Zalety zsynchronizowanej ochrony

Im więcej narzędzi zabezpieczających udostępnia zgromadzone informacje w systemie zsynchronizowanej ochrony w czasie rzeczywistym, tym większa korzyść z ich wzajemnej łączności. Największą zaletę stanowi zdecydowane skrócenie czasu reakcji na incydent i neutralizacji jego skutków: średnio z 3,3 godziny do 8 sekund. W ten sposób wyeliminowany zostaje żmudny proces identyfikowania i naprawiania zainfekowanych stacji roboczych. Automatyzacja reakcji na ataki umożliwia także szczegółową analizę całej infrastruktury w kontekście przebiegu zdarzeń, dzięki czemu łatwiej zapobiegać występowaniu podobnych incydentów w przyszłości.

Tego typu taktyka postępowania jest też bardzo ważna ze względu na fakt, że – według badań – menedżerowie IT nie są w stanie zidentyfikować aż 45 proc. ruchu w firmowych sieciach. Z tego powodu nie mogą zablokować złośliwego kodu, wskutek czego przepływa on przez sieć w niekontrolowany w sposób. Zsynchronizowana ochrona jest prostym, eleganckim rozwiązaniem tego problemu. Urządzenie końcowe zawsze wykryje, z jaką aplikacją ma do czynienia, nawet jeśli cyberprzestępcy próbują ukryć ją przed zaporą sieciową, aby uniknąć zablokowania. Wymiana w czasie rzeczywistym informacji o tożsamości aplikacji ułatwia identyfikację całego ruchu na zaporze sieciowej, dzięki czemu zespół IT odzyskuje pełną kontrolę nad siecią. Dodatkową zaletę rozwiązania stanowi eliminowanie ruchu niezwiązanego z pracą, czego efektem jest przyspieszenie działania aplikacji biznesowych.

W ten sposób zabezpieczona może zostać także komunikacja wdrożonych w firmie narzędzi ochronnych z urządzeniami mobilnymi używanymi przez pracowników. Podczas podróży podłączane są do wielu różnych sieci, chronionych lub nie, co zwiększa ryzyko zarażenia złośliwym oprogramowaniem. W tej sytuacji warto  instalować na smartfonach i tabletach aplikację do zarządzania nimi, która – po podłączeniu tych urządzeń do firmowej sieci – będzie wysyłała informacje dotyczące bezpieczeństwa do punktów dostępowych sieci bezprzewodowej za pomocą protokołu Security Heartbeat.

Autoryzowanymi dystrybutorami rozwiązań Sophos w Polsce są: AB, Konsorcjum FEN i S4E.

Artykuł Zsynchronizowana ochrona w połączonym świecie pochodzi z serwisu CRN.

Rozliczenie partnerów MSP z Sophosem odbywa się w modelu abonamentowym, w cyklach miesięcznych. Producent rekomenduje, by w podobny sposób dokonywali płatności ich klienci. Główną korzyścią płynącą z tej formuły rozliczeń jest to, że zamiast jednorazowych, negocjowanych przez długi czas kontraktów jest nawiązywana długotrwała współpraca, w której ramach kontrahenci lepiej poznają swoje potrzeby, a dostawcy usług mogą na bieżąco dostosowywać ofertę do oczekiwań klientów. Wpływa to pozytywnie na lojalność klientów, ułatwia pozyskiwanie nowych, a oprócz tego gwarantuje firmie IT stały zysk. Otwiera również drogę do sprzedaży innych rozwiązań marki Sophos, w tym narzędzi do ochrony urządzeń końcowych lub firewalli nowej generacji.

Dla dostawców usług zarządzanych i ich klientów dostępne są zasoby chmurowego portalu Sophos Central. Klienci mogą m.in. zweryfikować w nim stan kwarantanny wiadomości poczty elektronicznej, zarządzać kluczami szyfrującymi i zarejestrować urządzenia mobilne, z których będą korzystać w trybie BYOD. Z kolei partnerzy za pomocą portalu są w stanie zarządzać kontami klientów i przypisywać każdemu z nich licencje (również masowo, z wykorzystaniem szablonów). Dodatkowo mogą w ten sposób generować licencje testowe i reguły polityki bezpieczeństwa, w tym tworzenia i wysyłania ostrzeżeń.
Firmy zainteresowane udziałem w programie MSP powinny zarejestrować się na stronie www.sophos.com/msp. Po uzyskaniu dostępu do portalu partnerskiego wybrani pracownicy będą zobowiązani do ukończenia szkoleń sprzedażowych (Sales Fundamentals i Sophos MSP Connect 
– Sales Consultant). Kolejnym krokiem jest nawiązanie w tym modelu współpracy z autoryzowanym dystrybutorem (Konsorcjum FEN), który będzie zajmował się dostawą sprzętu, wystawianiem faktur dla partnera i rozliczaniem z producentem.

Artykuł Sophos: chronimy wspólnie z partnerami pochodzi z serwisu CRN.

Jakub Jagielak, dyrektor ds. rozwoju cyberbezpieczeństwa, Atende
Mariusz Kochański, dyrektor Działu Systemów Sieciowych i członek zarządu, Veracomp
Maciej Kotowicz, Channel Account Executive, Sophos
Łukasz Nowatkowski, CTO i CMO, G DATA Software
Mateusz Pastewski, Cybersecurity Sales Manager, Cisco Systems
Paweł Rybczyk, Territory Manager CEE & CIS, Wallix

Na początek wypowiedzi uczestników w filmowej relacji ze spotkania

CRN Jak w ostatnich kilku latach zmieniał się segment cyberbezpieczeństwa? Jak w związku ze wzrostem zagrożeń ewoluuje podejście do ochrony systemów IT?

Mariusz Kochański Kiedyś retoryka, którą uprawialiśmy wobec klientów, była taka: jeśli kupisz to rozwiązanie i tamto, to ci się nie włamią. Wszyscy dostawcy byli w tym spójni. Od dobrych kilku lat możemy obserwować zmianę przekazu. Dziś wobec wielkiej skali zagrożeń brzmi on: każdy zostanie zaatakowany i te firmy i instytucje, które będą na to przygotowane, wcześniej zorientują się, że dzieje się coś złego. A rozpoznanie ataku jest obecnie znacznie trudniejsze niż kiedyś, bo pojawiły się zupełnie nowe rodzaje zagrożeń, polegające chociażby na wycieku danych czy przejmowaniu mocy obliczeniowej. W rezultacie żaden producent nie daje dziś gwarancji „kup moje rozwiązanie i na 100 proc. będziesz zabezpieczony”. A takie przypadki, jak niedawno ujawniony wyciek danych z British Airways i rekordowa, sięgająca niemal 200 mln funtów kara dla tych linii lotniczych, pokazują, że nawet przedsiębiorstwa z wielkim budżetem na ochronę IT nie mogą dziś czuć się bezpiecznie. Z drugiej strony wzrasta u nas świadomość zagrożeń, na co mają wpływ odgórne inicjatywy – nowa ustawa o krajowym systemie cyberbezpieczeństwa i lista firm o infrastrukturze krytycznej. Kiedyś ochrona była domeną tylko informatyków, a teraz także urzędnicy zaczynają się zastanawiać, co by się stało, gdyby ich miasto padło ofiarą jakiegoś ataku.

Maciej Kotowicz Akcenty w rozmowach z klientami przesuwają się z zabezpieczania przed czymś na minimalizowanie skutków. Inaczej mówiąc, użytkownik jest coraz bardziej świadomy, że może być zaatakowany, i chce wiedzieć, co się w związku z tym może stać. Kilkanaście lat wcześniej nasze próby edukowania klientów i tłumaczenia, że kupowane rozwiązanie nie zapewni im w pełni bezpieczeństwa, bo zawsze może coś się stać, i że jest jeszcze potrzebna polityka bezpieczeństwa, nie zawsze spotykały się ze zrozumieniem. Dziś mam wrażenie, że klientów uświadamiać już nie trzeba. Raczej dyskutować z nimi, czy ich polityka jest dobrze skonstruowana, co jeszcze trzeba w niej zmienić i o co ją rozszerzyć, wykraczając także poza obszar IT.

Paweł Rybczyk Dziś, przystępując do rozmów z klientami, w wielu wypadkach można nawet przyjąć założenie, że oni już są zaatakowani, i zapytać ich, czy zdają sobie z tego sprawę. To duża zmiana. Poza tym kiedyś jako zabezpieczenie kupowało się pojedyncze produkty, a dziś takie podejście niczego nie rozwiązuje. Skuteczne będą dopiero narzędzia złożone w pewien ekosystem, który dostarczy i stworzy integrator ze swoją wartością dodaną. Nowością jest automatyzacja w poszukiwaniu zagrożeń, bez której trudno byłoby sobie poradzić z tak wielkim jak obecnie wolumenem danych.

Z mojej perspektywy sytuacja stała się lepsza dzięki RODO, ponieważ część prezesów zapragnęła mieć pewnego rodzaju bilans otwarcia w kontekście bezpieczeństwa IT. To spowodowało, że wzrosła liczba audytów, firmy zaczęły sprawdzać, w którym miejscu się znajdują.
Paweł Rybczyk, Territory Manager CEE & CIS, Wallix

A więc już nie tylko prewencja, lecz także umiejętność reagowania na atak, który prędzej czy później musi nastąpić. Radzenie sobie z nim w taki sposób, by szkód nie było albo były minimalne. W jaki sposób się to robi?

Jakub Jagielak Klienci, z którymi rozmawiamy i próbujemy wspólnie ustalać strategię bezpieczeństwa, zwykle dochodzą do wniosku, że trzeba ją podzielić na trzy obszary: prewencji, detekcji i odpowiedzi na to, co ewentualnie się wydarzy w rezultacie ataku. Zauważam, że prewencji nie poświęca się już tak dużo uwagi jak pozostałym dwóm. Wynika to z tego, że dziś trudno nawet ustalić, kiedy, kto, jak i po co może przeprowadzić atak. Są przecież i tacy, którzy robią to tylko dla sportu, szkoląc się w przełamywaniu zabezpieczeń. Za to detekcja, a zwłaszcza odpowiedź na atak pochłaniają obecnie najwięcej czasu. W przypadku detekcji producenci oferują naprawdę dobre rozwiązania, które skutecznie podnoszą poziom bezpieczeństwa. Najwięcej do zrobienia jest w obszarze odpowiedzi na atak i tutaj dużą rolę odgrywają automatyzacja procesów i odpowiednie kadry.

Mateusz Pastewski Przy czym klienci dochodzą do wniosku, że dodawanie kolejnych warstw i rozwiązań wcale nie musi w znaczący sposób zwiększać bezpieczeństwo. W pewnym momencie zawsze pojawia się kwestia zarządzania ryzykiem i tego, czy rzeczywiście dysponuje się odpowiednimi kadrami i procesami zdolnymi obsłużyć takie skomplikowane środowisko. Niektórzy polscy klienci, z którymi rozmawiamy, mają u siebie rozwiązania nawet 20–25 różnych producentów rozwiązań zabezpieczających. Nasuwa się więc pytanie, jak w efektywny sposób zarządzać chociażby alarmami generowanymi przez te systemy. To właśnie w tym obszarze można ostatnio zaobserwować największą zmianę w świadomości polskich klientów. Żeby nie patrzeć na rozwiązania i problemy silosowo, w oderwaniu od siebie, tylko przez procesy, polityki i narzędzia, próbować radzić sobie z realnym wyzwaniem, jakim jest cyberbezpieczeństwo.

