W ciągu ostatnich kilku lat o cyberbezpieczeństwie mówi się więcej niż powiedziano kiedykolwiek od samego początku internetu. Zbiega się to w czasie z największym przyrostem danych cyfrowych w dziejach. Wraz z rosnącym popytem na usługi IT i cyberbezpieczeństwo, rośnie także skala zagrożeń oraz świadomości klientów i ich wymagań względem dostawcy, o czym w rozmowie z Rafałem Barańskim, Prezesem Zarządu braf.tech.

Mogłoby się więc wydawać, że cyberbezpieczeństwo jest tym bardziej istotne, im większe zasoby obejmuje. Choć to zapewne kwestia rosnącej popularyzacji rozwiązań cyfrowych i konieczności ich zabezpieczeń niż uzależnianie cyberbezpieczeństwa od wielkości zasobów. Jak Pan uważa?

Jednym z powodów większego zainteresowania cyberbezpieczeństwem jest upowszechnienie usług chmurowych. Kiedyś, żeby dostać się do zasobów firmowych, niejednokrotnie trzeba było najpierw przenieść się fizycznie w okolice serwera albo podpiąć do komputera połączonego z siecią firmową, co zaskakująco często okazywało się niestety proste i skuteczne. Obecnie większość przedsiębiorstw przechowuje dane w chmurze. Zbiega się to oczywiście też z tym, że ilość danych jest olbrzymia i cały czas rośnie w szybkim tempie. Bardzo duży wpływ na zainteresowanie cyberbezpieczeństwem mają m.in. sytuacja na świecie, rosnąca liczba zagrożeń czy potencjalne konflikty zbrojne. Każda taka konfrontacja dzieje się na kilku płaszczyznach, stąd powszechnie teraz też mówi się o cyberwojnie. Im więcej danych trzymamy w chmurze, tym lepiej musimy je zabezpieczyć, stosując różne metody. Rozwój technologii – IoT, urządzenia mobilne, social media, zakupy i płatności w internecie – to wszystko ma wpływ na wzrost liczby cyberzagrożeń i większe potrzeby w sferze bezpieczeństwa.

Trudno nie zauważyć, że coś się zmienia w firmach, że biznes coraz bardziej odpowiedzialnie podchodzi do kwestii bezpieczeństwa. Jak to jest w praktyce? O jakie kwestie związane z cyberbezpieczeństwem pytają klienci?

Firmy mają coraz większą świadomość, jak ważne są dane, które przechowują. W pierwszej kolejności są to dane istotne z biznesowego punktu widzenia, a w drugiej kolejności dane osobowe podlegające ochronie na podstawie RODO. Dlatego zawsze przy okazji wdrażania usług, firmy zamawiające pytają o bezpieczeństwo powierzanych danych. Realizowane jest to w różny sposób. Jedną z najbardziej powszechnych praktyk jest przekazanie checklisty zawierającej pytania do dostawcy dotyczące bezpieczeństwa. Po ich wypełnieniu firma zgodnie z wewnętrznymi wytycznymi określa ryzyko współpracy z danym dostawcą czy wykonawcą. W ramach tego procesu dostawca powinien się liczyć z ewentualnym audytem, który ma za zadanie zweryfikować stan faktyczny. Jednak w praktyce jest to trudno osiągalne i zwykle ma miejsce tylko przy dużych projektach czy wdrożeniach, bo wiąże się to z dodatkowymi kosztami po stronie klienta i oczywiście wymaga czasu. Przekrój pytań w checklistach jest bardzo szeroki. To m.in.  informacje o zarządzaniu dostępami do infrastruktury, informacje o RODO, politykach bezpieczeństwa itp. Można więc powiedzieć, że klienci pytają o wszystko. 

Jak wygląda odpowiedzialność za kwestie związane z cyberbezpieczeństwem w przypadku outsourcingu IT? Kto jest ostatecznie odpowiedzialny?

