Na wojnie w cyberprzestrzeni można dobrze zarobić – Ring Caspara październik 2021

Z Błażejem Bogdziewiczem, dyrektorem inwestycyjnym Grupy Caspar oraz Krzysztofem Kaźmierczakiem, analitykiem Caspar Asset Management SA o inwestowaniu w spółki zajmujące się cyberbezpieczeństwem, atakach hakerskich i okupach płaconych przestępcom rozmawia Piotr Gajdziński.

Awaria Facebooka z początku października br., choć nie była wynikiem ataku hakerskiego, to jednak mocniej niż kiedykolwiek wcześniej zwróciła uwagę na bezpieczeństwo w internecie. Fundusze Caspar TFI SA od wielu lat inwestują w spółki zajmujące się cyberbezpieczeństwem. To z punktu widzenia inwestora dobry kierunek?

Krzysztof Kaźmierczak: Jeśli za miarę przyjąć wzrost cen akcji, to znakomity. Najlepsza nasza inwestycja w tym sektorze to kupno akcji amerykańskiej spółki Zscaler. Od momentu pierwszej inwestycji w drugiej połowie 2019 roku cena akcji skoczyła o około 500% procent. Nie jest to oczywiście jedyna nasza inwestycja w ten sektor.

Błażej Bogdziewicz: Trzeba powiedzieć, że to jest trudny rynek, ale rozwija się niezwykle dynamicznie. Ten dynamizm widać w rosnących cenach akcji, wielkości obrotów spółek zajmujących się cyberbezpieczeństwem, ale również szybkiej jego ewolucji. Jeszcze kilka lat temu spółki z tego sektora skupiały się na tworzeniu programów popularnie określanych jako „antywirusowe”. Od tego czasu sytuacja dramatycznie się zmieniła, bo tradycyjne wirusy odgrywają coraz mniejszą rolę. Coraz groźniejsze są natomiast ataki hakerskie wymierzone w firmy i instytucje publiczne w celu wymuszenia okupu. Ten przestępczy „biznes” rośnie niezwykle szybko i raczej nie widać oznak, że miałby się skończyć. Przeciwnie.

Krzysztof Kaźmierczak: Często, bardzo często, są to ataki celowane. Bardzo precyzyjnie zorganizowane, wymierzone nie w przypadkowych adresatów, ale w wyselekcjonowaną firmę lub instytucję. Bardzo głośnym przypadkiem był przeprowadzony w maju tego roku atak na Colonial Pipeline…

Czyli największego amerykańskiego operatora rurociągów, który dostarcza 45% paliw na wschodnie wybrzeże Stanów Zjednoczonych.

Krzysztof Kaźmierczak: Hakerzy całkowicie sparaliżowali firmę, a w efekcie dostawy paliw. Długi paraliż groził między innymi brakami na stacjach benzynowych, ale uderzyłby oczywiście również w energetykę. Z tego co wiadomo, Colonial Pipeline zapłacił wysoki okup, ale tym razem jednej z agencji federalnych udało się namierzyć przynajmniej część grupy hakerskiej i odzyskać część pieniędzy. Przypadek Colonial Pipeline to jeszcze jeden dowód, nie pierwszy, ani nie ostatni, że infrastruktura krytyczna w Stanach Zjednoczonych, ale tak jest właściwie na całym świecie, jest podatna na ataki hackerskie, bo jest słabo zabezpieczona. A hakerzy nie mają żadnych hamulców. Niedawno celem ich ataku, udanego ataku, był system publicznej służby zdrowia w Irlandii. Takie ataki zawsze wywołują ogromne straty, a jak świadczy ten ostatni przykład – mogą być także zagrożeniem dla ludzkiego życia.

O jakich kwota mówimy? Ile trzeba zapłacić, aby napastnicy odwołali atak i sytuacja wróciła do normy?

Krzysztof Kaźmierczak: Kwoty nie są ujawniane, aby nie zachęcać naśladowców, ale na rynku mówi się, że największy zapłacony okup wyniósł kilkadziesiąt milionów dolarów. Dobrą ilustracją potęgi hakerskiego biznesu może być raport Organizacji Narodów Zjednoczonych, w którym stwierdzono, że grupa hakerska działająca pod skrzydłami władz Korei Północnej w ciągu kilku lat zarobiła dla tego komunistycznego reżimu 2 miliardy dolarów. Według ONZ, pieniądze zostały przeznaczone na zbrojenia, w tym na sfinansowanie programu atomowego i programu budowy rakiet balistycznych. Z kolei według Chainanalysis, w 2020 roku firmy zapłaciły hakerom okup o łącznej wartości blisko 350 mln dolarów.

