Czym dokładnie zajmuje się specjalista ds. bezpieczeństwa? I co nim kieruje, aby z każdym kolejnym dniem coraz bardziej zabezpieczać nasze produkty? Przeprowadziliśmy wywiad z Dylanem Eikelenboom – specjalistą ds. cyber bezpieczeństwa w firmie IXON, aby dowiedzieć się wszystkiego na temat pracy i obowiązków specjalisty ds. bezpieczeństwa.
Dylan Eikelenboom – Specjalista ds. bezpieczeństwa – IXON Cloud
Zwiększanie bezpieczeństwa systemów każdego dnia
Wymagania i zainteresowanie cyberbezpieczeństwem skłoniły Dylana do przejęcia odpowiedzialności za część techniczną IXON Cloud oraz zintegrowanych łączników chmurowych. Z perspektywy cyber bezpieczeństwa, platformę SaaS i sprzęt można postrzegać jako dużą ścianę, która powstrzymuje niechcianych gości.
Głównym zadaniem Dylana jest „znalezienie dziury w ścianie i jej załatanie”. Każdy system posiada możliwe zagrożenia bezpieczeństwa, takie jak nieważne oprogramowanie i słabe punkty. Zadaniem Dylana jest namierzenie tych „dziur” i ich zlikwidowanie. Głównie poprzez rejestrację, ocenę i testowanie technicznej strony bezpieczeństwa.
„Ochrona i zabezpieczenie naszej chmury to zawsze wyścig zbrojeń”
Aby nadążyć, nasze systemy bezpieczeństwa aktywnie monitorują luki w zabezpieczeniach, a Dylan śledzi pojawiające się problemy i sprawdza, czy są one istotne dla firmy IXON. Jeśli problem zostanie określony jako ryzyko, które może zaszkodzić naszej platformie, opracowujemy rozwiązanie dla naszych programistów.
Certyfikacja ISO 27001 i podmioty zewnętrzne pomagają nam w identyfikowaniu potencjalnych zagrożeń. Współpraca z naszymi partnerami sprawia, że jesteśmy czujni i daje nowe światło na sprawy wymagające ulepszenia. „My i nasi partnerzy stale monitorujemy i skanujemy nasze systemy, aby zapobiegać naruszeniom bezpieczeństwa.”
Na typowy dzień Dylana składa się sprawdzanie raportów bezpieczeństwa, doradztwo w kwestii możliwych problemów bezpieczeństwa podczas spotkań zespołu, optymalizowanie wytycznych bezpieczeństwa oraz testowanie oprogramowania przed jego wydaniem.
Kolejną częścią pracy Dylana jest dzielenie się swoją wiedzą i odpowiadanie na pytania dotyczące bezpieczeństwa, zadane przez naszych klientów. „Aby ułatwić dla wszystkich dostęp do informacji, wszystkie nasze środki umieściliśmy w białej księdze bezpieczeństwa”
Dylan publikuje artykuły na temat ochrony chmury i poświęca czas na przedstawienie aspektów cyber bezpieczeństwa dla różnych grup branżowych.
„Cyber bezpieczeństwo jest jak nietoperz polujący na ćmy”
Odkąd Dylan studiował biologię przed przejściem do informatyki, zawsze miał przygotowanych kilka interesujących faktów z zakresu biologii: „Istnieje wiele podobieństw pomiędzy cyber bezpieczeństwem, a biologią, zwłaszcza koncepcja ewolucyjnego wyścigu zbrojeń. W naturze istnieją gatunki nietoperzy, które polują na owady za pomocą echolokacji. Niektóre rodzaje ciem, ulubionej ofiary wielu gatunków nietoperzy, ewoluowały, aby wyczuć echolokację wysyłaną przez nietoperze i dzięki temu są w stanie w porę uciec.”, mówi Dylan.
„W rezultacie te nietoperze rozwinęły technikę polowania i są w stanie złapać nawet uciekające ćmy. Fascynujące jest to, że ostatnio odkryto, że istnieją nawet rodzaje ciem, które mogą „zablokować” echolokację nietoperzy, więc nietoperz nie może ich „zobaczyć”.
Idea cyber bezpieczeństwa wyprzedza hakerów, stosując najlepsze systemy, techniki i standardy przemysłowe. W rezultacie hakerzy tworzą inne, bardziej zaawansowane metody ataku i musimy na to reagować, aby cały czas pozostać zabezpieczonym. „W ten sposób bierz udział w niekończącym się wyścigu zbrojeń, który ma miejsce na każdym etapie ewolucji.”
„Zmieniło to sposób, w jaki patrzę na kod oprogramowania”
Głównym zadaniem Dylana jest zablokowanie dostępu hakerów do IXON Cloud. „Jeśli haker z jakiegoś powodu dostanie się do chmury, może uzyskać dostęp do wszystkich twoich danych.” Aby temu zapobiec, Dylan wciela się w rolę hakera: „Jak mogę wykorzystać ten fragment kodu, aby przeniknąć dalej do naszych systemów”.
