Czyli świąteczny poradnik dla specjalistów SAP Security, którzy boją się pytania „A ty to co właściwie robisz?”
Zbliżają się święta. Pachnie choinką, piernikami i… strachem. Nie, nie chodzi o kwestię, czy karp będzie świeży, ani o to, czy wujek Zbyszek znowu zacznie o polityce przy drugim daniu. Chodzi o coś znacznie groźniejszego.
O pytanie.
To pytanie, które pada co roku, gdzieś między barszczem a pierwszym kawałkiem sernika. Zadaje je babcia, dziadek, ciocia Halinka albo kuzyn Marcin, który „też pracuje przy komputerach, bo robi strony na WordPressie”.
Pytanie brzmi: „A ty to czym właściwie się zajmujesz w tej pracy?”
I wtedy następuje ta chwila. Ta jedna, magiczna sekunda, w której twój mózg wykonuje obliczenia godne superkomputera. Jak to wyjaśnić? Jak powiedzieć, że zajmujesz się cyberbezpieczeństwem systemów SAP, żeby nie zobaczyć w oczach babci tego charakterystycznego wyrazu, który mówi „mój wnuczek chyba robi coś nielegalnego”?
Ten artykuł jest dla ciebie. Jest dla wszystkich specjalistów SAP Security, którzy co roku stają przed tym samym wyzwaniem. Przygotowaliśmy kompletny przewodnik – krok po kroku – jak wytłumaczyć swoją pracę każdemu członkowi rodziny. Z humorem, porównaniami i bez ani jednego słowa „authorization object”.
Zaczynamy.
Część pierwsza: Co to w ogóle jest ten SAP? Czyli fundament każdej wigilijnej dyskusji
Zanim przejdziesz do wyjaśniania, czym jest cyberbezpieczeństwo SAP, musisz najpierw zmierzyć się z pytaniem fundamentalnym. Bo kiedy powiesz „pracuję w SAP”, większość rodziny pomyśli o jednym z trzech:
- Że to jakaś choroba (brzmi trochę jak „mam SARS”)
- Że to skrót od czegoś brzydkiego
- Że to na pewno coś z Ameryki i pewnie nielegalne
Dlatego zaczynamy od podstaw.
Wyjaśnienie dla babci:
„Babciu, wiesz jak prowadzisz swój zeszyt z przepisami? Masz tam zapisane wszystkie przepisy, ile czego potrzebujesz, skąd kupujesz mąkę, ile kosztowała ostatnim razem? A teraz wyobraź sobie, że taki zeszyt ma KAŻDA duża firma na świecie. Tylko że ten zeszyt jest tak gruby, że musiałby mieć miliony stron. I musi pamiętać wszystko – ile firma ma pieniędzy, ile materiałów w magazynie, komu ile zapłaciła, od kogo co kupiła, kto u nich pracuje i ile zarabia.”
„SAP to taki magiczny, komputerowy zeszyt. Używają go praktycznie wszystkie duże firmy, które znasz – te co robią samochody, te co produkują leki, te co mają wielkie sklepy. Bez SAP-a te firmy nie wiedziałyby nawet, ile mają śrubek w magazynie.”
Wyjaśnienie dla wujka, który „też pracuje przy komputerach”:
„Wujku, SAP to system ERP. Enterprise Resource Planning. Wyobraź sobie program, który łączy księgowość, magazyn, sprzedaż, zakupy, kadry, produkcję i logistykę w jeden organizm. Jak firma robi zamówienie u dostawcy, SAP automatycznie sprawdza stan konta, rezerwuje środki, aktualizuje magazyn, generuje dokumenty i pilnuje, żeby wszystko się zgadzało.”
„Około 77% światowych transakcji finansowych przechodzi przez systemy SAP. To nie jest jakaś aplikacyjka – to kręgosłup globalnej gospodarki.”