Błażej Bogdziewicz: Mogło być więcej. Jedną z przyczyn, dla których tak do końca nie znamy wielkości hakerskiego „biznesu” jest to, że wiele trudniących się tym grup znajduje się na liście organizacji terrorystycznych, więc oczywiście firmy nie mogą im płacić okupu. Ale płacą, tyle, że korzystają z pośredników. Wielu rozmówców z amerykańskich firm zajmujących się cyberbezpieczeństwem podkreślało, że hakerskie organizacje są znakomicie przygotowane. Nie chodzi tylko o to, że zatrudniają świetnych informatyków, bo to oczywiste, ale również na przykład profesjonalnych negocjatorów. Znany jest przypadek jednej z takich organizacji, która po zainkasowaniu okupu grzecznie podziękowała i już za darmo udzieliła profesjonalnych rad co firma powinna poprawić w swojej infrastrukturze informatycznej, aby oszczędzić sobie kolejnego ataku hakerskiego.

Współczesny Arsen Lupin, „złodziej dżentelmen”. Ale to nie jest temat do kpin, ataki hakerskie stają się jednym z największych zagrożeń współczesności.

Krzysztof Kaźmierczak: Jeszcze nie tak dawno atak hakerski oznaczał z reguły, że przestępcy wykradali jakieś dane, na przykład dane klientów bądź kart kredytowych. To oczywiście było kłopotliwe, mogło uderzyć w wizerunek i konkurencyjność firmy. Ale dzisiaj ma to zupełnie inny wymiar, bo paraliżuje działalność całego podmiotu, a jak już mówiliśmy przywołując przykład ataku na służbę zdrowia w Irlandii, naraża również ludzkie życie.

Błażej Bogdziewicz: Nie chodzi nawet o to, że atak blokuje lekarzom dostęp do historii choroby pacjentów, że konieczne jest odwołanie operacji. Chodzi przede wszystkim o to, że coraz częściej sprzęt medyczny korzysta z zasobów sieciowych. Inwestujemy w nowoczesne technologie i coraz bardziej się od nich uzależniamy, ale one są niestety podatne na cyberataki.

Jak świat się przed tym broni?

Błażej Bogdziewicz: Niestety, nadal niewystarczająco. Ale jest szereg spółek, które oferują najnowocześniejsze oprogramowanie z zakresu bezpieczeństwa i pozwalają jeśli nie wyeliminować całkowicie, to znacząco ograniczyć ryzyka. Coraz więcej firm wprowadza zasadę „nikomu nie można ufać”, bo każdy, dosłownie każdy, może być hakerem lub sam haker może się podszywać pod absolutnie niewinnego użytkownika. Dotyczy to również pracowników. Znane są przypadki, że organizacje hakerskie przekupywały pracowników oferując im bardzo wysokie wynagrodzenie. To oznacza, że wyspecjalizowane, bardzo nowoczesne oprogramowanie to tylko jedna tarcza. Drugą musi być normalna ochrona kontrwywiadowcza pracowników i eliminowanie tych, którzy stanowią zagrożenie. I coraz więcej firm zatrudnia specjalistów zajmujących się tego rodzaju ochroną. To trochę paranoiczne, ale niestety w takim świecie żyjemy.

Krzysztof Kaźmierczak: Nowoczesne technologie umożliwiają prowadzenie działań na bardzo szeroką skalę, wcześniej niewyobrażalną. To wynika z automatyzacji procesów, dzięki którym można targetować bardzo wiele podmiotów. Wydaje się jednak, i tu zgadzam się z Błażejem, że często słabym ogniwem jest człowiek. Ale rośnie świadomość, że trzeba się chronić przed cyber-zagrożeniami. Według badawczo-analitycznej firmy Gartner, w tym roku światowe wydatki na cyberbezpieczeństwo sięgną 150,4 mld dolarów. To gigantyczna kwota, mniej więcej jedna czwarta polskiego PKB.

Dodajmy, że 150 mld dolarów oznacza wzrost wydatków aż o 12,5% w stosunku do ubiegłego roku.

Krzysztof Kaźmierczak: Patrząc dzisiaj na branżę cyberbezpieczeństwa trzeba powiedzieć, że nie bardzo widać przyczyny, dla których wydatki na ten cel miałyby się zmniejszyć. Wydaje się, że ten trend będzie stabilny, bo świat będzie absorbował coraz więcej nowoczesnych technologii i cały czas będzie narażony na cyberataki.

