Zdzikot: Cyberbezpieczeństwo opiera się na ludziach

14 lipca 2020, 09:54
CERT_CYBER1
Fot. Luke Pinneo/coastguard.dodlive.mil

W ramach naszego programu strategicznego powstanie Security Operation Center. O tym jakie są strategiczne plany operatora narodowego oraz które obszary będą rozwijane mówi Tomasz Zdzikot, Prezes Zarządu Poczty Polskiej S.A.

W Ministerstwie Obrony Narodowej oraz w Ministerstwie Spraw Wewnętrznych i Administracji cyberbezpieczeństwo było jednym z zasadniczych obszarów, które Pan rozwijał. Jakie są wyzwania z perspektywy Poczty Polskiej w obszarze cyberbezpieczeństwa?

W Poczcie Polskiej cyberbezpieczeństwo to niezwykle ważne zagadnienie z kilku powodów. Po pierwsze, dlatego że Poczta Polska to największa spółka infrastrukturalna w Polsce. Dysponujemy siecią przeszło 7,5 tysiąca placówek i zatrudniamy blisko 80 tys. pracowników. Po drugie to firma zaufania publicznego, która świadczy szereg usług zapewniających ciągłość działania państwa polskiego, pewność obrotu gospodarczego, postępowań administracyjnych i sądowych. Z jednej strony bardzo ważna jest zatem kwestia bezpieczeństwa systemów wewnętrznych, które wykorzystujemy w obsłudze poszczególnych procesów, a z drugiej strony bezpieczeństwo usług świadczonych dla klientów, które opierają się przecież na zaufaniu do narodowego operatora pocztowego. W obydwu tych obszarach, grupa Poczty Polskiej jest bardzo aktywna.

Jako podmiot należący do krytycznej infrastruktury państwa jesteśmy członkiem programu Arakis 3.0, prowadzonego przez ABW. Poczta Polska realizuje również jeden z programów strategicznych dotyczących cyberbezpieczeństwa, który obejmuje zarówno inwestycje sprzętowe, jak i w software.

To niezwykle ważne, gdyż zmiany otoczenia, w którym funkcjonuje Poczta bardzo przyspieszyły w dobie pandemii. Dotyczy to zwłaszcza naturalnego trendu prowadzącego do cyfryzacji kolejnych sfer i dziedzin życia, w tym oczywiście komunikacji na odległość. Z tej przyczyny Poczta musi być w większym stopniu uczestnikiem cyfrowej rewolucji, która dzieje się przecież na naszych oczach i musi rozwijać portfel produktów dostępnych online i bezdotykowo, o których znaczeniu przekonuje nas obecny czas stanu epidemii. Krajobraz rynku, na którym działa Poczta po koronawirusie może nie powrócić już do wcześniejszego stanu. E-substytucja przyspieszyła i zarówno w przypadku klientów prywatnych, jak i instytucjonalnych, wolumeny przesyłek listowych uległy skokowemu zmniejszeniu. Stąd dotychczasowe procesy muszą być oczywiście realizowane nie tylko w sposób bezpieczny, ale też szybko i nowocześnie. Towarzyszyć im muszą także nowe pola biznesowej aktywności i nowe źródła przychodów z wykorzystaniem szans jakie niosą nowe technologie.