Mam jednak wrażenie, że o heterogeniczności środowiska inaczej będzie mówić dostawca, który wychodzi do rynku z bogatą ofertą bezpieczeństwa, a inaczej producent specjalizowanego, punktowego rozwiązania…

Paweł Rybczyk Nie chodzi o to, że jedna marka musi zastąpić wiele innych. Moim zdaniem jednoczesne wykorzystywanie wielu rozwiązań różnych producentów nie jest takim problemem jak braki w obszarze strategii bezpieczeństwa. Polscy klienci nie tworzą wieloletnich strategii, w których ramach byłyby dobierane nie tyle produkty, ile narzędzia pozwalające im zwiększać ochronę.

Mateusz Pastewski Zgadza się. Security jest tak wielką branżą, że nie ma jednego dostawcy, który może pójść do klienta i powiedzieć, że może rozwiązać wszelkie jego problemy z bezpieczeństwem. Zresztą nikt by nie chciał, żeby taki producent funkcjonował. Jesteśmy skazani na to, żeby się integrować w ramach jednego ekosystemu.

Wykorzystując model MSSP, integrator może mówić do klienta, który nie ma zasobów i ludzi: nie musisz kupować na własność najlepszych produktów, bo to ja rozwiążę twój problem związany z bezpieczeństwem. Do wynajmowanego produktu partner może dodawać swoją usługę.
Mateusz Pastewski, Cybersecurity Sales Manager, Cisco Systems

Mariusz Kochański Nie ma jednoznacznej odpowiedzi na pytanie, czy iść w kierunku systemu bardziej homogenicznego i unikać wielu vendorów, czy przeciwnie, kierować się zasadą „best of breed” i dobierać najlepsze w swojej klasie rozwiązania, nie oglądając się na to, że pochodzą od różnych producentów. W tym pierwszym przypadku zyskuje się bardziej zunifikowane interfejsy, można się łatwiej wyszkolić, ale trzeba się liczyć z ryzykiem, że producent nie dopracował wszystkich swoich rozwiązań, bo zarabia na wielu. W tym drugim przypadku można się spodziewać, że producenci tylko jednego rozwiązania dbają o to, by było jak najlepsze, bo tylko z niego mają pieniądze, ale dokładanie kolejnych marek do systemu skutkuje trudniejszą integracją i wieloma certyfikacjami, które trzeba zrobić, a potem jeszcze odnawiać. Ale jeśli nie ma jednoznacznej odpowiedzi, to trzeba po prostu iść do klienta, poznać jego potrzeby i przedstawić mu różne scenariusze.

Jakub Jagielak Integrator ma za zadanie dostarczyć klientowi kompleksowe rozwiązanie ochronne. Problem w tym, że na rynku znajduje się ogromna liczba produktów – szacuje się, że Polsce jest ich oferowanych grubo ponad tysiąc. Ta sytuacja ma swoje odbicie w infrastrukturze funkcjonującej u klientów. Średnio każdy z nich ma wdrożonych około 25 rozwiązań od różnych dostawców. Po pierwsze, trudno zarządzać takim skomplikowanym środowiskiem. Po drugie, jest ono bardziej podatne na awarie, a po trzecie, jeśli rozwiązania są od różnych producentów, to bardzo rzadko się wzajemnie komunikują. Dlatego rolą integratora jest zaprojektowanie systemu tak, by ograniczyć liczbę dostawców i sprawić, by wdrożone rozwiązania wymieniały z sobą informacje w celu zwiększenia poziomu bezpieczeństwa. Umiejętne skonstruowanie takiego systemu polega na tym, żeby ochrona w poszczególnych obszarach – punktach końcowych, serwerach czy sieci – była z sobą skorelowana i dawała spójny obraz zagrożeń i ich skuteczną detekcję. Dołożenie kolejnego rozwiązania nie musi skutkować podniesieniem poziomu bezpieczeństwa. Stąd bardzo istotna jest umiejętność dobrania odpowiednich narzędzi do konkretnego przypadku.

Wyrażone na początku opinie potwierdzają wzrost świadomości klientów. Mam jednak wrażenie, że chodzi o duże przedsiębiorstwa, a z tymi mniejszymi wcale nie jest tak dobrze. I wcale nie chodzi mi o te najmniejsze, w których ochrona zaczyna się i kończy na darmowym antywirusie…

Łukasz Nowatkowski Absolutnie się z tym zgadzam. Firmy używające do 100 komputerów często zupełnie nie zdają sobie sprawy, co się dzieje w ich sieciach. Nie mają świadomości zagrożeń i wprowadzonych polityk bezpieczeństwa. A jeśli ustawa RODO narzuca karę nawet 4 proc. od rocznych obrotów za wyciek danych osobowych, to czy nie znajdzie się haker, który takie dane ze źle chronionego przedsiębiorstwa wykradnie i zaproponuje, że nikt się o tym nie dowie za ułamek ustawowej kary? W przypadku małych firm ataki ransomware to dzisiaj katastrofa. Nie mają backupu, a jeśli już, to na tym samym serwerze co podstawowe dane. Tyle mówi się teraz o ukierunkowanych atakach, ale dotyczą one tylko dużych firm. A tak naprawdę atakowane jest wszystko, bo cyberprzestępcy nie są wybredni. Małe przedsiębiorstwa padają ofiarą ataku, bo – dajmy na to – prezes chce mieć otwarty port RDP do swojego serwera. Dlatego tacy klienci wciąż muszą być edukowani i powinny docierać do nich firmy, które zaoferują im usługi zarządzane w modelu MSSP (Managed Security Service Provider). Nie ma obecnie lepszego, a w zasadzie żadnego innego rozwiązania dla nich. Małej firmy nie stać na zatrudnienie własnego specjalisty od bezpieczeństwa. A taki jest potrzebny, bo jeden informatyk od wszystkiego nie wystarczy.

O skutkach cyberataków trudno usłyszeć – nikt się tym nie chce chwalić. Bo dla firmy to strzał w kolano, a dla jej CSO – ujma na honorze. Mimo że weszła ustawa, która ma zmusić wszystkich do ujawnienia, że był wyciek. Dlatego trzeba więcej mówić o skutkach ataków.
Łukasz Nowatkowski, CTO i CMO, G DATA Software

Mariusz Kochański W sektorze małych przedsiębiorstw nie ma już dzisiaj dylematów, czy pracownikom trzeba kupić komputery, czy telefony komórkowe. Jeśli zaś chodzi o bezpieczeństwo, to nie doczekaliśmy się jeszcze tego, by właściciel niewielkiej firmy traktował koszt z nim związany na równi z kosztem benzyny czy wynajmu lokalu. Zanim tak się stanie, ktokolwiek zwróci się do niego – czy to będzie jego informatyk, czy firma zewnętrzna – usłyszy pytanie: po co mi to i dlaczego tak drogo? Rozmowa będzie trudna, bo on nie zdaje sobie sprawy, ile może stracić, jeśli firma nie będzie zabezpieczona. I to niekoniecznie musi oznaczać, że zadziała marketing polegający na straszeniu klienta. Właściciel małej firmy ponosi tylko te koszty, co do których jest przekonany. Trzeba się sporo natrudzić, by za takie uznał te związane z bezpieczeństwem. Co może się wydać zabawne, pomyśli o ochronie firmy dopiero wtedy, gdy ransomware zainfekuje telefon jego dziecka i przepadną rodzinne zdjęcia z wakacji.

Jakub Jagielak Właśnie tak to działa. Ludzie nie boją się tego, że utracą dane firmowe, tylko prywatne, i jest to potwierdzone badaniami.

Paweł Rybczyk Nie ma wiele sensu tłumaczenie małej firmie, która ma jednego informatyka albo nie ma go wcale, złożonych problemów związanych z bezpieczeństwem. Może do niej dotrzeć tylko MSSP czy inny zaufany partner, który zajmie się sprawami IT. Dlatego w tym wypadku dostawca musi docierać nie do klienta końcowego, tylko przekonywać o wartości swojego rozwiązania integratora obsługującego lokalny rynek małych przedsiębiorstw.

Maciej Kotowicz Obszar oddziaływania dostawców na klienta końcowego w zasadzie jest ograniczony do dużych firm i instytucji. Gdy schodzi się w dół, do MŚP, to żaden producent nie jest dobrze przygotowany do tego, żeby dostarczyć partnerom najlepszy komunikat dla tych klientów. Nie wyjaśni z wszystkimi szczegółami, jak trzeba sprzedawać. Tę wiedzę nabywają sami resellerzy, świadomi nie tyle możliwości konkretnych produktów, ile w ogóle rozwiązań najbardziej odpowiednich dla danego przypadku.

W sektorze zabezpieczeń resellerowi najłatwiej zmonetyzować inwestycje poniesione na rozwijanie kompetencji. W tym obszarze jest bardzo duża grupa klientów wymagających indywidualnego podejścia. Nie jest tak, że bierzemy produkt z półki i go sprzedajemy.
Maciej Kotowicz, Channel Account Executive, Sophos

Pojawiła się w dyskusji kwestia kosztów bezpieczeństwa. W idealnym świecie mogłoby one być też postrzegane jako korzyść biznesowa, element przewagi firmy klienta na konkurencyjnym rynku. Czy w realnym nie ma na to szans?

Mariusz Kochański Podstawowym zadaniem każdego zarządu jest alokacja zasobów, a one ze swej natury są skończone. Właściciel kupi tylko to, co jest niezbędne. Jeśli zwiększy koszty, to konkurencja zaoferuje lepszą cenę za alternatywny produkt. Dlatego w rozmowie z klientem trzeba znaleźć to, czego on się naprawdę boi. Dam przykład: podczas spotkania pewien reseller zapytał właściciela hurtowni, co jest dla niego najcenniejsze. Okazało się, że lista klientów. Bezpieczeństwo go nie interesowało, bo miał zaufanych długoletnich pracowników. Nie zdawał sobie sprawy, że lista klientów może wyciec do konkurencji bez ich udziału. Gdy mu to uświadomiono, zdał sobie sprawę, że potrzebuje zabezpieczeń. I to była dla niego korzyść biznesowa. Ogólnie wartość biznesowa bezpieczeństwa jest ściśle związana z reputacją. Dlatego trzeba prowadzić dialog z osobami decyzyjnymi wokół tego, ile jest warta dobra opinia o ich firmie i jak zagrożenia informatyczne mogą ją zniszczyć. Celem dla naszej branży jest pokazanie na poziomie biznesowym, dlaczego wydatki na cyberbezpieczeństwo są kosztem niezbędnym.