Wyjaśnienie dla kuzyna, który robi strony na WordPressie:
„Marcin, wiesz jak WordPress ma wtyczki i bazę danych? No to SAP to jakbyś wziął WordPressa, powiększył go milion razy, dodał własny język programowania, własną bazę danych, własne wszystko, a potem kazał na tym działać firmom, które mają obroty większe niż PKB niektórych krajów. I to wszystko musi działać 24/7 bez sekundy przerwy, bo jak padnie, to ktoś nie dostanie wypłaty, a ktoś inny nie dostanie przesyłki z lekami.”
Metafora uniwersalna (dla wszystkich przy stole):
„SAP to system nerwowy firmy. Tak jak wasze ciało ma mózg, który kontroluje wszystko – bicie serca, oddychanie, trawienie – tak firma ma SAP, który kontroluje wszystkie jej procesy. I tak jak wy nie chcielibyście, żeby ktoś obcy grzebał wam w mózgu, tak firma nie chce, żeby ktoś obcy grzebał w jej SAP-ie.”
I tutaj płynnie przechodzimy do twojej roli.
Część druga: Kim jest specjalista SAP Security? Czyli ja, cyfrowy ochroniarz
Teraz, kiedy rodzina już wie (mniej więcej), czym jest SAP, możesz przejść do wyjaśniania swojej roli. I tutaj zaczynają się schody, bo „cyberbezpieczeństwo” samo w sobie brzmi jak coś z filmu o hakerach.
Wyjaśnienie dla mamy:
„Mamo, pamiętasz jak w banku są takie wielkie skarbce ze stalowymi drzwiami? I są ludzie, którzy pilnują, kto może do tego skarbca wejść, kto może tylko zaglądać przez okienko, a kto nie powinien się nawet zbliżać? No to ja robię dokładnie to samo, tylko że ten skarbiec jest w komputerze.”
„Ten skarbiec firmy w SAP-ie zawiera wszystko, co dla niej cenne – dane pracowników, tajemnice produkcji, umowy z klientami, informacje finansowe. Ja pilnuję, żeby do każdego pokoju w tym skarbcu wchodziły tylko osoby, które mają do tego prawo. I żeby ktoś, kto ma prawo tylko oglądać dokumenty, nie mógł ich nagle wynosić albo zmieniać.”
Wyjaśnienie dla taty:
„Tato, wiesz jak w fabryce są różne strefy? Jedni mogą wejść tylko na halę produkcyjną, inni do biura, a tylko nieliczni do pomieszczenia z sejfem? I są karty dostępu, które to kontrolują? No to ja projektuję taki system kart dostępu, tylko cyfrowy. I pilnuję, żeby nikt nie mógł sobie tej karty podrobić.”
„A poza tym szukam dziur. Sprawdzam, czy gdzieś nie ma otwartego okna, przez które włamywacz mógłby wejść. Albo czy ktoś przypadkiem nie zostawił klucza pod wycieraczką. W świecie IT nazywamy to „podatnościami” i moja praca polega między innymi na ich znajdowaniu, zanim znajdą je ci źli.”
Wyjaśnienie dla dziadka:
„Dziadku, pamiętasz jak opowiadałeś o wartownikach w wojsku? Że stali na warcie i pilnowali, żeby nikt niepowołany nie wszedł do koszar? No to ja jestem takim wartownikiem, tylko pilnuję komputerów. I nie stoję w jednym miejscu – muszę sprawdzać wszystkie wejścia, okna, drzwi, płoty, a nawet tunele pod ziemią, których nikt normalnie nie widzi.”
„Bo widzisz, dziadku, współcześni złodzieje nie wchodzą przez drzwi. Oni szukają dziur, o których nikt nie pomyślał. Moja robota to myśleć jak złodziej, tylko po to, żeby go przechytrzyć.”
