O autorze
Krzysztof Surgut – CEO firmy Data Space, rozwijającej systemy bezpieczeństwa IT, m.in. usługę Anty DDoS. Ekspert systemów teleinformatycznych (xDSL, DWDM, PON, IPTV, rozsiewczych systemów radiowych, technologii mobilnych oraz sieci IP), autor książki „VoIP – tania telefonia internetowa” (Helion), współautor strategii technologicznej dla Telefonii Dialog na lata 2000 – 2005, współautor strategii technologicznej dla HAWE S.A. na lata 2007 - 2010 podczas debiutu na GPW oraz główny architekt systemów wykorzystywanych w ogólnopolskiej sieci światłowodowej HAWE (teletransmisja, IP, IPTV, zarządzanie i utrzymanie). Szef zespołów budujących ważne węzły teleinformatyczne oraz data center w Polsce, specjalista od uzgodnień międzyoperatorskich.

Strategia Miyamoto

Strategia Miyamoto to bardzo popularna strategia w polskich przedsiębiorstwach, między innymi w zakresie cyberbezpieczeństwa. Choć tak wiele zarządów firm ją stosuje, to większość nie zdaje sobie sprawy z jej konsekwencji.

Wpisanie w Google pojęcia "Strategia Miyamoto" nie doprowadzi do żadnego linku z tym pojęciem. Pojęcie to jest wynikiem moich spostrzeżeń podczas dziesiątków spotkań z różnymi firmami.
W większości z tych rozmów tematem było cyberbezpieczeństwo oraz przyjęte przez firmy standardy.
W efekcie powstała w mojej głowie "Strategia Miyamoto", o której za chwilę.

Kto to jest Miyamoto?
Aby zrozumieć Strategię Miyamoto potrzebna jest podstawowa wiedza o Musashi Miyamoto - to legendarny, japoński bohater narodowy.
Postać jak najbardziej autentyczna, która żyła w czasach średniowiecza. Musashi Miyamoto był niezwykłym samurajem, który samotnie przemierzał Japonię i walczył z bandami, grasującymi na drogach kraju Kwitnącej Wiśni.

Potrafił walczyć z wieloma przeciwnikami jednocześnie, a swoją sztukę walki udoskonalił tak bardzo, że stworzył szkołę walki dwoma samurajskimi mieczami (styl niten'ichi-ryū , czyli "dwa nieba jako jedność").

Jednak olbrzymia biegłość Miyamoto w sztuce walki dwoma mieczami na pewno wystarczała na bandy napadające na ludzi, jednak nie dawała mu żadnych szans w starciu np. z konnym wojskiem czy też w walce z zastępem wytrenowanych łuczników.
Mówiąc krótko, jego sztuka walki była piekielnie skuteczna, lecz wyłącznie w starciu ze specyficznym przeciwnikiem i w specyficznych warunkach.

Współczesny Miyamoto
Obecnie obserwuję istnienie współczesnych Miyamoto, w różnego typu organizacjach czy firmach. Najczęściej jest to Pan Zbyszek, który w swojej firmie uchodzi za eksperta ds. informatyki.

Bardzo często jest to osoba zajmująca się cyberbezpieczeństwem z racji swojej pasji, a nie tylko zakresu obowiązków.
Pomimo skąpego, firmowego budżetu - wykorzystuje różny open source lub też "wróży" z różnego rodzaju darmowych wersji systemów ochronnych, plugin'ów, skryptów czy innych programików z Internetu - aby monitorować i chronić firmowe zasoby przed zakusami hakerów.

W chwilach wolnych Pan Zbyszek samodoskonali swoje umiejętności, aktywnie zdobywa wiedzę, szuka sposobów reagowania na cyberataki, weryfikuje podatności firmowych systemów na cyberataki, uczy się monitorowania i wykrywania incydentów.

Pan Zbyszek ma tylko jeden zasadniczy problem, jest praktycznie nieskuteczny w walce z zarządem o pozycje w firmowym budżecie wydatków i nakładów, a to oznacza dla niego brak dostępu do zaawansowanych narzędzi, profesjonalnych szkoleń czy usług.

Taki współczesny Miyamoto jest najczęściej samotnikiem, który nie jest specjalnie wspierany przez zarząd firmy, a co ciekawe wykształca wokół siebie aurę niepokonanego "bezpiecznika".

Ta aura jest zgubna zarówno dla Pana Zbyszka jak i dla zarządu firmy. Dlaczego?

Większość firm w Polsce nie inwestuje w systemy czy procesy bezpieczeństwa informatycznego, bo Pan Zbyszek zawsze potrafi wykazać się "smykałką", a poza tym pada sakramentalne stwierdzenie Zarządu:

"....dotychczas nie było poważnych INCYDENTÓW (!!!)"

Tym samym zarząd firmy, co najwyżej, pozwala na zakup firewalla (i najlepiej w jak najniższej cenie) albo też zgodzi się na uczestnictwo Pana Zbyszka w darmowej konferencji o cyberbezpieczeństwie.

Jednak zakup zaawansowanych narzędzi czy usług z zakresu cyberbezpieczeństwa jest dla zarządu ... zbędnym wydatkiem.

Gdzie jest problem?
Załóżmy, że Pan Zbyszek jest ekspertem w swoim fachu - co nie jest (!) standardem w polskich realiach.
Wydawać by się mogło, ze posiadanie w firmowym zespole IT pasjonata ds. cyberbezpieczeństwa niesie ze sobą same korzyści dla firmy i rozwiązuje problem bezpieczeństwa. Czy aby na pewno tak jest?

W końcu Pan Zbyszek zna się na systemach informatycznych, potrafi identyfikować zagrożenia, posiada wiedzę o atakach, podatnościach, lukach, itd.

Jednakże:

* Pan Zbyszek kiedyś musi spać!
* Pan Zbyszek kiedyś musi iść na urlop!
* Pan Zbyszek musi czasami wyzdrowieć!
* Pan Zbyszek kiedyś musi się doszkolić!

Spełnienie któregokolwiek z powyższych musi sprawia, że firma w tym czasie jest BEZBRONNA.

Nawet najlepszy, firmowy Miyamoto nie ma najmniejszych szans, kiedy na jego wirtualnej drodze stanie odpowiednio wyspecjalizowana i wytrenowana drużyna hakerów. Pomijam kwestię różnicy czasu - haker w Brazylii czy Chinach jest aktywny w czasie, gdy większość ludzi w Polsce śpi.

W bardzo wielu polskich firmach sporo jest współczesnych Miyamoto.
Stoją na straży firmowych danych, samodoskonalą swój warsztat, jednak w praktyce są samotnikami zdanymi wyłącznie na własne umiejętności i praktykę.
Z minimalnym budżetem, z maksymalną odpowiedzialnością.

A co najważniejsze, ....

...nie jest ważne z ilu pojedynków wyjdą zwycięsko - ważne, że gdy choć jeden z tych pojedynków przegrają, to chronione, firmowe dane popłyną w świat lub zostaną zakodowane....

.... wtedy w firmie wszyscy mają pretensje do Pana Zbyszka. A co w takim wypadku Pan Zbyszek może powiedzieć na swoją obronę?

Przecież dotychczas nie było żadnych poważnych incydentów!

Tylko czy o to chodzi?
Trwa ładowanie komentarzy...