Ponichtera: Ataki na infrastrukturę krytyczną danych każą lepiej je chronić (ROZMOWA)
– Informacje i dane są jednym z najważniejszych zasobów, jakie może posiadać każde państwo. […] Nie jest to żadna nowość, a jednak cały czas uczymy się, że informacje te muszą być chronione pod wieloma względami. Każda organizacja w strukturach państwa, która odpowiedzialna jest za ochronę danych, musi mieć świadomość, że takie sytuacje będą się zdarzać. Muszą być gotowe, aby im przeciwdziałać – mówi Adam Ponichtera, dyrektor polskiego oddziału Data4, operatora i inwestora na rynku centrów danych, w rozmowie z BiznesAlert.pl.
BiznesAlert.pl: O czym świadczy możliwy sabotaż kabla z danymi między Finlandią a Estonią?
Adam Ponichtera: Informacje i dane są jednym z najważniejszych zasobów, jakie może posiadać każde państwo – zarówno w kontekście bezpieczeństwa, lecz również biznesu. Nie jest to żadna nowość, a jednak cały czas uczymy się, że informacje te muszą być chronione pod wieloma względami. Każda organizacja w strukturach państwa, która odpowiedzialna jest za ochronę danych, musi mieć świadomość, że takie sytuacje będą się zdarzać. Muszą być gotowe, aby im przeciwdziałać lub być w stanie szybko wdrażać rozwiązania awaryjne, niwelujące negatywne skutki. Obecnie tak silnie polegamy na infrastrukturze internetowej, że powinna być ona zrównana w kwestiach bezpieczeństwa z infrastrukturą energetyczną. Odpowiednia budowa, lokalizacja oraz ochrona linii komunikacyjnych oraz centrów danych odgrywają kluczową rolę w utrzymaniu operacyjności różnych sektorów, które z tą infrastrukturą są powiązane.
Jak chronić infrastrukturę krytyczną danych?
Zagadnienie to jest niezwykle szerokie i wielowątkowe, bowiem mówimy tu zarówno o fizycznych zagrożeniach, jak i cyberatakach. Data4 jak operator centrów danych skupia się na tej pierwszej kategorii, bowiem klienci zazwyczaj korzystają z własnego oprogramowania, choć zasoby wewnętrzne zabezpieczamy również przed cyberatakami. Nawet najlepsze systemy i praktyki mogą jednak zawieść, jeśli nie będziemy stale monitorować pojawiających się i ewoluujących zagrożeń oraz elastycznie dostosowywać naszych systemów bezpieczeństwa. Jako operator centrum danych zapewniamy ochronę przed zagrożeniami fizycznymi, a robimy to poprzez szeroki wachlarz działań. Praca w kontekście bezpieczeństwa zaczyna się jeszcze przed powstaniem konkretnego data center – kluczowa jest bowiem lokalizacja, która będzie narzucać kwestie bezpieczeństwa energetycznego czy w przypadku innych rejonów świata braku katastrof klimatycznych jak np. trzęsienia ziemi. Inne aspekty bezpieczeństwa fizycznego to m.in. monitoring oraz możliwość niezależnych źródeł energii – w naszym przypadku są to własne generatory prądu, czy niezależne podłączenia do sieci energetycznej. Kolejne aspekty to kontrola dostępu – pracowników czy dostawców – generalnie każdej osoby, która wchodzi na teren kampusu centrów danych, jak np. w przypadku naszego obiektu w Jawczycach pod Warszawą. Sami pracownicy muszą posiadać określone kompetencje, które trzeba odpowiednio rozwijać. Niemniej ważne będą procedury zgłaszania i rozwiazywania nieprawidłowości. Wszystkie powyższe aspekty muszą mieć odzwierciedlenie w planach awaryjnych, testach oraz regularnych audytach bezpieczeństwa.
Czy tutaj też ma znaczenie dywersyfikacja? Co jeszcze?
Zdecydowanie tak – ostatnie wydarzenia dobitnie pokazują, że zagrożenia występują tu i teraz, a nie w przyszłości. Dlatego rozwiązania w zakresie bezpieczeństwa danych i ich przekazywania powinny być priorytetem. Państwowe organizacje, odpowiedzialne za te obszary, muszą z czasem wypracować kompetencje, a na ten moment kluczowa może okazać się współpraca państwa z biznesem, który dysponuje odpowiednimi rozwiązaniami już dziś. Przykładem niech będzie armia USA, która korzysta z rozwiązań chmurowych dostarczanych przez providerów chmury takich jak AWS, Google, Microsoft czy Oracle. Niemniej jednak, outsourcing takich zadań powinien odbywać się wyłącznie w kierunku wiarygodnych i zaufanych partnerów, którzy – w naszym przypadku – podlegają pod legislację Unii Europejskiej, co stanowi fundamentalny aspekt w kontekście zagwarantowania bezpieczeństwa danych i ich suwerenności.
Rozmawiał Wojciech Jakóbik
