Jak oceniać i priorytetyzować zagrożenia cybernetyczne, jak wdrażać model Zero Trust by zmaksymalizować korzyści płynące z tej architektury oraz jak zarządzać dostępem i tożsamością – tym zagadnieniom poświęcona była sierpniowa sesja strategiczna programu Security TRIBE.
W trakcie sesji na scenie wystąpiło trzech prelegentów. Bartłomiej Żaglewski, Head of IT Infrastructure w Enel-Med, omówił, jak strategiczne wdrożenie systemu zarządzania tożsamością i dostępem przełożyło się na realne korzyści dla działu IT, biznesu oraz całej organizacji. Adam Kupka z działu Cyber Defense & Operations w firmie Heineken przedstawił kompleksowe spojrzenie na zarządzanie ryzykiem cybernetycznym. Z kolei Paweł Szczodry-Wespa, Head of Information Security Department w firmie Lidl Polska, przedstawił praktyczne podejście do wdrażania architektury Zero Trust.
Korzyści z automatyczne zarządzania dostępem
Bartłomiej Żaglewski dowodził, że systemy IAM to nie tylko narzędzie techniczne, ale strategiczny filar nowoczesnej organizacji. Na przykładzie wdrożenia systemu zarządzania tożsamością w Enel-Med pokazał, że automatyzacja tych procesów przynosi wymierne korzyści w zakresie bezpieczeństwa, efektywności operacyjnej i zgodności z regulacjami prawnymi.
System IAM pełni kluczową rolę w zarządzaniu cyklem życia tożsamości cyfrowej, która, podobnie jak tradycyjna, stanowi zestaw informacji jednoznacznie identyfikujących użytkownika w środowisku IT. Zarządzanie tożsamością obejmuje cały jej cykl, od momentu utworzenia, poprzez nadanie odpowiednich uprawnień, modyfikację ich zakresu w wyniku zmian roli użytkownika w organizacji, aż po ich odebranie po zakończeniu współpracy.
Tożsamość cyfrowa jest fundamentem dla trzech kluczowych procesów: autentykacji, która potwierdza, że użytkownik jest osobą, za którą się podaje; autoryzacji, która określa, do jakich danych i aplikacji użytkownik ma dostęp; oraz audytu i zgodności, zapewniającego pełną rejestrację aktywności w celu zachowania zgodności z regulacjami takimi jak RODO czy ISO 27001.
System IAM odpowiada na codzienne wyzwania działów IT, takie jak duża liczba zgłoszeń dotyczących nadania uprawnień. Dobrze wdrożone narzędzie zarządzania dostępem wykonuje część pracy za zespół IT, automatycznie nadając uprawnienia według roli i działu oraz odbierając dostęp przy dezaktywacji konta. Tworzy jeden centralny punkt zarządzania i audytu, redukując liczbę zgłoszeń, przyspieszając onboarding i minimalizując ryzyko błędów ludzkich. Co więcej, eliminuje potrzebę nadawania wysokich uprawnień administratorom w celu zarządzania innymi użytkownikami.
Z perspektywy biznesowej IAM rozwiązuje problemy, takie jak przedłużający się okres oczekiwania na dostęp do niezbędnych narzędzi. System zapewnia, że pracownik otrzymuje wszystkie potrzebne uprawnienia już od pierwszego dnia pracy, a zmiany uprawnień przy awansach czy przeniesieniach odbywają się automatycznie. Wdrożenie uwierzytelniania wieloskładnikowego czy pojedynczego logowania dla wszystkich aplikacji zwiększa bezpieczeństwo i wygodę użytkowników. Ostatecznie przekłada się to na znaczną oszczędność kosztów operacyjnych, ponieważ redukuje liczbę zgłoszeń do Service Desku oraz czas poświęcany na ręczne zarządzanie dostępem.
