Klucz do cyberbezpieczeństwa

 

O bezpieczeństwie i automatyzacji pracy w chmurze mówi Cezary Wieczorek, wiceprezes Cloudware Polska.

 

Kwestie cyberbezpieczeństwa przy tworzeniu oprogramowania, w tym przy wdrażaniu rozwiązań automatyzujących rozmaite procesy, wydają się obecnie oczywiste. Coraz powszechniejsze wydaje się też podejście Security as Code. Czy rzeczywiście tak jest?

Cezary Wieczorek: Zdecydowanie tak. Jako Cloudware, oprócz tego, że jesteśmy m.in. integratorem rozwiązań bezpieczeństwa, jesteśmy również producentem oprogramowania. Dzięki temu dobrze znamy oba te obszary. Faktycznie, Security as Code jest coraz częściej spotykane. Zaczęliśmy budować oprogramowanie, wykorzystując konteneryzację i metody agile, żeby nasz biznes szybko i sprawnie przekuwać w aplikacje. Pamiętaliśmy jednak, że bezpieczeństwo musi nadążać za produkcją oprogramowania.

Przez jakiś czas po zbudowaniu całej aplikacji, czyli na końcu procesu, testowaliśmy ją na wszystkie sposoby. Obecnie dzięki DevSecOps już od początku, kiedy zaczynamy pisać oprogramowanie, mamy możliwość wkomponowania testowania aplikacji, testowania kodu. Co oznacza, że testowanie statyczne, testowanie dynamiczne, testowanie image’u, potem już testowanie działającego kawałka aplikacji dzieje się praktycznie od startu. Kilka lat wcześniej tego nie było. Takie technologie działają już od jakiegoś czasu i coraz więcej firm na nowo projektuje bezpieczeństwo, od samego początku. Przynajmniej tak powinno być w założeniu.

 

Wdrożyli państwo i stosują u siebie Security as Code jako, powiedzmy, DNA organizacji. Proszę powiedzieć, czy z Pana doświadczenia wynika, że rynek też w ten sposób zaczął myśleć o bezpieczeństwie, czy raczej nadal jest to życzenie dalekie od realizacji?

Piszemy oprogramowanie od zera, również dla klientów. Musimy zwracać uwagę na oczekiwania klientów oraz ich architekturę informatyczną, dość nowoczesną, opartą na platformach kontenerowych takich jak RedHat OpenShift w zasadzie by design. Klienci chcą, żeby aplikacja była w ten sposób tworzona i od startu bezpieczna. Oczywiście, całkowicie bezpieczna nigdy nie będzie, bo rzeczywistość wciąż się zmienia. Fakt, że jesteśmy bezpieczni dzisiaj, nie oznacza, że będziemy bezpieczni jutro. Umiejętność odpowiedniego zabezpieczenia tego, na czym opieramy działalność naszej firmy, również produkowaniu software, jest niezwykle istotna, gdyż ataków pojawia się naprawdę dużo.

 

Cloudware przywiązuje ogromną wagę właśnie do kwestii cyberbezpieczeństwa, chociażby przez implementację Security as Code. Proszę powiedzieć, na co zwracać uwagę, myśląc o automatyzacji procesów? Kiedy temat cyberbezpieczeństwa powinien się pojawiać w firmach, które tę automatyzację wdrażają?

Automatyzacja procesów to również budowanie nowej aplikacji, wykorzystując już gotowe frameworki i rozwiązania, takie jak IBM Cloud Pak for Business Automation. Gdy planujemy coś takiego wykonać, podchodzimy do tego w podobny sposób jak do budowy aplikacji, z tą różnicą, że nie trzeba skanować kodu – jest on dla nas generowany przez automaty. Ważna jest cała otoczka, to, z czym ten nasz ucyfrowiony proces będzie się porozumiewał wewnątrz czy na zewnątrz firmy. Ważne, żeby przygotowując projekt, już od momentu startu wiedzieć, gdzie, z kim ten proces się łączy, kto go obsługuje, kto ma do niego prawo.

Bezpieczeństwo powinno być składnikiem mapy procesu, i to w różnych aspektach – choćby kwestia związana z jakimś podejrzeniem ataku. Nawet jeśli coś się wydarzy, musimy wiedzieć, jak się zachować po ataku, a nie panikować. Chodzi o rozwiązania typu IBM Reselient. Są to określone czynności, jakie należy wykonać po danym ataku. To Run Booki, które nam mówią: jak jest taki atak, to w danym obszarze trzeba wykonać całą sekwencję jakichś czynności, tu wysłać e-maila, tu kogoś odłączyć, tu komuś coś zmienić, np. adres, kogoś zablokować. To wszystko musi być wkomponowane w proces, żeby nie był odłączony od naszych systemów bezpieczeństwa, żeby nie był on samoistnym bytem podatnym na zagrożenia. Proces musi zakładać, że nasza architektura IT jest w dany sposób obsługiwana, jeżeli chodzi o bezpieczeństwo. To musi uwzględnić projektant, architekt, który buduje nam proces.