Metafora dla całego stołu:
„Wyobraźcie sobie olbrzymi zamek z tysiącem pokoi. W każdym pokoju są inne skarby – w jednym złoto, w drugim dokumenty królewskie, w trzecim plany wojskowe. Ja jestem odpowiedzialny za to, żeby do pokoju ze złotem mieli dostęp tylko skarbnicy, do dokumentów tylko pisarze królewscy, a do planów wojskowych tylko generałowie. I muszę też pilnować, żeby ktoś, kto jest skarbnikiem, nie mógł nagle przeczytać planów wojskowych, tylko dlatego że jest ciekawski.”
Część trzecia: Uprawnienia, czyli kto może co i dlaczego to takie skomplikowane
Tu dochodzimy do sedna pracy specjalisty SAP Security – zarządzania uprawnieniami. I tu rodzina zazwyczaj zaczyna się gubić, bo „przecież to proste, albo ktoś ma dostęp, albo nie ma”.
Och, gdyby to było takie proste.
Wyjaśnienie dla cioci Halinki:
„Ciociu, wyobraź sobie, że jesteś dyrektorką wielkiego szpitala. Masz tam lekarzy, pielęgniarki, recepcjonistki, salowe, księgowe i ochroniarzy. Czy każdy powinien mieć dostęp do wszystkiego?”
„Lekarz powinien widzieć historię choroby pacjenta – ale czy powinien widzieć, ile szpital płaci za prąd? Recepcjonistka powinna móc zapisać pacjenta na wizytę – ale czy powinna móc zmieniać dawkowanie leków? Księgowa powinna mieć dostęp do faktur – ale czy powinna móc czytać wyniki badań pacjentów?”
„No właśnie. W SAP-ie jest dokładnie tak samo, tylko razy tysiąc. Każdy pracownik w firmie musi mieć dokładnie takie uprawnienia, jakich potrzebuje do pracy – ani więcej, ani mniej. To nazywamy zasadą najmniejszych uprawnień. I uwierz mi, ciociu, ogarnięcie tego dla firmy, która ma dziesięć tysięcy pracowników, to nie jest praca na jeden dzień.”
Wyjaśnienie dla wujka Zbyszka (tego od polityki):
„Wujku, pomyśl o tym jak o systemie tajemnic państwowych. Są dokumenty jawne, są poufne, są tajne i ściśle tajne. Nie każdy generał ma dostęp do wszystkiego – ma dostęp do tego, co jest mu potrzebne na jego stanowisku.”
„A teraz wyobraź sobie, że musisz taki system zaprojektować dla firmy, gdzie są setki różnych stanowisk, tysiące różnych dokumentów i miliony możliwych kombinacji. I jeszcze musisz to zrobić tak, żeby ludzie mogli normalnie pracować, a nie wariować z ograniczeniami. To jest moja praca.”
Wyjaśnienie dla młodszego kuzyna (ten gra w gry):
„Wiesz jak w grach są różne role? Tank, healer, DPS? I każda rola ma inne umiejętności? No to w SAP-ie mamy coś podobnego, tylko zamiast umiejętności mamy uprawnienia. Księgowy ma „umiejętność” tworzenia faktur, magazynier ma „umiejętność” wprowadzania stanów magazynowych, a szef ma „umiejętność” oglądania raportów.”
„A ja jestem takim game masterem, który decyduje, kto może mieć jakie umiejętności. I pilnuję, żeby nikt nie zrobił sobie exploita i nie zdobył uprawnień, których mieć nie powinien.”
Część czwarta: Segregation of Duties, czyli dlaczego księgowa nie powinna sama sobie przelewać pieniędzy
To jest koncept, który zawsze wzbudza zainteresowanie przy stole – bo dotyczy pieniędzy, a pieniądze każdy rozumie.
Wyjaśnienie dla całej rodziny:
„Posłuchajcie, opowiem wam o czymś, co nazywamy segregacją obowiązków. Brzmi skomplikowanie, ale jest bardzo proste.”