Błażej Bogdziewicz: Kluczowe spółki sektora zajmującego się cyberbezpieczeństwem, które oferują najlepsze rozwiązania notują roczne wzrosty przychodów w granicach 50% rocznie. W porównaniu do firm zajmujących się tworzeniem „normalnego” oprogramowania, akcje spółek z sektora cyberbezpieczeństwa są bardzo drogie, ale rynek uważa, że w najbliższych latach ten biznes będzie się bardzo dynamicznie rozwijał. Trzeba też pamiętać, że tych najlepszych spółek tworzących najbardziej zaawansowane oprogramowanie jest na świecie niewiele. Kilka w Stanach Zjednoczonych, dwie w Izraelu. To też powoduje, że ceny ich akcji są tak wysokie.

Kiedy Grupa Caspar zainteresowała się tym sektorem? I dlaczego, bo przecież ten wybór wcale nie był oczywisty.

Błażej Bogdziewicz: Zaczęliśmy inwestować w spółki z rynku cyberbezpieczeństwa właściwie od początku naszej obecności na rynku amerykańskim. Dlaczego? Bo już wtedy uznaliśmy, że ten sektor będzie dynamicznie rósł. Życie pokazało, że to była trafna decyzja.

Krzysztof Kaźmierczak: Koncentrujemy się na spółkach innowacyjnych, oferujących produkty w kilku obszarach cyberbezpieczeństwa. Są to między innymi firmy nastawione na ochronę konkretnych urządzeń (smartfon, komputer, serwer), albo na ochronę sieci. W przypadku tych ostatnich w ciągu kilku lat nastąpiły bardzo duże zmiany. Do niedawna w siedzibie firmy znajdowało się dobrze zabezpieczone centrum danych, w którym były zlokalizowane wszystkie serwery. Tamtędy musiał przechodzić cały ruch generowany przez pracowników. Teraz coraz więcej aplikacji przenosi się do chmury, pracownicy coraz częściej do wykonywania służbowych czynności wykorzystują prywatne urządzenia i robią to poza siedzibą swojej firmy. To zjawisko nasiliło się jeszcze podczas pandemii.

Błażej Bogdziewicz: Co oczywiście w naturalny sposób zwiększa ryzyka.

Krzysztof Kaźmierczak: Tak, bo pracownicy pracują poza firmową, chronioną siecią. Wszystko to spowodowało, że tradycyjne metody, te wszystkie firewalle, są już dalece nieefektywne w ochronie przed nowoczesnymi metodami hakerów.

Błażej Bogdziewicz: “Firewalle” to były specjalne komputery, które dzięki specjalnemu oprogramowaniu filtrowały cały ruch. Dzisiaj ten sposób nie jest już wystarczająco efektywny i łatwo go obejść. Trzeba więc było zastąpić go czymś skuteczniejszym. Nie wdając się w szczegóły techniczne można powiedzieć, że współczesna ochrona polega na skanowaniu całego ruchu, który dopiero po tym trafia na odpowiedni serwer.

Krzysztof Kaźmierczak: To skanowanie odbywa się niezależnie od tego, gdzie znajduje się użytkownik, czy pracuje w biurze, w domu, w delegacji bądź w podróży.

Współczesne oprogramowanie z zakresu bezpieczeństwa wykorzystuje sztuczną inteligencję.

Błażej Bogdziewicz: Tak, ona wyłapuje na przykład jakieś niestandardowe zachowania użytkownika.

Jakie?

Błażej Bogdziewicz: Najprostszy przykład: jest globalny koncern, a jeden z pracowników, który pracuje w Polsce, nagle loguje się do wewnętrznej sieci firmy z Bangladeszu o trzeciej nad ranem. Oczywiście to możliwe, może akurat odbywa podróż służbową do Azji. Jest to jednak zachowanie niestandardowe. Na tyle niestandardowe, że istnieje realne zagrożenie, że pod pracownika firmy podszywa się haker. System reaguje, wymusza dodatkową weryfikację, choćby za pomocą kodu przesłanego na jego telefon komórkowy. To najprostszy sposób wykorzystywania sztucznej inteligencji, bo oczywiście robi ona rzeczy dalece bardziej skomplikowane.

Krzysztof Kaźmierczak: Kiedyś mieliśmy do czynienia z prostymi wirusami, które relatywnie proste programy antywirusowe potrafiły wykryć po tak zwanych sygnaturach. Czyli program antywirusowy rozpoznawał fragment kodu wirusa i go eliminował. W sytuacji, gdy wirusy są tworzone w sposób zautomatyzowany, praca człowieka okazuje się niewystarczająca. Do walki z takimi zagrożeniami musiała zostać wprzęgnięta sztuczna inteligencja.