Jakub Jagielak Z punktu widzenia firmy bezpieczeństwo zawsze będzie kosztem, to nie jest ani nigdy nie będzie inwestycja. Z mojego punktu widzenia, czyli integratora zwracającego się do klienta końcowego, rozwiązania ochronne udaje się sprzedać w dwóch przypadkach. Po pierwsze wtedy, kiedy regulator powie, że trzeba je kupić, i wtedy wszyscy na wyścigi rzucają się np. po SIEM albo inny produkt. Po drugie wtedy, gdy pojawia się realny problem, jak wyciek danych, i została naruszona integralność systemu. W tych dwóch sytuacjach klientowi rozwiązuje się worek z pieniędzmi i idzie na zakupy. Jeśli nie ma zagrożenia, a my nie jesteśmy w stanie mu go pokazać, możemy zapomnieć o sprzedaży.

Łukasz Nowatkowski Jeśli mówimy o korzyściach biznesowych, to nie dotyczą one tylko relacji z klientem końcowym, lecz także między producentami a partnerami. Partner też będzie wybierać oprogramowanie i sprzęt, który przyniesie mu największy zysk. Dzisiaj wszyscy patrzą na cenę i partner nie będzie wyjątkiem.

No właśnie, jaką rolę w oferowaniu bezpieczeństwa gra cena?

Mariusz Kochański Jeśli cena miałaby być najważniejszym kryterium, to nie sprzedawano by samochodów klasy BMW czy Volvo. Zresztą Volvo to tutaj dobry przykład, bo właśnie jego bezpieczeństwo ma usprawiedliwiać wyższą cenę tego samochodu. My jako branża, jeśli chcemy sprzedawać drożej, musimy pokazywać, co klient dostanie, jeśli zapłaci więcej.

Od dobrych kilku lat obserwujemy zmianę przekazu. Dziś wobec wielkiej skali zagrożeń brzmi on: każdy zostanie zaatakowany i te firmy i instytucje, które będą na to przygotowane, wcześniej zorientują się, że dzieje się coś złego.
Mariusz Kochański, dyrektor Działu Systemów Sieciowych i członek zarządu, Veracomp

Mateusz Pastewski Wątek motoryzacyjny to bardzo dobra ilustracja tego, jak bardzo powinniśmy zmienić sposób, w jaki producenci i integratorzy rozmawiają z naszymi klientami o cyberbezpieczeństwie. Zdecydowana większość ludzi jeżdżących nowymi bmw czy mercedesami tak naprawdę nie ma pieniędzy, żeby pójść do salonu i kupić taki samochód. Wszyscy oni korzystają z nich w ramach modeli usługowych, płacąc jakąś sumę co miesiąc. Są wtedy w stanie pozwolić sobie na produkt klasy premium i taka jest także przyszłość naszej branży. Wykorzystując model MSSP, integrator może mówić do klienta, który nie ma zasobów i ludzi: nie musisz kupować na własność najlepszych produktów, bo to ja rozwiążę twój problem związany z bezpieczeństwem. Do wynajmowanego produktu partner może dodawać swoją usługę. Nie widzę innej opcji, żeby zmienić podejście do cyberbezpieczeństwa w Polsce jak ta, by OPEX zastąpił CAPEX. Modeli działających na tej zasadzie może być wiele – polegających na zaimplementowaniu u klienta rozwiązań rozliczanych w abonamencie, a także bazujących na chmurze, do których partner będzie dokładać swoje usługi zarządzane.

Maciej Kotowicz Obserwuję zainteresowanie klientów modelem subskrypcyjnym. Dlatego naszą rolą jako dostawców jest wyedukowanie naszych partnerów pod kątem takiego rodzaju biznesu. Niejednokrotnie dla partnera, który przez całe lata działał na zasadzie „sprzedaj i zapomnij”, przejście na nowy model nie będzie łatwe. Musi zmienić podejście do klienta – teraz będzie mieć z nim ciągły kontakt, a nie tylko w czasie realizacji projektu. Będzie wysyłać mu raporty – raz w tygodniu czy miesiącu. Ta zmiana to dla firmy IT spore wyzwanie, ale też korzyści z możliwości elastycznego dopasowywania swojej usługi do tego, co klient potrzebuje.

Paweł Rybczyk Korzystamy z modelu subskrypcyjnego także jako narzędzia handlowego. Choć nasze rozwiązanie wpisuje się w schemat on-premise, to żeby skrócić proces testów i porównywania do wielu konkurencyjnych produktów, proponujemy wraz z partnerami kupno najmniejszej paczki subskrypcji, włącznie z wdrożeniem. Znając wartość swojego rozwiązania, liczymy na to, że po półrocznym albo rocznym okresie subskrypcyjnym nastąpi migracja do pełnego rozwiązania on-premise. I to działa.

Łukasz Nowatkowski Również chcemy, by wybór naszego oprogramowania w roli systemu zabezpieczającego odbywał się w modelu Managed Services. Nasi partnerzy są zainteresowani dostępem do zaawansowanych funkcji chmurowych. Jest to tym bardziej korzystne dla nich, że są rozliczani według liczby wykorzystywanych licencji i mogą przenosić je między użytkownikami. A przede wszystkim dlatego, że to oni świadczą usługę cyberochrony, zarządzając infrastrukturą klienta.

Nawet w modelu abonamentowym wciąż pozostaje sprawa nakłonienia klienta do zakupu rozwiązania…

Maciej Kotowicz Bez względu na to, w jakim modelu cyberochrona będzie oferowana – MSSP, on-premise czy hybrydowym – trzeba klienta przekonać, udowodnić mu, że może być potencjalnym celem ataku. Nie ma co ukrywać, że każdy próbuje oferować to, co się najłatwiej sprzedaje i przynosi zysk, ale wciąż nie wykorzystuje się scenariuszy sprzedażowych: jak pokazać produkt klientowi, żeby przyciągnąć jego uwagę na pięć minut. Błąd, który popełniają sprzedawcy u integratorów, a czasami także sami dostawcy, to próba zaprezentowania wszystkiego. Pokazania klientowi bardzo wielu funkcjonalności i na koniec zadania mu pytania, co mu się z tego podoba. Jeśli trafimy w potrzeby, to dobrze. Bardzo często strzały są jednak chybione. Dlatego dobrą praktyką jest dawanie integratorom gotowych modeli. Przykładem mogą być warsztaty PoC u klienta, ale połączone z elementem sprzedażowym – jak pokazywać korzyści z rozwiązania z punktu widzenia biznesu.

Łukasz Nowatkowski Resellerzy muszą być dobrze wyedukowani i w pewnych rzeczach wyspecjalizowani. Inaczej będzie się rozmawiać z najbardziej rozwijającym się dzisiaj sektorem e-commerce, gdzie wszystko działa w chmurze – tam są zapisane wszelkie dane klientów. Firmy tak działające to często wielkie biznesy. Inaczej zaś będzie się docierać do przedsiębiorcy, który mówi: moje dane będą bezpieczne w tym pokoju, za 4 tys. zł kupiłem do niego klimatyzację, wstawiłem UPS-a, przecież nikt mi tam nie wejdzie. Oczywiście nie ma on pojęcia, że na jego serwerze już jest coś zainstalowane i wykrada mu dane.

Jakub Jagielak Możemy próbować sprzedać wszystko, co mamy. Strzelamy wtedy na oślep – może z czymś trafimy. Tylko że dojdziemy do momentu, kiedy klient poczuje, że chcemy go naciągnąć. Możemy też próbować podejść od strony doradczej. Starać się być opiekunem klienta, mówiąc do niego: widzimy, że tu masz problem, i mamy na niego sposób. W wyborze odpowiedniego rozwiązania ważna będzie współpraca integratora z producentem albo dystrybutorem. Kluczowe jest znalezienie tego problemu, ale trzeba też przekonać klienta, że jest on realny, co nie musi być łatwe. Na jednej z konferencji tłumaczyłem, czego potrzebujemy, żeby pokonać bezpiecznie przejście dla pieszych. Odpowiedź jest prosta: procedury – spojrzeć w prawo, w lewo itd. A dlaczego potrzebujemy procedury? Bo czujemy się zagrożeni, ktoś może na nas najechać. Jeśli nie będzie poczucia zagrożenia, to rozmowa z klientem będzie bardzo trudna.

Możemy próbować sprzedać wszystko, co mamy. Strzelamy wtedy na oślep – może z czymś trafimy. Tylko że dojdziemy do momentu, kiedy klient poczuje, że chcemy go naciągnąć. Możemy też próbować podejść od strony doradczej.
Jakub Jagielak, dyrektor ds. rozwoju cyberbezpieczeństwa, Atende

Łukasz Nowatkowski Tyle że do procedury na przejściu dla pieszych się stosujemy, bo widzieliśmy skutki wypadków – w telewizji czy nawet osobiście. A o skutkach cyberataków trudno usłyszeć – nikt się tym nie chce chwalić. Bo dla firmy to strzał w kolano, a dla jej CSO – ujma na honorze. Przecież on nie przyzna się do tego, mimo że weszła ustawa, która ma zmusić wszystkich do ujawnienia, że był wyciek. Dlatego trzeba więcej mówić o skutkach ataków.

Paweł Rybczyk Z mojej perspektywy sytuacja stała się lepsza dzięki RODO, ponieważ część prezesów zapragnęła mieć pewnego rodzaju bilans otwarcia w kontekście bezpieczeństwa IT. To spowodowało, że wzrosła liczba audytów, firmy zaczęły sprawdzać, w którym miejscu się znajdują. Wynik audytu mógł pokazać, jak bardzo są zapóźnione. Oczywiście z tego powodu raczej nie uda nam się ich przekonać, że powinny kupić i wdrożyć rozwiązania za wiele milionów. Jeśli jednak integrator przedstawi im plan inwestycji w zabezpieczenia, odniesie sukces.

Przejdźmy do wspomnianego wyboru rozwiązania. Spotkałem się z opiniami integratorów, że kiedy klient robi sobie short listę produktów bezpieczeństwa, które go interesują, kieruje się opiniami niezależnych testów i rankingów, np. kwadrantów Gartnera. Czy potwierdzacie takie obserwacje?

Mateusz Pastewski Jeśli rynek producentów jest skomplikowany dla integratorów, to dla klientów tym bardziej. Dlatego będą oni zawsze szukać jakiegoś benchmarku, który im wskaże, kto jest liderem w danej kategorii, kto dopiero pretenduje do tego miana, a kto ma rozwiązanie niszowe.

Mariusz Kochański Resellerzy wielokrotnie zadawali nam pytanie: dlaczego wprowadziliście do oferty tę markę, a nie tamtą, która wysoko znajduje się w zestawieniu Gartnera? Trzeba pamiętać, że Gartner ocenia według dwóch kryteriów – z jednej strony funkcjonalności, z drugiej – sprzedaży. Gdyby tylko w ten sposób oceniać rynek, iPhone nigdy by się nie stał wiodącym smartfonem. Trzeba pamiętać też o dynamice rynku i postrzegać go nie tylko z amerykańskiej perspektywy, jak robi to Gartner. Ten ostatni nie odrobi lekcji za resellera i klienta, co lokalnie i dla danego odbiorcy jest obiektywnie najlepsze. Szalenie ważne jest w tym przypadku zupełnie inne postrzeganie segmentów enterprise i MŚP za oceanem i u nas.

