Kybernetická bezpečnost není jen záležitostí IT. Prolíná se všemi oblastmi života firem a organizací. Od náboru zaměstnanců přes vybavení, které dostanou, data a softwarové nástroje, s nimiž pracují, až třeba po zajištění provozu internetových stránek nebo obecně jakýkoli způsob komunikace se zákazníky či partnery, říká Dan Albrecht ze společnosti Seyfor. Podle jeho zkušeností je u nás stále hodně firem a organizací, které mají jen velmi obecnou představu nejen o možných rizicích, ale také o regulacích, na které se musejí připravit.
S jakými požadavky v kyberbezpečnosti se na vás české firmy obracejí nejčastěji?
Velmi záleží na tom, o jakou firmu jde. Větší společnosti mají zpravidla definovanou bezpečnostní strategii, takže přicházejí s jasným zadáním, kterou z oblastí s námi chtějí řešit. V menších firmách takové zadání zpravidla chybí, protože potřebují řešit kyberbezpečnost v podstatě úplně od začátku. Často jde také o organizace, které si třeba i za nemalé peníze pořídily nějaké bezpečnostní zařízení, ale vlastně vůbec nevědí, jak s ním správně pracovat, aby plnilo svůj účel. Kyberbezpečnost je totiž trvalý proces a nelze vyřešit jednorázovým nákupem jakékoli „krabičky“. Potřebujete i kvalifikované specialisty, kteří se budou o kyberbezpečnost nepřetržitě starat, a procesy, které budou při detekci incidentu následovat.
Myslí i menší firmy na svoji bezpečnost, nebo přijdou, až když k nějakému incidentu dojde?
Kyberbezpečnost je něco jako pojištění proti požáru. Její skutečný význam oceníme, až když se „něco stane“. Dnes ale můžeme organizace dělit na ty, které již byly napadeny, a ty, které o tom zatím nevědí. Organizace, které takovou zkušenost už mají, se ke kyberbezpečnosti stavějí mnohem pozitivněji a jsou do svého zabezpečení ochotné investovat mnohem víc. Hodně firem ale bere investice do kyberbezpečnosti jako něco, co jim ubírá zisk, aniž by si uvědomily, že tím chrání svoje data a know-how. Tedy vlastně to, co jim peníze přináší.
Co může takové organizace přesvědčit?
Můžeme pro ně zpracovat analýzu rizik a zjistit, jakou potenciální ztrátu by pro ně mohl úspěšný kybernetický útok znamenat. Důsledky útoků mohou být různé a záleží také na schopnosti a rychlosti, s jakou je dokážeme detekovat a zastavit. Nejde tedy jednoznačně určit vztah mezi konkrétní úrovní kyberzabezpečení a potenciální ztrátou nebo náklady na obnovu po útoku. Mimo jiné i proto, že těžko vyčíslíme škody jako ztráta reputace a možnost odchodu zákazníků ke konkurenci, pokud je firma následkem ataku nemůže obsloužit.
Zmínil jste potřebu kvalifikovaných specialistů na kyberbezpečnost a procesů řešení incidentů. Jaké mají české firmy v této oblasti kapacity?
Určitě nedostatečné. Po specialistech na kyberbezpečnost je obrovská poptávka a kvalifikovaných lidí je velký nedostatek. I to vede k situaci, kdy si firma pořídí nějaké bezpečnostní zařízení nebo software, ale pak jej nemá kdo správně nasadit, spravovat a používat. Nedostatek specialistů na kyberbezpečnost zkrátka vede k tomu, že si firmy nemohou v této oblasti pomoci samy.
Jde tedy kyberbezpečnost pořídit formou služby?
Ano a sami na tom pracujeme. Stavíme si vlastní dohledové centrum, takzvaný Security Operations Center – SOC. To bude sloužit pro naši vlastní kyberbezpečnost, tedy ochranu společností ve skupině Seyfor, ale současně začneme v příštím roce poskytovat jeho služby i externím zákazníkům. SOC přebírá odpovědnost za monitorování prostředí zákazníka, detekci incidentů a případně jejich řešení.
Jak vnímáte úroveň povědomí zaměstnanců o kyberbezpečnosti?
Bohužel zpravidla nedosahuje potřebné úrovně, aby bylo možné se spolehnout, že zaměstnanci rozpoznají třeba typický phishingový e-mail. Sami provádíme školení zaměstnanců a také testy phishingovými e-maily. Obecně je ale dnes školení zaměstnanců poměrně hodně, často i nařízených různými regulacemi. Není snadné navrhnout školení o kyberbezpečnosti tak, aby v záplavě informací, které se na zaměstnance valí, mělo požadovaný efekt.
Jak k vlastnímu vzdělávání v kyberbezpečnosti přistupuje management firem?
Základem kybernetického zabezpečení jsou lidé – na všech úrovních organizace. Na té nejvyšší úrovni přitom záleží nejvíc – tito manažeři pracují s nejcitlivějšími daty a mají nejvyšší rozhodovací pravomoci, například pokud jde o platby. Přesto se velmi často setkáváme s tím, že tito lidé nejenže se neškolí, ale také se na ně nevztahují přísná bezpečnostní opatření, například dvoufaktorové ověřování nebo systém minimálních oprávnění. Cílený útok podpořený sociálním inženýrstvím pak může být zdrcující. A můžeme ho koneckonců pomocí penetračních testů i nasimulovat.
