Potkají se hacker, odborník na bezpečnost, právník a soudní znalec v oblasti IT u jednoho stolu. Začátek košatého vtipu? Nikoli, start inspirativní a bohaté panelové diskuze, která byla součástí konference CIO Agenda 2022. Zvlášť, když byl jejím aktivním účastníkem Jiří Sedlák, manažer bezpečnostního dohledového centra O2 SEC.
„Zaujaly mě právní komentáře, nebo spíše varování před konáním některých dobře myšlených skutků v kyberprostoru v souvislosti s válkou na Ukrajině a jejich právních kvalifikací. Připomnělo mi to známé rčení, že cesta do pekla je dlážděná dobrými úmysly a my se ve spravedlivém boji můžeme střelit do vlastní nohy,“ říká Jiří Sedlák.
S tím tak trochu souvisí i podtitul letošní CIO Agendy. „I když si myslíte, že všechno máte dobře, může to dopadnout blbě.“ Co je podle vás typický příklad podcenění ze strany firem v oblasti bezpečnosti IT?
JS: Možná by otázka spíš měla znít, co firmy přeceňují. A to je úroveň vlastního kybernetického zabezpečení a schopnost se bránit. Naopak pak hrubě podceňují pravděpodobnost a dopady napadení. Někdy jsou důvody legitimní, někdy v tom hrají roli jiné priority, absence relevantních informací k hrozbám i schopnostem vlastní ochrany, neochota přijmout další starosti nebo jednoduše ve firmě není expertní podpora…
V příspěvku Cyber Rangers zaznělo, že největším rizikem jsou většinou vlastní zaměstnanci. Těm hackeři nabízí závratné sumy za přístupy, citlivé informace. Máte stejnou zkušenost?
JS: Osobně jsem se s tím zatím nesetkal, ale domnívám se, že pro útočníky je to spolehlivý a rychlý způsob, jak se dostat k informacím. Nicméně na firmě pak je rozhodnutí, zda si vybuduje schopnost takové jednání rozpoznat a následně zabránit případným důsledkům.
Hojně se diskutovalo i to, zda zaměstnance pravidelně školit, nebo minimalizovat prostor pro jejich chybu pomocí technologií. K čemu se přikláníte vy?
JS: Podle mě otázka nestojí, jestli školit, nebo omezit. Ke kybernetické bezpečnosti je nutné přistupovat komplexně. Moje doporučení je školit, ale zároveň nasazovat další technologická a procesní pravidla a opatření. Když selže zaměstnanec firma musí mít k dispozici další účinné vrstvy ochrany. Stejně jako ve fyzickém světě je bezpečnost IT o vícevrstevnaté ochraně.
Vede tedy cesta k posílení zabezpečení IT i přes investice do rutiny a automatizace?
JS: Na to mám trochu jiný názor, než padl v panelové diskusi na konferenci. Automatizované systémy bezpečnosti určitě mají nezastupitelnou roli v procesu ochrany, ale je nebezpečné je přeceňovat jako vše řešící krabičky.
Přiměřená investice do rutiny a automatizace dává za určitých podmínek smysl a může posílit zabezpečení. Hlavně v prostředí s omezenými nebo žádnými expertními zdroji. Příslušné nástroje zvládnou velké množství operací, vyhodnocují bezpečnostní události na základě nastavených pravidel a automaticky generují aletry, a to včetně popisů a reportů. Ideální je ale takové nástroje kombinovat s dalšími analyticko-detekčními nástroji a know-how expertů.
Na konferenci také zaznělo, že top management mnohdy nedokáže dohlédnout všechny důsledky bezpečnostních rizik. Vnímáte to stejně?
JS: To je citlivé téma. Vnímám to spíš tak, že někdy je top management velmi úspěšně manipulován. Není to o tom, že by top management nedokázal vyhodnotit důsledky rizik. Lidé z managementu ale mohou být obětí manipulace interních i externích subjektů. Takže dostávají zkreslené, nepřesné nebo v čase irelevantní informace.
Dá se to změnit? Jak?
JS: Cesta ke změně může vést přes jejich evangelizaci v oblasti kybernetických rizik. A to včetně souvisejících právních důsledků. A pozitivní vliv na tuto oblast mají i platformy pro sdílení a předávání zkušeností v této manažerské skupině.
