Nie ma algorytmu na hybrydowy model działania w CyberSec

Przeczytasz w 5 min

Piotr Kalbarczyk, dyrektor departamentu cyberbezpieczeństwa PKO Banku Polskiego, w którym od 10 lat kieruje zespołem odpowiedzialnym za wdrażanie standardów i systemów cyberbezpieczeństwa, monitorowanie cyberbezpieczeństwa banku, przeciwdziałanie cyberatakom i zarządzanie incydentami. Odpowiada za przygotowanie i wdrożenie strategii cyberbezpieczeństwa. Jest też m.in. członkiem Prezydium Komitetu Cyberbezpieczeństwa Banków w Związku Banków Polskich. 

FOTO: Piotr Kalbarczyk, dyrektor departamentu cyberbezpieczeństwa PKO Banku Polskiego / Archiwum

W kwietniu 2022 roku był gościem spotkania CXO HUB CyberSec Chapter, podczas którego dyskutowaliśmy o modelu usługowym w cyberbezpieczeństwie. Wywiad przeprowadziliśmy na żywo, podczas spotkania z ponad 60 osobową publicznością.

Szymon Augustyniak: Wychodzimy w naszej dyskusji z założenia, że na skutek wzrostu złożoności i skali zagrożeń spada ogólna zdolność departamentów cyberbezpieczeństwa w firmach do jednoczesnego podejmowania nowych wyzwań i obsługi dotychczasowych zadań. Próbą rozwiązania tego problemu jest zgoda na hybrydyzację, czyli realizację zadań przez departamenty cyberbezpieczeństwa w firmach oraz zewnętrznego dostawcę usług. Czy Pana zdaniem taka ocena sytuacji jest prawdziwa? Czy propozycje rozwiązania istniejących problemów  są poprawne na poziomie całego rynku, a zatem także  dla sektora bankowego? I co może wpływać na podejmowanie decyzji w tym zakresie?

Moim zdaniem, na poziomie ogólnym taka ocena jest słuszna, przy czym liczba czynników wpływających na możliwość realizacji zadań przez departamenty cyberbezpieczeństwa jest duża. Czynniki te są związane z rosnącą liczbą zagrożeń i koniecznością mitygacji ryzyka związanego z nimi.

Co wpływa na wzrost zagrożeń? Wzrost ten związany jest m.in. ze zmianą struktury naszych adwersarzy, wykorzystywanymi przez nich scenariuszami ataków. A także, a może przede wszystkim, zbyt szybkimi zmianami stosowanych rozwiązań technologicznych wspierających prowadzenie biznesu.  Z punktu widzenia cyberbezpieczeństwa każde nowe rozwiązanie generuje specyficzny dla siebie profil ryzyka i musi zostać odpowiednio zabezpieczone. Do tego potrzebni są wyszkoleni specjaliści oraz nowe rozwiązania technologiczne. I tutaj pojawia się następny czynnik, czyli brak odpowiednio przygotowanych (zwiększonych) zasobów  ludzkich i technologicznych. To negatywnie wpływa na możliwość obsługi zadań bieżących i nowych wyzwań.

Rozwiązaniem tego problemu może być hybrydyzacja sposobu realizacji zadań związanych z cyberbezpieczeństwem. Przy czym  akceptacja takiego rozwiązania musi zależeć od spełnienia warunków brzegowych, a przede wszystkim kontekstowego charakteru bezpieczeństwa. Każda organizacja działa inaczej. Obsługuje różne procesy, wykorzystuje różne narzędzia i systemy, dotyczą jej różnorodne regulacje prawne, stosuje także własne przepisy. Zespół usługodawcy musi, zatem, posiadać odpowiednią wiedzę i doświadczenie umożliwiające mu identyfikację tych różnic i dopasowanie oferowanych cyberusług do kontekstu danego klienta. Stopień dojrzałości cyberusług oraz duża liczba czynników wpływających na ich zakres i złożoność stanowią dla potencjalnych usługodawców spore wyzwanie. Niestety, moim zdaniem, zarówno zakres jak i poziom świadczonych cyberusług nie zawsze odpowiada oczekiwaniom firm, zwłaszcza tych posiadających rozwinięte departamenty cyberbezpieczeństwa.

Patrząc od strony usługobiorcy, szczególnie takiego, który reprezentuje sektor bankowy sytuacja jest jeszcze bardziej złożona. To na co musimy zwracać szczególną uwagę to spełnienie wymagań regulacyjnych. Zasada jest taka, możemy pewne procesy outsoursować ale i tak jesteśmy za nie odpowiedzialni i musimy nimi zarządzać. Oznacza to, że departamenty cyberbezpieczeństwa muszą – po pierwsze – posiadać kompetencje pozwalające na zarządzanie cyberusługami, po drugie móc dokumentować proces realizacji tych usług.

