Zapraszamy do wysłuchania odcinka podcastu, w którym Damian Niklewicz rozmawia z Markiem Graczykiem, audytorem wiodącym ISO 27001 i ISO 22301. Tematem odcinka jest audyt cyberbezpieczeństwa – czym tak naprawdę jest, dlaczego nie należy się go bać i dlaczego jest kluczowy dla każdej świadomej organizacji.
Dowiesz się, jakie korzyści niesie ze sobą przeprowadzenie audytu, z jakich etapów się składa i dlaczego tak ważne jest, aby realizowała go niezależna, zewnętrzna firma. Poruszamy również kwestie audytów technicznych, weryfikacji procedur, testów podatności, a także znaczenia backupów i ubezpieczeń od cyberryzyk.
To odcinek pełen praktycznych wskazówek i przykładów z życia wziętych, które pomogą zrozumieć, jak skutecznie chronić swoją organizację przed zagrożeniami w świecie cyfrowym. Jeśli chcesz wiedzieć, jak przygotować się na potencjalne incydenty i jak minimalizować ryzyko, koniecznie posłuchaj tego odcinka!
Czym jest audyt cyberbezpieczeństwa?
Damian Niklewicz: Cześć, tu Damian Niklewicz z firmy ESKOM, jestem dzisiaj z Markiem Graczykiem.
Marek Graczyk: Cześć Damian.
Damian Niklewicz: I będziemy rozmawiali o audycie cyberbezpieczeństwa. Audyt to takie ładne słowo, lubiane przez wszystkich. Ale tak powiedzmy rozszyfrowując, to czym ten audyt cyberbezpieczeństwa jest?
Marek Graczyk: Postawiłeś taką dosyć odważną tezę, że audyt to jest słowo, które dobrze się kojarzy i jest przez wszystkich lubiane. Pewnie nieco przekornie. Często jest tak, że się boimy tego audytu, bo audyt nam się kojarzy niesłusznie z kontrolą, że przychodzi ktoś, kontroluje i co? Po kontroli zawsze ma jakieś tam wnioski i co jest po kontroli? Kary jakieś się nakłada. Audyt jest, można powiedzieć, najprościej taką weryfikacją, czy organizacja, firma, bank, firma ubezpieczeniowa, ale też przedsiębiorstwo, wodociągowe, szpital, cokolwiek sobie wyobrazimy, spełnia wymagania określone w jakimś standardzie, w jakimś dokumencie. Jak robisz audyt to sprawdzasz, czy dana organizacja stosuje pewne wymagania, które na tą organizację zostały nałożone. Tak mówiąc najkrócej, my często mówimy, wykonując audyty, ja też jako audytor wiodący mam z tym do czynienia na co dzień, że audyt to jest…
Damian Niklewicz: Tak, audytor wiodący ISO 27001.
Marek Graczyk: I normy ISO 22301. Ta pierwsza norma to jest norma mówiąca o bezpieczeństwie informacji. Druga norma mówi o ciągłości działania. Więc audyt to jest coś takiego, co dla Ciebie jako powiedzmy sobie osoby zarządzającej organizacją, jest pewną taką informacją, w jakim stopniu spełniasz wymagania określone, przyjmijmy w standardzie ISO 1 albo 2. Tak, to jest dla Ciebie informacja, co działa, co nie działa. Gdzieś wykonując audyty, można ten audyt rozbudować również o już taką rzecz nie audytową, bardziej biznesową, pewną np. sugestię. Jeżeli coś nie działa, to co można zrobić? Więc taki audyt to jest dla Ciebie sprawdzenie, jak ja wypadam na tle i w porównaniu do standardu określonego w jednej normie ISO w drugiej, ale też, nie wiem, w innych dokumentach.
Po co przeprowadzać audyt cyberbezpieczeństwa?
Damian Niklewicz: Wiemy czym jest, to może byśmy krótko powiedzieli, po co mielibyśmy taki audyt robić i czy tak trzeba się tego bać?
