logistyka produkcja magazynowanie transport cyfryzacja gospodarka mobilność hr
  1. Home
  2. Newsy
  3. Bezpieczeństwo to gra zespołowa
Bezpieczeństwo to gra zespołowa

Bezpieczeństwo to gra zespołowa

2 godziny temu
castorama polska cyberbezpieczeństwo michał zych wywiad

Michał Zych, Dyrektor ds. Technologii w Castorama Polska, opowiada nam o roli cyberbezpieczeństwa w  dużej organizacji z branży retail, wyzwaniach związanych z efektywną współpracą z  partnerami technologicznymi oraz  rosnącej roli AI w pojawianiu się nowych cyberzagrożeń.  

Panie Michale, dziś wysoki priorytet przyznawany kwestiom cyberbezpieczeństwa to raczej oczywistość, szczególnie w dużych organizacjach. Jak jednak wygląda to z historycznego punktu widzenia? Kiedy w Castorama Polska cyberbezpieczeństwo stało się istotną kwestią? 

W dobie postępującej cyfryzacji, dynamicznego rozwoju sprzedaży omnikanałowej oraz rosnących zagrożeń w cyberprzestrzeni, cyberbezpieczeństwo staje się jednym z kluczowych wyzwań sektora retail, co ostatnie przykłady pokazują niezwykle klarownie. Wystarczy wspomnieć znane z ostatnich miesięcy incydenty w firmach Marks & Spencer, Adidas czy – z naszego podwórka – Komfort. Castorama Polska, jako lider rynku DIY, od lat rozwija i doskonali swoje podejście do ochrony infrastruktury, danych i procesów oraz ludzi – zarówno w kontekście wewnętrznym, jak i w ekosystemie współpracy z partnerami.

Od początku transformacji cyfrowej w Castorama Polska cyberbezpieczeństwo traktowane było jako podstawa działalności. Ewaluowało oczywiście wraz z rozwojem skali firmy i jej kontekstu działania, zmieniało się wraz z ilością sklepów i rodzajem kanałów sprzedaży i realizowanych usług. Najpierw była to perspektywa ciągłości działania, dalej bezpieczeństwa danych, zwłaszcza klientów, a wraz z rozwojem kanału digital kompleksowa perspektywa całej architektury platform i technologii, która stoi za dzisiejszym handlem. Pierwsze poważne działania w tej ostatniej perspektywie rozpoczęliśmy ponad dekadę temu, wraz z rozbudową naszych systemów sprzedażowych oraz integracją z centralnymi platformami Grupy Kingfisher. Z biegiem ostatnich lat, wraz ze wzrostem skali działalności, rodzajów usług jakie oferujemy (projektowanie wnętrz, wypożyczanie sprzętów, montaż, dostawy, program lojalnościowy itd.), rozwoju świata cyfrowego i pojawieniem się nowych zagrożeń, priorytet ten stale zyskiwał na znaczeniu. Cyberbezpieczeństwo jest integralną częścią filozofii firmy, strategii technologicznej oraz zarządzania ryzykiem.

Czy decyzja o przywiązaniu większej uwagi do kwestii cyberbezpieczeństwa wynikała z konkretnych incydentów pojawiających się w organizacji, czy też była raczej efektem obserwacji otoczenia biznesowego i technologicznego?

Decyzja o poświęceniu większej uwagi działaniom w zakresie cyberbezpieczeństwa była efektem zarówno obserwacji globalnych trendów, jak i konkretnych doświadczeń z rynku. Nie czekaliśmy na poważny incydent – świadomość, profilaktyka oraz analiza przypadków z innych sektorów wystarczą do tego, aby inwestycje w bezpieczeństwo były uzasadnione. Widzimy i wiemy, jak ataki na firmy z branży retail mogą prowadzić do poważnych strat finansowych, utraty zaufania klientów oraz zakłóceń w łańcuchu dostaw. Ja osobiście mam jeszcze jedno źródło motywacji, aby wiedza o cyberbezpieczeństwie była użyteczna dla naszych pracowników poza miejscem pracy, w życiu codziennym. Ochrona firmy to nasze zadanie, świadomość i wiedza o zagrożeniach zostaje z nami po wyjściu z pracy, gdzie nie ma wyspecjalizowanej technologii, procesów, grup reagowania. Są za to popularne przestępstwa, oparte na wyłudzeniach i phishingu. DNA Castorama to szerzenie idei dobrego, bezpiecznego domu, pomagając tym, którzy tego potrzebują, budując tym samym lepsze warunki życia dla wszystkich.