Maciej Kotowicz Trzeba jednak przyznać, że w materiałach działających na polskim rynku dostawców Gartner się pojawia, bo każdy lubi się pochwalić. Rzeczywiście raport nie sprzeda rozwiązania za resellera, ale pomoże mu znaleźć się na short liście klienta. Umieści on tam ten produkt, nawet jeśli będzie się skłaniać ku innemu. Po to, żeby wyglądało to poważniej w oczach jego zarządu.

Mariusz Kochański Na raporty zawsze warto patrzeć, bo to jest dodatkowe źródło informacji. W końcu jest nie tylko Gartner, w pewnym momencie pojawił się też Forrester, a ostatnio za wyrocznię w branży bezpieczeństwa jest uważane NSS Labs. Nie można jednak traktować raportów jak świętość, bo są one pochodną wielu założeń. Przychodzi mi do głowy branża telco, która ufa tylko własnym testom.

Jakub Jagielak Rzeczywiście wielcy klienci mają potężne laboratoria, w których każde rozwiązanie jest sprawdzane pod każdym kątem. Zewnętrzne benchmarki nie mają dla nich dużego znaczenia. Tak jest nie tylko w branży telco, lecz także w sektorze finansowym – tego rodzaju klienci starają się przede wszystkim znaleźć takie funkcjonalności, które rozwiążą ich problemy. Potrafią oni nawet organizować własne hackathony, żeby dokładnie sprawdzić możliwości określonego rozwiązania. Dotyczy to jednak nielicznych firm i jeśli poza nimi na rynku liczą się raporty, to szansą na zwiększenie sprzedaży dla integratora może być tworzenie własnych, ewentualnie przeprowadzanie testów na własną rękę. My, zanim pójdziemy do klienta z rozwiązaniem, próbujemy najpierw sprawdzić je u siebie, nawet jeśli nie w 100 proc., to do tego stopnia, żeby móc skutecznie go bronić.

Łukasz Nowatkowski Trzeba przy tym zauważyć, że kiedyś o wyborze rozwiązania u klienta decydowała osoba stricte techniczna. Łatwo było jej wytłumaczyć funkcjonalności produktu i jego konfigurację. Dzisiaj często jest ważny wygląd – ładne pudełko ze sprzętem, które i tak zostanie zamknięte w data center, czy piękny interfejs użytkownika.

Na bezpieczeństwo składają się technologie, kompetentna kadra i procesy. W których z tych obszarów zauważacie największe braki u klientów?

Paweł Rybczyk Bardzo często w obszarze procesów. Przynajmniej tak to widzimy przez pryzmat tego, co oferujemy, czyli kontroli dostępu uprzywilejowanego. Nierzadko bywało tak, że gdy klient wybierał nasze rozwiązanie i zapraszał na wdrożenie, słyszałem: „No to proszę je teraz zainstalować”. Wyjaśniałem wtedy, że muszę najpierw wiedzieć, kto się do kogo łączy, jakie ma uprawnienia itp. Okazywało się, że informatyk klienta nie ma o tym pojęcia. Stwierdzałem wtedy, że mogę wrócić dopiero, jak powstanie jakaś mapa zależności, którą będę mógł swoim narzędziem zaimplementować. Odwrotnie się nie da. Dlatego pomoc w tworzeniu polityki bezpieczeństwa może być częścią biznesu partnerów.

Jakub Jagielak Jest jeszcze świadomość przedsiębiorstwa dotycząca bezpieczeństwa, z angielska nazywana security awareness. O tym, że nie zastąpi jej technologia, niech świadczy przykład jednej z firm, z którymi miałem przyjemność współpracować. Wdrożyła ona system antyphishingowy, który miał wyłapywać e-maile ze specjalnie spreparowanymi wiadomościami do pracowników. Ogłosiła ona wszem wobec, że taki system działa. W rezultacie skuteczność phishingu wzrosła o 20 proc. Pracownicy wyszli z założenia, że IT zdjęło z nich obowiązek zachowania czujności.

A co z brakami kadrowymi? Pod tym względem, delikatnie mówiąc, sytuacja na rynku nie wygląda najlepiej.

Mariusz Kochański Dzięki temu, że te braki występują, klienci końcowi potrzebują resellerów. Problem klientów polega na tym, iloma osobami dadzą radę obsłużyć swoje IT, zwłaszcza w przypadku mniejszych firm. Bank dysponujący wcześniej dwudziestoma kilkoma informatykami pewnie poradzi sobie i z dwudziestką. W mniejszej firmie tych informatyków jest trzech, dwóch, a bywa, że i jeden. Zajmując się wszystkim, trudno dobrze zająć się cyberochroną. To doskonały punkt wyjścia do rozmowy o wspomnianym modelu MSSP. Brak kadr jako punkt wyjścia do przekonywania klientów do długoterminowej relacji – ten argument już działa.

Mateusz Pastewski Jeśli chodzi o braki kadrowe i związane z tym szanse na biznes, to dam przykład dotyczący ustawy o krajowym systemie cyberbezpieczeństwa. Jej konsekwencją jest to, że pewna grupa stosunkowo małych podmiotów będzie zmuszona korzystać z centrum SOC. A przedsiębiorstwo, które ma do tysiąca adresów IP, nie będzie miało swojego zespołu, który będzie odpowiadać na zagrożenia. Dlatego oferta integratora działającego jako MSSP, który stworzy własne SOC, wydaje się dla tych firm naturalnym wyborem. Owszem, dla takiego integratora stworzenie własnego centrum będzie dużym kosztem, ale potem będzie on mógł ten biznes bardzo łatwo skalować, obsługując kolejnych nowych klientów.

Łukasz Nowatkowski Przed integratorem, który będzie chciał rozwijać biznes jako MSSP, stoją wyzwania. Jeśli ma wejść do infrastruktury firmy, musi zdobyć pełne zaufanie klienta. Integrator będzie musiał pokazać, jak się z tą infrastrukturą łączy, dopasować się do polityki bezpieczeństwa. Jeśli będzie miał w swoim portfolio 20 czy 100 klientów i każdy będzie miał wdrożoną inną politykę, to będzie musiał się do każdej dostosować, co nie będzie łatwe.

Paweł Rybczyk Model MSSP to przyszłość, ale przyniesie też redukcję liczby integratorów. Obecnie mamy na rynku bardzo wielu resellerów oferujących zabezpieczenia IT. Z różnych powodów – wskutek braku pracowników na rynku, a także specjalizacji i wymagań, by kadra była jak najbardziej wykwalifikowana. W niedalekiej przyszłości będzie ich mniej.

Na braki kadrowe odpowiedzią ma być automatyzacja i wykorzystanie uczenia maszynowego. To trend dominujący od kilku lat w wielu dziedzinach, także w branży security.

Maciej Kotowicz Za uczeniem maszynowym podąża cały rynek. W przypadku cyberbezpieczeństwa dla wszystkich jest oczywiste, że systemy bazujące na sygnaturach odchodzą w przeszłość. Nie da się zdefiniować dziś wszystkich potencjalnych zagrożeń i zabezpieczać się przez ich porównywanie z dostępnym wzorcem. Z pomocą przychodzi deep learning, który – jeśli będzie „nakarmiony” odpowiednią porcją wiedzy – z dużym prawdopodobieństwem prawidłowo zareaguje na zagrożenie. Dlatego wielu producentów sięga po tego rodzaju mechanizmy, które pomagają użytkownikowi końcowemu podjąć właściwą decyzję, bo ta zawsze pozostaje po jego stronie.

Mariusz Kochański Uczenie maszynowe już bardzo dobrze sprawdza się w radiologii i wykrywaniu nowotworów – są tam dostępne miliony zdjęć. Problem polega na tym, że w przypadku cyberbezpieczeństwa nie ma bogatej historii incydentów do nauczenia rozwiązań opartych na machine learningu. Każdy producent coś robi w tym obszarze, pojawiają się inicjatywy, żeby takimi informacjami się dzielić. Ale do tego dochodzi taki aspekt jak specyfika konkretnej firmy. Nie ma historii zachowania pracowników w polskim MŚP, może jest jakaś w amerykańskim SMB. Nie wiadomo tylko, czy jedno będzie przystawało do drugiego.

Łukasz Nowatkowski Żeby sztuczna inteligencja zastąpiła specjalistę ds. bezpieczeństwa, potrzeba jeszcze lat. Niemniej to bardzo ciekawy trend i na pewno będzie ona bardzo przydatna na etapie podejmowania decyzji.

Może od tego pytania powinniśmy zacząć, ale dobre też jest na zakończenie dyskusji. Cyberbezpieczeństwo w branży IT to najwięcej produktów i usług, które można tworzyć, bazując na tych produktach. Czy w związku z tym na ochronie zasobów i danych zarabia się lepiej niż na innych obszarach IT?

Mateusz Pastewski Oferowanie usług zabezpieczających pozwala integratorom wyróżnić się na rynku. Na zaprezentowanie się w roli zaufanego doradcy, który – mając duże kompetencje – jest w stanie skuteczniej radzić sobie z konkurencją. Przy czym cyberbezpieczeństwo zawsze było i jest branżą o wysokiej marży, oferując wiele korzyści integratorom. Trzeba jednak zaznaczyć, że to bardzo trudny segment rynku. Z roku na rok przybywa rozwiązań ochronnych, ataki są coraz bardziej wyrafinowane, więc start z własnym biznesem nie jest łatwy. Nie da się szybko nabyć wszystkich niezbędnych kompetencji. Dobra informacja jest taka, że są też produkty prostsze w sprzedaży, wdrażaniu i utrzymaniu. I to od nich warto zacząć swoją przygodę z cyberbezpieczeństwem, by potem przejść do bardziej zaawansowanych systemów.

Mariusz Kochański Rynek zawsze dobrze płaci za te kompetencje, które są unikatowe. Z chwilą, kiedy się upowszechniają, ich cena spada. Z bezpieczeństwem jest tak, że pojawiają się ciągle nowe zagrożenia i rozwiązania, które stanowią na nie odpowiedź. Jeśli kiedyś cyberochrona będzie oferowana w taki sam sposób jak prąd z gniazdka, to marże zaczną spadać. Ale zanim to się stanie, o ile w ogóle do tego dojdzie, to miną lata, podczas których będzie można zarabiać sensowne pieniądze.

Maciej Kotowicz W sektorze zabezpieczeń resellerowi najłatwiej zmonetyzować inwestycje poniesione na rozwijanie kompetencji. W tym obszarze jest bardzo duża grupa klientów wymagających indywidualnego podejścia. Nie jest tak, że bierzemy produkt z półki i go sprzedajemy. W innych obszarach jest większa standaryzacja i powtarzalność, więc trudno wykazać swoje unikatowe umiejętności.

