Zdzikot: Cyberbezpieczeństwo opiera się na ludziach

14 lipca 2020, 09:54
CERT_CYBER1
Fot. Luke Pinneo/coastguard.dodlive.mil

W ramach naszego programu strategicznego powstanie Security Operation Center. O tym jakie są strategiczne plany operatora narodowego oraz które obszary będą rozwijane mówi Tomasz Zdzikot, Prezes Zarządu Poczty Polskiej S.A.

W Ministerstwie Obrony Narodowej oraz w Ministerstwie Spraw Wewnętrznych i Administracji cyberbezpieczeństwo było jednym z zasadniczych obszarów, które Pan rozwijał. Jakie są wyzwania z perspektywy Poczty Polskiej w obszarze cyberbezpieczeństwa?

W Poczcie Polskiej cyberbezpieczeństwo to niezwykle ważne zagadnienie z kilku powodów. Po pierwsze, dlatego że Poczta Polska to największa spółka infrastrukturalna w Polsce. Dysponujemy siecią przeszło 7,5 tysiąca placówek i zatrudniamy blisko 80 tys. pracowników. Po drugie to firma zaufania publicznego, która świadczy szereg usług zapewniających ciągłość działania państwa polskiego, pewność obrotu gospodarczego, postępowań administracyjnych i sądowych. Z jednej strony bardzo ważna jest zatem kwestia bezpieczeństwa systemów wewnętrznych, które wykorzystujemy w obsłudze poszczególnych procesów, a z drugiej strony bezpieczeństwo usług świadczonych dla klientów, które opierają się przecież na zaufaniu do narodowego operatora pocztowego. W obydwu tych obszarach, grupa Poczty Polskiej jest bardzo aktywna.

Jako podmiot należący do krytycznej infrastruktury państwa jesteśmy członkiem programu Arakis 3.0, prowadzonego przez ABW. Poczta Polska realizuje również jeden z programów strategicznych dotyczących cyberbezpieczeństwa, który obejmuje zarówno inwestycje sprzętowe, jak i w software.

To niezwykle ważne, gdyż zmiany otoczenia, w którym funkcjonuje Poczta bardzo przyspieszyły w dobie pandemii. Dotyczy to zwłaszcza naturalnego trendu prowadzącego do cyfryzacji kolejnych sfer i dziedzin życia, w tym oczywiście komunikacji na odległość. Z tej przyczyny Poczta musi być w większym stopniu uczestnikiem cyfrowej rewolucji, która dzieje się przecież na naszych oczach i musi rozwijać portfel produktów dostępnych online i bezdotykowo, o których znaczeniu przekonuje nas obecny czas stanu epidemii. Krajobraz rynku, na którym działa Poczta po koronawirusie może nie powrócić już do wcześniejszego stanu. E-substytucja przyspieszyła i zarówno w przypadku klientów prywatnych, jak i instytucjonalnych, wolumeny przesyłek listowych uległy skokowemu zmniejszeniu. Stąd dotychczasowe procesy muszą być oczywiście realizowane nie tylko w sposób bezpieczny, ale też szybko i nowocześnie. Towarzyszyć im muszą także nowe pola biznesowej aktywności i nowe źródła przychodów z wykorzystaniem szans jakie niosą nowe technologie.

Funkcję Prezesa Poczty Polskiej pełnię dopiero od ok. 3 miesięcy, jednak w tym czasie zrealizowaliśmy lub zapoczątkowaliśmy już kilka projektów w obszarze cyfryzacji. Po pierwsze wdrożyliśmy usługę polegającą na możliwości otrzymywania drogą elektroniczną listów poleconych, czyli usługę tzw. odwróconej hybrydy. Co ważne została ona przygotowana i udostępniona siłami własnymi informatyków Poczty Polskiej. Dziś jest świadczona dla obywateli na coraz większą skalę i stale rozszerzamy jej możliwości. Podjąłem również decyzję, że wdrożymy w Poczcie Polskiej elektroniczny obieg dokumentów. To ważne abyśmy procesy cyfryzacji zaczynali od siebie, tak by wykorzystywać cyfrowe narzędzia w najbardziej efektywny sposób i wspierać realizację procesów, na których nasza firma się opiera. Uruchomiłem także kilka cyfrowych projektów, które mam nadzieję będziemy mogli zaprezentować jeszcze w tym roku, ale wszystko w swoim czasie. One wszystkie muszą być – podkreślę – bezpieczne, dlatego Poczta Polska posiada zarówno jednostki ds. cyberbezpieczeństwa, jak i własne spółki technologiczne, które w dużej mierze powinny być w stanie dostarczać nam oczekiwane rozwiązania.

