Zainteresowany? Może wyjaśnię wszelkie wątpliwości? Łap linka!
Mam nadzieję, że kliknęliście, bo to – TYM RAZEM – przypominajka o webinarze o AI & Data Governance, który odbędzie się już 11/02, w godz. 10-13. No, ale mogło to być coś czego nie powinniście byli otwierać.
Cóż, coraz więcej organizacji jest narażonych na zagrożenia cybernetyczne. To wynik nałożenia się wielu czynników, w tym większej dostępności narzędzi „AI”, sytuacji geopolitycznej, ale i migracji ze świata papierowego do cyfrowego. W różnych raportach z ostatnich miesięcy znajdziemy (nie)ciekawe dane na temat skali ataków typu ransomware w Polsce. Plasujemy się obecnie w czołówce – jest ich naprawdę sporo i stanowią one zagrożenie de facto systemowe. Dla całego systemu bezpieczeństwa.
Nie bez przyczyny liczba działań podejmowanych przez resorty i podległe jednostki istotnie wzrosła.
Ransomware jest o tyle „upierdliwy”, że blokuje nam dostęp do wartościowych danych lub komputera. Zapłacisz, dostaniesz co Twoje. Nie? Cóż, może baza danych w darknecie, może całkowita utrata. Próby uratowania sytuacji w nieprofesjonalny sposób mogą wywołać większe straty. Nie warto ryzykować.
Typ ataku nie ma tutaj znaczenia, choć rzecz jasna skutki poszczególnych typów będą się różnić, a więc i sposoby radzenia sobie z tymi skutkami. To o czym ja chciałbym jednak napisać to coś „agnostycznego” – jak ataki na nasze systemy przekuć w wartość dla nas.
Nie, wcale nie rekomenduję nauczenia się przeprowadzania ataków (co dla prostszych przypadków może być dzisiaj rzeczywiście banalne) i żądania okupu od naszego chlebodawcy. Rekomenduję wykorzystanie informacji o rosnących zagrożeniach i ryzykach do wzbudzenia co najmniej ciekawości, a może nawet pobudzenia wytwarzania kortyzolu w rozsądnej dawce.
Dzisiaj niewiele organizacji, patrząc systemowo, całościowo i rozsądnie podchodzi do kwestii bezpieczeństwa informacji. Można właściwie powiedzieć, że o ile:
💥 nie wydarzy się jakiś istotny f**kup, który skończy się utratą kasy lub nawet karą lub
⚖️ jakieś przepisy nie wymuszą dostosowania i zwiększenia poziomu cyberbezpieczeństwa…
…to mało kto będzie sobie zawracał tym głowę.
Nie mówię o najbardziej świadomych i dojrzałych organizacjach, bo to temat na inną rozmowę, choć – piszę to z własnego doświadczenia – nawet te potrafią być „skąpe” i niezbyt pozytywnie nastawione do budowania własnej odporności.
To zaś powoduje, że stajemy przed naprawdę dużym wyzwaniem – jak nie dopuścić do wzrostu ryzyka związanego z coraz większą zależnością pomiędzy „nami” i zatrzymać infekcję, aby nie przerodziła się w epidemię. Albo i gorzej. Choć nie tylko o systemowe zarażanie chodzi, indywidualne przypadki też trzeba leczyć, a to rzecz jasna koszt.
Nie chcę teraz pisać o tym jak ważny jest dobry system zarządzania bezpieczeństwem, bo to moi czytelnicy dobrze wiedzą. Chciałbym zastanowić się wspólnie z Wami nad tym jak „trafić” z przekazem i tam, gdzie trzeba.
Dzisiaj często nawet argumenty compliance przestają docierać, bo wielu decydentów jest przekonana, że:
😎 nie potrzebują wzmacniania odporności cyber – „we are good”,
🔒 wprowadzenie takiego systemu spowoduje, że biznes przestanie „działać” efektywnie i wyniki spadną.
W tym pierwszym przypadku nie ma chyba innej drogi jak pokazywanie, że koszt braku zdolności do zarządzania incydentami cyberbezpieczeństwa jest nieproporcjonalnie wysoki w stosunku do inwestycji w skuteczne mechanizmy przeciwdziałania zagrożeniom.
Koszt f**kup’u to materializacja:
· ryzyka reputacyjnego,
· ryzyka prawnego i regulacyjnego,
· ryzyka operacyjnego,
· ryzyka finansowego,
a także konieczność wydania pieniędzy na załatanie naszej „dziury”, czyli zrobienie tego co i tak byśmy zrobili tworząc wcześniej system zarządzania bezpieczeństwem informacji. Nie wykażemy się też należytą starannością, bo jej zwyczajnie nie było.
A skoro tak?
No to trzeba to zrobić. A co z argumentem wpływu (negatywnego) na procesy biznesowe? Dobrze przygotowany i wdrożony systemy nie powinien istotnie wpływać na to jak biznes działa na co dzień. Jasne, jest konieczność przeprowadzenia i odbycia szkoleń, mogą zmienić się narzędzia lub sposoby autoryzacji i uwierzytelniania i dojść np. jakieś firewalle czy antywirusy. No i jest to też jakiś koszt bieżący i jednorazowa inwestycja.
Tyle tylko, że to inwestycja w bezpieczną przyszłość. Ludzie nigdy nie lubią dodatkowych obowiązków czy „checkpointów”, które muszą przejść. Tyle, że często strach lub niechęć przed nowym jest zwyczajnie nieuzasadniona. Wprowadzenie nowych polityk i procedur nie musi być obciążeniem. Tyle tylko, że to ludzie muszą wiedzieć. Ktoś musi ich uświadomić.
Musi być to ktoś kto rozumie organizację, jej kulturę (ludzi!) i posługuje się zrozumiały dla ludzi językiem. To kluczowa inwestycja w cyberbezpieczeństwo. Jeżeli zyskamy przychylność lub co najmniej akceptację naszego otoczenia, to jesteśmy wygrani. To ten kolejny krok, który musimy wykonać.
Wszystko to można w sposób strawny pokazać, także zarządowi. Można dodać konkretne dane o kosztach niedostosowania, braku odpowiedniego systemu zarządzania ryzykiem. Są przecież na to „papiery”. Można też pokazać kary i choć nie jest to mój styl prezentowania wartości, to czasem po prostu nie da się inaczej. A czasem trzeba się sparzyć.
Tydzień temu przygotowałem broszurkę o NIS2 i AI Act – może okaże się dla Was pomocna. A jak szukacie wsparcia, to wiecie gdzie mnie znaleźć.