Łukasz Nowatkowski Wszystko wskazuje na to, że będzie się zmieniać podejście sprzedażowe. Na pewno coraz większe znaczenie będzie mieć prędkość dostarczania usługi. Będą wygrywać tacy, którzy są w stanie zapewnić ją niemal natychmiast. A to powinno promować model MSSP.

Paweł Rybczyk Nie można zapominać, że dostawca rozwiązań ochronnych od dostawcy innych rozwiązań IT różni się tym, że działa w bardzo wrażliwej sferze. Ponieważ przede wszystkim musi zdobyć zaufanie klienta, to niezwykle ważne stają się wszelkiego rodzaju umiejętności miękkie – kompleksowość usługi, doskonała merytoryczna znajomość tego, co się oferuje. Popełnienie jednego błędu podczas rozmowy może doprowadzić do utraty zaufania i położyć cały projekt.

Jakub Jagielak O cyberbezpieczeństwo bym się nie martwił, bo zmiany w tym obszarze występują stale na zasadzie akcja-reakcja. Jeżeli powstanie nowe zagrożenie, producent udostępni nowe rozwiązanie, które usunie lukę. W dającej się przewidzieć przyszłości sytuacja powinna się utrzymywać na stałym poziomie – bez spektakularnych wzrostów i spadków zarówno w obszarze zagrożeń, jak i stanu cyberbezpieczeństwa. Będzie powolny trend dochodzenia do coraz wyższych poziomów obsługi klienta i zabezpieczania jego systemów. Tym, na co trzeba zwrócić uwagę, jest postępująca zmiana pokoleń. Młodzi ludzie chcą informacji natychmiast i w skondensowanej formie. Nikt nie będzie się zastanawiać nad ofertą, która ma 50 stron do przeczytania. Coraz częściej będzie potrzebny krótki konspekt – co system robi i jak rozwiązuje problemy.

Debatę prowadził
Tomasz Janoś

Artykuł Cyberbezpieczeństwo: jak zapewnić klientowi spokój? pochodzi z serwisu CRN.

Dla firm, które przystąpiły do programu partnerskiego Sophos i są zainteresowane świadczeniem usług związanych z cyberochroną, producent przygotował ścieżkę Sophos MSP Connect. Czerpanie benefitów z programu partnerskiego jest jeszcze prostsze dzięki modyfikacjom, których Sophos dokonał w lipcu 2019. Teraz przedsiębiorstwom łatwiej rozpocząć współpracę oraz awansować z podstawowego poziomu Authorized (obecnie wymóg dotyczący minimalnych rocznych obrotów, aby uzyskać status Silver, wynosi tylko 10 tys. euro, wcześniej – 25 tys. euro).

Firmy, które zdecydują się na model usługowy, nie tylko zyskują większą elastyczność współpracy z dostawcą i odbiorcami, ale także mogą swobodnie kształtować marże związane ze świadczeniem usług oraz maksymalizować przychody w wyniku połączenia różnych sposobów zabezpieczeń. Partnerzy uczestniczący w programie MSP Connect wykupują licencje terminowe na produkty Sophos na okres od roku do 3 lat. Istnieje także odmiana tego modelu współpracy – MSP Connect Flex – zapewniająca rozliczanie należności za licencje w trybie miesięcznym, co gwarantuje jeszcze większą elastyczność w doborze rozwiązań i obsłudze klientów.

Jedna konsola do wszystkiego

Obsługa klientów w modelu usługowym MSP jest łatwiejsza dzięki konsoli Sophos Central. Umożliwia ona zarządzanie z jednego miejsca komputerami, urządzeniami mobilnymi, rozwiązaniami szyfrującymi, serwerami internetowymi oraz zabezpieczeniami sieci bezprzewodowych. Platforma ta zapewnia wymianę informacji dotyczących bezpieczeństwa między urządzeniami, ich prostą konfigurację oraz dostęp do raportów i alarmów. Eliminuje także potrzebę stosowania serwerów zarządzających, bo wszystkie rozwiązania producenta łączą się automatycznie z Sophos Central, aby pobierać nowe ustawienia, wysyłać alarmy i wymieniać informacje.

Konsola Sophos Central ułatwia również zarządzanie ustawieniami poziomu ochrony. Zapewnia automatyczne wprowadzenie reguł polityki bezpieczeństwa i rekomendowanych parametrów konfiguracyjnych do kontrolowanych rozwiązań.

Dzięki wbudowanemu mechanizmowi Security Heartbeat produkty firmy Sophos mogą w czasie rzeczywistym wymieniać się informacjami dotyczącymi stanu bezpieczeństwa. Sophos Central zbiera tę wiedzę i dokonuje stosownych zmian konfiguracyjnych w kontrolowanych rozwiązaniach zapewniających ochronę przed złośliwym kodem i atakami ukierunkowanymi. Aby skorzystać z funkcji Security Heartbeat, należy zainstalować rozwiązania Sophos Endpoint Protection oraz Next-Gen Firewall z systemem Sophos Firewall OS.

Aby używać konsoli Sophos Central, nie trzeba mieć serwerów zarządzających pracą aplikacji. Wystarczy, że klient kupi jeden lub więcej produktów zarządzanych przez Sophos Central. Do korzystania z tego rozwiązania potrzebna jest wyłącznie aktualna przeglądarka i łącze internetowe.

Autoryzowanymi dystrybutorami rozwiązań Sophos w Polsce są: AB, Konsorcjum FEN i S4E.

Artykuł Usługi ochronne dają większą marżę pochodzi z serwisu CRN.

Struktura poziomów autoryzacji w nowym programie partnerskim nie uległa zmianie. Utrzymano podział na status: Silver, Gold i Platinum, przy których należy wykazać się sprzedażą o określonej wartości w roku poprzednim, oraz Authorized, w przypadku którego nie ma żadnych wymogów odnośnie do wartości rocznego obrotu generowanego przez partnera ani konieczności uzyskania certyfikatów przez sprzedawców oraz inżynierów. Status ten automatycznie otrzymują wszystkie firmy dołączające do programu i od razu zyskują możliwość korzystania z rabatów udzielanych przez producenta.

Złagodzono także kryteria dotyczące rocznego obrotu uzyskiwanego przez partnera, determinujące jego awans na wyższy poziom. Najbardziej wyraźna zmiana dotyczy poziomu srebrnego: obecnie wymóg kwalifikacyjny wynosi tylko 10 tys. euro (wcześniej – 25 tys. euro). Z 75 na 60 tys. euro obniżono też próg awansu na poziom złoty. Zaostrzono natomiast kryteria dla partnerów, którzy chcą poszczycić się platynowym statusem – ze 150 tys. na 200 tys. euro rocznego obrotu.

Korzystna rejestracja

Kolejna duża zmiana w programie partnerskim Sophos dotyczy wysokości rekomendowanych przydzielanych rabatów. Wszystkie oferowane przez producenta rozwiązania podzielono na cztery kategorie, w zależności od ich wartości i skalowalności. Do kategorii nr 1 zaklasyfikowano produkty dla małych i średnich firm, do trzech kolejnych zaś – rozwiązania dla rynku mid-market.

Wprowadzony podział ma znaczenie w zmodyfikowanej metodologii wyliczania należnych partnerom rabatów. Zrezygnowano z podziału na różne wartości rabatów dla sprzętu i oprogramowania, a ich wysokość uzależniono od przynależności oferowanych rozwiązań do danej kategorii. Znacznie zwiększono też wysokość bonusu za rejestrację projektów zawierających produkty zaliczone do kategorii oznaczonych numerem 2–4 (mid-market), a ponadto uzależniono jego wielkość od statusu autoryzacyjnego partnera. Rejestracji mogą podlegać wszystkie projekty o wartości powyżej 1,5 tys. euro.

Sophos gwarantuje także dodatkowe korzyści partnerom wyróżniającym się zaangażowaniem w pozyskiwanie nowych klientów, rejestrującym nowe projekty i doprowadzającym w założonym czasie do sfinalizowania transakcji. Na wniosek takiego partnera możliwe jest uzyskanie dodatkowego rabatu oraz wsparcia na specjalnych warunkach.

Nowy program partnerski obowiązuje od początku lipca 2019 r. Wówczas zostały przyznane statusy według zmodyfikowanych zasad, a także ustalono sześciomiesięczny okres karencji na spełnienie wymogów w zakresie certyfikacji i wyników sprzedaży. Ewentualne obniżenie poziomu dla firm, które nie spełnią wymagań, nastąpi w styczniu 2020 r.

Autoryzowanymi dystrybutorami Sophos w Polsce są firmy: AB, Konsorcjum FEN i S4E.

Artykuł Sophos: odświeżony program partnerski pochodzi z serwisu CRN.

Znajomość poziomu ochrony w każdym momencie

W większości sieci występują martwe obszary, które utrudniają administratorom obserwację tego, co dzieje się w firmowym środowisku IT. Dlatego często po zneutralizowaniu wykrytego w urządzeniu w sieci cyberataku zakładają, że jest znów bezpieczna. Dzięki Intercept X Advanced with EDR zapewniającemu informacje o tym, czy atak objął też inne maszyny, mogą upewnić się, czy reakcja na atak była właściwa.

Dostępność szczegółowych raportów dotyczących aktualnego poziomu bezpieczeństwa w przedsiębiorstwie ułatwia zagwarantowanie zgodności z wewnętrznymi przepisami i z obowiązującym prawem. Informacje te pomagają również zidentyfikować obszary podatne na zagrożenia. Administratorzy mogą ustalić, czy atak objął repozytoria (aplikacje, zbiory danych medycznych lub osobowych), w których przechowywane są wrażliwe informacje.

Firmy mogą wykorzystać EDR do wykrywania ataków, szukając tzw. wskaźników naruszeń (Indicators of Compromise). To szybki i prosty sposób wykrywania działań cyberprzestępców, które bez tego narzędzia mogą pozostać niezauważone. Proces wyszukiwania często jest uruchamiany po otrzymaniu informacji o zagrożeniach, np. agencja rządowa (CERT) może ostrzec firmę o podejrzanej aktywności w jej sieci. Do zgłoszenia bywa dołączana lista IOC, którą warto wykorzystać jako punkt wyjścia do ustalenia, co się dzieje.

Szybka reakcja na pojawiające się problemy

Osoby odpowiedzialne za IT i cyberbezpieczeństwo po wykryciu incydentu zazwyczaj starają się unieszkodliwić zagrożenie jak najszybciej, aby zmniejszyć ryzyko rozprzestrzenienia się ataku i ograniczyć szkody. Średnio trwa to ponad trzy godziny. EDR może znacznie przyspieszyć ten proces.
Pierwszym krokiem, jaki powinien wykonać analityk w ramach reagowania na incydent, jest powstrzymanie rozprzestrzeniania się ataku. Intercept X Advanced with EDR skutecznie to ułatwia dzięki funkcji izolowania punktów końcowych od infrastruktury, co jest niezbędne, by osiągnąć sukces. Należy to zrobić przed rozpoczęciem śledztwa, bo w ten sposób zyskuje się czas na wybór najskuteczniejszego sposobu działania.

