmur, czyli podejście określane jako Multicloud computing. Pozwala to w ramach tzw. cloudyzacji (uchmurawiania) jego infrastruktury – na decydowanie przez klienta, gdzie mają być przechowywane różne jego zasoby. Najważniejszą rolę w multicloud computingu pełni specjalizowane oprogramowanie służące do sterowania całością systemu. Wspomagają go rozwiązania równoważące obciążenia i pomagające m.in. dobierać optymalne łącza w ramach jednej sesji.

 

Dane czy mądrość
Przemysław Skowron, Lider zespołu Threat Intelligence, White Cat Security

Threat intelligence to mądrość polegająca na umiejętności wyciągania wniosków z danych. Pozwala zachować inicjatywę strategiczną i przygotować się do odpierania ataków na bazie incydentów znanych (historycznych), aktualnie trwających oraz tych przyszłych (przewidywanych).

Quo vadis Malware,  czyli trendy w złośliwym oprogramowaniu
Kacper Szurek, Detection Engineer, ESET

W przeszłości najpopularniejszym narzędziem ataków były wykonywalne pliki exe, obecnie zastępują je kody javascript, pliki doc i pdf ze złośliwymi makrami zawierającymi exploity. Inne stosowane obecnie techniki to m.in.: podmiany serwerów proxy, phishing poprzez wykorzystywanie wszystkiego co popularne (np. program 500+), ataki na sieci społecznościowe czy przejmowanie tokenów do kont.

Atak z użyciem serwera KNF
Mariusz Burdach, Wiceprezes Zarządu oraz Artur Maj, CEO / Information Security Professional, Prevenity

Atak na banki i inne instytucje finansowe w Polsce przeprowadzony w pierwszych miesiącach br. przy użyciu serwera KNF nie był specjalnie złożony. Dopuszczenie do niego to wynik zaniedbań polegających na braku aktualnych poprawek bezpieczeństwa w systemach ochrony. Systemy SIEM nie pomogły, ponieważ nie zostały zdefiniowane reguły przeciwdziałań atakom.

John Salomon, FS-ISAC - wywiad

Fabian Kienle, Citrix - wywiad