Funkcję Prezesa Poczty Polskiej pełnię dopiero od ok. 3 miesięcy, jednak w tym czasie zrealizowaliśmy lub zapoczątkowaliśmy już kilka projektów w obszarze cyfryzacji. Po pierwsze wdrożyliśmy usługę polegającą na możliwości otrzymywania drogą elektroniczną listów poleconych, czyli usługę tzw. odwróconej hybrydy. Co ważne została ona przygotowana i udostępniona siłami własnymi informatyków Poczty Polskiej. Dziś jest świadczona dla obywateli na coraz większą skalę i stale rozszerzamy jej możliwości. Podjąłem również decyzję, że wdrożymy w Poczcie Polskiej elektroniczny obieg dokumentów. To ważne abyśmy procesy cyfryzacji zaczynali od siebie, tak by wykorzystywać cyfrowe narzędzia w najbardziej efektywny sposób i wspierać realizację procesów, na których nasza firma się opiera. Uruchomiłem także kilka cyfrowych projektów, które mam nadzieję będziemy mogli zaprezentować jeszcze w tym roku, ale wszystko w swoim czasie. One wszystkie muszą być – podkreślę – bezpieczne, dlatego Poczta Polska posiada zarówno jednostki ds. cyberbezpieczeństwa, jak i własne spółki technologiczne, które w dużej mierze powinny być w stanie dostarczać nam oczekiwane rozwiązania.

Jakie są główne zadania jednostek odpowiedzialnych za cyberbezpieczeństwo?

Kluczem są ludzie. To zawsze jest wyzwanie - znalezienie odpowiednich ekspertów, o których dziś konkurują i rywalizują wszystkie firmy i instytucje zarówno w Polsce, jak i na świecie. Cyberbezpieczeństwo opiera się przecież na ludziach, którzy projektują systemy bezpieczeństwa, tworzą stosowne polityki oraz dbają o ich implementację i przestrzeganie oraz na użytkownikach końcowych, czyli pracownikach, którzy często mogą stać się najsłabszym ogniwem tego łańcucha. W Poczcie Polskiej jednostki ds. cyberbezpieczeństwa są powiązane i traktowane komplementarnie z zadaniami związanymi z bezpieczeństwem fizycznym i bezpieczeństwem informacji. To zadania związane z wdrażaniem stosownych polityk oraz narzędzi hardware’owych i software’owych, które mają zwiększać bezpieczeństwo naszych systemów. Marka Poczty Polskiej, jako instytucji zaufania publicznego, jest też bardzo często wykorzystywana przez cyberprzestępców w zakrojonych na szeroką skalę kampaniach o charakterze phishingowym. Ze skokowym wzrostem tego zjawiska mamy do czynienia w czasie pandemii i podejmujemy stosowne kroki, by im szybko i skutecznie przeciwdziałać.

Jakie działania Poczta Polska podejmuje, aby walczyć z zagrożeniami phishingowymi?

Takich kampanii jest stosunkowo dużo. W ramach jednej z nich wysyłano smsy o tym, iż nadana przesyłka wymaga dopłaty ze względu na konieczność jej dezynfekcji albo na zbyt duże wymiary. Inna kierowała na fałszywą stronę przeznaczoną do płatności - wpisanie tam swoich danych mogło mieć poważne konsekwencje w postaci utraty danych czy pieniędzy. Takie ataki bywają naprawdę profesjonalnie przygotowane. Eksperci od cyberbezpieczeństwa także w tym przypadku podkreślali, że nawet ze swoim doświadczeniem mieliby trudność z szybkim zorientowaniem się, że mają do czynienia z próbą dokonania ataku.

Poczta Polska ostrzega przed takimi zagrożeniami. Udostępniliśmy dedykowany adres kontaktowy cyberbezpieczenstwo@poczta-polska.pl, w przypadku otrzymania podejrzanych wiadomości lub podejrzenia nieprawidłowości bądź niezgodności należy sprawę zgłosić policji i powiadomić Pocztę, także po to, aby uchronić innych użytkowników, którzy mogą stać się celem ataku. Poczta inicjuje i prowadzi też kampanie edukacyjno-informacyjne, ponieważ chcemy dotrzeć do jak najszerszego kręgu odbiorców z ostrzeżeniami o zagrożeniu phishingiem oraz podkreślić, że Poczta Polska nie wysyła smsów kierujących na stronę płatności i nie oczekuje dopłaty za dezynfekcję przesyłek. Ściśle współpracujemy również z organami ścigania i to jest kolejna kwestia, którą zajmują się jednostki ds. cyberbezpieczeństwa.