Reagowanie na incydenty tradycyjnie należy do obowiązków wykwalifikowanych analityków. Również funkcjonowanie większości narzędzi EDR musi być skorelowane z działaniem specjalistów, którzy wiedzą, jakie pytania zadawać i jak interpretować odpowiedzi. Jednak korzystanie z Intercept X Advanced with EDR sprawia, że eksperci ds. bezpieczeństwa mogą szybciej reagować na incydenty dzięki sugerowanym przez oprogramowanie kolejnym krokom, czytelnym wizualizacjom trwających ataków oraz olbrzymiej wbudowanej bazie wiedzy.

Po zakończeniu analizy incydentu odpowiednią akcję wybiera się jednym kliknięciem. Wśród opcji szybkiego reagowania znajdują się: izolowanie punktów końcowych, czyszczenie i blokowanie plików oraz tworzenie kopii migawkowych, które później mogą przydać się w śledztwie lub jako dowód w sądzie. A jeśli plik zostanie omyłkowo zablokowany, dostęp do niego można łatwo przywrócić.

Artykuł Inwestycja w EDR ma sens pochodzi z serwisu CRN.

Funkcjonalność rozwiązań Sophos jest bardzo szeroka. Oprócz tradycyjnej ochrony przed złośliwym kodem klienci mogą liczyć na bezpieczeństwo zapewniane przez wbudowany moduł firewalla, szyfrowanie transmisji danych, ochronę serwerów internetowych, poczty elektronicznej, kontrolę urządzeń mobilnych itd. Nie muszą martwić się o dobór tych rozwiązań od różnych dostawców, podpisywać wielu kontraktów, a następnie pilnować terminu ich wygaśnięcia.

Unikalną cechą urządzeń marki Sophos jest automatyczna wymiana informacji między nimi o zaobserwowanych anomaliach (Synchronized Security). Dzięki temu zdecydowanie zwiększa się poziom bezpieczeństwa środowiska IT, a czas reakcji na zagrożenia jest redukowany o 99,9 proc. Dla przykładu, gdy oprogramowanie antywirusowe Sophos Endpoint wykryje podejrzane zachowanie kodu na urządzeniu końcowym, dzieli się tą informacją z urządzeniem XG Firewall, które może podjąć decyzję o automatycznym odizolowaniu potencjalnie zarażonego komputera oraz objęciu go obserwacją.

Jedna platforma zarządzania

Klienci, który wdrożyli w swoim środowisku kilka rozwiązań firmy Sophos, mogą korzystać z centralnej platformy zarządzającej Sophos Central, skupiającej wszystkie informacje dotyczące poziomu zabezpieczeń w przedsiębiorstwie. Odmiana tej platformy została przygotowana także dla partnerów uczestniczących w programie MSP Connect. Analogicznie mogą oni uzyskać zbiorczą informację na temat aktualnego poziomu bezpieczeństwa wszystkich swoich klientów i – w razie potrzeby – przejść do szczegółów. W sytuacji kryzysowej można wówczas zdalnie podjąć stosowną akcję.

Producent postarał się także o ułatwienie partnerom instalowania u klientów rozwiązań do zdalnego zarządzania i monitoringu. Zostały opracowane przykładowe skrypty, które usługodawcy mogą wykorzystać do zautomatyzowania instalacji agentów. Skrypty te da się modyfikować, dzięki czemu każdy integrator może przygotować własną wersję i dostosować ją do potrzeb poszczególnych klientów.

Sophos oferuje swoje rozwiązania wyłącznie przez kanał partnerski. Producent zapewnia współpracującym usługodawcom kilka elastycznych form rozliczania za licencje rozwiązań, które wykorzystywane są do świadczenia usług w ramach programu MSP Connect. Mogą oni wykupić subskrypcję na rok, dwa lub trzy lata albo wybrać opcję MSP Connect Flex, w ramach której możliwe jest rozliczanie miesięczne (faktura zbiorcza dostępna w centralnym panelu partnerskim). Korzystanie z opcji MSP Connect Flex możliwe jest po ukończeniu trzech wymaganych, darmowych kursów szkoleniowych online. Jest to najbardziej elastyczna forma współpracy – nie wymaga ciągłego weryfikowania, czy licencja wykupiona przez klienta wkrótce nie wygaśnie.

Wniosek o rozpoczęcie współpracy partnerskiej można złożyć na stronie www.sophos.pl/msp albo za pomocą e-maila do Macieja Kotowicza (maciej.kotowicz@sophos.com), odpowiedzialnego za kanał sprzedaży Sophos w Polsce.

Artykuł Sophos dla usługodawców pochodzi z serwisu CRN.

– Niestety, to pracownicy najczęściej są „wykonawcami” woli cyberprzestępców. Klikają w linki prowadzące do złośliwego kodu, otwierają dołączone do e-maili pliki, odwiedzają podejrzane strony internetowe lub (często w dobrej wierze) dzielą się informacjami, które powinni zachować wyłącznie dla siebie. Co prawda w urzędach publicznych nie jest stosowany model BYOD, ale próby korzystania z prywatnego sprzętu i podłączania go do sieci z pewnością mają miejsce – mówi Maciej Kotowicz, Channel Account Executive Poland w Sophosie.

Dużym problemem – i to w skali globalnej – jest brak międzynarodowej współpracy producentów, której celem byłaby związana z bezpieczeństwem standaryzacja sposobu komunikacji organizacji publicznych w różnych krajach. Do skutecznego przeciwdziałania atakom jest wręcz niezbędna. Cyberprzestępcy rzadko działają z terytorium kraju, którego infrastrukturę zaatakowali, więc szybka wymiana informacji dotyczących charakterystyki ich operacji jest konieczna. Tymczasem obecnie sprowadza się do wyrazów niezadowolenia wypowiadanych z dużym opóźnieniem głównie w ramach kontaktów dyplomatycznych. Nad utworzeniem ram dyskusji i wymiany informacji dotyczących cyfrowych zagrożeń pracują międzynarodowe organizacje, ale z pewnością zajmie to jeszcze kilka lat.

Rządowa strategia cyberbezpieczeństwa

W 2017 r. polski rząd przyjął uchwałę „Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017–2022” (KRPC). Ministerstwo Cyfryzacji zaś opracowało plan wprowadzania tej polityki w życie. Zawiera on wytyczne dla dziesięciu ministrów oraz dyrektora Rządowego Centrum Bezpieczeństwa w zakresie opracowania oraz wdrożenia standardów i dobrych praktyk bezpieczeństwa sieci jak też systemów IT w obszarach, za które odpowiadają określone jednostki administracji rządowej. Autorzy dokumentu podkreślają, że realizacja planu działań będzie finansowana zarówno z budżetu państwa, jak i ze środków pomocowych Unii Europejskiej.

Ważnym dla integratorów zapisem dokumentu KRPC jest deklaracja rządu, że będzie budował system partnerstwa publiczno-prywatnego (we współpracy ze światem nauki oraz z przedsiębiorstwami komercyjnymi), opartego na zaufaniu i wspólnej odpowiedzialności za bezpieczeństwo w cyberprzestrzeni. Jednocześnie administracja publiczna ma doskonalić swój potencjał w zakresie doradzania sektorom rynkowym w dziedzinie bezpieczeństwa teleinformatycznego. Finalnie obiecano stworzenie wytycznych, na które integratorzy będą mogli się powoływać podczas negocjacji z klientami. Rząd obiecuje również zaangażowanie się w istniejące i powstające formy europejskiej współpracy publiczno-prywatnej i tym samym promowanie polskiego biznesu na arenie międzynarodowej.

W KRPC wymieniono zagadnienia znajdujące się w obszarze zainteresowań rządu, m.in.: Internet rzeczy, inteligentne miasta, Przemysł 4.0, trwająca już od kilkunastu lat zamiana protokołu IPv4 na IPv6, a także szeroko pojęta chmura obliczeniowa oraz przetwarzanie zgodnie z koncepcją Big Data (nazwane w dokumencie „megadane”).

Co nam zagraża?

Instytucje publiczne muszą być przygotowane do stawienia czoła stale nowym zagrożeniom: botnetom, atakom DDoS, złośliwemu oprogramowaniu, aplikacjom szyfrującym (ransomware), phishingowi, programom szpiegującym, przechwytywaniu sesji i zaawansowanym atakom ukierunkowanym (APT) prowadzonym z wykorzystaniem technik manipulacyjnych. Integralną częścią polityki bezpieczeństwa w tych placówkach powinny być nie tylko wirtualne kwestie związane z IT, ale też fizyczne. W obiektach, w których obowiązują restrykcyjne procedury, powinny być kontrolowane wnoszone i wynoszone laptopy, dyski, smartfony lub tablety, a niemal wszędzie należałoby stosować szyfrowanie oraz uniemożliwiać korzystanie z pendrive’ów. Jednocześnie wszelkie dane powinny być archiwizowane, aby nie zostały utracone w wyniku kradzieży lub zniszczenia sprzętu.

Statystycznie największym zagrożeniem jest ransomware. Atak WannaCry w 2017 r. był możliwy dzięki istniejącej od 15 lat luce w systemie operacyjnym Windows XP. Mimo że poprawki zabezpieczeń tego systemu nie były publikowane od 2014 r., dwa lata temu wciąż cieszył się dużą popularnością (a w wielu placówkach nadal jest używany). Microsoft zresztą podjął wówczas wyjątkową decyzję i opublikował stosowną poprawkę dla Windows XP, ale niewielu użytkowników ją zainstalowało (o czym w dalszej części artykułu).

Wymiana systemów operacyjnych na szeroką skalę z reguły wiąże się z koniecznością wymiany sprzętu. Ze względu na szczupłe budżety placówek publicznych zakup komputerów często jest odwlekany. Resellerzy i integratorzy muszą więc operować odpowiednimi argumentami, które przekonają zarząd placówki, że nie podejmując stosownych działań, wystawia swoją reputację na duże ryzyko.

Czasami jednak istnieją obiektywne argumenty. Powołują się na nie placówki medyczne, podając przykłady specjalistycznego sprzętu diagnostycznego, którego oprogramowanie nie wymaga aktualizacji ani rozbudowy (a działa tylko ze starszymi wersjami systemów operacyjnych). W takich sytuacjach warto namówić klienta na szczegółowy audyt bezpieczeństwa i zablokować dostęp tego typu systemów do internetu (natomiast dostęp do lokalnej sieci prawdopodobnie trzeba będzie zachować ze względu na konieczność archiwizacji badań).

