Co jste dělali 19. dubna 2016? Většina z vás si nejspíš nevzpomene, ale Jiří Sedlák, manažer dohledového centra O2 SEC, si to pamatuje poměrně přesně. V ten den totiž O2 SEC zahajovalo svůj provoz. Po šesti letech od vzniku je O2 SEC největším dohledovým centrem svého druhu v Česku a špičkovým pracovištěm, které se dokáže na kybernetické hrozby připravit ještě dřív, než přijdou. Jak? I o tom bude řeč.
„Bezpečnostní dohledové centrum jsme původně vyvinuli, abychom firmám a institucím pomohli naplnit požadavky zákona o kybernetické bezpečnosti a dalších legislativních norem, jako je třeba nařízení Evropského parlamentu a rady 2016/679,“ vysvětluje Jiří Sedlák pozadí vzniku špičkového pracoviště. „Záhy se ale naše služby rozšířily i na další subjekty, kterých se dotýkají třeba oborové standardy anebo prostě jen vnímají potřebu řešit bezpečnost.“
V některých článcích a rozhovorech vaši práci přirovnáváte k práci detektivů. Proč?
Při vyšetřování kriminálního činu – mimochodem, i kybernetické útoky jimi svým způsobem jsou – shromažďujete maximum důkazů. O prostředí, ve kterém zločin proběhl, jakým způsobem se stal. A tak se postupně dopátráte k tomu, že zjistíte, kdo jej spáchal a jestli se mu dalo předejít. Případně víte, jak se příště bránit.
Náš přístup v O2 SEC je velmi podobný. Sbíráme důkazní materiály, informace, ať už je to sběr logů, monitoring datových toků v rámci firemního ICT prostředí. Stejně jako detektivové tyhle informace, a hlavně jakékoliv nestandardní chování v rámci ICT prostředí vyhodnocujeme a dáváme je do souvislostí. Pokud skutečně narazíme na problém, bezpečnostní incident, pak důkazy o něm musíme uchovávat tak, aby se nekontaminovaly. Máme nástroje, díky kterým následně můžeme mluvit o důkazním materiálu ve forenzní kvalitě. Ten je potom použitelný při vyšetřování jednotlivých událostí, ale třeba později až někde u soudu.
Detailně jsme se o pracovní náplni specialistů z O2 Security Expert Center rozepsali už loni. V článku Ochrana kyberprostoru připomíná detektivní práci nebo těžbu zlata Jiří Sedlák do detailu vysvětluje, v čem práce dohledového centra spočívá, i to, kolik stojí osobní a firemní data na černém trhu.
Změnila se vaše práce za těch posledních několik let, kdy O2 SEC funguje?
Mění se tak, jak se proměňuje strategie útoků a jejich techniky, kterými hackeři útočí. Roste také objem monetizace útoků. Naše práce tak už není jen o sběru důkazního materiálu, ale přesouváme se do jiné úrovně obrany. Zaměřujeme se na to, abychom v maximální míře zajistili prevenci před dopady jednotlivých útoků.
Co si pod tím konkrétně představit?
Aktivně vytváříme takové prostředí, které útoku zamezí. Zmenšujeme dopadovou plochu pro útočníka. A to až do takové míry, aby útok vůbec nemohl proběhnout. Prevence má pro zákazníka největší efekt. Z hlediska financí, ale i z pohledu reputačního.
Počet kybernetických útoků roste. Například mezi lety 2019 a 2020 se podle NÚKIBu více než zdvojnásobil. A pandemie tento stav nezbrzdila. Právě naopak. Kyber útočníci byli ještě aktivnější a naplno využívali zmatku, který v mnoha firmách vyvolal plošný přesun na HO.
Roste počet útoků nejen na komerční sféru, ale i na státní instituce, akademickou obec nebo zdravotnictví. Tam jde o nárůst ve stovkách procent. „Silně tu působí monetizace. Útočníci chtějí na svých aktivitách vydělávat. Roste počet útoků a zhoršují se jejich následky,“ shrnuje Jiří Sedlák aktuální stav.