Jaką rolę Poczta Polska odgrywa w krajowym systemie cyberbezpieczeństwa oraz jak wygląda jej współpraca z trzema głównymi CSIRT-ami? Czy Poczta Polska planuję uruchomienie własnego CSIRT-u?

W ramach krajowego systemu cyberbezpieczeństwa współpracujemy głównie z CSIRT GOV i jest to nasz podstawowy partner, ale współpracujemy również z innymi CSIRT-ami.. W ramach współpracy z CSIRT GOV Poczta Polska została objęta systemem ARAKIS, czyli systemem wczesnego ostrzegania o zagrożeniach w internecie. Jeżeli chodzi o własne zasoby, to nasz projekt strategiczny zakłada stworzenie SOC (Security Operation Center), które jest w trakcie rozbudowy. Biorąc pod uwagę skalę działalności Poczty Polskiej oraz jej znaczenie, jako kluczowej spółki infrastrukturalnej w kraju, operatora infrastruktury krytycznej, dysponowanie stosownym zasobem organizacyjnym i kadrowym jest po prostu konieczne. Dlatego jesteśmy cały czas otwarci na najlepszych ekspertów z rynku. Chcemy ich aktywnie pozyskiwać do współpracy nie tylko z Pocztą, ale też z całą grupą Poczty Polskiej, w ramach której działa przecież także bank oraz spółki technologiczne.

Objął Pan stanowisko Prezesa Zarządu Poczty Polskiej 3 kwietnia. Czy w tak krótkim czasie udało się zidentyfikować główne wyzwania przed którymi stoi Poczta Polska?

Poczta Polska jest firmą stanowiącą wyzwanie. Z jednej strony jest to podmiot, który jest największą spółką infrastrukturalną w kraju, o ogromnych tradycjach - 462 lat historii. I jako taka działa ona na pograniczu dwóch obszarów. Jako wyznaczony operator świadczy usługę powszechną i jest instytucją zaufania publicznego, realizując przepisy prawa pocztowego. Doręcza najbardziej wrażliwe i najbardziej krytyczne przesyłki w Polsce. Z drugiej jednak strony działa także na niezwykle konkurencyjnym rynku przesyłek kurierskich i paczkowych, usług logistycznych, a także poprzez grupę kapitałową na rynku usług finansowych.

Poczta Polska jest firmą, która powstała przede wszystkim w celu obsługi pierwszego komponentu, czyli usług listowych. Trend światowy jest jednak taki, że stale rośnie e-substytucja, czyli zastępowanie korespondencji tradycyjnej korespondencją elektroniczną. Pandemia go jeszcze znacząco przyspieszyła. Generalnie wolumeny przesyłek listowych spadają i prawdopodobnie będą dalej spadać. W związku z czym Poczta musi po pierwsze stać się uczestnikiem cyfrowej rewolucji i postawić na usługi, które mogą i powinny być świadczone online, stąd niezwykle ważny jest dla nas projekt związany z eDoręczeniami w ramach, którego Poczta ma stać się narodowym operatorem cyfrowym.

Po drugie, bardzo ważnym segmentem jest obsługa rynku eCommerce i handel elektroniczny. Ten rynek rośnie bardzo dynamicznie. W roku 2019 polski eCommerce był warty około 50 miliardów złotych. Szacowało się, że w tym roku wzrośnie do 70 miliardów, natomiast sytuacja pandemiczna spowodowała, że może on wzrosnąć nawet do 100 miliardów złotych. Poczta Polska ma stosunkowo dobrą pozycję na tym rynku. Jesteśmy jednym z głównych partnerów platformy Allegro.pl. Jeżeli chodzi o wolumeny przesyłek obsługiwanych w ramach eCommerce zajmujemy trzecie miejsce w Polsce. Na pewno jest to jeden z filarów działalności rozwoju Poczty, bo to rynek, który stale rośnie. Z kolei trzecim filarem są usługi logistyczne, bo Poczta Polska jest operatorem również tego typu i świadczy np. usługę przesyłki paletowej. Jesteśmy dużą firmą, która musi rozwijać portfolio usług we wszystkich tych obszarach.