Zabezpieczenie placówek edukacyjnych jest oczywiście łatwiejsze, chociaż i w nich konieczne jest podjęcie specjalnych działań. Przede wszystkim na komputerach, z których korzystają uczniowie (albo na sieciowych urządzeniach dostępowych do internetu), powinna być zainstalowana ochrona rodzicielska. Warto zablokować dostęp do popularnych serwisów społecznościowych, takich jak Facebook i YouTube. Ponieważ czasami po działaniach uczniów na lekcjach informatyki system operacyjny nadaje się tylko do przeinstalowania, niektórzy nauczyciele korzystają także z oprogramowania do szybkiego przywracania obrazu dysku z kopii backupowej, aby komputer był sprawny na kolejną lekcję. Natomiast demonstrację niebezpiecznych działań na komputerze (kasowania plików systemowych, klikania w podejrzane linki itp.) warto prowadzić na wirtualnych maszynach, uruchomionych np. na serwerze NAS.

Jak się zabezpieczyć?

W placówkach publicznych infrastruktura IT jest podobna do istniejącej w przedsiębiorstwach komercyjnych. Dobór narzędzi ochronnych zależy od skali działalności, wiedzy pracowników i doświadczenia administratorów. W jednostkach publicznych bardzo zróżnicowany jest poziom korzystania z usług w chmurze publicznej. Większość administratorów jest wstrzemięźliwa, chociaż ten sposób przetwarzania i przechowywania danych jest dopuszczony przez prawo (można korzystać z usług podmiotów znajdujących się w Europejskim Obszarze Gospodarczym, ale zalecane jest podpisywanie umów z polskimi usługodawcami).

Jednym z największych wyzwań jest aktualizowanie oprogramowania. Niestety, wciąż brakuje ogólnopolskich wytycznych w tym zakresie, więc poszczególne instytucje działają po swojemu. Muszą korzystać z opracowanych centralnie narzędzi tylko w przypadku ujednoliconych w skali kraju procedur, np. wydawania dowodów osobistych, meldowania obywateli, rejestracji działalności gospodarczej, obsługi podatkowej w urzędach skarbowych itp. Poza tym ogólnie wiadomo, że kupione przez instytucje publiczne licencje wykorzystywane są czasem przez kilkanaście lat, że stosuje się wiele aplikacji stworzonych z potrzeby chwili przez lokalnych programistów. Część programów wymaga konkretnej wersji systemu operacyjnego (np. wspomnianego Windows XP), nie współpracuje z nowymi wersjami Javy. Tymczasem korzystanie z nieaktualizowanych aplikacji powoduje, że cyberprzestępcy mają nie tyle ułatwione zadanie, co po prostu otwarte na oścież drzwi.

– Nie ułatwia sytuacji także fakt, że na stanowiskach informatyków w placówkach publicznych, szczególnie tych „w terenie”, często zatrudnione są osoby, których wiedza o bezpieczeństwie nie należy do szerokich – twierdzi Bogdan Lontkowski, dyrektor regionalny Ivanti na Polskę, Czechy, Słowację i kraje bałtyckie. – W przeciwnym przypadku łatwo znaleźliby pracę w sektorze prywatnym, za znacznie większe pieniądze. Chociaż trzeba przyznać, że sytuacja się poprawia. Ponieważ zespoły IT są często zbyt małe, a informatycy przepracowani, warto proponować klientom z sektora publicznego narzędzia, które automatyzują proces aktualizacji aplikacji, by wyeliminować jedno z największych zagrożeń atakami.

Naturalnie w każdej placówce, której sieć podłączona jest do internetu, należy stosować narzędzia do ochrony brzegowej (UTM-y, firewalle nowej generacji) oraz antywirusy. Ale nie obejdzie się bez zdobywania profesjonalnej i aktualizowanej wraz z pojawianiem się nowych zagrożeń wiedzy. Dlatego integratorzy powinni naciskać, aby podpisywane z nimi umowy w zakresie utrzymania systemów dotyczyły także współpracy w opracowywaniu polityki bezpieczeństwa, której nieodłącznym elementem jest ocena ryzyka i zdefiniowane sposoby przeciwdziałania atakom. Dzięki temu łatwiej też podejmować decyzje dotyczące tego, czy aplikacje i przetwarzane przez nie informacje mogą być przeniesione do chmury publicznej, czy powinny zostać w serwerowni danej placówki.

RODO obowiązuje wszędzie

Rozporządzenie o ochronie danych osobowych, które w ubiegłym roku spędzało sen z oczu wielu administratorom IT, obowiązuje także w placówkach sektora publicznego. Wiele z nich dysponuje danymi szczególnie wrażliwymi, których ujawnienie może mieć przykre dla obywateli skutki, np. groźby szantażu czy kradzież tożsamości. Z drugiej strony instytucja, z której wyciekły dane, może nie tylko być pozwana do sądu, ale jej zarządcy mogą także ucierpieć „politycznie”.

Placówki publiczne, tak jak przedsiębiorstwa, zobowiązane są przez RODO do stworzenia polityki bezpieczeństwa i oceny ryzyka wycieku informacji oraz przeciwdziałania mu. Powinny więc zdefiniować procedury postępowania oraz wdrożyć je za pomocą odpowiednich narzędzi IT. Oczywiście, w obu przypadkach ułatwią im to integratorzy. Szczególną uwagę należy zwrócić na kwestie utylizacji sprzętu. Wielokrotnie ujawniano przypadki, gdy wycofany z użytku sprzęt trafiał na śmietnik, zabierali go do domu pracownicy lub pojawiał się… na portalach aukcyjnych (najsłynniejszy przykład to 12 dysków z poufnymi danymi z Ministerstwa Spraw Zagranicznych, które w 2004 r. trafiły do redakcji tygodnika „Nie”).

Podczas tworzenia procedur zarządzania danymi w instytucjach publicznych należy jednak pamiętać o kilku wyjątkach. Przede wszystkim nie obowiązuje ich prawo do bycia zapomnianym. Wszyscy obywatele mają natomiast prawo wglądu w przetwarzane przez placówkę dane i korekty, jeżeli zauważą błędy. Instytucje publiczne, podobnie jak podmioty komercyjne, są zobowiązane także do minimalizowania ilości posiadanych danych. Mogą przetwarzać tylko te, które są niezbędne do prowadzenia ustawowej działalności.
Z RODO związana jest również kwestia backupu gromadzonych przez instytucję publiczną informacji. W sytuacji, gdy dane są poprawiane w bazie produkcyjnej lub usuwane z niej, pozostają niezmienione w wykonanej wcześniej kopii. W przypadku wystąpienia problemu z bazą i konieczności jej odtworzenia z kopii backupowej usunięte lub zmodyfikowane dane wrócą i znów będą przetwarzane – wbrew prawu i woli właściciela. Twórcy rozporządzenia o ochronie danych osobowych uznali, że problem rozwiążą procedury organizacyjne, zgodnie z którymi w momencie wykonania backupu  rozpoczyna się proces tworzenia listy wprowadzanych zmian. Gdy wystąpi konieczność odtworzenia danych z kopii, należy zgodnie ze wspomnianymi procedurami nanieść zanotowane zmiany. Dopiero po tej operacji można dopuścić bazę z danymi osobowymi do ponownego użytku produkcyjnego.

Artykuł Urzędy, szkoły, szpitale: dużo polityki, mało bezpieczeństwa pochodzi z serwisu CRN.

Uwagę zwraca przede wszystkim bardzo efektywny model zarządzania regułami polityki bezpieczeństwa sieci, który zwykle można znaleźć tylko w zaawansowanych i drogich produktach do filtrowania stron internetowych, przeznaczonych dla dużych firm. Firewall został wyposażony w funcje zapewniające blokadę treści szkodliwych dla dzieci (m.in. kontrolowanie stosowanego przez Google filtra SafeSearch, filmów odtwarzanych w serwisie YouTube i pobieranych plików). Część filtrów treści jest pogrupowanych w kategorie, np. „informacje nieodpowiednie dla uczniów”.

XG Firewall umożliwia szybkie zidentyfikowanie podejrzanego zachowania użytkowników internetu, dzięki regułom zawierającym listę słów kluczowych związanych np. z nękaniem, radykalnymi poglądami lub próbami samookaleczenia. Szczegółowe raporty ułatwiają identyfikację zagrożonych uczniów korzystających z internetu i pomagają uzyskać informacje o ich działaniach, a także o tym, co i gdzie publikują oraz jakie strony odwiedzają.

Sophos zdefiniował unikalny w branży współczynnik zagrożenia użytkownika (User Threat Quotient), który obliczany jest na podstawie różnego typu jego zachowań. XG Firewall analizuje nawyki osób korzystających z internetu i koreluje je z historią ich działań online, aby – dzięki skomplikowanemu zestawowi reguł – zidentyfikować użytkowników podejmujących ryzykowne działania. Umożliwia generowanie raportów, które trafią na biurka nauczycieli, szkolnych psychologów lub pracowników ochrony i ułatwią podjęcie natychmiastowych kroków zapobiegawczych wobec uczniów narażających się na problemy.

Inteligentna wymiana danych

W urządzeniu Sophos XG Firewall zastosowano wszystkie najnowsze metody ochrony przed cyberzagrożeniami. W efekcie ataki hakerskie powstrzymywane są już w zarodku. Moduł Sandstorm Sandboxing zapewnia bezpieczne środowisko testowe, w którym skanowane są wszystkie pliki pobrane z internetu lub przysłane pocztą e-mail. Do poszukiwania złośliwego kodu wykorzystywana jest metoda głębokiego uczenia, pochodząca z rozwiązania nowej generacji Intercept X do ochrony urządzeń końcowych. Z kolei zaprojektowany przez Sophos system zapobiegania włamaniom (IPS) gwarantuje zablokowanie każdego ataku z wykorzystaniem luki w zabezpieczeniach sieci. Natomiast rozwiązanie do ochrony przed zagrożeniami płynącymi ze stron internetowych korzysta z emulatora języka JavaScript, aby wykrywać np. skrypty służące do kopania kryptowalut bez wiedzy i zgody użytkownika.

Sophos XG Firewall można zintegrować z oprogramowaniem Intercept X. Zapewnia to najwyższy poziom ochrony zarówno sieci, jak i punktów końcowych. Opatentowana przez Sophos funkcja Security Heartbeat służy do wymiany w czasie rzeczywistym informacji dotyczących aktualnego poziomu bezpieczeństwa wszystkich chronionych rozwiązań. W wyniku synchronizacji danych zainfekowany komputer zostaje automatyczne odizolowany od środowiska IT do momentu, gdy zostanie oczyszczony, co zapobiega rozprzestrzenianiu się złośliwego kodu. Natomiast podgląd zachowania programów w sieci  ułatwia identyfikację złośliwych aplikacji zaszyfrowanych lub wyposażonych w mechanizm ukrywania się.

Dodatkowe informacje:

Maciej Kotowicz, Channel Account Executive

Poland, Sophos, maciej.kotowicz@sophos.com

Artykuł XG Firewall dla szkół pochodzi z serwisu CRN.