Marek Graczyk: Bać się nie trzeba, bo myślę, że z chwilą, kiedy pracujesz w świadomej organizacji, organizacji, która chce się sama sprawdzać, kontrolować, użyłem słowa sprawdzać, weryfikować i przede wszystkim zabezpieczać, to to jest część działań, które powinny być podejmowane. Zresztą mówimy o audycie cybernetycznym, teleinformatycznym, różnie możemy go nazywać, ale tak naprawdę to nie jest jedyny obszar, który jest poddawany audytowi. Audyty finansowe np., każda większa organizacja, to jest jakby część funkcjonowania organizacji, co pewien czas trzeba sprawdzić, jak wygląda sytuacja tejże organizacji, jeżeli chodzi o aspekt finansowy, biznesowy, finansowy. Tak w przypadku audytu teleinformatycznego, cybernetycznego, weryfikujesz to, na ile Twoje systemy IT, Twoje rozwiązania IT stanowiące najczęściej ważną część Twojego biznesu, na ile one są zgodne z wymaganiami takimi lub innymi. Co Ci ten audyt może dać, to powiem jeszcze raz, no po prostu wiesz jaka jest sytuacja, wiesz, gdzie jest dobrze, gdzie jest niedobrze, a tam, gdzie jest niedobrze, wiesz, że powinieneś podjąć działania.
Damian Niklewicz: Czyli w skrócie chcemy się sprawdzić teraz, żeby nie płakać później.
Kiedy audyt staje się koniecznością?
Marek Graczyk: To najkrócej. Oczywiście sytuacja, można powiedzieć nieco przekornie, jest prostsza, jeżeli jesteś np. taką organizacją, taką firmą, która podlega regulacjom ustawowym. Jest np. ustawa o Krajowym Systemie Cyberbezpieczeństwa, która mówi, są określone podmioty, które są podmiotami ważnymi dla codziennego funkcjonowania ekonomii, gospodarki.
Damian Niklewicz: Tak zwane operatorzy usług kluczowych.
Marek Graczyk: Czy szpital jest ważny? No jest ważny, no bo jak szpital, wyobraźmy sobie Warszawę, jeden szpital przestanie działać, myślę, że jeszcze nie ma tragedii, ale pomyślmy sobie, jak istotną funkcję pełni szpital w niedużym mieście powiatowym.
Damian Niklewicz: Np. w Łomży, jak szpital powiatowy przestanie działać, to jest jeden.
Marek Graczyk: To tak, gdzieś tam pewnie jeszcze, ale są mniejsze niż Łomża miejscowości, więc to jest kluczowa instytucja dla funkcjonowania społecznego i takie instytucje są wymienione w tejże ustawie o Krajowym Systemie Cyberbezpieczeństwa. I co? One muszą działać, muszą funkcjonować i na nich też regulator nakłada obowiązek audytowania się, czyli sprawdzenia. No i teraz, jak ten audyt zrobić? Tu też taki pewien mit.
Dlaczego nie warto audytować się samemu?
Damian Niklewicz: Tak, z czego ten audyt się składa?
Marek Graczyk: Za chwilę powiem, z czego się składa, natomiast jedna rzecz, to ciągle jeszcze pokutuje, pewnie nie powinno mnie to zaskakiwać, ale ciągle zaskakuje, takie podejście, no to my sami siebie sprawdzimy. Taki dyrektor czy prezes organizacji mówi, no dobra, tu wzywa swojego szefa, szefowo IT i mówi, to weźcie mi tu, sprawdźcie się, czy jest okej, czy nie jest okej. To jest bardzo ważna rzecz, tego audytu nie powinniśmy sami sobie robić, no bo sami nie będziemy wobec siebie obiektywni, więc to powinna być organizacja, czy też firma zewnętrzna.
Damian Niklewicz: Nie bez powodu sami nie kontrolujemy sobie pojazdów, tak? Czy sami nie przeprowadzamy sobie badań jakichś okresowych?
Marek Graczyk: To prawda, a mówię o tym, w zasadzie mówić nie powinienem, to powinna być rzecz oczywista, na zasadzie takiej, o której ty powiedziałeś, badania okresowe, kontrola zdrowia, badanie samochodu, ale często jeszcze takie podejście, się z tym stykamy, że to ściągnijmy jakąś checklistę z Internetu, to już przecież jest opracowane i tam sobie wszystko albo damy na zielono, albo na czerwono.
Jakie są kluczowe elementy audytu cyberbezpieczeństwa?