Jest to dość mocno zależne od zakresu współpracy. Jeżeli outsourcingowi podlega infrastruktura, to dostawca jest oczywiście odpowiedzialny za jej bezpieczeństwo, natomiast nie może być odpowiedzialny, jeżeli np. w firmie nie są przestrzegane procedury. Prosty przykład – włamanie do skrzynki e-mail. W takim przypadku odpowiedzialność może leżeć po stronie dostawcy usług, który źle zdefiniował politykę haseł i np. nie wdrożył dwustopniowego uwierzytelnienia. Ale może być to również firma, bo jej pracownicy nie przestrzegają reguły czystego ekranu, czyli blokowania komputera po odejściu od stanowiska lub „czystego biurka”, gdzie w dokumentach mogą się znaleźć dane dotyczące np. haseł. Rozdział odpowiedzialności jest ważnym elementem umów i regulaminów świadczenia usług IT.

Czy dostawca usługi daje gwarancje, że obsługa procesów będzie odpowiednio zabezpieczona?

Obecnie każda odpowiedzialna firma wymaga od dostawców usług różnego rodzaju gwarancji, poczynając od wypełniania checklist związanych z bezpieczeństwem w firmie, poprzez potrzebę posiadania certyfikatów czy spełniania norm jak chociażby ISO 27001, czyli normy dla systemów zarządzania bezpieczeństwem informacji. Jeżeli chcemy się liczyć na rynku i dostarczać usługi dla szerokiego grona klientów to my jako dostawca musimy cały czas „trzymać rękę na pulsie” w kwestii bezpieczeństwa. Bardzo często klienci wymagają też, aby dostawca posiadał ubezpieczenie OC i związaną z cyberbezpieczeństwem.

"Jeżeli chcemy się liczyć na rynku i dostarczać usługi dla szerokiego grona klientów to my jako dostawca musimy cały czas „trzymać rękę na pulsie” w kwestii bezpieczeństwa."
Rafał Barański

Jakie kroki podejmuje dostawca usługi outsourcingu IT, jeśli dojdzie do naruszenia bezpieczeństwa związanego z procesem, który obsługuje?

W pierwszej kolejności należy natychmiast określić miejsce naruszenia bezpieczeństwa danych i zapobiec jego rozprzestrzenianiu, a także powiadomić osoby, które zgodnie z procedurą powinny o tym wiedzieć. To pozwala zminimalizować konsekwencje takiego incydentu, który może jeszcze trwać. Dopiero w następnych krokach zdarzenie jest analizowane – dlaczego wystąpiło, kto ponosi za nie odpowiedzialność i czy można było tego uniknąć. Na bazie takiej analizy udoskonala się procesy i minimalizuje prawdopodobieństwo wystąpienia podobnego naruszenia w przyszłości.

Dlaczego klienci decydują się na outsourcing? Jakie obszary IT najczęściej chcą outsourcować?

Są przynajmniej 2 ważne powody, dla których firmy zlecają przekazywanie niektórych usług IT na zewnątrz – zmniejszenie kosztów oraz brak wyspecjalizowanej kadry. Ten pierwszy aspekt wiąże się np. z  brakiem potrzeby utrzymania dedykowanej infrastruktury czy elastycznym wykorzystaniem kompetencji w zależności od zapotrzebowania. Utrzymanie dodatkowego rozbudowanego działu IT to dodatkowo zatrudnienie osób od cybersecurity czy audytu. W małych firmach często jest 1 „informatyk”, który zajmuje się „wszystkim”, a jak to wychodzi można się przekonać w kryzysowych sytuacjach. Duże firmy nie chcą mieć takich problemów, więc zlecają to wyspecjalizowanym dostawcom. Podobnie jest z samą kadrą. Od wielu lat brakuje na rynku specjalistów w wielu kluczowych obszarach – od software developmentu, infrastruktury czy cybersecurity, a procesy rekrutacyjne są bardzo trudne i kosztowne. Zamiast budować własny zespół, efektywniej jest zlecić usługi na zewnątrz. Standardem jest outsourcowanie utrzymania i zarządzania infrastrukturą serwerową, tym bardziej, że najczęściej korzystamy z rozwiązań w chmurze, gdzie dostęp z zewnątrz jest łatwiejszy. Jeżeli firmy prowadzą sprzedaż w internecie, bardzo często decydują się też na obsługę wsparcia, czyli tzw. support lub pomoc online. Średnie firmy idą też drogą zlecania całej obsługi IT na zewnątrz. Nierzadko w firmie pracuje jedna osoba, która jest np. dyrektorem IT, chociaż my byśmy go nazwali koordynatorem, ponieważ jest kontaktem między swoją firmą, a dostawcą usług. Oczywiście outsourcing zespołów developerskich, którzy tworzą lub utrzymują oprogramowanie jest nadal bardzo popularny i tutaj sytuacja raczej nie zmieni się w najbliższym czasie.