3. Jakie są zatem fundamenty podejścia do cyberbezpieczeństwa w Castorama Polska? Jak długo trwało tworzenie funkcjonującej dziś polityki i struktury technicznej oraz personalnej? 

Nasze podejście opiera się na trzech filarach: technologiach, skutecznych procedurach oraz kompetencjach ludzi. Często na konferencjach powtarzam, że sama technologia nie wystarczy. I nie jest ważne czy dotykamy systemu sprzedażowego, zagadnień cyberbezpieczeństwa czy sztucznej inteligencji. Najlepsza technologia czy świetne rozwiązania AI, bez spójności z HI (ludzka inteligencja) nie będzie funkcjonować.

Budowa obecnej polityki trwała kilka lat i obejmowała zarówno inwestycje w nowoczesne narzędzia np. systemy SIEM (Security Information and Event Management), monitorowanie incydentów, automatyzację reakcji jak i rozwój struktur personalnych – powołanie dedykowanych zespołów ds. bezpieczeństwa IT. Stawiamy na ciągłą edukację, regularne testy penetracyjne oraz aktualizację procedur zgodnie z praktykami branżowymi i wydarzeniami rynkowymi.

Jakie są Pana zadaniem szczególnie wyzwania cyberbezpieczeństwa, przed którymi stoi firma działająca w branży retail i posiadająca tak dużą skalę działalności jak Castorama Polska? Czy rosnący wolumen sprzedaży omnikanałowej zwiększa poziom tych wyzwań? 

Branża retail jest szczególnie narażona na ataki ze względu na dużą ilość danych klientów, partnerów, rozproszoną infrastrukturę oraz wysoką dynamikę operacji. Wyzwania obejmują m.in. ochronę danych osobowych, zabezpieczenie płatności online i offline, a także zapewnienie ciągłości działania sklepów stacjonarnych i platform e-commerce. Wzrost sprzedaży omnikanałowej zwiększa powierzchnię potencjalnych ataków – wymaga to ścisłej integracji zabezpieczeń na styku kanałów, a także szybkiego reagowania na nowe typy zagrożeń, zwłaszcza na phishing czy ataki w rozproszonej infrastrukturze sklepowej. Phishing i inne zagrożenia cyber mają swoją dużą skalę w branży retail z uwagi na ekosystem partnerów – zarówno handlowych jak i technologicznych, duży ekosystem partnerów to po prostu więcej potencjalnych punktów ataków.

Jakie znaczenie w tej całej układance ma  współpraca z partnerami technologicznymi?  Na czym opiera Pan decyzje o wyborze danego rozwiązania i jak wygląda proces wdrażania innowacji w środowisku o dużej skali operacyjnej. 

Każdy proces wyboru dostawców osadzony jest w zasadzie „security by design” – już na etapie wyboru technologii, partnera, a potem projektowania, zespół ds. bezpieczeństwa wspiera zespoły w każdej fazie takiej pracy. Albo wybieramy rozwiązanie SaaS, biorąc pod uwagę sprawdzenie wszystkich istotnych aspektów zarządzania bezpieczeństwem po stronie dostawcy, albo dostawcy pracują w naszej infrastrukturze chmurowej stosując się do naszych wytycznych. W retailu mało kto jest i będzie samowystarczalny, dlatego wspólnie budujemy ekosystem, w którym bezpieczeństwo jest wartością nadrzędną. Ekosystem retail to sieć powiązań z partnerami, dostawcami technologii, operatorami płatności i innymi. Przykłady dużej skali ataków na sieć Home Depot, gdzie w 2014 roku skradziono około 53 milionów danych klientów, Target 40 milionów klientów, a ataki odbyły się za pomocą firm trzecich (przejęcia credentiali – danych uwierzytelniających osób z firm trzecich) to prosty przekaz – bezpieczeństwo to gra zespołowa. Stosujemy odpowiednie kryteria wyboru partnerów, weryfikujemy ich procedury oraz prowadzimy regularne audyty. Dzielimy się wiedzą, prowadzimy wspólne testy penetracyjne. Wdrażamy także narzędzia umożliwiające monitorowanie przepływu danych pomiędzy systemami wewnętrznymi a zewnętrznymi dostawcami. Współpraca oparta na zaufaniu i transparentności jest kluczowa dla skutecznej ochrony całego łańcucha wartości.