Aby praca została dobrze wykonana, Dylan, w oparciu o swoją znajomość biologii oraz doświadczenie z oprogramowaniem inżynierskim, musi rozwiązywać problemy oraz znajdywać alternatywne rozwiązania. Wszystko to sprawia, że Dylan może w łatwiejszy sposób myśleć jak haker. „To sprawiło, że inaczej patrzę na kod oprogramowania.”
Najczęstsze pytania kierowane do specjalisty ds. bezpieczeństwa
IXON Cloud ma szerokie zastosowanie, lecz najczęściej jest stosowany w przemyśle związanym z automatyką budynkową i przemysłową. Może to być integrator systemu, mały producent maszyn lub duże przedsiębiorstwo. „Dlatego pytania różnią się, w zależności od tego kto je zadaje. Inne pytania otrzymam od inżyniera na temat środków bezpieczeństwa, inne od menedżera, który chce 100% gwarancji bezpieczeństwa. Czasem trudno jest ich przekonać, ponieważ 100% gwarancja nie zawsze jest możliwa.”
Pracą Dylana jest udzielanie odpowiedzi na pytania związane z bezpieczeństwem oraz doradzanie klientom w jaki sposób mają reklamować nasze produkty swoim klientom, eliminując przy tym wszelkie obawy związane z bezpieczeństwem. Trudna część polega na tym, że klient ma przygotowane check listy z obowiązkowymi wymaganiami, które mogą nie dotyczyć naszych produktów lub które rozwiązaliśmy w „lepszy” / „inny sposób”. Jeśli odpowiesz „nie” lub „nie dotyczy” na większość sekcji z check listy, to potencjalni klienci zrezygnują z naszych produktów. „Dlatego musimy mieć wszystko idealnie wyjaśnione, ponieważ klienci mogą nie znać dokładnych szczegółów dotyczących wymagań.”
Chroń wszystkie dane i systemy za pomocą procesów bezpieczeństwa
„Czy haker może dostać się do naszych danych i gdzie są one przetrzymywane?” To są dwa z najczęściej zadawanych pytań dotyczących bezpieczeństwa. Aby chronić nasz system, IXON wprowadził kilka procesów bezpieczeństwa. Jesteśmy w pełni przygotowani, kiedy dojdzie do jakiejś podejrzanej sytuacji. Po pierwsze, nasz zespół zostanie poinformowany o możliwym ryzyku. Stworzy on plan działania i zatrzyma atak, zanim zaszkodzi on jakiemukolwiek systemowi. Następnie zostanie wdrożone rozwiązanie zapobiegające przyszłym atakom. „Na szczęście prawie w ogóle nie dochodzi to takich sytuacji.”
Przed wydaniem oprogramowania dla platformy IXON Cloud i układów dla IXrouter i IXagent zespół przeprowadza wiele testów. Testy systemowe, przeglądy kodu i testy jednostkowe są częścią ogólnego procesu tworzenia oprogramowania. „Żadna wersja oprogramowania nie jest publikowana przed wykluczeniem wszystkich możliwych zagrożeń”, mówi Dylan.
Praca ze standardami przemysłowymi
Do kolejnych zadań Dylana należy przestrzeganie certyfikatu ISO 27001 oraz innych standardów przemysłowych. Przykładem takiego standardu jest protokół bezpieczeństwa TLS 1.2. Kiedy stał się on nowym standardem, wszystkie systemy IXON zostały zaktualizowane, aby pracować zgodnie z tym protokołem.
OWASP (Open Web Application Security Project) jest sposobem myślenia, który wszyscy programiści IXON używają do swojego kodu. „OWASP jest stosowany w naszym zespole badawczo-rozwojowym do projektowania bezpiecznego oprogramowania i tworzenia niezawodnych aplikacji.” Od samego początku pomaga w stosowaniu reguł bezpieczeństwa.
“W miarę zmieniania się standardów, zawsze trzeba pracować nad aktualizacją przestarzałego oprogramowania i wprowadzaniem nowych standardów przemysłowych. To wszystko ma na celu stworzenie lepszego i bezpieczniejszego środowiska chmury. To sprawia, że moja praca jest różnorodna i bardzo interesująca” – mówi Dylan z uśmiechem na twarzy 😊
Cel: Brak sytuacji zagrożenia
IXON polega na ekspertyzach zespołu programistów i jego partnerów oraz ich dążeniu do ciągłej optymalizacji platformy IXON Cloud: dostarczania niezawodnej, bezpiecznej i szybkiej platformy IIoT na całym świecie. „Żadne incydenty związane z bezpieczeństwem nie są naszym głównym priorytetem.”
„Naszym drugim celem jest doprowadzenie do braku przestojów u naszych klientów”. Osiągnięcie tych dwóch głównych celów jest priorytetem zespołu rozwojowo-badawczego. „Zapewnienie 100% sprawności jest trudne do osiągnięcia, ale ciężko pracujemy, aby wszystko działało, jak należy.”
Zapoznaj się z rozwiązaniami bezpieczeństwa firmy IXON oraz IXON Cloud. Wszystko znajdziesz w białej księdze bezpieczeństwa.
Jeżeli masz jakieś pytania dotyczące bezpieczeństwa, możesz się z nami skontaktować poprzez e-mail info@ixon.cloud
