Nediví se, když IT manažerům ve státních organizacích i soukromých společnostech občas vstávají vlasy hrůzou. Oni vědí, jak náročný úkol může být v dnešním mobilním světě chránit data. Zvlášť, když zaměstnanci přenášejí do pracovního prostředí zvyky z domova a používají i pro pracovní účely služby, na něž jsou zvyklí. Architekt bezpečnosti společnosti Microsoft Jan Pilař a jeho kolega František Fait, technický specialista pro bezpečnost, upozorňují v dvojrozhovoru pro sekci E15 a byznys na to, co s sebou z bezpečnostního hlediska přinese ukončení technické podpory Windows 7. Mluví ale také o rozdílných potřebách různých generací na pracovišti či o ne vždy stejném pohledu zaměstnanců a IT oddělení na používané nástroje.
S ukončením technické podpory Windows 7 se otevírá téma, jak na tom české společnosti jsou? Berou jejich IT specialisté takové informace vážně?
Jan Pilař: IT pracovníci sice informaci berou vážně, nepřehlížejí jí, ale mnohdy to nevede k dostatečně rychlé akci. Je třeba si uvědomit, že Windows 10 tu jsou přes čtyři roky a v řadě společností teprve řešíme přechod na ně. Myslím si, že si IT spíše neuvědomují, co to vlastně doopravdy znamená, ať už s ohledem na bezpečnost nebo třeba z hlediska souladu s legislativou (kybernetický zákon, GDPR) či interními IT audity.
Jak jsou vlastně české státní instituce a soukromé společnosti zabezpečené? Dá se tam vyčíst nějaký rozdíl? Kdo je na tom lépe?
Jan Pilař: Nelze jednoznačně říct, že by například státní organizace byly lépe či hůře zabezpečené než třeba komerční banky. Z mé zkušenosti je to hodně o lidech a jejich chuti posunout společnost a její IT dál. Viděl jsem špatně, ale i opravdu skvěle zabezpečené soukromé společnosti, a to stejné platí v případě státních organizací. V každém případě bych doporučil přestat o bezpečnosti jen mluvit a schovávat se za interní směrnice a začít ji opravdu aplikovat.
Od zavedení Windows 7 se svět IT výrazně posunul. V čem a jak je nutné na takové změny reagovat?
Jan Pilař: Máte pravdu, svět se hodně změnil. Schválně se podívejme na obrázky mobilního telefonu, jak vypadal v roce 2009. To je rok, kdy Microsoft vypustil do světa Windows 7. Dobrým příkladem je také způsob, jak jsme sdíleli soubory. Výrazně jsme se posunuli ke cloudovým službám, a to nejen v organizacích, ale hlavně v každodenním životě. Služby jako Uber, Spotify, Netflix, OneDrive, to všechno by nebylo, kdyby nebyl cloud. Ve firemním prostředí je to podobné. Lidé jsou ze svého každodenního života čím dál tím více zvyklí sdílet fotografie nebo soubory, komunikovat v reálném čase přes sociální sítě, dokonce komunikovat jinou formou než jen psaným textem. Společnosti by tyto změny měly odpovědně a bezpečně přenášet i do svého prostředí, protože pak může hrozit, že skrze služby určené pro soukromý život se přenáší firemní data, ale bohužel nezabezpečená. Asi nejsnazší radou zde je „nebraňte se změnám“.
Celý svět se dal do pohybu, tedy i pracovníci, jak ve firmách, tak i institucích, a stále častěji se připojují z mobilních zařízení. O kolik vyšší nároky na bezpečnost to klade?