Jakie są główne zadania jednostek odpowiedzialnych za cyberbezpieczeństwo?

Kluczem są ludzie. To zawsze jest wyzwanie - znalezienie odpowiednich ekspertów, o których dziś konkurują i rywalizują wszystkie firmy i instytucje zarówno w Polsce, jak i na świecie. Cyberbezpieczeństwo opiera się przecież na ludziach, którzy projektują systemy bezpieczeństwa, tworzą stosowne polityki oraz dbają o ich implementację i przestrzeganie oraz na użytkownikach końcowych, czyli pracownikach, którzy często mogą stać się najsłabszym ogniwem tego łańcucha. W Poczcie Polskiej jednostki ds. cyberbezpieczeństwa są powiązane i traktowane komplementarnie z zadaniami związanymi z bezpieczeństwem fizycznym i bezpieczeństwem informacji. To zadania związane z wdrażaniem stosownych polityk oraz narzędzi hardware’owych i software’owych, które mają zwiększać bezpieczeństwo naszych systemów. Marka Poczty Polskiej, jako instytucji zaufania publicznego, jest też bardzo często wykorzystywana przez cyberprzestępców w zakrojonych na szeroką skalę kampaniach o charakterze phishingowym. Ze skokowym wzrostem tego zjawiska mamy do czynienia w czasie pandemii i podejmujemy stosowne kroki, by im szybko i skutecznie przeciwdziałać.

Jakie działania Poczta Polska podejmuje, aby walczyć z zagrożeniami phishingowymi?

Takich kampanii jest stosunkowo dużo. W ramach jednej z nich wysyłano smsy o tym, iż nadana przesyłka wymaga dopłaty ze względu na konieczność jej dezynfekcji albo na zbyt duże wymiary. Inna kierowała na fałszywą stronę przeznaczoną do płatności - wpisanie tam swoich danych mogło mieć poważne konsekwencje w postaci utraty danych czy pieniędzy. Takie ataki bywają naprawdę profesjonalnie przygotowane. Eksperci od cyberbezpieczeństwa także w tym przypadku podkreślali, że nawet ze swoim doświadczeniem mieliby trudność z szybkim zorientowaniem się, że mają do czynienia z próbą dokonania ataku.

Poczta Polska ostrzega przed takimi zagrożeniami. Udostępniliśmy dedykowany adres kontaktowy cyberbezpieczenstwo@poczta-polska.pl, w przypadku otrzymania podejrzanych wiadomości lub podejrzenia nieprawidłowości bądź niezgodności należy sprawę zgłosić policji i powiadomić Pocztę, także po to, aby uchronić innych użytkowników, którzy mogą stać się celem ataku. Poczta inicjuje i prowadzi też kampanie edukacyjno-informacyjne, ponieważ chcemy dotrzeć do jak najszerszego kręgu odbiorców z ostrzeżeniami o zagrożeniu phishingiem oraz podkreślić, że Poczta Polska nie wysyła smsów kierujących na stronę płatności i nie oczekuje dopłaty za dezynfekcję przesyłek. Ściśle współpracujemy również z organami ścigania i to jest kolejna kwestia, którą zajmują się jednostki ds. cyberbezpieczeństwa.

Jaką rolę Poczta Polska odgrywa w krajowym systemie cyberbezpieczeństwa oraz jak wygląda jej współpraca z trzema głównymi CSIRT-ami? Czy Poczta Polska planuję uruchomienie własnego CSIRT-u?