 

A jak Cloudware może wspierać firmy w obszarze zabezpieczeń przed cyberatakami?

Oprogramowanie, które produkujemy, jest bezpieczne, to oczywiste. Możemy również pomóc klientowi, który sam sobie pisze oprogramowanie, wdrożyć ten cały zestaw rozwiązań, metodologii, które jego własną produkcję oprogramowania uczynią bezpieczną. Innymi słowy, jeżeli ktoś korzysta z kontenerów, czyli np. z RedHat OpenShifta, buduje swoje oprogramowanie biznesowe metodami Agile’owymi, mikroserwisami, to możemy mu pomóc ten cykl wytwórczy, tzw. pipe CI / CD, jeszcze wzbogacić w tzw. CC, czyli Continuous Compliance. Oprócz tego, że mamy integration i development, to jeszcze mamy compliance, który na bieżąco sprawdza czy to co wytwarzamy jest to bezpieczne. Czyli możemy po prostu przygotować kliencką fabrykę oprogramowania, żeby produkowała bezpieczny software.

Należy jednak pamiętać, że cyberbezpieczeństwo to nie tylko bezpieczne oprogramowanie, ale cała otoczka bezpiecznej infrastruktury. To bezpieczny cloud w połączeniu z tym, jak zaprojektujemy sobie CI / CD, całą naszą produkcję, żeby była bezpieczna. Wszystkie te rozwiązania można wykorzystywać z chmury np. IBM Cloud, gdzie wszystkie ww. testowania (aktywne, pasywne) można podłączyć jako usługi, które na bieżąco będą nam wszystko zbierać, podłączać się i działać w odpowiednim momencie procesu twórczego. Jesteśmy w stanie to zaprojektować.

Człowiek jest najsłabszym ogniwem bezpieczeństwa, może to być pracownik firmy lub intruz. Ważne, żeby być przygotowanym każdego dnia, w każdej minucie, że coś się może wydarzyć. Być tego świadomym. Warto przeprowadzić szereg sekwencji testowych, ataków symulowanych różnymi powszechnie stosowanymi metodami i zobaczyć, co jest podatne, czy którąś ścieżką faktycznie można się włamać. Możemy pomóc w takim atakowaniu samego siebie, żeby się przetestować, sprawdzić, oczywiście bez końcowych efektów ubocznych. To pomoże klientowi zrozumieć krok po kroku, jak się przeprowadza atak i próbnie go przeprowadzić. Potem klient może sobie sam przeprowadzać atak każdego dnia albo co tydzień. W ten sposób sprawdzi, czy naprawdę jest bezpieczny. Potwierdzi, że wszystkie zapory ogniowe i wszystkie inne zabezpieczenia faktycznie działają.

 

Czy wykorzystują państwo sztuczną inteligencję?

Oczywiście, wdrażamy również rozwiązania oparte na sztucznej inteligencji. Może się ona nauczyć, co to znaczy, że nasza firma jest bezpieczna i jak działa nasza architektura IT, gdy panuje pokój oraz gdy jest wojna. Wtedy też metody uczenia maszynowego wbudowane w rozwiązania, które wdrażamy, powodują, że udaje się dużo łatwiej zapanować nad sytuacją i dużo sprawniej reagować na zagrożenia. Nie sztuką jest reagowanie na wszystko, co nawet nie jest atakiem. W takich obszarach oferujemy pomoc, możemy wdrożyć IBM Cloud Pak for Security z rozwiązaniami Resilient oraz Qradar, bo są to właśnie rozwiązania, które pomagają zarządzić odpowiednio atakiem, żeby potyczka rozegrała się na naszą korzyść.

 

Czyli mają państwo ofertę właściwie na każdy etap – zarówno przy powstawaniu, jak i już utylizacji oprogramowania, na etapie programowania i użytkowania. Jeżeli dobrze rozumiem, to nie jest tak, że Państwo świadczą tylko usługę testowania firmy. Dostarczacie również narzędzia, którymi firma może już samodzielnie przeprowadzać takie testy bezpieczeństwa...

Tak, np. rozwiązanie IBM Cloud Pak for Security doposażamy w rozwiązania takie jak Pentera, które pomagają zrozumieć, którędy może nam coś wpaść przez okno.

 

No tak, a teraz tych wektorów jest ogrom. Rzeczywiście, wiedzieć, mieć świadomość tego, z której strony może nastąpić atak, to jest klucz do bezpieczeństwa. Wspomniał pan kilkakrotnie o rozwiązaniach IBM, proszę powiedzieć, jakie najciekawsze rozwiązania może zaoferować IBM Hybrid Cloud Managment and Buisness Automation?