Świadczenie usług outsourcingu IT wymaga pewnej elastyczności i dostosowania zasobów do potrzeb klientów, w tym zasobów ludzkich. Jak radzicie sobie z tym wyzwaniem, gdy panuje powszechny niedobór kadr specjalizujących się w zakresie cybersec? Czy jest to dla Was duży problem?

Zarówno powiększenie zasobów specjalistów w firmie, jak i ich utrzymanie to duże wyzwanie dla działu HR w każdej firmie. Mniejsze firmy jak nasza nieraz muszą walczyć o specjalistów z dużymi korporacjami. Dlatego też stawiamy na współpracę z innymi firmami i wspólne uzupełnianie swoich zespołów przy projektach. Duży nacisk kładziemy na to, żeby nasi pracownicy zwiększali swoje kompetencje. To nie tylko pozwala nam przyciągnąć pracowników i spełnić ich oczekiwania, ale sami rozwijamy się jako firma i powiększamy nasz potencjał.  Z drugiej strony mamy ściśle określony stack technologiczny, w którym pracujemy, dzięki temu absencja czy odejście 1-2 specjalistów nie spowoduje problemów przy realizacji projektu.

Jakie wyzwania przyniesie 2023 rok dla firm świadczących usługi IT? Czy jest się czego obawiać?

Wzrost napięcia geopolitycznego wbrew pozorom ma bardzo duże znaczenie dla IT. Dobrym przykładem są obawy o kable umieszczone na dnie oceanu, których uszkodzenie może spowodować paraliż gospodarki na świecie i duże zakłócenia w dostępie do usług czy danych. Ta sama sytuacja na świecie wpływa także na zwiększone prawdopodobieństwa ataków hakerskich, tym bardziej, że nasz kraj jest w dość trudnej sytuacji, bo jesteśmy blisko toczącej się wojny. Ryzyko cyberataków jest po prostu większe. Myślę, że cały rok 2023 będzie skupiony na aspektach poprawy bezpieczeństwa IT. Druga kwestia to sytuacja ekonomiczna, nie tylko w ujęciu polskim, ale i globalnym – firmy mogą wstrzymywać część projektów, zwłaszcza tych niekrytycznych, do czasu, gdy gospodarka się ustabilizuje. Wpłynie to również na rynek pracy IT – niepewność spowoduje, że specjaliści IT będą bardziej ostrożnie decydować się na zmianę zatrudnienia. Firmy zagraniczne, zwłaszcza z Europy Zachodniej, krajów skandynawskich czy USA, chociaż kryzys ich też dotyczy, mogą z kolei jeszcze mocniej zwrócić uwagę na nasz rynek, zarówno, by pozyskać pracowników, ale też outsourcować usługi, bo nadal jest to dla nich bardziej efektywne ekonomicznie.

Rafał Barański

Prezes zarządu braf.tech i ekspert w obszarze cyberbezpieczeństwa. Z IT związany od 2001 roku. Współtwórca systemu klasy IAM SaraNext oraz aplikacji dla sygnalistów whiblo.