W ramach krajowego systemu cyberbezpieczeństwa współpracujemy głównie z CSIRT GOV i jest to nasz podstawowy partner, ale współpracujemy również z innymi CSIRT-ami.. W ramach współpracy z CSIRT GOV Poczta Polska została objęta systemem ARAKIS, czyli systemem wczesnego ostrzegania o zagrożeniach w internecie. Jeżeli chodzi o własne zasoby, to nasz projekt strategiczny zakłada stworzenie SOC (Security Operation Center), które jest w trakcie rozbudowy. Biorąc pod uwagę skalę działalności Poczty Polskiej oraz jej znaczenie, jako kluczowej spółki infrastrukturalnej w kraju, operatora infrastruktury krytycznej, dysponowanie stosownym zasobem organizacyjnym i kadrowym jest po prostu konieczne. Dlatego jesteśmy cały czas otwarci na najlepszych ekspertów z rynku. Chcemy ich aktywnie pozyskiwać do współpracy nie tylko z Pocztą, ale też z całą grupą Poczty Polskiej, w ramach której działa przecież także bank oraz spółki technologiczne.

Objął Pan stanowisko Prezesa Zarządu Poczty Polskiej 3 kwietnia. Czy w tak krótkim czasie udało się zidentyfikować główne wyzwania przed którymi stoi Poczta Polska?

Poczta Polska jest firmą stanowiącą wyzwanie. Z jednej strony jest to podmiot, który jest największą spółką infrastrukturalną w kraju, o ogromnych tradycjach - 462 lat historii. I jako taka działa ona na pograniczu dwóch obszarów. Jako wyznaczony operator świadczy usługę powszechną i jest instytucją zaufania publicznego, realizując przepisy prawa pocztowego. Doręcza najbardziej wrażliwe i najbardziej krytyczne przesyłki w Polsce. Z drugiej jednak strony działa także na niezwykle konkurencyjnym rynku przesyłek kurierskich i paczkowych, usług logistycznych, a także poprzez grupę kapitałową na rynku usług finansowych.

Poczta Polska jest firmą, która powstała przede wszystkim w celu obsługi pierwszego komponentu, czyli usług listowych. Trend światowy jest jednak taki, że stale rośnie e-substytucja, czyli zastępowanie korespondencji tradycyjnej korespondencją elektroniczną. Pandemia go jeszcze znacząco przyspieszyła. Generalnie wolumeny przesyłek listowych spadają i prawdopodobnie będą dalej spadać. W związku z czym Poczta musi po pierwsze stać się uczestnikiem cyfrowej rewolucji i postawić na usługi, które mogą i powinny być świadczone online, stąd niezwykle ważny jest dla nas projekt związany z eDoręczeniami w ramach, którego Poczta ma stać się narodowym operatorem cyfrowym.

Po drugie, bardzo ważnym segmentem jest obsługa rynku eCommerce i handel elektroniczny. Ten rynek rośnie bardzo dynamicznie. W roku 2019 polski eCommerce był warty około 50 miliardów złotych. Szacowało się, że w tym roku wzrośnie do 70 miliardów, natomiast sytuacja pandemiczna spowodowała, że może on wzrosnąć nawet do 100 miliardów złotych. Poczta Polska ma stosunkowo dobrą pozycję na tym rynku. Jesteśmy jednym z głównych partnerów platformy Allegro.pl. Jeżeli chodzi o wolumeny przesyłek obsługiwanych w ramach eCommerce zajmujemy trzecie miejsce w Polsce. Na pewno jest to jeden z filarów działalności rozwoju Poczty, bo to rynek, który stale rośnie. Z kolei trzecim filarem są usługi logistyczne, bo Poczta Polska jest operatorem również tego typu i świadczy np. usługę przesyłki paletowej. Jesteśmy dużą firmą, która musi rozwijać portfolio usług we wszystkich tych obszarach.

