Mamy KSC - Co robić? Jak żyć?

Pod tym tytułem odbędzie się 18 czerwca moje wystąpienie w Akademii Marynarki Wojennej podczas konferencji Przestępczość Teleinformatyczna XXI.2
W trakcie prezentacji podzielę się swoimi doświadczeniami i przemyśleniami w zakresie tego jak Operatorzy Usług Kluczowych podchodzą do kwestii zgodności z wymaganiami Ustawy oraz - przede wszystkim - zaproponuję na czym warto by się skoncentrowali w pierwszej kolejności.

IBM Security Summit

10 czerwca w Warszawie miał miejsce pierwszy w Europie Wschodniej IBM Security Summit.

Jako, że IBM Security zaprosił mnie do uczestnictwa w tym wydarzeniu pomyślałem, że odwdzięczę się krótkim opisem tego co najciekawszego wyniosłem ze spotkania.

Przede wszystkim spotkanie dotyczyło nowej wizji podejścia do zabezpieczeń. 

W niedalekiej przyszłości powinniśmy przygotować się na konieczność sprostania zagrożeniom płynącym z takich nowych technologii jak:

1) Artificial Intelligence

2) 5G

3) IoT

4) Automation

5) Blockchain

3 wnioski (i 4 najskuteczniejsze zabezpieczenia) wynikające z analizy „mega-ataków”

2017 rok (czyli rok w którym zaczęła się przerwa w prowadzeniu bloga) był pełen istotnych wydarzeń dotyczących cyberbezpieczeństwa. A przynajmniej dwa z nich powinny moim zdaniem przejść do historii. Epidemia WannaCry oraz Non-Petya.

Jeden i drugi atak miał szereg wspólnych cech i to na tym oraz wynikających z tego wnioskach chcę się skoncentrować. Dlaczego podnoszę ten temat w 2019 roku? Bo opadł już kurz, wydarzenia te przeszły do historii i coraz więcej osób o tym zapomina. Już niedługo pewnie pojawią się piewcy twierdzący, że ataki te „trącą myszką”, inni będą pisać wspomnienia o tym jak też bohatersko walczyli z tymi epidemiami i je pokonali. A moim zdaniem jeden i drugi atak obnażył szereg fundamentalnych zaniedbań w wielu organizacjach, które mogą się powtórzyć. A bardzo bym chciał byśmy tym razem byli na to lepiej przygotowani.

Wielowarstwowe zarządzanie bezpieczeństwem informacji

W okresie „ciszy na blogu” odniosłem bardzo duży sukces osobisty. Udało mi się mianowicie obronić na Wydziale Zarządzania Politechniki Warszawskiej rozprawę doktorską pt. Zarządzanie bezpieczeństwem informacji w bankach wielonarodowych w Polsce.

Jednym z owoców rozprawy był model wielowarstwowego zarządzania bezpieczeństwem informacji w bankach wielonarodowych. W jednym modelu zarządzania udało mi się przedstawić szereg powszechnie uznanych najlepszych praktyk bezpieczeństwa. Podstaw tak oczywistych, że aż wydawałoby się niekiedy niemożliwych do uporządkowania.

Dzień dobry po przerwie

Od ponad 2 lat na tym blogu nie działo się nic... 

Było to związane z zadaniem, którego się podjąłem, jakim było stworzenie najlepszego zespołu SOC z Polsce i rozwinięcie usług cyberbezpieczeństwa w Exatel.

W trakcie ostatnich 26 miesięcy firma została przejęta przez Skarb Państwa i została włączona pod nadzór Ministerstwa Obrony Narodowej potwierdzając jej kluczową pozycję jako podmiotu stojącego na straży bezpiecznej łączności niezbędnej najbardziej wymagającym podmiotom. W międzyczasie powstał Departament Cyberbezpieczeństwa oferujący usługi wdrażania zaawansowanych usług cyberbezpieczeństwa, testów, doradztwa zarówno w zakresie technicznych jak i proceduralnych wyzwań bezpieczeństwa no i przede wszystkim działającego w trybie 24x7 zespołu SOC.

Udało mi się zatrudnić kilkudziesięciu super fachowców, zdobyliśmy kompetencje, wdrożyliśmy i zamieniliśmy w „cyberusługi” całą kolekcję naprawdę fajnych „zabawek”, wdrożyliśmy nasze usługi dla szeregu bardzo interesujących podmiotów, a na dodatek, tam gdzie zobaczyliśmy takie potrzeby, przygotowaliśmy własne rozwiązania. Jak choćby operatorskiej klasy system antyDDoS „TAMA”, który przygotowaliśmy wraz z Politechniką Warszawską w ramach grantu NCBiR.Wypromowaliśmy też świetną konferencję - Exatel Security Days, która co roku ma więcej chętnych niż wolnych miejsc...

Stworzenie i przewodzenie tak wspaniałemu zespołowi było na tyle angażujące, że na tego blog’a po prostu nie starczyło mi czasu. 

Z końcem kwietnia przekazałem stery Departamentu Cyberbezpieczeństwa w nowe ręce i niezmiennie kibicuje wszystkiemu co dla cybersuwerenności RP dzieje się w Exatel. A niektórymi z moich doświadczeń czy przemyśleń będę ponownie się dzielić tutaj oraz na różnych konferencjach i spotkaniach branżowych.

Odpowiedzialność karna uczestników programów bug bounty

Przez sieć co jakiś czas przelewa się fala dyskusji o "nielegalności" wyszukiwania luk w systemach informatycznych. Polskie prawo, w powszechnej opinii, penalizuje każdy taki przypadek.