Outsourcing nie jest zjawiskiem nowym, usługobiorcy dobrze znają negatywne zjawiska z nim związane. Takim zjawiskiem, którego nie można lekceważyć jest erozja zespołu. Przeniesienie kompetencji poza firmę może doprowadzić do tego, że wewnętrzne zespoły będą stopniowo koncentrowały się wyłącznie na zbieraniu i ocenianiu raportów. Specjaliści zajmujący się rozwojem systemów cyberbezpieczeństwa czy pracą operacyjną poszukają wyzwań gdzie indziej. Organizacja straci bardzo cenne zasoby, które poza wiedzą merytoryczną posiadają istotną wiedzę z zakresu jej funkcjonowania oraz które pozwoliłyby na zapewnienie ciągłości działania w przypadku przerwania świadczenia cyberusług przez firmę zewnętrzną.

Następna bardzo istotna kwestia dotyczy kosztów, jakie firmy będą musiały ponieść na świadczenie usług przez zewnętrznych usługodawców i zarządzanie nimi. Pytanie czy kupując usługę i utrzymując aparat monitowania i zarządzania nią będzie się to firmom opłacało?

Ten najbardziej pesymistyczny scenariuszu zakłada, że dział cyberbezpieczeństwa pozostanie tylko administracją?

Trudno nie dostrzec, że w departamentach cyberbezpieczeństwa w Polsce jest kilkadziesiąt tysięcy nieobsadzonych etatów. W momencie, kiedy pracę na konkurencyjnych warunkach zaproponują nowi gracze (usługodawcy), może nastąpić odpływ pracowników z firmowych departamentów. Ale nikt nie dopuści – jak sądzę – do tego, aby w 100% przenieść cyberbezpieczeństwo do zewnętrznego dostawcy; niemożliwa byłaby bowiem nawet sama ocena takiej usługi. To byłoby tak naprawdę całkowite usunięcie wiedzy i kompetencji z firm. Nastałyby absolutne rządy usługodawców. Wątpię, aby ktokolwiek podjął takie ryzyko.

Z perspektywy lat i doświadczeń z outsourcingiem mogę stwierdzić, że to zawsze – nie wyłączając obszaru technologii – wymagało bardzo dużej uważności i gotowości do reakcji. W przypadku outsourcingu cyberbezpieczeństwa, dotyczy to dodatkowo obszaru, który obecnie ma ogromny  wpływ na kwestie dotyczące rozwoju firm. Zatem nie można pozbawić się sprawczości w tym zakresie. Trzeba zachować wiedzę. Jeśli nie będzie kompetencji do oceny wartości rozwiązania czy usługi, to ich dostawcy będą konkurować tylko w jednym aspekcie – ceny. Bo kto miałby ocenić zalety rozwiązań merytorycznych?

Nie widzi więc Pan zbyt wiele miejsca na usługi bezpieczeństwa w bardziej dojrzałych sektorach?

Popyt z pewnością będzie, problem możemy mieć z podażą. Specyficzne, „bankowe” bezpieczeństwo mamy naprawdę dojrzałe i zahartowane w boju. Oczywiście są obszary, gdzie już dzisiaj korzystamy ze wsparcia zewnętrznego np. usług Threat Intelligence czy też przeciwdziałania atakom DDoS. Każda decyzja, w tym zakresie, wymaga dogłębnej analizy, w szczególności ryzyka i wykazania korzyści jakie przyniesie outsourcing.

Generatorem popytu na usługi cyberbezpieczeństwa będą nie tylko rosnące zagrożenia ale również rosnące wymagania regulacyjne. Wszyscy oczekujemy na nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa, pojawił się projekt dyrektywy unijnej NIS2. Kierunki zmian, które obserwujemy wskazują na wzrost liczby operatorów usług kluczowych jak również dostawców usług cyfrowych. Wszystkie te podmioty będą ustawowo zobligowane do zapewnienia odpowiedniego poziomu bezpieczeństwa. Niezależnie od tego czy będą to robiły same, czy wykorzystają zewnętrznych dostawców usług w tym zakresie będzie to miało wpływ na wzrost zapotrzebowania na specjalistów cyberbezpieczeństwa i zwiększenie ich deficytu na rynku pracy. Biorąc to pod uwagę oraz dodając ekonomiczny aspekt związany z przygotowaniem kompleksowej usługi uważam, że próg wejścia na rynek usług cyberbezpieczeństwa jest bardzo wysoki. I to może mieć kluczowe znaczenie dla dostępności usług cyberbezpieczeństwa.

Bardziej realny byłby miks, hybryda CyberSec, którą jak rozumiem Pan dopuszcza. Jak można by wyobrazić sobie, i w jakich relacjach, taki miks zewnętrznych i wewnętrznych zasobów bezpieczeństwa? Jak ustalić właściwą proporcję?