Ale to nie tylko o partnerów technologicznych chodzi, phishing może być również bardzo skuteczny, kiedy myślimy, że korespondujemy z naszym partnerem biznesowym, a tymczasem ktoś przejął konto po drugiej stronie….

Niemal w każdym opracowaniu dotyczącym cyberzagrożeń powtarza się jednak hasło, iż najsłabszym ogniwem są ludzie, a nie samo oprogramowanie. Czy zgadza się Pan z tą opinią? 

Nie zgadzam się z tezą postawioną w tak bezpośredni sposób. Ważny jest kontekst. Tak  jak wcześniej rozmawialiśmy, równie istotne są tu governance, technologia i ludzie. W szczególności te dwa ostatnie czynniki mogą być najsłabszym ogniwem albo pierwszą linią obrony. Oczywiście jest pewna różnica, w kwestii: czy łatwiej złamać dobre zabezpieczenie techniczne, czy przekonać daną osobę do świadomego albo nieświadomego ominięcia procedur? Instynktownie czujemy co może być prostsze,  statystyki także pokazują, że więcej sukcesów cyberprzestępców wynika z błędów ludzkich. Dlatego w Castoramie inwestujemy w programy edukacyjne, kampanie uświadamiające oraz symulacje ataków socjotechnicznych (phishing, vishing). Budujemy kulturę bezpieczeństwa, w której każdy pracownik czuje się odpowiedzialny za ochronę danych i systemów. Regularne szkolenia i testy podnoszą czujność oraz pomagają identyfikować potencjalne zagrożenia na wczesnym etapie. Bazą są oczywiście zabezpieczenia techniczne.

Od kilkunastu miesięcy sytuacja geopolityczna w znaczący sposób zmieniła charakter zagrożeń, stojących przed infrastrukturą IT. Jak zatem można budować odporność systemów IT w kontekście rosnących zagrożeń geopolitycznych i technologicznych,

Faktycznie ostatnie lata przyniosły wzrost zagrożeń związanych z sytuacją geopolityczną – od ataków sponsorowanych przez państwa, po kampanie dezinformacyjne. W odpowiedzi wzmacniamy monitoring, współpracujemy z instytucjami branżowymi i państwowymi, a także inwestujemy w rozwiązania i szkolenia. Czyli robimy to co zwykle tylko trochę mocniej i czujniej. 

Cyberbezpieczeństwo wewnątrz organizacji to jedna kwestia, jednak nie może ono funkcjonować w oderwaniu od całego łańcucha dostaw firmy.  Jak zbudowany jest szeroki cyfrowy ekosystem Castoramy?  Czy wasi dostawcy, firmy transportowe etc. są połączeni z centralnymi systemami Castoramy? 

Nasz cyfrowy ekosystem obejmuje nie tylko centralne systemy IT, ale także sieć dostawców, firmy transportowe i partnerów logistycznych. Współpracujemy na wielu płaszczyznach, integrując systemy w sposób bezpieczny, z wykorzystaniem szyfrowanych połączeń i dedykowanych interfejsów API. Dostawcy mają dostęp wyłącznie do niezbędnych zasobów, a wszelkie integracje są poprzedzane szczegółową analizą ryzyka oraz testami bezpieczeństwa. Dzięki temu minimalizujemy ryzyko przenikania zagrożeń z zewnątrz do naszej infrastruktury. 

