W grudzień 2024 r., ustawa o odporności cybernetycznej (CRA) weszło w życie w Europie, wyznaczając początek okresu przejściowego dla organizacji i przedsiębiorstw w celu dostosowania się do nowych wymagań w zakresie cyberbezpieczeństwa. Celem tego dokumentu regulacyjnego jest podniesienie standardów jakości i bezpieczeństwa poprzez nałożenie na producentów i sprzedawców detalicznych obowiązku wspierania i aktualizowania komponentów cyfrowych w całym cyklu życia ich produktów. Agencja ratingowa obejmuje zarówno sprzęt, jak i oprogramowanie, i ma wpływ nie tylko na producentów z UE, ale także na importerów, zatem będzie miała wpływ także na przedsiębiorstwa amerykańskie, które obsługują lub sprzedają swoje produkty w krajach UE. Przepisy te będą miały głęboki wpływ na kilka segmentów rynku, takich jak produkty Internetu rzeczy. Chociaż przedsiębiorstwa mają czas do 2027 r., kiedy obowiązki w zakresie zgodności staną się obowiązkowe, agencja ratingowa stanowi ważny krok w uznaniu znaczenia cyberbezpieczeństwa w przypadku szerokiej gamy produktów i stworzeniu struktur, które będą chronić interesy klientów końcowych. Anton Snitavets, główny inżynier ds. bezpieczeństwa informacji w Doumo, starszy członek IEEE, członek społeczności Hackathon Raptors i certyfikowany specjalista ds. systemów bezpieczeństwa informacji, wyjaśnia, na czym polega nowoczesne podejście do cyberbezpieczeństwa i jakie czynniki powinny wziąć pod uwagę firmy aby chronić swoich klientów i siebie.
Przejście w kierunku zintegrowanego podejścia
Anton Snitavets zwraca uwagę, że dla większej liczby przedsiębiorstw cyberbezpieczeństwo stało się integralną częścią ich działalności, a nie tylko środkami ochronnymi czy zasadami bezpieczeństwa narzucanymi istniejącym procesom. Dotyczy to szczególnie firm specjalizujących się w tworzeniu oprogramowania. Anton napotkał podobny problem w 2017 roku, kiedy rozpoczął pracę w Aras Corp jako inżynier DevSecOps. Aby usprawnić proces tworzenia oprogramowania, wdrożył Secure Software Development Lifecycle (SSDLC), który znacznie zwiększył bezpieczeństwo procesu tworzenia oprogramowania, dodając nowe sposoby wykrywania i eliminowania zagrożeń cyberbezpieczeństwa, zanim doprowadzą one do negatywnych konsekwencji. Zintegrował istniejące rozwiązania programowe z opracowanymi przez siebie niestandardowymi, dzięki czemu proces tworzenia oprogramowania był bardziej produktywny i niezawodny. W szczególności usprawnił proces opracowywania aktualizacji oprogramowania Aras Innovator Software, rozwiązania do zarządzania produktami inżynieryjnymi używanego przez klientów Aras, wśród których znajdują się największe firmy inżynieryjne, takie jak General Motors i Airbus. W rezultacie w ciągu 3,5 roku znacząco podniósł jakość produktu, wyeliminował wiele podatności w oprogramowaniu oraz zwiększył jego stabilność i bezpieczeństwo, co jest szczególnie ważne w przypadku oprogramowania wykorzystywanego do złożonych zadań inżynierskich. Po niedawnym dołączeniu do Doumo wdraża podobne podejście jako główny inżynier ds. bezpieczeństwa informacji, pracując nad integracją SSDLC z infrastrukturą chmurową.
„Fakt, że coraz więcej firm, podobnych do dwóch wymienionych powyżej, koncentruje znaczny wysiłek na zwiększeniu bezpieczeństwa procesów rozwoju, podkreśla, że aby środki bezpieczeństwa były skuteczne, muszą stać się integralną częścią cyklu tworzenia oprogramowania.” – komentuje. „Firmy, które jeszcze nie wdrożyły tego podejścia, będą musiały nauczyć się je stosować przez cały cykl rozwoju”.