Żeby właściwe ocenić możliwość skorzystania z usług cyberbezpieczeństwa trzeba najpierw wiedzieć  co chcemy outsoursować, czyli mieć dobrze udokumentowane procesy wewnątrz firmy. Niestety dla wielu firm w Polsce kluczowym problemem wciąż jest sama organizacja, przestarzałe modele zarządzania. A za tym idzie  brak lub słaba jakość dokumentacji procesów. Porównując sytuację polskich firm do bardziej dojrzałych organizacji zachodnich widzimy,  że przez ostatnie 30 lat udało się nam wykonać olbrzymi skok technologiczny. W wielu przypadkach jesteśmy bardziej innowacyjni i bardziej zwinni niż nasi zachodni odpowiednicy.

Natomiast to co negatywnie wpływa na nasze możliwości to kwestie organizacyjne. Patrząc na standardy bezpieczeństwa widzimy, że opierają się one na procesach. Nowe usługi cyfrowe i możliwość ich szybkiej implementacji też bazują na założeniu dopasowania ich do istniejących procesów. Gdy ich brakuje musimy niestety poświęcić znacznie więcej czasu na dostosowanie firmy do nowych modeli funkcjonowania, w tym hybrydyzacji.

Co do proporcji – trudno z góry taki wskaźnik outsourcowanych procesów ustalić. Moim zdaniem w chwili obecnej to co firmy chcą przekazać na zewnątrz zależy przede wszystkim od dwóch czynników. Po pierwsze znaczenia – krytyczności ousourcowanego procesu dla funkcjonowania organizacji, po drugie kosztów związanych z outsourcingiem. Łatwiej nam przekazać do obsługi procesy, które wymagają posiadania specyficznych, rozbudowanych zasobów, są kosztowne i jednocześnie nie zawierają specyficznej dla organizacji wiedzy. Zatem są to procesy, które relatywnie łatwo outsoursować  i w razie konieczności zmieniać dostawcę usługi.

W kontekście pojawienia się na dobre modelu usługowego w cyberbezpieczeństwie, stajemy więc przed większymi wyzwaniami. Są one egzaminem dojrzałości organizacyjnej jako takiej, bo dotyczą procesów, kultury, relacji cyberbezpieczeństwa w firmie?

Tak, zarówno dla firm, które będą rozważały wykorzystanie modelu hybrydowego jak i dostawców usług będzie to wyzwanie. Z punktu widzenia firm, nawet jeżeli nadążają one z zagadnieniami technologicznymi, mogą pojawić się problemy w innych fundamentalnych warstwach organizacyjnych i kulturowych. Problemy, których rozwiązanie będzie wymagało czasu i zaangażowania zasobów. Żyjemy w czasach bardzo dynamicznych zmian. Być może wszędzie tam gdzie będą powstawały nowe procesy firmy będą decydowały się na skorzystanie z gotowych rozwiązań jakimi mogą być usługi zewnętrzne.

Czy to będzie ten sam poziom jakości, co dziś? Trudno powiedzieć. Sądzę jednak, że będzie musiało upłynąć trochę czasu, zanim usługodawcy będą w stanie świadczyć usługi na takim poziomie, który np. my realizujemy obecnie w banku.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Przeczytaj też:

Dziś tam gdzie jest cyfrowe terra incognita są członkowie CXOHUB, którzy są pionierami cyfryzacji, transformacji do nowej gospodarki (new normal).

Zapraszam do udziału,
Szymon Augustyniak

Misja, wizja i wartości CXO HUB

  • CXO HUB powstało, aby zgromadzić najlepszych menedżerów i ekspertów w zakresie szeroko pojętej cyfrowej zmiany.
  • Misją społeczności CXO HUB jest promowanie wiedzy oraz sylwetek jej członków na arenie polskiej oraz międzynarodowej.
  • Społeczność CXO HUB stanie się widoczną, słyszalną siłą w dyskursie o przyszłości i standardach w zakresie zastosowań nowych technologii.

Zdobywaj kontakty, buduj relacje

CXO HUB:

  • wspiera budowę wizerunku merytorycznej i doświadczonej firmy
  • zapewnia oryginalne, inteligentne formaty budowania relacji
  • tworzy zaangażowaną i aktywną społeczność
  • buduje i dystrybuuje unikalny content dla publiczności
  • zapewnia przestrzeń do budowy kontaktu, relacji i wpływu

Dołącz do nas!

Formuła CXO HUB jest etyczna w wymiarze moralnym, obiektywna w wymiarze poznawczym oraz neutralna w wymiarze relacji z rynkiem. Dołącz do społeczności

 

Dla kogo jest CXO HUB:

  • CIO polskich przedsiębiorstw
  • szefowie IT
  • liderzy największych firm w Polsce
  • decydenci zakupu rozwiązań informatycznych