Home Bezpieczeństwo Czy naprawdę stać nas na tanie cyberbezpieczeństwo?

Czy naprawdę stać nas na tanie cyberbezpieczeństwo?

0
0
169

To nie jest abstrakcyjne pytanie z konferencyjnego panelu. To pytanie z faktury: w jednym wierszu – koszty transformacji cyfrowej, w drugim – „straty po incydencie”. I coraz częściej ten drugi wiersz wygląda jak omyłkowo dopisana liczba telefonów od dostawcy, a nie realny rachunek za chaos po włamaniu.

Transformacja na dopalaczach, bezpieczeństwo na ręcznym

Cyfryzacja w firmach idzie jak burza. Automatyzujemy, łączymy systemy, przenosimy się w chmurę, do tego dochodzi praca zdalna i mobilne zespoły terenowe. Codzienność: tablet w ręku technika, dane w czasie rzeczywistym, decyzje „tu i teraz”, mniej papieru, mniej telefonu, więcej aplikacji.

Tyle że równolegle po drugiej stronie rośnie coś jeszcze – rachunek za cyberprzestępczość. Według danych Statista, do 2028 roku w takich krajach jak Niemcy, Wielka Brytania czy Francja koszty cyberataków mają wzrosnąć dramatycznie. W samych Niemczech – o ponad 137%, z 189 mld do 446 mld euro.

Tymczasem budżety na bezpieczeństwo IT? Średnio +5,7% rocznie.
Czyli wyścig: atakujący na elektrycznej hulajnodze, my na miejskim rowerze.

Najgorzej mają ci, którzy są „z definicji” krytyczni:

  • produkcja – cel 26% wszystkich ataków,
  • energetyka – 10%,
  • transport – 7%.

Jeśli tu coś „stanie”, to nie tylko system zgłosi błąd. Zatrzymują się linie, pociągi, dostawy. I nagle okazuje się, że cyfrowa transformacja, która miała przyspieszyć biznes, przyspieszyła też skutki awarii.

Jaguar Land Rover i lekcja zbyt późnych inwestycji

Kiedy atak na Jaguar Land Rover nazwano najbardziej kosztownym w historii Wielkiej Brytanii, branża IT westchnęła: „przecież mówiliśmy”. Reszta świata zobaczyła tylko efekt końcowy – potężne straty, zakłócone łańcuchy dostaw, problemy operacyjne. To jest właśnie ten punkt, w którym różnica między „wydaliśmy trochę mniej na cyberbezpieczeństwo” a „wydaliśmy za mało” staje się brutalnie jasna. Tyle że dopiero po fakcie.

Mobilność: błogosławieństwo i przekleństwo

Jednym z cichych bohaterów transformacji są zespoły terenowe.

  • monter z tabletem zamiast segregatora,
  • serwisant z dostępem do historii urządzenia „od ręki”,
  • inspektor, który od razu wprowadza dane do systemu, zamiast przepisywać je po powrocie.

To robi różnicę. Przepływ informacji jest szybszy, mniej błędów, decyzje bliżej rzeczywistości, nie w arkuszu kalkulacyjnym sprzed tygodnia.

Ale jest też druga strona. Ten sam tablet:

  • pracuje w deszczu, kurzu, przy maszynach i na poboczu drogi,
  • znika na chwilę z oczu,
  • łączy się z sieciami o bardzo różnej reputacji,
  • jest poza bezpośrednim nadzorem IT przez większość dnia.

Dlatego w sektorach krytycznych coraz częściej standardem są urządzenia rugged – laptopy i tablety z certyfikatami MIL-STD, IP, z łącznością 4G LTE i 5G, zaprojektowane pod pracę „w terenie, nie w sali konferencyjnej”. Sprzęt, który nie boi się upadku, deszczu i smaru. Problem w tym, że stalowa obudowa nie zatrzyma ataku phishingowego. A guma na narożnikach nie zaszyfruje dysku.

Im więcej mobilności i stałej łączności, tym więcej potencjalnych podatności:

  • zgubione urządzenie,
  • skradziony sprzęt z danymi lokalnie,
  • połączenie przez niezabezpieczoną sieć,
  • manipulacja danymi w trasie.

Krótko: rugged bez mądrej polityki bezpieczeństwa to tylko drogi, bardzo wytrzymały punkt wejścia dla atakującego.

Bezpieczeństwo zaczyna się na poziomie urządzenia

Coraz więcej firm idzie w stronę podejścia „od dołu do góry”: najpierw bezpieczeństwo sprzętu, potem cała reszta. Stąd rosnąca popularność laptopów rugged z technologią Microsoft Secured-Core – gdzie warstwy:

  • sprzęt,
  • firmware,
  • system,
  • tożsamość użytkownika

są spięte w jeden model ochrony. Chodzi o to, by nawet w trudnym środowisku – fabryka, stacja transformatorowa, lotnisko – urządzenie było możliwie najmniej „przejęwalne”. Ale sam „twardy fundament” to za mało. Pojedyncze rozwiązanie nie zrobi z firmy twierdzy. Potrzebna jest wielowarstwowa układanka.

Cztery warstwy ochrony, które nie są „opcjonalne dodatki”

Getac proponuje cztery konkretne, uzupełniające się warstwy bezpieczeństwa. To nie jest fantazja vendorów – to lista rzeczy, które w większości firm i tak wypadałoby mieć wczoraj.