„Wyobraźcie sobie, że w firmie jest pani Krysia, która pracuje w księgowości. Pani Krysia może tworzyć nowych dostawców w systemie – wpisuje nazwę firmy, numer konta, adres. Pani Krysia może też zatwierdzać przelewy. Widzicie problem?”
(Tu zazwyczaj ktoś przy stole łapie.)
„Tak jest! Pani Krysia mogłaby stworzyć fikcyjnego dostawcę – nazwijmy go 'Firma Krzak sp. z o.o.’ – wpisać tam SWÓJ numer konta, a potem zatwierdzić przelew na ten fałszywy podmiot. I nikt by nie zauważył, że właśnie ukradła pieniądze firmy.”
„Moja praca polega między innymi na tym, żeby system automatycznie wykrywał takie niebezpieczne kombinacje. Jeśli ktoś może tworzyć dostawców, nie powinien móc zatwierdzać przelewów. Jeśli ktoś może modyfikować ceny produktów, nie powinien móc sam wystawiać faktur. Takich kombinacji są setki i muszę pilnować każdej z nich.”
Metafora kulinarna (dla babci):
„Babciu, to jak z gotowaniem obiadu. Nie pozwoliłabyś jednej osobie kupować składniki I sprawdzać rachunek I weryfikować, czy wszystko się zgadza. Bo ta osoba mogłaby kupić mniej, niż mówi rachunek, i schować różnicę do kieszeni. Dlatego w dobrze zorganizowanym domu jedna osoba kupuje, druga sprawdza rachunek, a trzecia weryfikuje, czy wszystko jest na stole.”
Część piąta: Audyty i compliance, czyli dlaczego czasem boję się bardziej kontrolerów niż hakerów
Tu wchodzimy w świat, który jest równie ważny jak ochrona przed hakerami, ale znacznie mniej efektowny w opowieściach.
Wyjaśnienie dla taty (który prowadzi firmę):
„Tato, wiesz jak co roku przychodzi kontrola skarbowa i trzeba pokazać wszystkie dokumenty? No to wyobraź sobie, że dla dużych firm takie kontrole są cały czas. Tylko że sprawdzają nie podatki, a to, czy firma ma porządek w systemach IT.”
„W Europie mamy teraz takie przepisy jak NIS2, DORA, RODO… To nie są przypadkowe literki – to regulacje, które mówią firmom, jak muszą dbać o bezpieczeństwo danych. I kontrolerzy sprawdzają, czy firmy się do nich stosują.”
„Moja praca polega też na tym, żeby firma była zawsze gotowa na taką kontrolę. Muszę dokumentować wszystko – kto ma jakie uprawnienia, dlaczego, od kiedy, kto to zatwierdził. I muszę móc to pokazać w każdej chwili.”
Wyjaśnienie dla mamy:
„Mamo, pamiętasz jak musiałaś pokazać w urzędzie dowód na to, że naprawdę mieszkasz pod tym adresem? No to ja muszę cały czas móc udowodnić, że firma naprawdę dba o bezpieczeństwo. Że to nie jest tylko gadanie, ale że są konkretne procedury, dokumenty, logi.”
„I wiesz co jest najgorsze? Że jeden błąd w tych dokumentach może firmę kosztować miliony złotych kary. Albo utratę reputacji. Albo jedno i drugie.”
Część szósta: Monitoring i wykrywanie, czyli jak znajduję włamywaczy
Tu przechodzimy do najbardziej „filmowej” części pracy – wykrywania podejrzanych zachowań.
Wyjaśnienie dla dziadka:
„Dziadku, pamiętasz te filmy wojenne, gdzie jest pokój z mapami i światełkami, i jak coś się dzieje na froncie, to zapala się lampka? No to ja mam taki pokój, tylko cyfrowy. I lampki zapalają mi się, kiedy dzieje się coś podejrzanego w systemie.”
„Ktoś loguje się o trzeciej w nocy? Lampka. Ktoś próbuje wejść do systemu z innego kraju? Lampka. Ktoś nagle zaczął pobierać tysiące dokumentów, choć wcześniej pobierał dziennie ze dwa? Wielka, czerwona lampka.”