Existuje nějaké řešení – dostatečně bezpečné a zároveň aplikovatelné na všech úrovních organizace?
Dnes jsou k dispozici techniky ověřování a obecně zabezpečení, které poskytují vysokou úroveň ochrany, zároveň jsou snadno použitelné a při práci nikoho zbytečně neobtěžují. Ostatně bezpečnost je vždy o kompromisu. Můžeme nařídit extrémně dlouhá hesla, která se musejí měnit každý den, ale uživatelé budou taková opatření pravděpodobně obcházet. Musíme proto vždy navrhnout takový systém zabezpečení, který bude pro uživatele komfortní. A pak je velmi důležité každé opatření důkladně popsat, vysvětlit všem uživatelům jeho přínos a naučit je s ním pracovat.
Zlepší kyberbezpečnostní situaci ve firmách nový zákon o kybernetické bezpečnosti dle regulace NIS2?
Bude velmi důležité, jak budou firmy k novým požadavkům na kyberbezpečnost přistupovat. Jestli jako k další zátěži, které se musejí za každou cenu vyhnout, a splní nové požadavky jen „na oko“, nebo jako k příležitosti, jak posílit svoji pozici z hlediska kyberbezpečnosti a využít přitom hotové postupy, které bude nový zákon předepisovat. To je mimochodem výhoda, o které se moc nemluví – budeme mít zákon, který celkem podrobně stanovuje, jak by mělo zabezpečení podniku vypadat. Nebude tedy potřeba vymýšlet nic nového. Celkově proto vidím nový zákon jako pozitivní změnu ve vnímání kyberbezpečnosti.
Poradí si firmy, kterých se nový zákon týká, s celým procesem aplikace požadovaných opatření samy?
Většina spíše ne, už kvůli zmíněnému nedostatku specialistů na kyberbezpečnost. Navíc jsme zvyklí nechávat vše na poslední chvíli, ale v tomto případě bude velmi obtížné dohnat zpoždění v plánování a realizaci nezbytných opatření. Například už nyní by firmy měly vědět, jestli se na ně nový zákon vztahuje a v jaké ze dvou úrovní opatření. A také mít představu, jaká investice je čeká z hlediska technologických, procesních a personálních opatření. Určitě je také nejvyšší čas začít s výběrem poskytovatele služeb v kyberbezpečnosti, který se zavedením nových opatření pomůže.
Ale budou mít tito dodavatelé dostatečnou kapacitu?
Předně si řekněme, že vznikne dlouhá řada firem, které budou tvrdit, že „NIS2 umí“, ale nebude snadné mezi nimi vybrat takovou, která problematice skutečně rozumí, a především má také dostatečné kapacity. Jako ve všem jiném platí: nebrat první nabídku ani nejnižší cenu, ale důkladně zvážit, co za své peníze skutečně dostaneme.
Je možné opatření podle nového zákona o kybernetické bezpečnosti kompletně outsourcovat?
Bohužel nelze outsourcovat odpovědnost a firmy by na takové nabídky neměly slyšet. Již stávající zákon o kybernetické bezpečnosti, přičemž u nového to nejspíš nebude jinak, stanovuje pozice, které musí být obsazovány jedině zaměstnanci firmy. Navíc, konečná zodpovědnost je vždy na managementu. Dodavatel, který bude tvrdit, že zařídí kompletně vše, buďto problematice nerozumí, nebo neříká tak docela pravdu.
Jaké typy kybernetických útoků trápily české firmy v uplynulém roce nejvíc?
Určitě ransomware, který sám o sobě představuje několik modelů útoků. Nemusí totiž vždy jít o zašifrování dat a následné vymáhání výkupného, ale třeba také o krádež důležitých informací a následné zametení stop po takovém útoku. A jelikož je provedení ransomwarového útoku relativně snadné, zaznamenali jsme i případ, kdy firmu úmyslně napadnul její zaměstnanec a podělil se o zisk se zločinci, kteří mu poskytli potřebné nástroje. Druhým závažným rizikem jsou útoky typu DDoS, které potrápily nejen české banky, ale také řadu dalších obětí, o kterých se ale tolik nemluví. Stále častěji se také setkáváme s podvrženou konverzací v rámci firmy a s falešnými fakturami.
Zasáhne do situace v kyberbezpečnosti technologie umělé inteligence?
Určitě ano. Jen možná trochu jinak, než by se nabízelo. Například bude nutné řešit, jak mohou zaměstnanci využívat ke své práci nástroje jako ChatGPT. Stále častěji totiž může docházet k situacím, kdy zaměstnanci nějakému modelu umělé inteligence dobrovolně vyzradí citlivá firemní data. Třeba když si nechají zpracovat analýzu finančních ukazatelů do prezentace nebo zkontrolovat dokument s nabídkou obsahující citlivá data. Existují sice technologie, které brání nechtěnému vynášení citlivých dat z firem, ale stále záleží především na lidech a na tom, jak budou v zacházení s firemními daty proškoleni.
Dan Albrecht (35)
Z pozice produktového manažera, presales konzultanta a nyní business development managera ve společnosti Seyfor se dlouhodobě věnuje návrhu bezpečnostních architektur a výběru vhodných řešení pro zajištění kyberbezpečnosti firem a dalších organizací. Při práci pro přední distributory ICT získal zkušenosti s produkty a řešeními hlavních světových dodavatelů, které nyní dále posiluje ve skupině Seyfor.