Mówimy przede wszystkim o biznesie, który musi się chronić przed cyberatakami. Ale przecież klientami spółek tworzących specjalistyczne oprogramowanie z zakresu bezpieczeństwa są również, a przynajmniej być powinny, instytucje publiczne. W roku 2016 hakerzy z Rosji ingerowali w wybory prezydenckie w Stanach Zjednoczonych, uważa się, że grupy hakerów działają na zlecenie Chin, Amerykanie wspólnie z Izraelem przeprowadzili też atak hackerski na irańskie instalacje do produkcji bomby atomowej…

Błażej Bogdziewicz: Masz absolutnie rację, że instytucje publiczne muszą coraz częściej korzystać z usług firm zajmujących się cyberbezpieczeństwem. Na razie, jak się wydaje, są w tej dziedzinie opóźnione, ale jest wiele sygnałów świadczących, że rządy przynajmniej niektórych państw będą chciały to zmienić. Tak jest choćby w USA. Prezydent Biden pogroził ostatnio Chińczykom stwierdzając, że ataki hakerów na amerykańską infrastrukturę i amerykańskie firmy będą traktowane z całą powagą. A Amerykanie mają się czego bać, bo pytanie, czy dotychczasowe ataki to już kres możliwości organizacji hakerskich z Chin czy Rosji, czy to tylko testowanie sposobów ochrony.

Jak to mawiano w Armii Czerwonej „rozpoznanie bojem”.

Błażej Bogdziewicz: Właśnie, testowanie stopnia przygotowania na tego rodzaju wydarzenia. Jestem, niestety, pesymistą. Wydaje mi się, że dotychczasowe ataki nie pokazują jeszcze pełni możliwości najlepszych organizacji hakerskich. A koniecznie trzeba się do tego przygotować, bo jestem przekonany, że gdyby w najbliższych latach doszło do konfliktu zbrojnego, to jego integralną częścią będą intensywne działania w świecie cyfrowym. Choćby w zakresie paraliżu infrastruktury krytycznej.

Krzysztof Kaźmierczak: Błażej ma rację mówiąc, że wiele rządów tę sprawę przespało. Niedawno w amerykańskich mediach ukazał się wywiad z człowiekiem, który odpowiadał za zmodernizowanie oprogramowania w Departamencie Obrony USA. Jego zdaniem, poziom cyberbezpieczeństwa w tych instytucjach jest niski, a urzędnicy zajmujący się tą problematyką kiepsko rozumieją wyzwania współczesności. Ale Stany Zjednoczone przynajmniej działają, w połowie roku prezydent Biden wydał dyrektywę nakazującą zmodernizowanie infrastruktury cyberbezpieczeństwa.

To może oznaczać dalsze wzrosty cen akcji spółek, w które Grupa Caspar inwestuje. Zdradzicie coś z inwestycyjnej kuchni i powiecie, jak dokonujecie selekcji spółek z obszaru cyberbezpieczeństwa? Bo w tym wypadku selekcja wydaje mi się szczególnie trudna.

Błażej Bogdziewicz: Jest bardzo trudna, ale mamy już w tym pewne doświadczenie, mamy swoją metodologię. Oczywiście zwracamy uwagę na wielkość sprzedaży i jej dynamikę , listę klientów, którzy wykorzystują produkty firm, dużo z nimi rozmawiamy.

Krzysztof Kaźmierczak: Zwracamy też uwagę na certyfikaty. W Stanach Zjednoczonych obowiązuje zasada, że do szeregu zastosowań instytucje federalne mogą kupować wyłącznie produkty, które przejdą proces certyfikacji FedRAMP, więc to jest ważny wyznacznik kompetencji spółek z sektora cyberbezpieczeństwa.

A tak z ciekawości, czy te spółki podobnie jak wiele z obszaru technologii informatycznej też zostały stworzone przez młodych ludzi, którzy rzucili studia i gdzieś w garażach, piwnicach lub strychach wzięli się za budowanie własnego biznesu?

Błażej Bogdziewicz: Nie, tu był inny model. Jeśli chodzi o top tego sektora, to fundatorami spółek byli w większości dojrzali już biznesmeni, z wieloletnim doświadczeniem w branży. Jay Chaudhry stojący na czele spółki Zscaler ma dzisiaj 62 lata.

Krzysztof Kaźmierczak: A jego firma powstała czternaście lat temu. Ale większość spółek ma krótszy „życiorys”, sięgający mniej więcej początków poprzedniej dekady.

Rozmawiał Piotr Gajdziński

Zastrzeżenia Prawne 

Materiał ma charakter wyłącznie reklamowy i informacyjny i nie powinien być wyłączną podstawą podejmowania jakichkolwiek decyzji inwestycyjnych. Materiał zaprezentowany na stronie pochodzi od naszego partnera Caspar Asset Management: zastrzeżenie prawne