František Fait: Mobilita je skutečně jednou z klíčových změn v současném pracovním světě. Mnoho profesí těží z výhod nových lehkých přenosných počítačů a chytrých telefonů, na nichž mohou zaměstnanci pracovat v terénu, u zákazníků nebo na cestách. Telefony se stále se zvětšujícím výkonem a obrazovkou se mnohdy stávají primárním komunikačním a kooperačním nástrojem. Málokdo si ale uvědomuje, že dnešní telefon, ačkoliv nevypadá jako klasický počítač, ve skutečnosti počítačem je se vším všudy. Obsahuje operační systém, velké lokální uložiště, aplikace, připojení k internetu a hlavně uživatelská data. A toho jsou si vědomi i útočníci. Zkratkovitým uvažováním by se mohlo zdát, že zakázat ve firmě chytré telefony je nejsnazší řešení. Nikoliv, jen je třeba i chytrý telefon a další digitální zařízení mít pod kontrolou, a tedy i patřičně chránit. Ať jsou kdekoliv. Základní ochranou jsou nástroje detekující a zamezující šíření malwaru. V podnikovém prostředí je nezbytným nástrojem chránícím podniková data tzv. MDM (Mobile Device Management). Tím je například Microsoft Intune, jen takové nástroje zajistí, že firemní data budou například šifrovaná, přístup bude chráněn silným heslem, zařízení nebude nebezpečně konfigurováno a bude vyhovovat bezpečnostním standardům organizace.
K tomu se váže využívání cloudových služeb? Povolit nebo zakázat?
František Fait: Využívání cloudových služeb raketově roste. Nejen díky ekonomickým výhodám, ale hlavně díky rozšiřující se nabídce a vysoké dostupnosti služeb odkudkoliv a z kteréhokoliv zařízení. Spolu s jejich rozšiřováním pochopitelně vzrůstá objem dat, která jim svěřujeme. A tím i atraktivita pro útočníky, kteří mohou mít s našimi daty nekalé úmysly. Jenže to neznamená, že data v cloudu jsou ve větším nebezpečí než data ležící na serverech vlastněných organizací.
Cloudové služby doporučuji využít, ale samozřejmě zodpovědně, bezpečně a takové, které jsou určené pro organizace, jako je například Microsoft Azure nebo sada Microsoft 365. Velcí cloudoví poskytovatelé mají mnohem větší zdroje na zabezpečení poskytování cloudových služeb. Disponují špičkovými bezpečnostními experty a technologiemi a musejí splňovat přísné technické i právní normy. Ochrana dat ukládaných do cloudu je ve sdílené zodpovědnosti organizace a poskytovatele. Co bude platná dokonalá ochrana uložených dat, když organizaci uniknou například přístupová hesla uživatelů. Zatímco dříve se ochrana zaměřovala na ochranu proti vniknutí útočníka do vnitřní sítě, v cloudovém prostředí, kdy komunikujeme přes internet, je potřeba dokonale chránit tento přístup neboli identitu, přes níž se k datům hlásíme. Jako základní nástroj slouží vícefaktorové ověřování uživatele, nejlépe provázané s umělou inteligencí, která určí, o jak rizikové přihlášení se jedná a co bude požadovat.
Takže s nástupem služeb jako jsou Úschovna, ulož.to, wetransfer by měla přijít opatrnost?
František Fait: Opatrnost je na místě vždy. Přijít musí pravidla bezpečného používání, na ně navázat monitoring a vymáhání oněch pravidel. Organizace musí mít přehled o tom, kam její zaměstnanci přistupují a nahrávají firemní data. Pokud firemní IT nedá k dispozici interní technologie pro uložení a sdílení dat, jako je například OneDrive for Business, nemůžeme se divit, když například pracovník právního oddělení při ladění smlouvy s externí právní kanceláří takto citlivý interní dokument sdílí přes nějakou ze zmíněných služeb. On neměl na výběr a danou službu znal z domova, kde ho nenapadají rizika spojená s netransparentností. Kromě technického zabezpečení je důležité vzdělávat zaměstnance o bezpečné práci v cloudu, upozorňovat, co je už rizikové či dokonce nebezpečné chování. A disponovat nástrojem, který chování monitoruje a vynucuje. Může například povolit uložení dokumentu na dané úložiště, sdílet jej, ale zároveň jej zašifruje, ochrání. Nástroje této kategorie se označují CASB (Cloud Application Security Broker), u nás je jejich příkladem Microsoft Cloud App Security.
Mělo by se jednat podle hesla: Ničemu nevěř, už ani to, co je v domě, nemusí být bezpečné? Na co byste z ohledu bezpečnosti nejvíce upozornili? Co už je překonané a kde hrozí největší rizika?