Z czego się audyt składa? Bo o to pytałeś. Audyt, można powiedzieć, ma dwa takie podstawowe obszary. Powiedziałbym kwestie techniczne, czyli badanie i sprawdzanie tego, jak twoja infrastruktura IT funkcjonuje oraz kwestie, powiedziałbym, organizacyjne i udany audyt sprawdza oba te obszary, czy udany, sensowny powiedziałbym, czyli taki, który jest miarodajny, który coś ci powie, bo teraz tak, znowu wracając do audytowania czy sprawdzania procedur, no też niestety często pokutuje coś takiego, to sprawdźmy, czy te nasze dokumenty, jakie mamy w firmie, czy są… są okej. Czy mamy na przykład procedurę wykonywania kopii zapasowych? No zazwyczaj ona jest. Czy mamy procedurę zarządzania sprzętem, wycofywania sprzętu z użytku? No często, często jest. Ileś tam tych procedur może być i audyt po pierwsze sprawdza, czy te procedury są, co więcej, czy są stosowane, tak? I to jest jeden obszar, ale drugi bardzo ważny obszar takiego audytu, który my realizujemy, to jest weryfikacja techniczna, tak? Twojej infrastruktury, sprawdzenie w oparciu o różne narzędzia. Choćby przeprowadzenie, wykonanie skanów podatności, no bo możesz mieć fajne procedury, fajne, takie, wiesz, bardzo opisane szczegółowo. Nawet ktoś może powiedzieć, że my korzystamy z tych procedur i się do nich stosujemy. No ale co z tego, jeżeli ta twoja podstawowa, techniczna warstwa, no zawiera w sobie luki, więc my często wykonując audyt, najczęściej, a nawet powiem zawsze, wykonujemy również takie badanie techniczne twojej infrastruktury. Skany podatności, sprawdzamy również to, w jakim, powiedzmy sobie, wieku jest twoja infrastruktura, czy jest wszystko aktualne, czy…
Damian Niklewicz: Czyli tak zwana inwentaryzacja.
Marek Graczyk: Robimy inwentaryzację, sprawdzamy kluczowe elementy twojej sieci, jak w ogóle twoja sieć jest skonstruowana. To jest podejście nieco, powiedziałbym, rozbudowane i głębsze, niż na przykład wykonywanie wyłącznie audytu ISO, bo tutaj o normach ISO rozmawiamy, ale w naszym przekonaniu i w naszej praktyce, jaką stosujemy, te dwa obszary są, rzekłbym, nawet nierozłączne. Czasami klient powie, okej, zróbcie mi tylko sprawdźcie czy mam wszystkie procedury w segregatorze. No to możemy zrobić i to coś mówi, że są procedury, ale jak działa ten obszar, powiedziałbym, twardy, technologiczny, no to to jest też bardzo ważna część, częścią takiego audytu, bo my zazwyczaj robimy testy podatności, ale również, możesz powiedzieć, tak, chciałbym, żeby wykonać skany i testy penetracyjne, tak, żeby ktoś tutaj spróbował w mojej organizacji, no, się dostać, coś sprawdzić. To też może być część audytu, tak, nie robi się tego często, jest to jakby wyższy poziom, ale również takie rzeczy można wykonać, zrealizować w ramach procesu audytowego, żeby się po prostu sprawdzić, na ile jesteśmy przygotowani.
Damian Niklewicz: Albo spróbować przeciążyć infrastrukturę.
Marek Graczyk: A, to jest prostsza rzecz albo spróbować przeciążyć. Robimy audyt, sprawdzamy parametry, tak zwane, wydajnościowe na twoje infrastruktury i zadajemy sobie pytanie, a co by było, gdyby, tak, gdyby na przykład było tyle wejść, albo gdyby chcieć z jednego serwera w jednym czasie, nie wiem, wykonać ileś operacji, coś pobrać, to też może być część audytu.
Backupy i odtwarzanie danych: fundament skutecznej ochrony przed atakami
Damian Niklewicz: Czyli mamy część miękką, procedury, standardy, to jak one są w organizacji robione i wdrożone i czy trzymamy się tych zasad. Mamy skany podatności, testy penetracyjne, testy obciążeniowe. Co jeszcze mamy w przypadku tej twardej? Co jeszcze możemy zrobić przy takim audycie cyberbezpieczeństwa?