O ile kiedyś szyfrowanie danych dotyczyło głównie kluczowych instytucji państwowych, o tyle dziś muszą o nie zadbać praktycznie wszyscy. Wraz z wprowadzeniem RODO przedsiębiorstwa zobowiązane są zgłaszać wszelkie naruszenia bezpieczeństwa danych osobowych. Jeśli informacje były przechowywane i przesyłane w postaci zaszyfrowanej, prawdopodobieństwo ich niewłaściwego wykorzystania radykalnie maleje, a z nim ryzyko ukarania firmy bardzo wysoką grzywną. Oczywiste jest bowiem, że naruszenie bezpieczeństwa danych nie polega tylko na tym, że w niekontrolowany sposób opuszczają one przedsiębiorstwo. Muszą mieć jeszcze formę umożliwiającą ich użycie.

Argumentem za stosowaniem szyfrowania są nie tylko nowe przepisy (a właściwie przewidziane w nich kary), ale także konsekwencje utraty tak cennego zasobu, jakim są dane. Przetwarzane i przenoszone przez pracowników informacje stanowią często know-how firmy, bo są to m.in. projekty, bazy klientów, nawet zestawienia finansowe. Do klientów integratorów docierają doniesienia medialne o głośnych naruszeniach bezpieczeństwa informacji i wynikających z nich stratach finansowych oraz reputacyjnych. I w mniejszym lub większym stopniu muszą robić na nich wrażenie. A przecież zabezpieczenie zasobów za pomocą kryptografii to nie jest – jakby powiedzieli Amerykanie – rocket science. Zaszyfrować da się dziś niemal wszystko (choć oczywiście nie w każdym przypadku mamy do czynienia z taką potrzebą).

Niemniej ochrona metodą szyfrowania powinna być częścią strategii bezpieczeństwa każdej firmy. Żeby się tak stało resellerzy i integratorzy muszą podjąć zadanie edukacji klientów oraz pokazać im wynikające z tego korzyści. To tym łatwiejsze, że na rynku jest dostępnych bardzo wiele rozwiązań, a szyfrowania można dokonywać zarówno sprzętowo, jak i programowo. Często jest oferowane w ramach pakietów ochrony punktów końcowych, ale dostępne są też bardziej wyspecjalizowane i zaawansowane narzędzia.

Przede wszystkim urządzenia mobilne

Za bardzo bezpieczne rozwiązanie można uznać pełne szyfrowanie dysków na komputerach mobilnych. W przypadku zagubienia lub kradzieży zaszyfrowanego laptopa bez loginu i hasła nikt nie będzie miał dostępu do znajdujących się na nim informacji. Nie da się go uruchomić, a dane będą bezpieczne nawet po wyjęciu dysku z komputera i próbie uruchomienia go w innym systemie.

Przedsiębiorstwa potrzebują też bezpiecznych smartfonów i tabletów. Nie powinno być z tym większego problemu w przypadku urządzeń firmowych, którymi można zarządzać zgodnie z określoną polityką bezpieczeństwa, m.in. instalować tylko dozwolone aplikacje. W przypadku BYOD trzeba włożyć więcej wysiłku w edukację wyposażonych pracowników. Kwestia ochrony poufnych danych na urządzeniach prywatnych to jednak spore wyzwanie. Z pomocą przychodzi funkcja szyfrowania wbudowana w smartfony, którą należy aktywować za zgodą pracownika.

Jakiś czas temu producenci oprogramowania do zarządzania urządzeniami mobilnymi (Mobile Device Management) oraz niektórzy dostawcy smartfonów wprowadzili w nich opcję umieszczania oraz szyfrowania danych i aplikacji biznesowych w zabezpieczonych kontenerach. Jednak efektywność tej metody zależy od sposobu korzystania z kontenerów. Chociaż zapewniają bezpieczeństwo, często dzieje się to kosztem wygody obsługi. Z tego powodu nie są odpowiednie dla wszystkich użytkowników, urządzeń i zastosowań. Lansowany jest więc kompromis między stosowaniem firmowych, w pełni kontrolowanych urządzeń a modelem BYOD. W optymalnym pod tym względem modelu COPE (Corporate Owned, Personally Enabled), zakładającym użycie urządzeń pracodawcy dostosowanych do prywatnych celów, w praktyce ochrona sprowadza się do wymuszenia pewnych ustawień zabezpieczeń, wstępnego skonfigurowania kont użytkowników oraz stworzenia kontrolowanego sklepu z aplikacjami.

Do ochrony przed wyciekiem informacji konieczne staje się szyfrowanie przenośnych pamięci. Są one najbardziej narażone są na zgubienie i kradzież. Dlatego producenci odnotowują rosnącą popularność szyfrowanych pamięci USB.

– Klienci coraz częściej zastanawiają się nie nad tym, czy kupować pamięci szyfrowane, tylko jakie wybrać – mówi Robert Sepeta, Business Development Manager w Kingston Technology.

Na rynku jest duży wybór pamięci USB, dostosowanych do potrzeb każdego klienta, od osób prywatnych, przez małe i średnie firmy po największe korporacje, banki i instytucje administracji publicznej. Klienci o ograniczonych budżetach znajdą pamięci za kilkadziesiąt złotych, które w zupełności spełnią podstawową funkcję ochrony. Posiadający bardziej wrażliwe dane i chcący znacząco podnieść poziom bezpieczeństwa, mogą zdecydować się na certyfikowane rozwiązania dla przedsiębiorstw.

Choć szyfrowania wymagają przede wszystkim urządzenia mobilne, to także komputery stacjonarne i serwery mogą być przedmiotem kradzieży, a na pewno znajdujące się na nich dane. Warto je więc objąć tego rodzaju ochroną. Tym bardziej, że w przyszłości ułatwi ona proces wycofywania starego sprzętu z użycia. Jeśli zostanie zastosowane szyfrowanie, podczas recyklingu komputerów łatwiejsze jest czyszczenie dysków i ma się pewność, że firmowe informacje nie wpadną w niepowołane ręce.

Kluczem jest klasyfikacja danych

Najbardziej skuteczne będzie takie wdrożenie szyfrowania i całościowej ochrony przed wyciekiem danych, aby te procesy wymagały minimalnej interakcji administratora i użytkownika. Jednak żadna implementacja rozwiązań zabezpieczających informacje nie zakończy się sukcesem bez skutecznej polityki klasyfikowania danych i ustalenia reguł dostępu do nich. To niezbędne w ochronie informacji, w której najsłabszym ogniwem zawsze jest autoryzowany użytkownik końcowy.

– Aby firmy i instytucje mogły skutecznie zabezpieczać swoje dane, należy przede wszystkim ograniczyć dostęp do danych osobowych i innych wrażliwych informacji pracownikom, którzy takiego dostępu nie potrzebują – twierdzi Robert Sepeta.

Jeśli klient zastanawia się, które dane powinny być szyfrowane, można zadać mu kilka prostych pytań. Czy gdyby te informacje były na papierze, do pozbycia dokumentacji użyłby niszczarki? Czy gdyby dane przypadkowo wyciekły do internetu, spowodowałyby szkody dla jego pracowników lub klientów? Jeśliby na któreś z tych lub podobne pytanie odpowiedział twierdząco, powinien pomyśleć o stosowaniu szyfrowania.

Często klienci obawiają się, że na skutek wprowadzenia szyfrowania komputery będą działać wolniej i zużywać więcej energii. Tymczasem korzystanie z tego zabezpieczenia nie wiąże się z wyraźnym spadkiem wydajności urządzeń, a tym samym produktywności pracowników. Do szyfrowania nie trzeba też kupować sprzętu najnowszej generacji. Od dawna procesory dysponują zestawem instrukcji służących do sprzętowej akceleracji szyfrowania. Z kolei urządzenia pamięci masowej są wyposażane w specjalne procesory, które zajmują się szyfrowaniem i deszyfrowaniem danych na poziomie kontrolera lub dysku. W rezultacie system operacyjny nie jest nawet „świadomy”, że dane są szyfrowane, a tego rodzaju ochrona działa w tle jak antywirus.

W przypadku wdrażania szyfrowania w przedsiębiorstwie ważna jest dostępność dodatkowych kluczy odszyfrowujących. Nie można bowiem stworzyć systemu, w którym nie da się odzyskać danych szyfrowanych przez pracowników. Klucz główny (master key) zapewni działowi IT dostęp do zawartości komputerów, w razie gdy ich użytkownicy zapomną hasła lub opuszczą firmę.

Szyfrowania, a zwłaszcza całościowej ochrony przed wyciekiem danych (DLP), nie wprowadza się z marszu, lecz w sposób przemyślany, by nie paraliżować firmy, ale też by nie pozostawiać luk, przez które dane nadal będą wyciekać. Skuteczna implementacja wymaga wewnętrznej polityki ochrony danych, w stworzeniu której pomóc powinien integrator. Do zapewniania skutecznej ochrony nie jest konieczne szyfrowanie wszystkich danych, lecz tylko tych najwrażliwszych. Do zabezpieczenia pozostałych wystarczą odpowiednie metody uwierzytelniania i kontrola dostępu.

Szyfrowane ataki

Coraz więcej przedsiębiorstw korzysta z mechanizmów szyfrowania w celu ochrony najważniejszych informacji, ale muszą również sobie zdawać sprawę z zagrożeń, które mogą ukrywać się w zaszyfrowanych plikach. Szacuje się, że aż 75 proc. ruchu w internecie jest szyfrowane za pomocą protokołu SSL, a w przypadku branż, w których prawo tego wymaga, wskaźnik ten może być jeszcze wyższy. Dlatego eksperci zajmujący się bezpieczeństwem oceniają, że nawet w połowie ataków mogą być wykorzystywane zaszyfrowane pakiety.

Mimo to, jak pokazują badania, zdecydowana większość przedsiębiorstw używa firewalli, rozwiązań IPS lub UTM, które nie odszyfrowują ruchu SSL, zostawiając otwartą drogę dla ukrytych zagrożeń. Wirusy miewają formę niebezpiecznych załączników do wiadomości e-mail, plików pobieranych z witryny HTTPS oraz złośliwych plików w komunikatorach internetowych i na serwisach społecznościowych.

Trzeba jednak wiedzieć, że odszyfrowywanie ruchu SSL w celu wykrycia zagrożenia to poważne wyzwanie dla systemów informatycznych. Po pierwsze, może powodować duże problemy z wydajnością sieci. Bywa, że włączenie głębokiej inspekcji pakietów (DPI) wraz z innymi funkcjami ochronnymi zmniejsza przepustowość firewalla nawet o 80 proc. Po drugie, narzędzia deszyfrujące i sprawdzające zaszyfrowany ruch kosztują więcej od produktów bez tych funkcji.

Rozwiązaniem pierwszego problemu będzie odpowiednio wydajne rozwiązanie, a także inteligentne zarządzanie ruchem w celu poprawy skuteczności inspekcji, polegające na ograniczaniu przepływu poddawanego kontroli (przez wykluczanie z tego procesu pakietów z zaufanych źródeł itp.). W drugim przypadku trzeba przekonać klienta, że w związku z działalnością, jaką prowadzi, tego typu ochrona przyniesie mu wymierne korzyści.

Artykuł Dane bezpieczne, czyli zaszyfrowane pochodzi z serwisu CRN.