„I wtedy muszę sprawdzić, czy to faktyczny atak, czy może Kowalski z działu sprzedaży pojechał na delegację do Niemiec i zapomniał powiedzieć.”
Wyjaśnienie dla cioci:
„Ciociu, to jak bycie detektywem. Szukam wzorców, które nie pasują. Jak ktoś w banku wypłaca codziennie sto złotych, a nagle chce wypłacić sto tysięcy – to jest podejrzane, prawda? W SAP-ie jest tak samo. Ludzie mają swoje nawyki, swoje standardowe czynności. Jak nagle ktoś zaczyna robić coś zupełnie innego – muszę to zbadać.”
Część siódma: Reagowanie na incydenty, czyli co robię, kiedy naprawdę jest źle
Wyjaśnienie uniwersalne:
„A co jeśli naprawdę ktoś się włamie? No cóż, wtedy zaczyna się prawdziwa zabawa. I przez 'zabawa’ rozumiem 'kilkadziesiąt godzin bez snu, z telefonem przy uchu i kofeina w żyłach’.”
„Kiedy wykryjemy prawdziwy incydent bezpieczeństwa, musimy działać jak straż pożarna. Najpierw gasić – czyli zatrzymać atak, odciąć włamywacza. Potem sprawdzać – co dokładnie się stało, do czego miał dostęp, co mógł ukraść lub zmienić. A potem naprawiać – łatać dziurę, przez którą wszedł, i upewniać się, że nie wejdzie tą samą drogą jeszcze raz.”
„I na końcu dokumentować. Bo pamiętacie tych kontrolerów, o których mówiłem? Oni będą chcieli wiedzieć dokładnie, co się stało i co zrobiliśmy.”
Metafora dla babci:
„Babciu, to jak w domu. Wyobraź sobie, że nagle widzisz, że ktoś obcy chodzi po twoim ogródku. Najpierw dzwonisz na policję, żeby go złapali. Potem sprawdzasz, czy czegoś nie wziął. Potem naprawiasz dziurę w płocie, przez którą wszedł. A potem opowiadasz sąsiadce, żeby ona też sprawdziła swój płot. Ja robię dokładnie to samo, tylko w komputerach.”
Część ósma: Dlaczego to wszystko jest ważne?
Przy deserze warto podsumować, dlaczego ta praca ma znaczenie. Bo rodzina może już rozumieć CO robisz, ale nie zawsze DLACZEGO to jest istotne.
Wyjaśnienie z perspektywy:
„Posłuchajcie, te systemy SAP, które chronię, zawierają wasze dane. Tak, wasze. Jak pracujesz w dużej firmie, twoja wypłata idzie przez SAP. Jak kupujesz leki w aptece, gdzieś po drodze był SAP. Jak tankujesz paliwo, robisz zakupy w supermarkecie, zamawiasz paczkę – wszędzie po drodze są systemy, które ja i ludzie tacy jak ja chronią.”
„Gdybyśmy tego nie robili? Hakerzy mogliby ukraść dane milionów ludzi. Przestępcy mogliby przekierowywać przelewy firm na swoje konta. Szpiedzy przemysłowi mogliby wykradać tajemnice handlowe. Całe firmy mogłyby stanąć, bo ktoś zaszyfrował im systemy i żąda okupu.”
„To nie jest science fiction. To się naprawdę dzieje. Co tydzień słychać o jakiejś firmie, która została zaatakowana. My jesteśmy po to, żeby te ataki zatrzymywać – albo przynajmniej minimalizować ich skutki.”
Część dziewiąta: FAQ, czyli pytania, które na pewno padną
Na koniec przygotuj się na pytania uzupełniające, bo one na pewno się pojawią.
„To ty jesteś hakerem?”