Marek Graczyk: No tak jak powiedziałem, możemy sprawdzić infrastrukturę pod kątem aktualności, tak, czy wszystkie elementy tej infrastruktury są zaktualizowane, czy pracują na aktualnym firmware, czy nie ma tam żadnych luk bezpieczeństwa, które na przykład już są zidentyfikowane, a nie zostały jeszcze w jakiś sposób rozwiązane, spatchowane, tak. Sprawdzamy, tak jak powiedziałem, jak w ogóle, na przykład, sieć jest skonstruowana twoja, twoje zasoby.
Damian Niklewicz: Czyli tak zwaną topologię sieci, tak?
Marek Graczyk: No, fachowo mówimy o tym topologia sieci, tak? Jak wygląda, czy topologia sieci zawsze jakaś jest. Pytanie, czy to jest funkcjonalne, wydajne, czy twoje procesy biznesowe są realizowane w oparciu o takie rozwiązanie. To jak to, twoja sieć wygląda? No to powinno być dostosowane do twojego biznesu. Bardzo szczegółowo sprawdzamy najprostszą, wydawałoby się rzecz, kwestię backupów, tak? Bo to, że backupy należy robić, no to powiem w organizacjach już, to jest wiadome. Dużo organizacji już wie, że tak to ujmę, że powinno się stosować pewne procedury. 3-2-1, tak?
Damian Niklewicz: Ostatnio 3-2-1, 1-0.
Marek Graczyk: Dokładnie tak, są różne koncepcje. To jest okej, ale na przykład, gdybyś zapytał, ile z tych organizacji testuje backup, sprawdza, czy da się go odtworzyć, no to już bym tutaj optymistycznych odpowiedzi na to pytanie nie miał. A wydaje się, że to jest prosta sprawa, tak? Że robisz backup i go sprawdzasz, tak? Czy on się odtwarza. Dlaczego? Bo ktoś, kto próbuje ci na przykład zaszyfrować twoją bazę danych, czy część twojej infrastruktury jakoś, czy danych, które masz, może nie infrastruktury, to on wie, że te backupy to się przechowuje przez jakiś czas. No, różne są też techniki, robi się pełne backupy, robi się tylko te tak zwane różnicowe, przyrostowe, wszystko jedno. Przechowuje się backupy przez pewien czas. Więc ktoś, kto jest sprytny, pomyśli sobie tak, to ja dzisiaj wejdę ci do organizacji, wejdę tak, że nie zauważysz, że coś się wydarzyło i poczekam sobie, no, 60 dni albo dłużej. Po to, żebyś te kolejne backupy, które wykonujesz już sobie, żeby one były zainfekowane i żebyś nie mógł z nich odtworzyć. I wtedy, jeżeli się coś wydarza, no to jakby dzwonisz, piszesz, najczęściej piszesz, podajesz od razu konto, ile bitcoinów, gdzie. I zazwyczaj piszesz. A i nie próbujcie odtwarzać z backupu, bo ten backup już też zawiera jakby nasze narzędzie, czy też jest zaszyfrowany. Więc backup też sprawdzamy, sprawdzamy sieć, sprawdzamy parametry w ramach technicznej części, którą wykonujemy. Kontrolujemy na przykład wybrane stacje końcowe pod kątem oprogramowania, które jest na nich zainstalowane. No bo wyobraź sobie, że rzecz oczywista, tak, powinniśmy mieć licencję na wszystko, no chyba, że jest to oprogramowanie bezlicencyjne, ale my też, jak robimy taki audyt, to się często okazuje, że różne rzeczy są poinstalowane na stacjach końcowych i nie do końca ta polityka weryfikowania, na czym pracujemy w organizacji jest w praktyce wdrażana.
Co po audycie cyberbezpieczeństwa? Raport, rekomendacje i wdrażanie zmian
Damian Niklewicz: To może rozszyfrujmy ten backup, bo ten nowy skrót 3-2-1-1-0, to on mówi właśnie, on rozwiązuje to też z tym przywracanie. Czyli mamy w sumie trzy kopie. Jedną, dwie mamy u siebie, a jedną mamy odmiejscowioną, to znaczy ona jest w ogóle poza naszą organizacją i jest w trybie offline. Więc kiedy ktoś nas zainfekuje, to nie infekuje tej. Kolejna jedynka to jest, że jesteśmy w stanie przywrócić się z tego backupu i mamy na nim zero błędów. No dobrze, to przechodząc dalej, wiemy już po co mamy ten backup. to robić, wiemy z czego się ten audyt cyberbezpieczeństwa składa, wiemy, że są różne procedury, normy, standardy. To teraz, co robimy po takim audycie? Z czego on jeszcze się składa, o czym nie powiedzieliśmy?