Opracowywanie rozwiązań szytych na miarę
To przejście w kierunku bardziej integralnego podejścia do bezpieczeństwa informacji prowadzi do kolejnej istotnej zmiany. Firmy muszą opracowywać rozwiązania szyte na miarę, które precyzyjnie odpowiadają ich potrzebom, zamiast polegać na gotowych rozwiązaniach. „Gotowe rozwiązania często nie obejmują wszystkich przypadków i scenariuszy, pozostawiając określone luki w zabezpieczeniach bez ochrony lub, i odwrotnie, marnują zasoby firmy na środki, które nie są konieczne w konkretnym przypadku” – wyjaśnia Anton Snitavets. „Dlatego firmy potrzebują rozwiązań uwzględniających specyfikę ich działalności i związane z nią typowe ryzyka.” Jego doświadczenie dostarcza wystarczających przykładów na to, dlaczego tworzenie rozwiązań „szytych na miarę” i uwzględnienie konkretnych sytuacji i zagrożeń jest istotne, ponieważ usprawnia proces rozwoju i sprawia, że produkt jest bezpieczniejszy dla użytkownika końcowego. W Aras Corp opracował i wdrożył rozwiązanie do analizy kodu, które umożliwiło programistom wykrycie podatności, takich jak wstrzykiwanie SQL i ryzyko przekroczenia ścieżki w kodzie produktu, a także podatności specyficznych dla konkretnego produktu. Po wdrożeniu analizatora wykryto i naprawiono kilkadziesiąt podatności. Ponadto wdrożenie analizatora sprawiło, że produkt stał się bezpieczniejszy dla użytkowników końcowych, którzy mogli opracowywać niestandardowe rozwiązania, umożliwiając im wykrywanie i eliminowanie potencjalnych zagrożeń na wczesnych etapach rozwoju.
Anton Snitavets wspomina o jeszcze jednej kluczowej koncepcji, którą firmy będą musiały przyjąć: będą musiały skoncentrować się na zapobieganiu zagrożeniom i działaniu proaktywnym, zamiast skupiać się wyłącznie na ochronie przed znanymi zagrożeniami i reagowaniu na naruszenia, które już miały miejsce. Aby osiągnąć ten cel niezbędny jest elastyczny system analiz i raportowania, który pozwoli firmie monitorować aktualny stan infrastruktury, przewidywać i wykrywać potencjalne zagrożenia oraz je eliminować, zanim spowodują jakiekolwiek straty. Takie prace Anton Snitavets przeprowadził w firmie Jabil Inc., gdzie od 2022 roku pracował jako Cloud Security Engineer. Aby poprawić stan zgodności z bezpieczeństwem w firmie, opracował autorski framework raportowania, dzięki któremu można szybko uzyskać informacje o stanie bezpieczeństwa zasoby chmury. W tym celu dostosował istniejące standardy bezpieczeństwa. Zintegrował rozwiązanie programowe służące do agregacji danych o stanie chmury informacyjnej, która odgrywała kluczową rolę w funkcjonowaniu firmy, pomagając utrzymać jej ocenę bezpieczeństwa na najwyższym możliwym poziomie.
Konieczność ciągłego uczenia się
Warto dodać, że technologia stale idzie do przodu, a wraz z nowymi środkami ochronnymi pojawiają się nowe zagrożenia. „Podczas gdy specjaliści ds. cyberbezpieczeństwa opracowują nowe, solidniejsze i bardziej odporne sposoby ochrony danych i zapewnienia stabilnego działania infrastruktury cyfrowej, szkodliwi przestępcy znajdują nowe wektory ataków, próbując wykorzystać powstającą technologię na swoją korzyść” wyjaśnia Anton Snitavets. Dlatego też specjalista ds. cyberbezpieczeństwa musi stale się uczyć, zarówno w teorii, jak i w praktyce, odkrywając nowe metody i rozwiązania oraz znajdując skuteczne sposoby zastosowania ich do bieżących zadań.
Przez całą swoją karierę Anton Snitavets kierował się tą zasadą. Jeszcze na studiach rozpoczął pracę jako programista, zdobywając doświadczenie, które dało mu solidny fundament pod przyszłą karierę. Następnie stale pracował nad zdobyciem certyfikatów zawodowych, w tym Certified Information Systems Security Professional (CISSP), który jest uważany za jeden z najtrudniejszych do uzyskania certyfikatów cyberbezpieczeństwa.
„Iważne jest, aby łączyć zdobywanie formalnych certyfikatów potwierdzających umiejętności zawodowe danej osoby z ciągłym poznawaniem pojawiających się technologii i wdrażaniem nowo zdobytej wiedzy w praktykę.” wyjaśnia Anton Snitavets. „Bycie ekspertem w dziedzinie cyberbezpieczeństwa wymaga dużego poświęcenia i dyscypliny, ponieważ koszt błędów może być znaczący.
Aby wdrożyć skuteczne procesy bezpieczeństwa informacji, należy stale iść do przodu i działać proaktywnie. Nowe środki regulacyjne, takie jak agencje ratingowe, zmuszą firmy do przyjęcia lepszych praktyk w zakresie bezpieczeństwa. Jednak jeszcze zanim przepisy staną się obowiązkowe, firmy muszą ulepszyć swoje podejście do bezpieczeństwa cybernetycznego, aby chronić siebie i swoich klientów przed pojawiającymi się zagrożeniami. „