Jak dbają Państwo o to, aby także po stronie innych uczestników łańcucha dostaw zachowywane były należyte środki ostrożności i procedury? Czy potencjalny nowy dostawca lub przewoźnik musi spełniać konkretne wymagania związane z cyberbezpieczeństwem?

Każdy nowy dostawca musi spełniać jasno określone wymagania w zakresie cyberbezpieczeństwa. Obejmują one m.in. stosowanie standardów ISO, prowadzenie regularnych audytów oraz wdrożenie procedur zarządzania incydentami. Prowadzimy także ocenę ryzyka związanego z integracją oraz oferujemy wsparcie i szkolenia dla partnerów. Jak mówiłem, wspólnie tworzymy bezpieczne środowisko współpracy, w którym każdy uczestnik łańcucha dostaw musi być świadomy swojej roli w ochronie danych i procesów, ciągłości działania.    

Na koniec proszę o  kilka refleksji na temat tego, jak zagrożenia cybernetyczne mogą zmieniać biznes w nadchodzących latach.   

Niczym zaskakującym nie jest to, że w kolejnych latach musimy liczyć się z dalszym wzrostem liczby i zaawansowania cyberzagrożeń – zarówno tych wymierzonych w firmy, jak i klientów. Rozwój sztucznej inteligencji, automatyzacja ataków i działań przestępców oraz pojawianie się nowych technologii po prostu potęgują ekspozycję na takie ryzyko. Jako branża wciąż nie w pełni wykorzystujemy i nie do końca kontrolujemy obszary takie jak Internet Rzeczy w retailu – choćby systemy zarządzania chłodzeniem w sklepach, które funkcjonują w sieci i tym samym mogą stać się celem ataku (też już były skuteczne próby w tym zakresie). A to tylko jeden z przykładów.

AI ułatwia tworzenie bardziej przekonujących prób wyłudzeń (phishing) i generowanie realistycznych deepfake’ów, a także automatyzuje same ataki. Pojawiają się też narzędzia takie jak WormGPT – określany przez niektórych jako „mroczny bliźniak” ChatGPT – wykorzystywane do automatyzacji tworzenia złośliwego oprogramowania. Kolejnym obszarem ryzyka jest nasze rosnące uzależnienie od chmury i globalnych dostawców. Jeśli jeden z nich ma awarię, jak w przypadku głośnych incydentów dotyczących CrowdStrike czy AWS, konsekwencje odczuwają organizacje na całym świecie – niezależnie od tego, czy to wynik cyberataku, czy problemu technicznego. Zabezpieczenia i metody szyfrowania dziś w obliczu dostępu do komputerów kwantowych (szybkości łamania algorytmów szyfrujących), mogą już nie być wystarczające.

Cyberbezpieczeństwo to już nie tylko warunek utrzymania zaufania klientów i stabilności biznesu o czym mówiłem na początku, ale to już w zasadzie element przewagi konkurencyjnej. Kluczowe jest inwestowanie w ludzi, technologię oraz partnerską współpracę w ekosystemie cyfrowym.

Jeśli ktoś się zastanawia nad zasadnością inwestycji w cybersecurity to mam taką radę, że „najlepszy czas na posadzenie drzewa był 20 lat temu, drugi najlepszy czas jest teraz.”

Dziękuję za rozmowę.

Rozmawiał: Witold Zygmunt

Poleć ten artykuł:

Polecamy

Europejski przemysł cyfryzuje się zbyt wolno

Europejski przemysł cyfryzuje się zbyt wolno

6 dni temu Witold Zygmunt
RFID w branży stomatologicznej – nowe podejście do obiegu wyrobów

RFID w branży stomatologicznej – nowe podejście do obiegu wyrobów

16 lutego Silny&Salamon
PSI prezentuje nową identyfikację wizualną

PSI prezentuje nową identyfikację wizualną

10 lutego marketing138
NIS2 obnaża luki

NIS2 obnaża luki

2 lutego Witold Zygmunt