Comtegra-smart-city-forum-2018
Bezpieczeństwo Blog Infrastruktura Technologie Wywiady

Comtegra: Należy mieć strategię bezpieczeństwa [wywiad]

Zapraszam na rozmowę z Michałem Siemieniukiem i Eweliną Konarzewską z firmy Comtegra S.A., integratora systemów informatycznych oraz systemów ICT, w tym również w zakresie bezpieczeństwa IT. Podczas niedawno zakończonej VIII edycji Smart City Forum firma przedstawiła ciekawą prezentację o cyberbezpieczeństwie w kontekście funkcjonowania współczesnych miast.


Bartosz Dominiak / Smart City Blog/: Rozmawiamy bezpośrednio po zakończeniu  VIII edycji Smart City Forum. Jak wrażenia?

Michał Siemieniuk /Security Business Development Manager w Comtegra S.A./: Bardzo ciekawa konferencja pokazująca kierunek rozwoju ośrodków miejskich w naszym kraju.

Ewelina Konarzewska: Poruszana tematyka pozwala na zrozumienie jak ważne jest wykorzystywanie nowoczesnych rozwiązań w bieżącym zarządzaniu miastem oraz w planowaniu jego rozwoju.

Smart city dziś stawia na pierwszym miejscu mieszkańców. Ale nie da się przy tym podejściu uciec od technologii. Jak innowacje technologiczne mogą w miastach „pracować” dla mieszkańców?

Michał Siemieniuk, ComtegraEK: Aby ludzie lepiej czuli się w przestrzeni miejskiej muszą przede wszystkim czuć się bezpieczni. Mówię tu zarówno o ich fizycznym bezpieczeństwie jak i o przekonaniu, że dane, w tym również wrażliwe dane osobowe, jakie gromadzą i przetwarzają organy miejskie, nie zostaną wykorzystane w sposób niezgodny z ich przeznaczeniem. Mieszkańcy chcą też być ważni, chcą by ich potrzeby zostały zauważone i respektowane, a z drugiej strony nie chcą tracić czasu na składanie pisemnych wniosków czy podań w urzędzie. Na te wszystkie potrzeby odpowiedzą może być technologia, która rozwija się właśnie po to, by odpowiadać na bieżące potrzeby, ale także by, biorąc pod uwagę zmiany zachodzące w społeczeństwie, adresować przyszłe wymagania.

Jednym z ryzyk, które niesie wdrażanie projektów technologicznych, jest bezpieczeństwo informatyczne. Jakie zagrożenia dla miast są najpoważniejsze?

Ewelina Konarzewska, ComtegraMS: W zasadzie całe bezpieczeństwo informatyczne opiera się na ryzyku i to jaki apetyt na ryzyko mają poszczególne organizacje. W tym wypadku mówimy o miastach i podmiotach z nimi związanych. Więc z samej definicji powinny być to podmioty o ograniczonym apetycie na ryzyko. Wracając do pytania, wydaje się że technologia coraz śmielej wkracza w aspekty naszego życia, gdzie jeszcze niedawno jej nie było, co powoduje zwiększenie liczby wektorów ataku.

EK: Nie jesteśmy w stanie przewidzieć wszystkich ataków, natomiast należy podkreślić, że ograniczenie lub brak działań w zakresie zapewnienia bezpieczeństwa jest bardzo poważnym zagrożeniem.

Czy polskie miasta mają świadomość tego typu zagrożeń? Jak sobie z nimi radzą np. w porównaniu do sektora prywatnego?

MS: O ile ze świadomością zagrożeń nie jest źle, to dużo większe zastrzeżenia można mieć do realizacji ochrony przed zagrożeniami. W porównaniu do sektora finansowego czy energetycznego miasta wraz z podległymi spółkami pozostają nieco w tyle. Jednak wydaje się, że nie jest to tylko przypadłość polska. Można tutaj podać przykład związany z atakiem związanym z oprogramowaniem WannaCry, który nie był zaawansowanym atakiem, wykorzystywał lukę w systemach Microsoft. Większość organizacji poradziła sobie z nim bez problemu, natomiast w Zjednoczonym Królestwie kilkanaście szpitali zostało ofiarami ataku i niestety musiały one czasowo zostać zamknięte, zostało odwołanych kilka operacji i miały miejsce awarie sprzętu medycznego. Jak powszechnie wiadomo szpitale nie są instytucjami, które przeznaczają znaczące środki na cyberbezpieczeństwo, a wręcz brak jest w nich środków na statutową działalność.

W jakich obszarach funkcjonowania współczesnych miast widzi Pan największe zagrożenia związane z bezpieczeństwem informatycznym?

MS: Wydaje mi się, że najpoważniejsze będą te, które dotyczą życia ludzkiego. Jest to największa wartość jaką posiadamy. Czyli na pierwszym miejscu postawił bym wszystkie miejsca, gdzie automaty będą mogły wprowadzić zagrożenie dla zdrowia i życia ludzkiego. Proszę sobie wyobrazić sytuację, w której autonomiczny pojazd zostaje porwany i zdalnie sterowany z odległej lokalizacji. Będziemy wtedy mieli powtórkę z końca sierpnia 2017 w Hiszpanii. A proszę sobie wyobrazić taką samą sytuację, kiedy aut będzie nie jedno a sto lub tysiąc. Zarządzanie taką liczbą pojazdów – komputerów wydaje się nie być niczym trudnym. Dlatego tak ważnym wydaje się odpowiednia separacja najbardziej newralgicznych systemów od sieci publicznie dostępnych.

Przyszłość miast to m.in. lawinowo rosnąca liczba danych. Jakie rozwiązania miasta mogą wdrażać, aby nie tylko te dane gromadzić, ale też z nich efektywnie korzystać. Co zrobić, aby były one bezpieczne?