Bardzo ważna jest dla mnie również konsolidacja grupy pocztowej, w ramach której moglibyśmy świadczyć usługi online. Jednym z moich celów jest realizacja projektu, który roboczo określamy, jako Cyfrowa Poczta, czyli konsolidacja i zwiększenie portfela usług online całej grupy, a więc usług bankowych, finansowych, ubezpieczeniowych i oczywiście usług pocztowych, które przecież już dziś świadczymy, choć z pewnością możemy ich świadczyć jeszcze więcej, co pokazał wspomniany już przykład tzw. odwróconej hybrydy uruchomionej w ciągu kilku tygodni, w czasie trwania epidemii. Poczta jest też na tyle dużą grupą, że chciałbym także, abyśmy w maksymalnym stopniu osiągnęli samowystarczalność technologiczną tak, by być twórcą, dostarczycielem i właścicielem pełni praw do rozwiązań informatycznych, które następnie będziemy wykorzystywać, a także byli zdolni do wykonywania we własnym zakresie usług utrzymaniowych. To jest zadanie, które stawiam przed sobą i zespołem Poczty Polskiej. Na pewno mamy ku temu zasoby i możliwości.

image

 

Na rynku eCommerce panuje duża konkurencja, co może być atutem Poczty Polskiej wyróżniającym ją na tle innych podmiotów?

Po pierwsze, Poczta Polska to marka, która jest wysoko plasowana w badaniach zaufania, to również tradycja, doświadczenie i przede wszystkim najbardziej rozbudowana sieć placówek, dzięki której docieramy do wszystkich Polaków. Jesteśmy obecni we wszystkich gminach w Polsce. Nasi listonosze i kurierzy codzienne doręczają przesyłki liczone w milionach sztuk, robimy to dobrze i pewnie. Jesteśmy instytucją zaufania publicznego i firmą, której państwo powinno powierzać nowe usługi i zadania, bo jesteśmy do tego przygotowani, mamy zasoby infrastrukturalne, logistyczne, kadrowe i chcemy je realizować.

Na jakim etapie są obecnie przygotowania Poczty do pełnienia roli operatora cyfrowego, czyli niejako krwioobiegu e-administracji?

To jest bardzo ważny projekt. To będzie jeden z głównych projektów na styku administracja-obywatel, a w przyszłości także pomiędzy podmiotami komercyjnymi. Rząd Premiera Mateusza Morawieckiego przyjął projekt ustawy o elektronicznych doręczeniach w lutym br. Obecnie trwają prace nad tym dokumentem w Parlamencie. Bardzo wiele będzie zależało od wymogów i standardów, które przygotowuje Ministerstwo Cyfryzacji. 

W Poczcie Polskiej działa stosowny zespół odpowiedzialny za opracowanie wszystkich niezbędnych analiz biznesowych i przygotowanie Poczty Polskiej do pełnienia roli operatora cyfrowego. Mamy zasoby informatyczne, które są możliwe do uruchomienia dla realizacji tego projektu. Posiadamy już także doświadczenie w tym obszarze świadcząc dziś usługi cyfrowe. E-substytucja, czyli zastąpienie korespondencji tradycyjnej komunikacją elektroniczną jest nieuchronna i Poczta na tym polu musi działać bardzo aktywnie. Podobnie sytuacja wygląda w innych krajach jak np. Danii, Szwajcarii, Czechach, Francji. Poczty narodowe są uczestnikami tego procesu i świadczą także usługi związane z doręczeniami elektronicznymi. Jest to rozwiązanie naturalne, gwarantujące pewność tego procesu, który musi pozostawać w zgodzie z najnowszymi wymogami eIDAS. Poczta Polska jako Narodowy Operator Cyfrowy to jeden z naszych celów. 

Jak wyglądają Pana plany odnośnie strategicznego rozwoju Poczty Polskiej?

Po pierwsze, to Poczta Polska nowoczesna, korzystająca z cyfrowego rynku oraz dobrodziejstw nowych technologii, dysponująca nowoczesnymi systemami, w tym: logistycznym, okienkowym, HR. Trwałe wykorzystująca i zwiększająca możliwości tzw. mobilnego listonosza. Mamy już przecież 26 tys. tabletów, którymi codziennie nasi doręczyciele się posługują. Chciałbym również, aby Poczta nie obawiała się i czerpała szeroko z możliwości stwarzanych przez oprogramowanie Open Source. Myślę, że moglibyśmy być jednym z liderów rynku i świadczyć także w tym obszarze stosowne usługi biznesowe na zewnątrz. Wreszcie Poczta Polska, która jest w maksymalnie wysokim stopniu samowystarczalna pod względem informatycznym, a także ma rozbudowane portfolio usług cyfrowych, generowanych w ramach całej grupy kapitałowej. 