Współpraca z dostawcami zewnętrznymi także staje się bezpieczniejsza. Firma serwisująca sprzęt medyczny może otrzymać dostęp tymczasowy, ograniczony do konkretnego zakresu i czasu, a każda jej aktywność jest rejestrowana. System IAM jest również nieoceniony podczas audytów; na pytanie audytora o to, kto miał dostęp do danych pacjentów w danej placówce i okresie, pozwala wygenerować precyzyjny raport jednym kliknięciem, zapewniając pełną transparentność i zgodność z regulacjami. Wdrożenie IAM pomaga także w redukcji „wiedzy plemiennej”, ponieważ procesy są zautomatyzowane i udokumentowane, dzięki czemu dostęp jest nadawany zgodnie z polityką, a nie osobistą wiedzą jednego administratora, co minimalizuje ryzyko operacyjne.
Zarządzanie ryzykiem: oczekiwania a rzeczywistość
Adam Kupka w swoim wystąpieniu poruszył tematykę odpowiedniej oceny cyberzagrożeń i działania z właściwymi priorytetami. Proces ten, definiowany przez ekspertów z IBM, NIST i Gartnera jako ustrukturyzowane podejście do identyfikacji, oceny, priorytetyzacji i łagodzenia ryzyka, stanowi fundamentalny element zarządzania w każdym przedsiębiorstwie.
Prezentacja ukazała rozdźwięk między oczekiwaniami a rzeczywistością w dziedzinie cyberbezpieczeństwa. Z jednej strony, organizacje spodziewają się rewolucji technologicznej, licząc na narzędzia obronne oparte na sztucznej inteligencji, szyfrowanie odporne na ataki kwantowe i powszechną automatyzację. Panuje optymizm, że ramy regulacyjne i międzynarodowa współpraca podniosą poziom dojrzałości cybernetycznej, a strategiczne inwestycje w talenty i technologie znacząco wzmocnią obronę.
Rzeczywistość jest jednak znacznie bardziej złożona. Cyberbezpieczeństwo to niekończący się proces, wymagający stałych inwestycji w technologię, wykwalifikowany personel i edukację. Budżety często nie nadążają za ambicjami, a całkowita eliminacja ryzyka jest niemożliwa, co zmusza organizacje do akceptacji pewnego jego poziomu. Wiele firm boryka się z brakiem pełnej widoczności i kontroli nad swoimi zasobami, napotykając na opór wobec zmian czy brak wsparcia ze strony kierownictwa. Kultura organizacyjna często nie docenia wagi cyberbezpieczeństwa, a lekceważące podejście do ryzyka trwa aż do momentu wystąpienia krytycznego incydentu.
Skalę wyzwania ilustrują alarmujące trendy. Ekspert podał statystyki, które mówią, że globalne koszty cyberprzestępczości mają osiągnąć 10,5 biliona dolarów do 2025 roku. Ransomware stanowi 27 proc. wszystkich ataków złośliwego oprogramowania, a aż 76 proc. organizacji doświadcza go co najmniej raz w roku. Jednocześnie sztuczna inteligencja, choć zwiększa możliwości wykrywania zagrożeń, sprzyja także tworzeniu zaawansowanych ataków.
W firmie HEINEKEN Kraków zadania działu Cyber Defense & Operations dotyczą przede wszystkim ochrony cyfrowych zasobów organizacji i minimalizowanie wpływu incydentów. Działania te opierają się na czterech filarach: zapobieganiu zagrożeniom, reagowaniu, monitorowaniu oraz transformacji i innowacji. Adam Kupka podkreślił, że skuteczność zależy od synergii procesów i narzędzi, takich jak testy penetracyjne, zarządzanie podatnościami, systemy SIEM/SOAR, EDR/XDR, a także kluczowych elementów wspierających, jak zarządzanie tożsamością (IAM/PAM) czy architektura Zero-Trust.