MS: Jest to bardzo dobre pytanie. Historia ostatnich lat pokazała, że nawet największe firmy informatyczne na świecie mają problemy z zabezpieczeniem wszystkich danych które przetwarzają. Z drugiej strony pojawia się pytanie o to czy wszystkie dane zbierane przez miasta są wrażliwe oraz jak dużą mają one wartość. Wydaje mi się, że infrastruktura miejska powinna być ogólnie dostępna, podobnie jak drogi, parki, place zabaw. Jak powiedziałem wcześniej, należy zastanowić się, które dane powinny zostać zabezpieczane, a które publicznie dostępne. Mechanizmy zabezpieczania danych dla miast jak i innych organizacji są takie same. Oczywiście duża część pracy to odpowiednia konfiguracja i monitoring środowisk, a nie same narzędzia. Wydaje się, że odpowiednia egzekucja wraz z brakiem odpowiedniej liczby ekspertów może okazać się większym wyzwaniem niż sama technologia. Chyba pierwszy raz w historii naszego kraju wchodzimy w okres, w którym stopa bezrobocia jest tak niska, a  w branży IT w szczególności. Na myśl przychodzi mi tutaj żart w którym dwóch specjalistów zajmujących się bezpieczeństwem IT rozmawia i jeden z nich mówi, że został zwolniony z pracy. Na co drugi pyta „I co”. Pierwszy odpowiada „Najgorsze 5 minut mojego życia”. Podsumowując wydaje się, że miasta powinny zastanowić się, które dane, informacje są szczególnie cenne i tych informacji należy pilnować. Natomiast reszta powinna stanowić elementy infrastruktury ogólnie dostępnej, być może odpłatnie.

EK: Żyjemy w czasach, kiedy każdy nasz ruch w „realu” i w sieci jest odnotowywany. Dodatkowo, wciąż przybywa czujników mierzących różne elementy środowiska, w którym żyjemy. Wszystkie te dane są gdzieś przechowywane, prawdopodobnie ktoś dba o ich bezpieczeństwo. Pytanie należałoby odwrócić – czy miasta widzą potrzebę z tych danych wtórnie korzystać? Ja widzę wiele możliwości pozyskania z nich wartości dodanej – skoro dane już są to należy z nich wyciągnąć jak najwięcej informacji i wniosków.  Warto rozszerzyć zakres analiz, by były jak najbardziej przekrojowe, co więcej – warto je udostępnić publicznie, zawsze znajdą się ludzie kreatywni, którzy na taki zbiór spojrzą z zupełnie innej perspektywy i wyciągną być może zupełnie zaskakujące wnioski. Dzięki przekrojowym analizom zarządcy miast pozyskają holistyczną wiedzę o każdej gałęzi życia miasta i będą mieli podstawę do dalszego planowania.

W dyskusjach o inteligentnych miastach na świecie wskazuje się, że jednym z ich filarów są otwarte dane miejskie, oczywiście bez danych wrażliwych. Polskie miasta wciąż niechętnie dzielą się danymi z mieszkańcami czy biznesem, często z obawy o bezpieczeństwo. Czy otwieranie danych jest bezpieczne? Na jakich warunkach?

MS: Tak jak powiedziałem wcześniej. Miasta powinny zastanowić się w jakim celu chcą być smart. Do czego ma to służyć. Wydaje mi się, że otwartość danych powinna być kluczowa. To czego powinniśmy się obawiać to nieodpowiedniego używania technologii w taki sposób, który może zagrażać naszemu życiu i zdrowiu. Na dobrą sprawę każdy z nas dzieli się tak wieloma informacjami na co dzień poprzez telefony komórkowe, media społecznościowe i inne kanały komunikacji, że niektóre obawy mogą być bezpodstawne. Na pewno dobre prawodawstwo rozwiązało by dużo problemów. Urzędnicy pracujący w jednostkach samorządowych często obawiają się naruszenia przepisów prawa. Więc jasne i proste prawo zdecydowanie by pomogło w tym aspekcie.

EK: Dane, o ile nie są wrażliwe lub nie podlegają restrykcjom wynikającym z innych przepisów, powinny być publicznie dostępne. Wszelkie hakatony i inne konkursy kreatywności pokazują, że jeżeli chodzi o interpretację i wykorzystanie danych to „sky is the limit”. Czy miasto może coś stracić na otwarciu swoich danych? Nie wydaje mi się. Wystarczy zamiast dostępu do bazy macierzystej publikować zanonimizowane kopie danych.

Wracając jeszcze do Pana pytania z prezentacji, to „ile kosztuje bezpieczeństwo”?

MS: Prawidłową odpowiedzią jest: to zależy. Szereg rzeczy można wykonać poprawiając procesy czy konfigurację. Powtórzę tutaj to, co mówiłem na prezentacji. Po pierwsze należy mieć strategię bezpieczeństwa, w której mamy obszary, które chcemy zabezpieczyć. Jeżeli nałożymy na to procesy związane z zarządzaniem ryzykiem to jesteśmy w stanie poruszać się w pewnych ramach. Niestety muszę stwierdzić, że nie da się tego zrobić za darmo. Należy jednak pamiętać, że bardzo wiele można osiągnąć niskimi nakładami finansowymi. Mówię tutaj o zagadnieniach dotyczących organizacji, polityki, świadomości pracowników, procesów. Narzędzia bezpieczeństwa są na samym końcu tego łańcucha, a mając strategię bezpieczeństwa można w taki sposób realizować ochronę aby koszty były niskie. Nie zapominajmy, że diabeł tkwi w szczegółach i jakości.

Dziękuję za rozmowę.

 

Fot. Smart City Forum, Comtegra