Po drugie, to Poczta bezpieczna, gwarantująca pewność przesyłek doręczanych fizycznie oraz jako operator cyfrowy, tych które opierają się na komunikacji elektronicznej.

Po trzecie, Poczta musi być szybka, efektywna i profesjonalna w zakresie usług listowych, kurierskich i paczkowych. Musimy podążać za trendami rynkowymi i zapewnić w jak największym stopniu standard terminowości. Musimy być bardzo silnym uczestnikiem rosnącego rynku eCommerce, dlatego też kluczowym projektem dla Poczty jest nowa architektura sieci logistycznej i jej przystosowanie do obsługi coraz większych wolumenów paczek zwłaszcza tych, które są i będą nadawane przez sklepy internetowe. Wszystkie te kwestie można podsumować w trzech słowach, na których chciałbym oprzeć swoją strategię: bezpiecznie, szybko, nowocześnie. Jestem przekonany, że Poczta oraz zespół blisko 80 tys. oddanych firmie pracowników to ogromny potencjał, by wdrażać zmiany z sukcesem.

KomentarzeLiczba komentarzy: 11
Kot w butach
niedziela, 19 lipca 2020, 19:46

Cyber kot PREZESA zatwierdził artykul

Zielony Moherowy Beret
niedziela, 19 lipca 2020, 01:07

A nie na 4 słoniach stojących na wielkim żółwiu?

zatroskany
czwartek, 16 lipca 2020, 14:12

tak na ludziach też ........ ale co z fachowcami......... ci którzy są - to często czysto teoretycy nastawieni na projekty i dodatkową kasę? z prawnika cyberbezpiecznika raczej nie będzie, a już w ogóle z tytułami profesorskimi to wydaje się dużą porażką nastawioną na wyciąganie dużej kasy. Wszystkie państwowe projekty - gdzie wypływa duza kasa na opłacanie tych niby cyber zadań i ludzi powinno się wziać pod lupę..... jesli nie chcemy, żeby państwowy pienądz był wrzucany w błoto i przejedzony przez pazernych miernych pseudofachowców. Żeby mieć cyberbezpieczeństwo i bezpieczeństwo to warto np. wiedzieć kto jest dawnym współpracownikiem...... bo "przypadkiem" kariery i pieniadze własnie takich lubią. I gdzie tu patriotyzm, wartości i normalność???? Kim są ci wyznaczani na stanowiska generałowie profesorzy??? A kim szefowie cyberbezpieczeństwa??? Czy obowiązują odpowiednie zakazy i proceduralne zabezpieczenia w doborze takiej kadry? Przecież tylko w służbach powinni być odpowiednio selekcjonowani specjaliści od cyberbezpieczeństwa ..... bo co cywile mogą wiedzieć o taktycznej robocie i zabezpieczeniach i praktyce działania. Czy w Stanach Szef Pentagonu zarządzał by cyberbezpieczeństwem pracy listonoszy? Super artykuł i ciekawy temat!

As
czwartek, 16 lipca 2020, 09:27

To zły moment na stroszenie piórek w dziedzinie cyberbezpieczeństwa. W jakim jesteśmy momencie udowodnili Rosyjscy komicy ośmieszając służby naszego prezydenta.

Szczery
czwartek, 16 lipca 2020, 01:26

e-nuda.

Gal
czwartek, 16 lipca 2020, 12:02

Nie chodzi oto, że nuda.... ale raczej bełkot i do tego niebezpieczny - bo wprowadzający w błąd: sami ludzie bez technicznych narzędzi bezpieczeństwa nie są w stanie zapewnić cyberbezpieczeństwa.

Szczery
niedziela, 19 lipca 2020, 13:13

To też, ale widać wyraźnie, że nasi cyberwojacy maja na względzie tylko piar i jeszcze raz piar, zamiast siedzieć po cichu i robić swoje. To już e-nty artykuł na ten temat: strasznych zagrożeń, które czyhają. Tymczasem normalne wojsko mamy nieliczne, katastrofalnie niedozbrojone i niedoinwestowane.