Jan Pilař: Přesně tak, to je jedna z velkých změn ve světě IT bezpečnosti. Historicky jsme zvyklí se chránit proti nebezpečí přicházejícímu zvenku. I doma se takto bráníme, dům má alarm, okna fólie, máme bezpečnostní vložku ve dveřích. Jenže velkým rozdílem zde je, že jsme to my a naše rodina, kteří jsou často jediní, kdo má od domu klíče. Do firem však nastupují zaměstnanci, které tak dobře neznáme. V dobách, kdy jsme pracovali s Windows XP nebo Windows 7, byl nejčastějším úložištěm firemních dat interní server, e-mailový server byl rovněž ve vlastní serverovně a tak dávalo smysl, že se zabezpečovalo to, co je „v domě“.
V souvislosti s nástupem mobilních technologií a jejich postupným zlevňováním je dnes běžné, že zaměstnanec má chytrý telefon a notebook, které si vezme domů, pracuje na letišti, ve vlaku, kde najednou žádné vlastní bezpečnostní technologie nejsou. Vše je dnes mobilní, ale bezpečnost, kterou jsme budovali ve firmě, už tak mobilní není. Proto se dnešní moderní strategie bezpečnosti nazývá „zero trust“. Jednoduše řečeno je to přístup, kdy nevěříte ničemu a zabezpečujete samotné entity, jako je identita uživatele, služba, zařízení uživatele, ať je kdekoliv a kdykoliv.
Jak nahlížet na sdílení souborů přes platformy jako Messenger nebo WhatsApp?
Jan Pilař: S nedůvěrou. Respektive, pro osobní použití, sdílení fotografií nebo osobních souborů přes zmíněné služby je to věcí každého člověka. Ale pokud jde o data organizace, pak bych byl hodně opatrný. Často nevíme, jak dlouho jsou data uložena, jaká míra „těžby“ dat je uplatněna a kdo má k datům přístup. Je třeba si uvědomit, že jsou to mnohdy právě data (sledování polohy, mapa kontaktů, nákupní chování skrze aplikaci), jimiž platíme za používání služby „zdarma“. V organizacích by se měly používat jen takové služby, které jsou pro ně určené. Které jasně deklarují, jak je s daty nakládáno, nebo kde a jak jsou data uložena.
Máte zkušenosti, že by IT manažeři nevěděli o tom, které služby či aplikace, zaměstnanci využívají?
Jan Pilař: V některých případech tomu tak může být. S příchodem technologií jako chytré telefony a sociální sítě se změnil způsob, jak komunikujeme a nakládáme s daty. Tím, že IT mnohdy nedokázalo nabídnout bezpečnou alternativu, zaměstnanci začali používat služby, které znali z domova.
Jak moc na sebe narážejí dva pracovní přístupy: Musím soubor přenést klientovi. Staráme se o bezpečnost, nic nepřenášejte, říkají IT technici.
Jan Pilař: Bezpečnost nesmí blokovat produktivitu uživatele, a naopak produktivita nesmí být důvodem, proč opomíjet bezpečnost v IT. Jde o vyvážení obou přístupů. Sdílení souborů s externím uživatelem, jakými jsou dodavatel nebo partnerská společnost, je dnes běžným požadavkem. Představte si, že vyrábíte průmyslové halové jeřáby. Když zákazník bude stavět novou halu a takový jeřáb poptávat, bude potřeba sdílet data mezi zhotovitelem stavby, zákazníkem a vámi jako dodavatelem jeřábu. Těžko posílat velký soubor e-mailem. IT by nemělo bezpečné cloudové technologie blokovat. Ony bezpečnost povyšují, nikoliv ponižují.
Vědí nebo aspoň tuší IT lidé ve firmách, jak chtějí jejich kolegové pracovat? Co je pro ně z hlediska mobility a digitálních platforem důležité? Co nezpomaluje jejich práci a neomezuje jejich výkonnost?
Jan Pilař: Určitě bych nepaušalizoval. Ale už se nám stalo, že jsme při prezentaci u zákazníka v IT oddělení slyšeli, že o nástroj pro spolupráci Microsoft Teams jejich lidé určitě nemají zájem. Po nějaké době se nám od zákazníka ozval člověk z marketingu, že slyšel, že takovou službu máme a chtěl by vědět více. Ukázali jsme mu možnosti a potenciál tohoto nástroje a byl nadšený. Dnešní uživatel chce pracovat odkudkoliv, z domova, z chaty, z auta, z čekárny u lékaře. I to přispívá ke konkurenceschopnosti dané organizace.