Bardzo ważna jest dla mnie również konsolidacja grupy pocztowej, w ramach której moglibyśmy świadczyć usługi online. Jednym z moich celów jest realizacja projektu, który roboczo określamy, jako Cyfrowa Poczta, czyli konsolidacja i zwiększenie portfela usług online całej grupy, a więc usług bankowych, finansowych, ubezpieczeniowych i oczywiście usług pocztowych, które przecież już dziś świadczymy, choć z pewnością możemy ich świadczyć jeszcze więcej, co pokazał wspomniany już przykład tzw. odwróconej hybrydy uruchomionej w ciągu kilku tygodni, w czasie trwania epidemii. Poczta jest też na tyle dużą grupą, że chciałbym także, abyśmy w maksymalnym stopniu osiągnęli samowystarczalność technologiczną tak, by być twórcą, dostarczycielem i właścicielem pełni praw do rozwiązań informatycznych, które następnie będziemy wykorzystywać, a także byli zdolni do wykonywania we własnym zakresie usług utrzymaniowych. To jest zadanie, które stawiam przed sobą i zespołem Poczty Polskiej. Na pewno mamy ku temu zasoby i możliwości.

image

 

Na rynku eCommerce panuje duża konkurencja, co może być atutem Poczty Polskiej wyróżniającym ją na tle innych podmiotów?

Po pierwsze, Poczta Polska to marka, która jest wysoko plasowana w badaniach zaufania, to również tradycja, doświadczenie i przede wszystkim najbardziej rozbudowana sieć placówek, dzięki której docieramy do wszystkich Polaków. Jesteśmy obecni we wszystkich gminach w Polsce. Nasi listonosze i kurierzy codzienne doręczają przesyłki liczone w milionach sztuk, robimy to dobrze i pewnie. Jesteśmy instytucją zaufania publicznego i firmą, której państwo powinno powierzać nowe usługi i zadania, bo jesteśmy do tego przygotowani, mamy zasoby infrastrukturalne, logistyczne, kadrowe i chcemy je realizować.

Na jakim etapie są obecnie przygotowania Poczty do pełnienia roli operatora cyfrowego, czyli niejako krwioobiegu e-administracji?

To jest bardzo ważny projekt. To będzie jeden z głównych projektów na styku administracja-obywatel, a w przyszłości także pomiędzy podmiotami komercyjnymi. Rząd Premiera Mateusza Morawieckiego przyjął projekt ustawy o elektronicznych doręczeniach w lutym br. Obecnie trwają prace nad tym dokumentem w Parlamencie. Bardzo wiele będzie zależało od wymogów i standardów, które przygotowuje Ministerstwo Cyfryzacji. 

W Poczcie Polskiej działa stosowny zespół odpowiedzialny za opracowanie wszystkich niezbędnych analiz biznesowych i przygotowanie Poczty Polskiej do pełnienia roli operatora cyfrowego. Mamy zasoby informatyczne, które są możliwe do uruchomienia dla realizacji tego projektu. Posiadamy już także doświadczenie w tym obszarze świadcząc dziś usługi cyfrowe. E-substytucja, czyli zastąpienie korespondencji tradycyjnej komunikacją elektroniczną jest nieuchronna i Poczta na tym polu musi działać bardzo aktywnie. Podobnie sytuacja wygląda w innych krajach jak np. Danii, Szwajcarii, Czechach, Francji. Poczty narodowe są uczestnikami tego procesu i świadczą także usługi związane z doręczeniami elektronicznymi. Jest to rozwiązanie naturalne, gwarantujące pewność tego procesu, który musi pozostawać w zgodzie z najnowszymi wymogami eIDAS. Poczta Polska jako Narodowy Operator Cyfrowy to jeden z naszych celów. 