Zero Trust w praktyce
Zero Trust to model bezpieczeństwa, którego nadrzędną zasadą jest „Never trust, always verify” – każdy dostęp, niezależnie od pochodzenia, wymaga ciągłej i rygorystycznej weryfikacji tożsamości, kontekstu oraz uprawnień. Paweł Szczodry-Wespa podkreślał, że Zero Trust to znacznie więcej niż tylko bezpieczny dostęp. To holistyczna strategia obejmująca także bezpieczne stacje robocze, tożsamość zarządzaną w chmurze, bezhasłową autentykację, klasyfikację danych oraz stosowanie uwierzytelniania wieloskładnikowego dla użytkowników zewnętrznych. Ostatecznym celem jest osiągnięcie stanu, w którym bezpieczeństwo opiera się na ciągłej weryfikacji i obserwacji sześciu kluczowych filarów: tożsamości, urządzeń, infrastruktury, aplikacji, sieci i danych.
Motywacją do wdrożenia tak zaawansowanego modelu są współczesne wyzwania, przed którymi stają organizacje. Hybrydowy model pracy, rozproszone zasoby (zarówno lokalne, jak i chmurowe) oraz rosnąca liczba i złożoność cyberataków, takich jak phishing, ransomware czy ataki na łańcuch dostaw, sprawiły, że tradycyjne metody ochrony stały się niewystarczające. W nowej rzeczywistości to tożsamość i urządzenie stały się „nowym perymetrem” bezpieczeństwa. Dodatkowo, rosnące wymogi regulacyjne i audytowe wymagają mierzalnych kontroli, a filozofia „zakładaj naruszenie” wymusza budowanie systemów odpornych na incydenty, a nie tylko im zapobiegających.
Architektura Zero Trust opiera się na kilku fundamentalnych założeniach. Przede wszystkim, wszystkie zasoby traktowane są jako chronione, a bezpieczeństwo staje się niezależne od lokalizacji fizycznej. Dostęp do zasobów jest przyznawany dynamicznie, na podstawie oceny ryzyka dla każdej pojedynczej sesji, a nie na stałe. Cała sieć, włącznie z segmentami wewnętrznymi, jest traktowana jako potencjalnie wroga i niezaufana, co oznacza, że każde połączenie musi być szyfrowane i uwierzytelniane. Systemy bezpieczeństwa muszą nieustannie monitorować stan zasobów i zachowanie użytkowników, aby na bieżąco zbierać i analizować dane, co pozwala na dynamiczną autoryzację i uwierzytelnianie.
Wdrożenie Zero Trust w firmie Lidl w praktyce zostało podzielone na trzy kluczowe obszary: dostęp do internetu, dostęp do zasobów prywatnych oraz dostęp do sieci. Kluczową zmianą było przejście z tradycyjnych rozwiązań VPN na nowoczesne podejście Zero Trust Network Access. W przeciwieństwie do VPN, które łączy użytkownika z całą siecią wewnętrzną, ZTNA łączy użytkownika wyłącznie z konkretną aplikacją, do której potrzebuje dostępu. Decyzja o przyznaniu dostępu w modelu ZTNA jest dynamiczna i opiera się na tożsamości użytkownika oraz stanie bezpieczeństwa jego urządzenia, a każda aplikacja jest traktowana oddzielnie.
Taka architektura przynosi wymierne korzyści. Przede wszystkim eliminuje powierzchnię ataku, ponieważ aplikacje nie są widoczne z internetu i nie ma otwartych połączeń przychodzących. Skutecznie zapobiega również ruchom bocznym wewnątrz sieci, gdyż użytkownik nie jest jej częścią, a sieć pełni jedynie rolę warstwy transportowej. Dzięki inspekcji treści i wymuszaniu polityk bezpieczeństwa system zapobiega naruszeniom i utracie danych. Proces wdrożenia takiego rozwiązania jest jednak czasochłonny i, jak pokazuje przykład, może zająć ponad rok, obejmując fazę koncepcyjną, implementację sprzętową, wdrożenie w oddziałach oraz wycofanie starych technologii.
Partnerami programu Security TRIBE są firmy Cloudware, Crowdstrike, Fortinet, HP Enterprise i HPE Aruba Networking.