Marek Graczyk: No audyt to jest szereg działań. Zanim rozpoczniemy taki audyt na miejscu, czyli tej lokalizacji, no nasza branża informatyczna niby ma tą przewagę, że dużo rzeczy można zrobić zdalnie i rzeczywiście my takie rzeczy zdalnie też robimy, ale mówiąc o audycie, o bezpieczeństwie informacji, najczęściej zapominamy, że to jest również fizyczne bezpieczeństwo informacji, czyli to, jak twoja organizacja jest, jak wygląda, tak? Gdzie można wejść? Czy można otworzyć drzwi do jakiegoś pokoju, mieć dostęp do danych, które w wersji papierowej leżą na miejscu? To jest część audytu. Zanim to zrobimy, to w pierwszej fazie, żeby tak przybliżyć audyt, analizujemy tak zwaną dokumentację, czy tak źródła zastane, jak to się czasami mówi, czyli dokumentację, którą jest. Która jest, którą organizacja może udostępnić. Same dokumenty oczywiście to dla nas jest pewien tylko kierunek, bo czasami, a nawet często jest tak, że mamy różne dokumenty, no ale pytanie, czy my przestrzegamy tych regulacji, czy pracownicy wiedzą, że są takie regulacje, czy my w takiej codziennej naszej pracy tego używamy? Różnie bywa, tak? Więc to jest pierwszy etap, weryfikacja tego typu źródeł. Potem zazwyczaj jest ta część związana z analizą na miejscu, z zobaczeniem tego, jak organizacja wygląda, jak np. fizycznie wygląda serwerownia, jak jest zabezpieczona, czy wejścia do serwerowni są monitorowane, czy zapewniona jest tzw. rozliczalność wejść do serwerowni, bo często jest tak, że to są zwykłe drzwi ze zwykłym kluczem, który to jeszcze klucz wisi gdzieś i np. nie ma kontroli, kto ma dostęp do klucza. No to, jeżeli się coś wydarzy, to w jaki sposób stwierdzić, kiedy to jeszcze możesz, no bo się wydarzyło. Ale kto to zrobił? Czy wchodził wcześniej, czy coś zainstalował? Takich pytań są tysiące, tak? To jest taka część na miejscu. Podstawowe weryfikacje technologiczne też są wykonywane na miejscu, no i też taka zdalna część audytu, dostęp do infrastruktury z klientem, tak? Ustalamy metody bezpiecznego dostępu do infrastruktury, no i w ten sposób bezpieczny analizujemy, nie wiem, co zrobimy, skany podatności, tak? A to np. zweryfikujemy, nie wiem, stan wykorzystania zasobów na poszczególnych maszynach, jeżeli mówimy tutaj o sieci. To jest takie trzy duże etapy. No i co jest potem? No potem jest raport oczywiście, tak? Raport mówi, to jest to porównanie do wymagania versus rzeczywistość. No i co? No i dalej w takim, i to może być, to jest podstawowa część audytu. I jeszcze możemy dołożyć tzw. rekomendacje, no bo czasami jest tak, że już nie jest typowa audytowa działalność, no ale klient może powiedzieć, no dobra, no to nie działa mi to, albo tutaj te rozwiązania są niefunkcjonalne, wykryliście to, opisaliście to w raporcie, napisaliście, że tu jest niezgodność, no możemy jeszcze dorzucić taką część, co zrobić, żeby tą zgodność sobie zapewnić, tak? Także taki audyt może mieć bardzo biznesowy wymiar, w bardzo biznesowy sposób możesz go wykorzystać. Taki audyt, wiesz, pytanie też, kto zamawia audyt, tak? Bo czasami jest tak, że jest firma X, która musi się zaraportować do jakiegoś nadzorcy rynkowego, jest firma Y, która jest firmą audytorską, przychodzi do firmy X, robi audyt, no i już gdzieś ten audyt wysyła do tej firmy nadzorującej, bo tak wynika z przepisów. Ale bardzo często, jeżeli ty sam zamawiasz audyt, no to ten audyt i te wnioski i rekomendacje trafiają do ciebie, tak żebyś wiedział, co zrobić, jakie działania podjąć.