  1. Wieloskładnikowe uwierzytelnianie (MFA) wszędzie, gdzie się da
    Hasło to już dawno nie jest klucz, to co najwyżej kod do domofonu.
    MFA – dodatkowy kod, klucz sprzętowy, aplikacja – sprawia, że nawet wyciek loginu i hasła nie oznacza od razu przejęcia konta. W kontekście pracowników terenowych to różnica między „straciliśmy urządzenie” a „otworzyliśmy atakującym drzwi do systemów operacyjnych”.
  2. Szyfrowanie end-to-end (E2EE) i bezpieczne VPN
    Dane wysyłane „w świat” bez szyfrowania to jak pocztówki – każdy po drodze może przeczytać.
    E2EE sprawia, że czytać mogą tylko nadawca i odbiorca. VPN dokłada bezpieczny tunel między urządzeniem w terenie a systemami centralnymi. Dla energetyki, transportu, produkcji – to już nie luksus, tylko higiena.
  3. Regularne aktualizacje firmware’u i oprogramowania
    To najbardziej nudny, a jednocześnie kluczowy element.
    Nowe podatności, ataki zero-day, łaty, poprawki – to ciągła gra w „łap od razu, nie za miesiąc”. Jeśli flota ruggedów w terenie nie aktualizuje się w sposób przemyślany i kontrolowany, to po roku nawet najbezpieczniejszy sprzęt staje się archiwalny z punktu widzenia bezpieczeństwa.
  4. Jasny plan reagowania i odzyskiwania po incydencie
    Nawet najlepsze zabezpieczenia nie dają 100% odporności. Pytanie nie brzmi: „czy?”, tylko „kiedy i co wtedy?”.

    • kto podejmuje decyzje,
    • jak szybko jesteśmy w stanie odciąć urządzenie,
    • jak przywrócić ciągłość działania,
    • co mówimy zespołowi, klientom, regulatorowi.

Brak planu reagowania sprawia, że incydent trwa dwa razy dłużej, a reputacja sypie się trzy razy szybciej.

„Nie musisz być z tym sam”. I to nie jest slogan sprzedażowy

Tu dochodzimy do wątku, który często w PR-ze brzmi jak autopromocja, ale w praktyce ma sens: firmy nie muszą projektować całej tej układanki samotnie.

Współpraca z dostawcami wyspecjalizowanych urządzeń rugged i firmami od bezpieczeństwa to nie jest „fajnie mieć”. Dla sektorów krytycznych to po prostu skrócenie drogi:

  • ktoś już przetestował dany model w polu,
  • ktoś wie, jak połączyć sprzęt, system, polityki bezpieczeństwa,
  • ktoś umie ogarnąć setki urządzeń rozproszonych po kraju.

Przykład z tej konkretnej informacji prasowej: Absolute Secure Endpoint na urządzeniach Getac z Windows. Ciekawy jest tu mechanizm Absolute Persistence – ochrona urządzenia i danych nawet po:

  • reinstalacji systemu,
  • wymianie dysku,
  • aktualizacji firmware’u.

Po aktywacji narzędzie zapewnia stałą widoczność i kontrolę nad flotą:

  • pozwala monitorować urządzenia,
  • szybciej reagować na zagrożenia,
  • radzić sobie także w sytuacjach częściowej kompromitacji (gdy coś już poszło nie tak, ale nie jest jeszcze za późno).

Dla firm, które mają setki techników „w trasie”, to nie jest ciekawostka technologiczna, tylko element zarządzania ryzykiem.

Regulacje się zaostrzają. Ataki też. Co zostaje firmom?

Z jednej strony – rosnąca liczba i skala cyberataków. Z drugiej – coraz ostrzejsze regulacje i oczekiwania wobec firm z sektorów krytycznych.

Między nimi – codzienność działów IT, bezpieczeństwa i operacji:

  • napięte budżety,
  • stare systemy, które „jeszcze działają”,
  • nowe projekty transformacyjne,
  • presja na szybkość wdrożeń.

W tej układance trzy elementy wydają się dziś kluczowe:

  1. Ochrona endpointów – bo ataki wchodzą do firm coraz częściej właśnie przez urządzenia użytkowników, nie tylko przez „wielkie” serwery.
  2. Bezpieczeństwo pracowników terenowych – bo są daleko od centrali, ale bardzo blisko krytycznych systemów i infrastruktury.
  3. Narzędzia dające pełniejszą widoczność i kontrolę nad środowiskiem IT – bo nie da się chronić czegoś, czego nie widać.

Puenta: cyberodporność nie jest funkcją marketingową

Wielu firmom cyfrowa transformacja wyszła komunikacyjnie świetnie: nowe aplikacje, ładne dashboardy, kampanie wizerunkowe. Pytanie, które coraz częściej wraca po cichu na zarządach, brzmi:

Czy nasza odporność na cyberzagrożenia rośnie w tym samym tempie, co liczba systemów i urządzeń?

Jeśli nie – mamy prostą opowieść:

  • koszty cyberataków rosną o trzycyfrowe procenty,
  • budżety bezpieczeństwa o kilka,
  • a między jednym a drugim powstaje przestrzeń, którą ktoś prędzej czy później wykorzysta.

Budowanie odporności nie jest widowiskowe. Nie da się tego sprzedać w jednym slajdzie. To seria konkretnych decyzji:

  • rugged zamiast „zwykłego” laptopa,
  • MFA zamiast samego hasła,
  • E2EE + VPN zamiast „jakoś tam działa”,
  • aktualizacje „tu i teraz”, nie „po sezonie”,
  • realny plan reagowania zamiast „zobaczymy, jak będzie”.

I w tym sensie dobrze skrojona, wielowarstwowa strategia bezpieczeństwa to nie koszt uboczny cyfryzacji, tylko jej warunek. Bez niej każda kolejna cyfrowa innowacja może być – wbrew folderom – tylko kolejnym potencjalnym punktem wejścia.

Dodaj komentarz

Przeczytaj również

Nowe przepisy celne: czy logistyka przeniesie się do UE?

Z początkiem lipca weszły w życie przepisy dotyczące przesyłek spoza UE, które zmieniają z…