Odborník na kyberbezpečnost? Nedostatkové zboží. Firmy si mohou pomoci outsourcingem

České firmy čeká maturita z kybernetické bezpečnosti

České firmy čeká maturita z kybernetické bezpečnosti Zdroj: Cisco ČR

Firmy po celém světě se prakticky denně setkávají s množstvím malwarů, phishingových incidentů nebo nejrůznějších DDoS útoků. I proto si hrozbu kybernetikých útoků a jejich následky začínají více uvědomovat. 
Často ale narážejí na bariéru v podobě nedostatku kvalifikovaných odborníků. Musejí se proto rozhodovat, jestli spoléhat pouze na své vlastní IT oddělení, nebo hledat jinou sofistikovanější alternativu.

Firmy a podnikatelé začali brát kyberbezpečnost velmi vážně. Alespoň tedy velká část z nich. Uvědomují si, že rizika a možné ztráty jsou příliš bolestivé, než aby tyto reálné hrozby ignorovali. Od příštího roku bude navíc platit evropská směrnice NIS2, která ještě zpřísní požadavky na kybernetického zabezpečení pro zhruba šest tisíc firem. „Směrnice NIS2 se netýká pouze organizací, které jsou již nyní podle aktuálního zákona o kybernetické bezpečnosti povinny své systémy zabezpečovat, ale i velkého množství firem a institucí, které doposud žádné povinnosti plnit nemusely,“ říká ředitel bezpečnosti O2 Radek Šichtanc.   

Není ajťák jako ajťák 

I kvůli budoucím vyšším legislativním nárokům na kyberbezpečnost tak bude nutné disponovat ve firmách a institucích odborníky. Jenže najít vhodné a správné firemní zabezpečení je mnohdy nesmírně náročný úkol. Některé firmy ho svěří svému IT oddělení, ale tato zdánlivě nejjednodušší varianta má poměrně vážné trhliny. Kompetence a znalosti ajťáka a odborníka na bezpečnost se totiž dost zásadně liší. 

Specialista na bezpečnost musí znát konfiguraci sítě, zabezpečení používaných platforem i rozumět počítačové kriminalistice. Dále by měl mít rovněž i zkušenosti s forenzní analýzou, řízením bezpečnostních incidentů, penetračním testováním i správou bezpečnostních systémů, jako je firewall, antivir či IDPS. A hlavně musí mít zkušenosti a koncepční a analytické myšlení. Přehodit celou tuto agendu na IT není nejlepší nápad jak z hlediska znalostí, tak z pohledu časových kapacit.   

Nekonečné hledání lidí, nebo outsourcing? 

Rozhodně lepší variantou, než spoléhat na klasické IT oddělení, je najmutí firemního odborníka. Jenže expertů na kybernetickou bezpečnost je na trhu práce žalostně málo. O jejich služby bojují instituce napříč státem i soukromou sférou a náboráři si je cení zlatem. Naštěstí na trhu existují možnosti spolupráce s externími firmami. Jedná se o tzv. outsourcing. Tento způsob je podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) dokonce nejčastějším postupem, jak firmy s nedostatkem odborníků v současnosti bojují. A nejde jen o firmy. S deficitem odborníků se potýká dokonce i samotný NÚKIB. „Je zásadní nové odborníky na tuto oblast vychovávat, a zároveň jim nabídnout takové podmínky, které by pro ně byly dostatečnou motivací k ucházení se o místo v našem úřadě," uvedl nedávno v rozhovoru pro ČTK ředitel NÚKIB Lukáš Kintr.  

Outsourcing tedy může být ve finále velice efektivním a zároveň spolehlivým řešením situace. Zkušených firem, které se specializují na komplexní kyberbezpečnost na klíč, je na trhu celá řada. Při jejich výběru dbejte zvýšené pozornosti. Skutečně profesionální poskytovatelé těchto služeb by k vám měli přistupovat individuálně a řešit konkrétní problémy a nedostatky vaší firmy. Hovořili o tom i etičtí hackeři Daniel Hejda a Jan Marek v O2 Cybercastu: „Mnohdy ve firmách nefungují ani základní bezpečnostní opatření. A kybernetická bezpečnost není jen o samotném zabezpečení, ale postavit jde jen nad něčím, co samo o sobě musí fungovat.“ Ochrana se dá budovat pouze nad dobře nastavenou sítí. Jen díky správným nastavením a pohotovosti se například O2 Security Expert Centru podařilo uchránit klienty operátora O2 před újmou při loňském masivním DDoS útoku.   

Pozor na agenty teoretiky 

Kybernetická bezpečnost je v podstatě neustálá mravenčí práce. Často je také přirovnávána k práci detektiva. Kyberexpert musí být ostražitý, neustále připravený a neměla by mu chybět dedukce. Jak ale zmiňují etičtí hackeři Jan Marek a Daniel Hejda, jejichž firma se specializuje na hledání bezpečnostních pochybení, spíš než o vzdělání je to v tomto oboru o přístupu. „Člověk se musí neustále učit novým věcem. Část vzdělávacích kurzů je postavená čistě obchodně, marketingově. Slibují toho mnohem víc, než certifikace reálně obsahuje. V poslední době pak vídám i dost „certifikací za účast“. Lidi je předkládají jako něco, co má prokázat jejich znalosti. A mnoho firem je tak vnímá, což je samozřejmě špatně,“ dodávají v Cybercast rozhovoru s ředitelem bezpečnosti O2 Radkem Šichtancem. Ideální je tedy obklopit se skutečnými odborníky na kyberbezpečnost.