Może nawiążę do tego, o czym mówiliśmy, odnosząc się do procesów, bo to naprawdę ciekawy aspekt. W zasadzie każda firma ma jakiś proces biznesowy, wszystko jest teraz procesem, mniejszym, większym, mniej lub bardziej skomplikowanym. Ale trzeba też zrozumieć, jak dana firma działa, opierając się na procesach, nawet jeśli nie wie, że ma procesy. Weźmy pod uwagę process automation i rozwiązania typu process mining – firma chciałaby coś usprawnić, coś przyśpieszyć, coś zrozumieć, coś umieć liczyć tak, żeby móc to zoptymalizować. W takim przypadku np. rozwiązanie IBM Process Mining jest w stanie wniknąć w DNA firmy, pozwolić nam zrozumieć firmę i te procesy w jakiś sposób pokazać, uzmysłowić, gdzie one są. Mówimy o sytuacji, gdy nie ma tego typu działania w firmie, czyli działania procesowego. Możemy szybko coś zrobić, żeby tę firmę oprocesować, żeby ją usprawnić, żeby działało to wszystko szybciej, efektywniej. Żeby nowe rozwiązania biznesowe mogły być wdrażane. IBM Process Mining jednocześnie radzi, co z tym możemy zrobić dalej, czy ten proces uda się zautomatyzować, czy należy go w jakiś sposób usprawnić, czy może go trzeba raczej zrobotyzować, bo czegoś brakuje. Nie wolno zapominać o automatyzacji, robotyzacji. IBM Process Mining jest w stanie nam doradzić, co będzie lepsze i dlaczego. Tu warto zwrócić uwagę na portfolio produktowe IBM Cloud Pak for Business Automation.

Hybrid Cloud Managment, o którym Pan wspomniał, to jest w zasadzie konik Cloudware – nazwa nas obrazuje, jesteśmy przy tym cloudzie, żeby klientowi pomagać stworzyć u siebie cloud hybrydowy. Czyli nie mówimy klientowi, że ma wynieść wszystko do chmury publicznej i tyle. Mówimy, jak wykorzystać najlepiej to, co już ma u siebie i z czego skorzystać z chmury publicznej, żeby to wszystko usprawnić. Tu w grę wchodzi hybrydowość, czyli zarządzanie tym, co mamy u siebie i co mamy nie u siebie. Oczywiście, pamiętając o bezpieczeństwie. Rozwiązania muszą być dostosowane do tego, że coś jest gdzieś publicznie współdzielone, być może widzialne przez innych, i to też trzeba odpowiednio zabezpieczyć. W kwestii zarządzania tą hybrydowością, opierając się chociażby na Red Hat’owym OpenShift, czy też Cloud Pak for Security, który jest do tego podłączony, możemy sporo pomóc, doradzić. Mamy na koncie sporo wdrożeń, którymi możemy się pochwalić. Naprawdę te technologie zostały sprawdzone w różnych projektach, u wielu klientów. Jeżeli uruchamiamy jakiś nowy biznes, nie musimy się obawiać, że nam pokrzyżują plany.

 

Czy są jakieś sektory, branże, do których szczególnie kierują państwo swoją ofertę? A może jest to oferta uniwersalna?

W pewnym sensie jest to oferta uniwersalna. Jak wiadomo, dojrzałość informatyczna firm jest bardzo różna. Oczywiście, potrafimy się dostosować i doradzić firmie, która ma mniej technologii w swoich zasobach, prostszą informatykę. Cloudware głównie współpracuje z firmami z sektora bankowego oraz telekomunikacyjnego, w których informatyka jest naprawdę dojrzała, i możemy doświadczenia z tych dwóch sektorów przenosić na inne branże. Dobrze rozwija się też sektor publiczny, jest tam sporo inwestycji w naszej polskiej rzeczywistości i tutaj również działa Cloudware. Możemy się pochwalić kilkoma referencjami z tego sektora. Generalnie działamy w wielu branżach, w grę wchodzą również retail, czyli handel, a także przemysł. Wymieniłem branże z którymi współpracujemy najwięcej. Ale działamy też w innych branżach, ponieważ tak jak powiedzieliśmy na początku, bezpieczeństwo czy kwestie procesów oczywiście w jakimś aspekcie różnią się, w zależności od sektora, ale core jednak jest ten sam. To tylko kwestia trochę innego zaadresowania tej technologii, jednak w tym aspekcie również mamy sporo doświadczenia. Możemy w zasadzie działać cross sektorowo.

 

Serdecznie dziękuję za rozmowę.

 

Rozmawiał Łukasz Suchenek.