Damian Niklewicz: To może jeszcze zaznaczmy, że nie powinno się audytować samemu.
Marek Graczyk: Tak, to na pewno.
Damian Niklewicz: I jeszcze najlepiej, żeby pewnie nie robiły tego firmy, które świadczą nam na przykład usługę outsourcingu czy jakiegoś utrzymania.
Marek Graczyk: Zgoda, bo to w tym drugim przypadku, o którym powiedziałeś, to też wracamy, że tak powiem, do początku. No to poniekąd sam byś oceniał swoją pracę. Rzeczywiście nam się zdarza w różnych konfiguracjach na rynku działać i są takie sytuacje, kiedy my jako ESKOM audytujemy de facto inną firmę outsourcingową, która świadczy usługi dla klienta X i ten klient X właśnie mówi, no dobrze, no to mam tu firmę, która mnie obsługuje, a wy przyjdźcie i sprawdźcie, na ile dobrze ta firma mnie obsługuje. Ustalamy w oparciu o jaką właśnie kryteria mamy tego audytu dokonać, ale też się zdarza w naszej praktyce, że my jako firma, która wspiera wiele organizacji średnich i dużych w zakresie outsourcingu, że i my jesteśmy audytowani, to znaczy przychodzi inna firma, audytor niezależny, zewnętrzny, może być też i wewnętrzny w dużych organizacjach, ale przychodzi zewnętrzny i sprawdza nas, na ile my dobrze wypełniamy te wszystkie funkcje i czy zgodnie ze standardami i deklaracjami chociażby z umów.
Dlaczego ubezpieczenia od cyberryzyk nie zastąpią solidnego audytu cyberbezpieczeństwa?
Damian Niklewicz: Tak, można powiedzieć, że nikt tak dobrze Cię nie zaudytuje, jak Twoja bezpośrednia konkurencja.
Marek Graczyk: Ale tak, to zazwyczaj tak działa, że nie ma litości wtedy, żartując nieco.
Damian Niklewicz: Na rynku dużo się mówi, jakby mamy powiedzmy swego rodzaju boom na to całe cyberbezpieczeństwo, bezpieczeństwo IT, mamy sytuację polityczną, która jakby jeszcze bardziej wzmaga te słowo klucz, bezpieczeństwo. No i w związku z tym pojawiają się różne firmy czy firmy, może osoby albo organizacje, które chcą znaleźć swoją inną niszę i na przykład będą oferowały ubezpieczenia na wypadek ataku hakerskiego, czy ubezpieczenie od bezpieczeństwa. Jak tutaj możemy się odnieść do takiej sytuacji? Czy jak mamy to ubezpieczenie, to nie powinniśmy robić audytu, czy wręcz przeciwnie?
Marek Graczyk: Ja myślę, nawet jestem przekonany, że audyt to, że rzeczywiście towarzystwa ubezpieczeniowe bardzo w ostatnich latach rozszerzyły swoją ofertę, jeśli chodzi o ubezpieczenia od tak zwanych cyberzagrożeń, cyberryzyk, no to nie oznacza, że nie powinniśmy robić audytu. Wręcz przeciwnie, ten audyt powinniśmy robić i nawet takie towarzystwo będzie od nas wymagać, żebyśmy taki audyt przeprowadzili, no bo ocena ryzyka, nie jestem specjalistą od rynku ubezpieczeniowego, No, ale już o ryzykach coś mogę powiedzieć, tak, no musisz umieć i być w stanie jakoś to ryzyko ocenić, tak. Więc nawet taka firma ubezpieczeniowa, zanim Cię ubezpieczy, może Cię ubezpieczyć oferując Ci taką stawkę, której nie zapłacisz, no ale może powiedzieć, zrób sobie audyt, to my wtedy więcej będziemy o Tobie wiedzieć i wtedy zaproponujemy Ci korzystniejszą stawkę. I tak, rynek ubezpieczeniowy działa na całym świecie w oparciu o różne ryzyka, tak, również i te informatyczne, cybernetyczne, różnie się je nazywa. Natomiast tutaj poruszyłeś bardzo ważną kwestię, na którą ja bym chciał też zwrócić uwagę. To, że są ubezpieczenia, okej, ubezpieczamy