Firmy to mají těžké. Zabezpečit firemní ICT je pro ně investičně i personálně náročné. Jde o problematiku, kterou musíte řešit v režimu 24/7, jde o nepřetržitou službu. A není to jen o tom, že vše nonstop monitorují systémy, ale nepřetržitý dohled musíte zajistit i personálně. Připočtěte k tomu náročnost prostorovou i časovou. Proto jsme tu ale my jako alternativa vlastního bezpečnostního dohledového centra. Snímáme ze zákazníka to, co jsem popsal výš. Tím, že naše služby poskytujeme více zákazníkům, stojíme ho méně než in-house řešení a zároveň získává know-how celého týmu. Naše zkušenosti jsou posbírané z nejrůznějších oblastí, oborů. Na denní bázi řešíme to, co je mnohdy pro běžného ICT specialistu na okraji jeho zájmu, kompetencí, a hlavně časových možností.
Tip: Přečtěte si článek Co dělat v případě kyberútoku: Klíčová je rychlá reakce a schopnost rozhodnout o dalším postupu.
S čím vás zákazníci nejčastěji oslovují? Co vyvolá první kontakt?
Velmi často je tím prvním spouštěčem potřeba najít soulad s nějakou legislativou. Pak jsou tu ale i osvícení zákazníci, kteří přijdou s požadavkem na zabezpečení a my společně s nimi hledáme řešení. Takové, které je nejen „compliance“, ale i v maximálním souladu s prostředím a konkrétními potřebami a hrozbami, které si zákazník uvědomuje a které chce proaktivně řešit ještě dřív, než nastane nějaký problém.
Myslím, že dnes neexistuje firma, která by mohla říci, že se jí kybernetická bezpečnost netýká. I spektrum našich zákazníků je dneska už hodně široké. Hledali jsme řešení pro top korporáty, ale i pro státní správu. A na druhé straně máme i řešení pro menší zákazníky typu malá notářská kancelář a soukromá ordinace. I tady je potřeba chránit data.
Jak to tedy probíhá? Zákazník vás osloví, popíše problém a vy následně přijdete s konkrétním řešením na míru?
S každým novým zákazníkem absolvujeme komplexní workshopy, díky kterým identifikujeme jeho potřeby, seznámíme se s jeho prostředím, nástroji, které používá, ale i personálem. To jsou všechno vstupy, které potřebujeme.
Mnohdy narážíme na to, že zákazníci jsou zmatení množstvím nástrojů a možností, které jsou na trhu k dispozici. Někdy už neefektivně do něčeho investují a třeba při tom opomíjejí základní principy a pravidla kybernetické bezpečnosti.
Po workshopu navrhneme řešení. To pak s klientem diskutujeme a hledáme společně optimální poměr ceny a výkonu. A po jeho najití a odsouhlasení už následuje velmi rychlá implementace. To, jak rychle jsme schopní službu nasadit a provozovat, vnímám jako naši opravdu velkou konkurenční výhodu.
„To, jak rychle jsme schopní služby dohledového centra nasadit a provozovat, vnímám jako naši opravdu velkou konkurenční výhodu.“
Kybernetické útoky mohou být záležitostí minut, hodin ale i dnů a měsíců. Pokud firma nemá prostředky k detekování útoku, může nastat situace, kdy uběhnou týdny i měsíce, než firma přijde na to, že jí někdo brouzdá firemní sítí, případně „sosá“ extrémně důležitá a citlivá data. Samostatnou kapitolu ale tvoří útoky typu ransomware, kde se útočník po provedení útoku sám zviditelní. Velmi časté jsou tak případy, kdy firma zjistí, že je obětí kybernetického útoku až v okamžiku, kdy se tato citlivá data objeví k prodeji, volně na internetu nebo u konkurence.
„Tahle temná strana neřeší žádná legislativní omezení, nectí geografické hranice a nemá prakticky žádné morální zábrany páchat zlo.“
Jestli to tedy chápeme správně a použijeme Star Wars terminologii, pak vy jste takoví rytíři Jedi…
A nejsme sami. Bezpečnostních dohledových center je celá řada. Výhodou pak je, že používáme společné informační zdroje, frameworky a metodiky, které lze nasadit a použít. Je to neskutečná pomoc pro celý tým, který na tom pracuje.