Do mnoha oborů a činností, kde nikdy nebyly, nyní vstoupily digitální informace, výpočetní technika. Jaká existují pravidla ohledně zabezpečení, ale tak, aby nedošlo k „narušení“ komfortu uživatelů?
Jan Pilař: Nové bezpečnostní technologie neznamenají narušení komfortu. Spíš naopak. Například když chcete opravdu zabezpečit informace a data, ale tak, aby to uživatele neobtěžovalo, můžete v balíku Microsoft 365 využít automatizaci, která na základě obsahu dokumentu automaticky aplikuje patřičnou žádoucí ochranu. Druhým příkladem může být přihlášení do Windows 10. Uživatel může získat možnost přihlásit se do systému pomocí otisku prstu nebo skenu obličeje, tedy velmi komfortně a jednoduše. IT tím ve stejnou chvíli zavedlo vícefaktorové ověření do počítače, sám počítač se totiž stal jedním z faktorů ověřování.
Ve firmách a institucích stále častěji dochází k prolínání zaměstnaneckých generací. I několika, když vedle sebe pracují osmnáctiletí nováčci a například zkušení důchodci. Každý má jiný styl práce. Je nutné i tento trend sledovat?
Jan Pilař: Toto je velmi důležité sledovat i v IT. Mladá nastupující generace má úplně jiné požadavky na techniku nebo způsob práce, než mají kolegové na stejné pozici ve středním věku. Z pohledu IT může vzniknout situace, kdy, pokud nenabízí takové nástroje a prostředky, které uživatel chce a používá, ten si může najít svoji „vlastní“ cestu. Ta však může být zcela mimo kontrolu IT a vzniká tak tzv. shadow IT (stínové IT – pozn.).
Jak rozdílné generace naučit vzájemně komunikovat, když ti starší třeba jen s obtížemi píší maily, které jsou pro mladou generaci zastaralým a přežitým způsobem? A v čem tkví největší nebezpečí?
Jan Pilař: IT musí poskytnout uživatelům takové nástroje, které umí překonat mezigenerační rozdíly. Najít taková řešení, která budou vyhovovat všem. Například zmíněné Microsoft Teams v sobě umí spojit výhody e-mailu, instantní komunikace, sdílení souborů v nastavených týmech.
Nemůže tady u obou či více skupin vzniknout tzv. slepá ignorance, na kterou spoléhají útočníci?
Jan Pilař: To se samozřejmě může stát. Útočník bude samozřejmě rád, pokud bezpečnostní funkce, strategie a použité postupy budou brát přílišný ohled na věk zaměstnanců, tedy stav, kdy IT i bezpečnostní standardy se zakonzervují. Tím vzniká velký prostor pro útočníka. I proto vnímáme jako důležité hledat taková řešení a nástroje, které umějí překonat mezigenerační rozdíly.
Existuje vůbec nějaké řešení, jak se skutečně dobře zabezpečit proti útokům, ale i omylům vlastních lidí? Nebo to bude podobné jako v dopingu, že komisaři budou vždy tzv. ti druzí?
Jan Pilař: Bezpečnost obecně, nejen v IT, je o snižování rizika. Výhodou útočníka je, že on může útočit, kdy chce, ale uživatel se musí bránit neustále. I proto je třeba neustále vzdělávat uživatele při zavádění moderních technologií a postupů. Například do jedné z našich služeb jsme přidali možnost vytvořit si bezpečný phishingový útok, který IT oddělení ukáže, jestli jsou zaměstnanci obezřetní, nebo naopak neumí rozpoznat škodlivý e-mail, který se jim snaží ukrást identitu. I prostřednictvím těchto nástrojů lze pracovat na vzdělávání uživatelů nebo změně procesů. Pouhý omyl je jedním z častých důvodů úniku dat. Komu z nás se někdy nestalo, že poslal e-mail někomu jinému, protože vybral špatně v našeptávači e-mailových adres? A proto je důležitá automatizace a technologie, které případný omyl budou umět zastavit.
- Jan Pilař (37 let)
Architekt bezpečnosti společnosti Microsoft vystudoval Univerzitu Tomáše Bati ve Zlíně.
- František Fait (53 let)
Technický specialista pro bezpečnost společnosti Microsoft vystudoval obor výpočetní techniky na Západočeské univerzitě v Plzni.