Jak wyglądają Pana plany odnośnie strategicznego rozwoju Poczty Polskiej?

Po pierwsze, to Poczta Polska nowoczesna, korzystająca z cyfrowego rynku oraz dobrodziejstw nowych technologii, dysponująca nowoczesnymi systemami, w tym: logistycznym, okienkowym, HR. Trwałe wykorzystująca i zwiększająca możliwości tzw. mobilnego listonosza. Mamy już przecież 26 tys. tabletów, którymi codziennie nasi doręczyciele się posługują. Chciałbym również, aby Poczta nie obawiała się i czerpała szeroko z możliwości stwarzanych przez oprogramowanie Open Source. Myślę, że moglibyśmy być jednym z liderów rynku i świadczyć także w tym obszarze stosowne usługi biznesowe na zewnątrz. Wreszcie Poczta Polska, która jest w maksymalnie wysokim stopniu samowystarczalna pod względem informatycznym, a także ma rozbudowane portfolio usług cyfrowych, generowanych w ramach całej grupy kapitałowej. 

Po drugie, to Poczta bezpieczna, gwarantująca pewność przesyłek doręczanych fizycznie oraz jako operator cyfrowy, tych które opierają się na komunikacji elektronicznej.

Po trzecie, Poczta musi być szybka, efektywna i profesjonalna w zakresie usług listowych, kurierskich i paczkowych. Musimy podążać za trendami rynkowymi i zapewnić w jak największym stopniu standard terminowości. Musimy być bardzo silnym uczestnikiem rosnącego rynku eCommerce, dlatego też kluczowym projektem dla Poczty jest nowa architektura sieci logistycznej i jej przystosowanie do obsługi coraz większych wolumenów paczek zwłaszcza tych, które są i będą nadawane przez sklepy internetowe. Wszystkie te kwestie można podsumować w trzech słowach, na których chciałbym oprzeć swoją strategię: bezpiecznie, szybko, nowocześnie. Jestem przekonany, że Poczta oraz zespół blisko 80 tys. oddanych firmie pracowników to ogromny potencjał, by wdrażać zmiany z sukcesem.

KomentarzeLiczba komentarzy: 11
dQ
środa, 15 lipca 2020, 13:49

Jasne - poniewaz cyber-bezpieczenstwo opiera sie na ludziach - wystarczą pełnomocnicy d/s cyberbezpieczenstwa !!! Infrasreuktura techniczna, jak firewall'e, systemy korelacj logow, narzedzia rewerse enginering, digital forensic, analuzatory ruchu IP są calkowicie zbedne. Zwlaszcza dla humanistow na kierowniczych stolkach szefow bezpieczenstwz sa to absolutnie niepotrzebne rzeczy. Analogicznie jak kompetencje podleglych zespołów i budzet szkoleniowy do utrzymania/podnoszenia skils'ow jakiś technicznie skrzywionych inzynierow IT - uzywajacych niezrozumiałego - dla prawnikow czy innych absilwentow historii lub politologii - jezyka: pojęć, terminow i argumentow. Wystarczy oglosic, ze wszyscy odpowiadamy za cyberbezpieczenstwo i dlatego wazna jest jakosc HR...

xyz
czwartek, 16 lipca 2020, 11:32

Masz rację ale co z tego. Wysocy urzędnicy sciemniaja i ogłupiają opinię publiczną bo liczy głównie to ile na stołku się utrzymają.

Cyborg
środa, 15 lipca 2020, 13:20

Jezeli pisał to gen Molenda to gratuluję twórczości

spostrzegawczy
wtorek, 14 lipca 2020, 12:29

Szybko wyklucza bezpiecznie.

Tweets CyberDefence24