Cyberkultura zarządzania na PZU RED>>>
(artykuł ukazał się w Gazecie Ubzpieczeniowej 09/10/17)
Rzecz to zupełnie nie do wiary, choć specjaliści od cybersecurity doskonale o tym wiedzą, jak łatwo jest dzisiaj włamać się do systemów informatycznych dowolnej firmy czy organizacji. I nie dlatego, że nie mają one zaawansowanych programów bezpieczeństwa.
I nie przeznaczają rosnących środków na zabezpieczanie swoich zasobów przed atakami. Dzieje się tak dlatego, że najsłabszym ogniwem zabezpieczeń pozostaje zawsze On i Ona, człowiek.
Przekonać się o tej prostej prawdzie mogli uczestnicy kolejnego, już piątego Risk Engineering Days zorganizowanych przez PZU Lab 2 i 3 października w sopockim Sheratonie. Ponad 150 reprezentantów biznesu, nauki i ubezpieczeń dyskutowało o awariach przemysłowych, cyber bezpieczeństwie i budowaniu szeroko rozumianej kultury organizacyjnej.
A, że kultura organizacyjna jest ważna, świadczą liczne i powtarzane do znudzenia post-katastroficzne analizy. W 60 % cyber incydentów organizacje miały procedury zapobiegające. Ale nie ich wykorzystywały (Verizon), w 82% informacja o ataku była dostępna, lecz pozostała niezauważona li/ub nie podjęto żadnych działań. 83 % zakończonych sukcesem ataków nie było „wyszukanych”. Wnioski są oczywiste…
W trakcie jednej z prezentacji zaproszony ekspert boleśnie zademonstrował uczestnikom jak łatwo włamać się do urządzeń przenośnych, który każdy z nas ma zawsze przy sobie.
Jeszcze bardziej uczestników, ekspertów od zarządzani przybyłych nad morze z największych zakładów przemysłowych całej Polski zelektryzowała kolejna prezentacja „live”.
Pokazała jak łatwo zdobyć e-maile z samego Ministerstwa Cyfryzacji, które mogą być wykorzystane potem do klasycznego phishingu. A regułą jest jak wspomniano za chwilę, że w niechciane maile zawsze (tak!) klika co najmniej kilkanaście procent pracowników, a zwykle więcej.
Oczywiście, to tylko jedna z manifestacji cyberryzyka, o której dyskutowano na RED-zie. Należy jednak podkreślić, że co autor niniejszy uważa za szczególnie cenne, myślą przewodnią spotkania była kultura zarządzania.
Stąd nie może dziwić, że niezwykle zajmujące key note wygłosił sam Jacek Santorski, który jak wiadomo ekspertem od IT nie jest. Santorski mówił natomiast o zaufaniu, narracjach kształtujących post-rzeczywistość, czarnych łabędziach, owczym pędzie i wpływie stresu na podejmowanie decyzji.
Zainteresowanie tymi „miękkimi” tematami może świadczyć, że biznes z wielkim trudem zaczyna pojmować, że aby posłużyć się znanym sloganem z branży auto-moto. „First man then machine”…
Jeżeli ktoś sobie bowiem wyobraża, że wydanie milionów na rozbudowę działów bezpieczeństwa bez zmiany świadomości pracowników spowoduje, że organizacja będzie bardziej bezpieczna, to się po prostu myli. I swoją drogą dotyczy to nie tylko cyberryzyk ale dokładnie ryzyk wszystkich.
Oczywiście zestaw metod, technik, narzędzi jest tu szeroki, ale przede wszystkim o zarządzaniu cyber zmianą nie może być mowy bez zaangażowania najwyższego kierownictwa, które się zdaje nie zawsze rozumie „temat”. Choć, jak akurat jwynikałoby z wypowiedzi zaproszonych gości, nie dotyczy to ich organizacji…
Skoro o nich mowa, to zauważyć należy, że na RED-zie PZU, zwykle goszczą wielkie zakłady przemysłowe i tu, szczególną uwagę zwrócono w dyskusji na bezpieczeństwo urządzeń i instalacji przemysłowych. Są one dzisiaj także połączone z Siecią, co w naturalny sposób czyni je celem ataków. Ten przemysłowy Internet Of Things stanowi trudne do przecenienia zagrożenie z punktu widzenia ataków choćby na kluczową infrastrukturę. Źródła takich napaści mogą (i są) nie tylko gospodarcze, ale i polityczne i militarne.
Wśród problemów związanych z budowanie odporności w tym obszarze mówcy wskazywali między innymi na fakt, że oprogramowanie „przemysłowe” jest projektowane w innych sposób niż „informacyjne”. Cele cyber napastników są również odmienne i choćby stąd dodatkowa trudność w zapewnieniu spójności systemu bezpieczeństwa w tym obszarze.
W trakcie dyskusji pojawiła się oczywiście tematyka RODO. Choć po raz kolejny autor słysząc o tym problemie ma wrażenie, że świadomość (także autora) pozostaje tu wciąż niska. „Zobaczymy, pożyjemy”, oprócz deklarowanej wysokiej gotowości jest wciąż jedną z dominujących, żeby użyć słów Jacka Santorskiego narracji.
Wreszcie na zakończenie konferencji, przed i w trakcie jak zawsze rozmowy kuluarowe. Tak cenne w biznesie ubezpieczeniowym też były, poruszono temat sztucznej inteligencji w zarządzaniu ryzykiem. Temat AI to jeszcze niedawno zupełnie z gatunku science fiction dzisiaj już jak najbardziej realny i jak to zwykle bywa jest on źródłem nowych szans i zagrożeń i wciąż zdaje się nie ma zgody co do tego, które są większe.
PZU RED, ciekawa platforma wymiany poglądów w obszarze zarządzania ryzykiem, oby takich więcej.
Pliki cookie Aby zapewnić sprawne funkcjonowanie tego portalu, używamy pliki cookies („ciasteczka”). Jeśli nie wyrażasz na to zgody opuść portal.