się od różnych rzeczy, które mogą się zdarzyć, od różnych ryzyk. Natomiast myślę, że ciągle jeszcze w Polsce jesteśmy, tak patrząc na rynek, w takiej fazie początkowej, kiedy te ubezpieczenia są już na rynku, już towarzystwa je oferują, ale ciągle jeszcze nie wiemy, tutaj biorę to w cudzysłów, jak je obsługiwać. Otóż musimy pamiętać o tym, że to nie jest tak, że się ubezpieczam od cyberryzyk i już mam wszystko załatwione, bo jeżeli się coś zdarzy, jeżeli będzie jakiś incydent, jeżeli jakiś ransomware się przydarzy, mój pracownik w coś tam kliknie, no to towarzystwo ubezpieczeniowe powie, okej, jest polisa, tu było 47 stron małym drukiem warunków i teraz ktoś, zanim ci wypłaci te pieniądze, jesteś ubezpieczony na milion złotych, myślisz sobie, okej, no to firma ubezpieczeniowa w ramach procesu likwidacji takiej szkody powie, dobrze, a czy państwo jako organizacja podejmowaliście podstawowe działania w zakresie cyberhigieny, czy były szkolenia dla pracowników, tak? No nie było. No, czy macie aktualny program antywirusowy? To zazwyczaj jest. Czy regularnie aktualizujecie oprogramowanie, na którym pracujecie? Tu bywa różnie, tak? Czy aktualizujecie swój sprzęt sieciowy, na którym pracujecie? Tu bywa bardzo źle, tak? Więc chcę powiedzieć, nie chcę straszyć, ale to nie jest tak, że jesteś ubezpieczony na milion, coś się wydarzyło, zaszyfrowane komputery, ubezpieczyciel wypłaca pełną kwotę. Ubezpieczyciel zada ci ileś tam pytań i zweryfikuje, czy podjąłeś podstawowe kroki, żeby zmniejszyć prawdopodobieństwo zdarzeń, jakie miały miejsce. Oczywiście tu zaskoczeń nie powinno być, bo jak podpisujesz taką umowę, to gdzieś to jest opisane, jakie działania musisz podejmować, ale pamiętam takie badania trochę z innego rynku. Badania dotyczące tego, jak wiele osób czyta umowy kredytowe, tak? Okazuje się, że 10% osób zawierasz, podpisujesz umowę kredytową na nieruchomość, zobowiązujesz się przez trzydzieści parę lat płacić. 90% ludzi nie doczytuje wszystkich warunków, które są w takiej umowie. No to pytanie, czy nie należy z tego wyciągać wniosków, jeżeli chodzi o obszar ubezpieczeniowy. Może być tutaj podobnie. Żeby nie szukać przykładów, wielka tragedia, jaka się wydarzyła dosłownie dwa miesiące temu, powódź na Dolnym Śląsku, no nie tylko na Dolnym Śląsku. Gdzieś tam w różnych mediach pojawiały się takie artykuły. Dom był ubezpieczony na półtora miliona, ubezpieczyciel chce wypłacić 80 tysięcy, tak? Dlaczego ten ubezpieczyciel chce wypłacić 80 tysięcy, tak? A widzimy zdjęcie zalanego domu. Ubezpieczyciel mówi, że zejdzie woda, w domu da się mieszkać, trzeba tylko osuszyć piwnicę i to kosztuje 80 tysięcy. Czemu o tym mówię? Takich przykładów oczywiście było więcej. W przypadku ubezpieczeń od różnych zdarzeń cybernetycznych jest podobnie. Nikt ci nie wypłaci tego przysłowiowego miliona złotych, tylko ktoś bardzo szczegółowo sprawdzi, jakie ty działania podejmowałeś. No i tutaj możemy być narażeni na zaskoczenia. Więc podsumowując, na pewno nie myślałbym w ten sposób, że ubezpieczyłem się, mam z głowy. Coś się wydarzy, jestem zabezpieczony.
Czy warto negocjować z hakerami i przestępcami?
Damian Niklewicz: Tak. Mi się wydaje, że taka analogia może tutaj pasować. To, że mamy pakiet stomatologiczny czy dentystyczny, to nie zwalnia nas z mycia zębów.