„Nie, ja chronię przed hakerami. Choć przyznam, że żeby dobrze chronić, muszę myśleć jak haker. Muszę wiedzieć, jak oni atakują, żeby móc ich zatrzymać. To jak bycie policjantem – musisz rozumieć, jak myśli przestępca, żeby go złapać.”
„A możesz zhakować mi Facebooka mojej byłej?”
„Teoretycznie pewnie wiem, jak to się robi. Praktycznie – nie, bo to nielegalne, nieetyczne, i mógłbym stracić pracę oraz trafić do więzienia. Poza tym zajmuję się innymi systemami.”
„To dużo zarabiasz?”
„Specjaliści od cyberbezpieczeństwa są teraz bardzo poszukiwani, bo ataków jest coraz więcej, a ludzi, którzy potrafią przed nimi chronić, jest za mało. Więc tak, zarabiam nieźle. Ale też pracuję nieźle – czasem w nocy, czasem w weekendy, i ciągle muszę się uczyć nowych rzeczy.”
„A nie wystarczy mieć antywirusa?”
„Antywirus to jak zamek w drzwiach. Jest potrzebny, ale nie wystarczy, jeśli złodziej ma wytrych, może wejść przez okno, ma klucz od pracownika, który mu go sprzedał, albo po prostu puka do drzwi i mówi, że jest z elektrowni. Cyberbezpieczeństwo to cały system – ludzie, procesy, technologie. Sam antywirus nie załatwi sprawy.”
„Ale chyba przesadzasz, kto by chciał atakować jakąś firmę?”
„Uwierz mi, każdy. Są grupy hakerskie, które atakują dla pieniędzy – szyfrują dane i żądają okupu. Są takie, które kradną dane i sprzedają je konkurencji. Są sponsorowane przez rządy innych krajów i szpiegują przemysłowo. Są nawet tacy, którzy atakują 'dla sportu’ – żeby udowodnić, że potrafią. Żadna firma nie jest za mała ani za nieważna.”
Zakończenie: Wesołych i bezpiecznych świąt!
I tak oto dotarliśmy do końca naszego świątecznego poradnika. Mam nadzieję, że teraz, kiedy wujek Zbyszek zapyta, czym się zajmujesz, będziesz uzbrojony w arsenał metafor, porównań i przykładów, które sprawią, że nie tylko zrozumie, ale może nawet doceni twoją pracę.
Pamiętaj – nie musisz używać wszystkich wyjaśnień naraz. Dobierz je do odbiorcy. Babcia lepiej zrozumie porównanie do zeszytu z przepisami i zamku z tysiącem pokoi. Wujek od komputerów doceni techniczne szczegóły. Kuzyn gracz zrozumie analogie do gier.
A przede wszystkim – nie przejmuj się, jeśli ktoś nadal nie zrozumie w stu procentach. Ważne, że próbujesz. Ważne, że tłumaczysz. I ważne, że twoja praca naprawdę ma znaczenie, nawet jeśli nie każdy przy stole wigilijnym jest w stanie to docenić.
My w SNOK wiemy, jak ważna jest twoja praca. Od ponad 25 lat pomagamy firmom chronić ich systemy SAP i rozumiemy, że to nie jest łatwe zadanie. Ani technicznie, ani… komunikacyjnie.
Dlatego życzymy wam wszystkim – specjalistom SAP Security i ich rodzinom – spokojnych świąt. Bez incydentów bezpieczeństwa. Bez alertów w środku nocy. I bez trudnych pytań przy stole.
A jeśli te pytania jednak padną – teraz wiecie, co odpowiedzieć.
Wesołych świąt życzy zespół SNOK! 🎄
P.S. Jeśli babcia po twoich wyjaśnieniach powie „To bardzo odpowiedzialna praca, synku” – uznaj to za sukces. Jeśli doda „A nie za dużo siedzisz przy tym komputerze?” – cóż, niektórych rzeczy nawet najlepsze analogie nie zmienią.