V tomto směru se možná blýská na lepší časy. Vypadá to, že firmy jsou ve sdílení IT průšvihů otevřenější než dřív. Je to tak? A podle vás je to tedy ku prospěchu?
JS: Jednoznačně ano. Otevřený přístup v jednotlivých bezpečnostních komunitách je velkým přínosem směrem k šetření bezpečnostních událostí a tvorby opatření. Koncentrace know-how je důležitá a umožňuje minimalizovat čas na vyšetřování a protiopatření. V mnoha případech se díky tomu dostáváme do efektivně vykonávané prevence a nikoliv jen mitigace následků.
Z vaší zkušenosti: Investují české firmy do IT bezpečnosti dostatek prostředků? A zamíchal s investicemi covid, případně válka na Ukrajině?
JS: Viděl bych tam paralelu právě s konfliktem na Ukrajině. Po jeho vypuknutí se řada zemí rozhodla radikálně zvýšit rozpočty do obrany. Ty v předchozím období stagnovaly, nebo se dokonce snižovaly. A najednou se pod přímou hrozbou hledají rezervy. V oblasti IT bezpečnosti existuje celá řada průzkumů, které mapují investice do kybernetické bezpečnosti v ČR. A bohužel se stále pohybujeme hluboko pod doporučenou hodnotou 10 až 15 % investic do IT nákladů.
Covid byl takový lakmusový papírek pro hodnocení úrovně ochrany. Nicméně požadavky na bezpečnost byly vyvolané primárně změnou stylu práce, použitými technologiemi a nástroji. Situace v důsledku ruského útoku je úplně jiná. Vyvolává mnohem větší nároky na kybernetickou bezpečnost. Na úvahy typu „na mě přeci útočit nebudou, jsem malý a bezvýznamný“ není prostor. Dochází ke kombinaci válečných kybernetických hrozeb a kybernetického zločinu. To celou záležitost významně komplikuje z pohledu identifikace rizik a jejich dopadů a současně i bezpečnost významně zdražuje.
Zaznamenali jste v O2 v této souvislosti vyšší počet nebo jiné vektory útoků na naše zákazníky?
JS: Ano. Vnímáme to jako předvoj a zároveň se připravujeme na to, že se situace bude zhoršovat. Porostou počty útoků, změní se nejspíš i struktura cílů. Předpokládám, že útoky budou cílit do oblastí kritické infrastruktury, na velké lokální i zahraniční poskytovatele služeb, finanční infrastrukturu a telekomunikační společnosti.
Kdybyste měl shrnout vaše zkušenosti, zkušenosti z českých firem a vašich kolegů, expertů na IT bezpečnost, jak vyspělá je kultura kyber bezpečnosti v Česku?
JS: Pro mě se pod výrazem kultura ukrývá celý ekosystém kolem kybernetické bezpečnosti. Tedy i legislativa, best practices, procesy a metodiky, nástroje, know-how, školení, tréninky a testování, expertní týmy, formy práce, vzdělávání nových odborníků a tak dále. Nechci na závěr vypadat jako pesimista, ale trend zlepšování kultury neměl zdaleka tak intenzivní nástup, jak jsem v předchozích letech očekával. Pořád se setkávám i s klasickým českým švejkováním, kdy kyber bezpečnost „řeší“ certifikát na stěně a samotný výkon je blízký nule. Ale objevuje se intenzivní světýlko na konci tunelu. Napřed a na vysoké úrovni je určitě i legislativa.
Když Jiří Sedlák v rozhovoru zmiňuje, že kybernetická ochrana firmy musí být komplexní a propojovat expertní know-how s analyticko-detekčními nástroji, čerpá ze své mnohaleté zkušenosti manažera dohledového centra O2.
To je největším dohledovým centrem svého druhu v Česku a prostřednictvím unikátních nástrojů, postupů a zkušeností zajišťuje nonstop ochranu pro mnoho český i mezinárodních firem. Ostatně, přečtěte si o jeho fungování více v rozhovoru: Jiří Sedlák: V O2 SEC dokážeme připravit obranu i proti útoku, který ještě nepřišel