Marek Graczyk: No to najprościej. Przy wypadkach różnych komunikacyjnych zderzeniach. Lata temu było tak, że w zasadzie się mówiło, kto w kogo wjechał i jak to się ustaliło, to jest okej. No a teraz wiesz, na przykład kolega mówił, że ostatnio tutaj jakieś zdarzenie miał. No i ktoś likwidował mu szkodę, mówi, a sprawdzimy bieżnik. Jaki ma pan bieżnik, tak? No i okazało się, że bieżnik nie spełniał minimalnych wymagań. I Towarzystwo Ubezpieczeniowe powiedziało, no oczywiście, my pana ubezpieczyliśmy na wypadek takiego zdarzenia, ale to pana nie zwalnia od podejmowania podstawowych działań, które zmniejszą prawdopodobieństwo takiego wydarzenia. A pan ich nie podjął. Więc ubezpieczenia od ryzyk cybernetycznych są okej, tylko powinniśmy dokładnie zdawać sobie sprawę, co one dają, a czego nie dają.
Damian Niklewicz: Mamy jeszcze jeden rodzaj i tutaj pewnie są przypadki, kiedy coś takiego by się przydało. Mamy na rynku szkolenia na wypadek rozmów z hakerami, z przestępcami. I czy to nas może zwolnić, tak jak te ubezpieczenia? Czy to nas zwalnia z audytu cyberbezpieczeństwa, czy w ogóle z cyberbezpieczeństwa?
Marek Graczyk: Czy to nas zwalnia jakby z obowiązku, czy z wymogu zapewnienia cyberbezpieczeństwa? Powiem szczerze, że ten przykład, który przywołałeś, rzeczywiście ja nawet sprawdzając ofertę różnych film zauważyłem, że rzeczywiście są takie szkolenia jak negocjować z hakerem. Znaczy podstawowa zasada jest taka nie negocjować i rzeczywiście…
Damian Niklewicz: Z przestępcami nie negocjujemy.
Marek Graczyk: Firmy się trzymają, a przynajmniej powinny się trzymać tego podstawowego jakby wymogu, warunku, czy też takiego pryncypium w zasadzie podstawowego, bo to sprawi, jeżeli by się wszyscy tego trzymali, że działalność przestępcza przestanie być opłacalna, bo będziesz wiedział, że po prostu nie dostaniesz pieniędzy za to, że wykradłeś jakieś dane i zobowiązujesz się ich nie udostępniać. To jest jedna rzecz. Negocjowanie… Z tego punktu widzenia uważam, że wszelkie takie szkolenia typu nauczę cię jak negocjować, no nie wiem po co są. Mówiąc, staram się dyplomatycznie to ująć, a praktycznie powiedziałbym tak, jaką mamy gwarancję, że jednak te nasze dane, które ktoś nam wykradł, zaproponował nam zapłać tyle, to my ich nie upublicznimy. Jaką mamy gwarancję, że tego upublicznienia nie będzie? W końcu rozmawiamy z przestępcą, gdzie raczej kodeksów honorowych przedwojennych tutaj nikt nie stosuje, więc zapłacimy, a i tak nie mamy pewności. Nie mamy też pewności, czy te dane nie zostaną… być może nie będą sprzedawane na tzw. rynku ogólnym, ale np. być może i tak się zdarza, że jakaś firma, która jest naszym bezpośrednim konkurentem, może np. ten przestępca zaoferuje te nasze dane, bo dane to jest bardzo dużo, jako bardzo ważną informację o klientach, o różnych metodach postępowania bezpośredniej konkurencji. Też teoretycznie powiedziałbym, że nie powinniśmy myśleć o wykorzystywaniu takich danych, ale życie i rzeczywistość bywa różna, więc nie negocjujemy. Jeżeli są takie szkolenia, to ja do końca nie wiem, po co są. To nigdzie nie prowadzi.
Damian Niklewicz: To wydaje mi się, że wyczerpaliśmy. Oczywiście audyt cyberbezpieczeństwa, to my tych narzędzi, których wykorzystujemy, to moglibyśmy pewnie mówić i mówić i o tych samych procedurach i standardach. O tych różnych dziwnych skrótach pewnie pojawią się kolejne materiały. Natomiast na ten moment dziękuję i zapraszamy do zadawania pytań w komentarzach. Lajkujcie, subskrybujcie tu na dole i kliknijcie ten dzwoneczek i do zobaczenia wkrótce.
Marek Graczyk: Dzięki Damian. Do zobaczenia.