Zmiňujete tým, kdo v něm tedy je, jak vypadá?
Máme 3 základní role. Operátora, který nepřetržitě monitoruje stav a výstupy z jednotlivých bezpečnostních systémů napojených na zákazníka. Teď už v režimu 24×7. Když nastane bezpečnostní událost, zpracuje základní přehled toho, co se děje. Tyto informace následně předá našemu analytikovi, který zahájí realizaci pokročilé analýzy bezpečnostní události. Průběžně zpracovává a doplňuje informace a současně komunikuje se zákazníkem a situaci řeší. Základem úspěchu je právě spolupráce se zákazníkem. Ta je pro vyšetřování nenahraditelná.
A ta třetí role?
Poslední rolí je pak expert, který koordinuje a řeší komplikovaná vyšetřování, navrhuje protiopatření včetně změny architektury, metodicky vede práci analytiků a udržuje a rozšiřuje znalostní databázi. Bezpečnost je dynamická oblast, ve které se typy a techniky útoků pořád mění. Už nestačí mít jen log management a SIEM, není to o pasivním shromažďování a porovnávání stavů. Posouváme se dál k detekčním a response aktivitám, abychom byli schopni rychlé protiakce přímo v prostředí zákazníka, což podstatně zefektivňuje a zrychluje ochranu celého jeho ICT prostředí.
„Stávající model už není jen o pasivním shromažďování a porovnávání stavů, ale o schopnosti proaktivně realizovat hunting útoků a na ně připravovat opatření a ochranu.“
Kvůli dostupnosti informací, které jsou klíčovým parametrem výkonu dohledového centra, spolupracujeme s dalšími profesionály a globálními hráči, kteří nám poskytují data o detekovaných útocích a o napadené infrastruktuře, díky kterým umíme predikovat chování útočníků a nastavovat jim předčasně obranné mechanismy ještě dříve, než se objeví v portfoliu bezpečnostních událostí v systému. Informace, které takto získáme na globální bázi, zpracujeme a využijeme pro konkrétního zákazníka.
Predikcí budoucích útoků jste nám nahrál na další, poslední otázku: Jaká je budoucnost O2 SEC?
Zaměříme se na ještě větší propojení s dalšími službami, které jako organizace poskytujeme. Cílem nejen naším v O2 SEC, ale v rámci celého O2 je to, aby klient mohl celé ICT řešit v režimu „single point of contact“. Tedy, aby díky jednomu dodavateli získal nejen konektivitu, ale i zabezpečenou infrastrukturu, mohl s ním aktivně řešit firemní síť z pohledu struktury, funkčnosti a v neposlední řadě právě i zabezpečení. Zkrátka, aby měl jedno místo, na které se bude obracet, a které maximálně pokryje jeho potřeby, včetně těch byznysových.
Jsou pro vás služby O2 SEC zajímavé a chcete se o nich dozvědět víc? Podívejte se na možnosti, které O2 SEC nabízí. Anebo nás rovnou kontaktujte a my s vámi vaše potřeby a očekávání probereme osobně.
Jiří Sedlák, manažer Security Expert Center
Svou profesní kariéru zahájil v oblasti leteckého provozu, kde měl na starosti rozvoj leteckých záchranných služeb a vyšetřování leteckých nehod. Poté se začal věnovat krizovému managementu a dnes má už více než 20 let zkušeností v oblasti bezpečnosti ICT, realizaci komplexních bezpečnostních řešení a řízení rizik společnosti.
V O2 Czech Republic působí jako manažer O2 Security Expert Centra, kde uplatňuje své zkušenosti ve vývoji a realizaci řešení v oblasti ICT bezpečnosti. Zároveň dohlíží na jejich propojení s platnou legislativou. Odpovídá také za fungování týmu, který zajišťuje služby dohledového centra kybernetické bezpečnosti.
