Potkají se hacker, odborník na bezpečnost, právník a soudní znalec v oblasti IT u jednoho stolu. Začátek košatého vtipu? Nikoli, start inspirativní a bohaté panelové diskuze, která byla součástí konference CIO Agenda 2022. Zvlášť, když byl jejím aktivním účastníkem Jiří Sedlák, manažer bezpečnostního dohledového centra O2 SEC.
![](https://blog.o2.cz/wp-content/uploads/2022/04/51973603646_91d94861bb_o-1024x683.jpg)
„Zaujaly mě právní komentáře, nebo spíše varování před konáním některých dobře myšlených skutků v kyberprostoru v souvislosti s válkou na Ukrajině a jejich právních kvalifikací. Připomnělo mi to známé rčení, že cesta do pekla je dlážděná dobrými úmysly a my se ve spravedlivém boji můžeme střelit do vlastní nohy,“ říká Jiří Sedlák.
S tím tak trochu souvisí i podtitul letošní CIO Agendy. „I když si myslíte, že všechno máte dobře, může to dopadnout blbě.“ Co je podle vás typický příklad podcenění ze strany firem v oblasti bezpečnosti IT?
JS: Možná by otázka spíš měla znít, co firmy přeceňují. A to je úroveň vlastního kybernetického zabezpečení a schopnost se bránit. Naopak pak hrubě podceňují pravděpodobnost a dopady napadení. Někdy jsou důvody legitimní, někdy v tom hrají roli jiné priority, absence relevantních informací k hrozbám i schopnostem vlastní ochrany, neochota přijmout další starosti nebo jednoduše ve firmě není expertní podpora…
V příspěvku Cyber Rangers zaznělo, že největším rizikem jsou většinou vlastní zaměstnanci. Těm hackeři nabízí závratné sumy za přístupy, citlivé informace. Máte stejnou zkušenost?
JS: Osobně jsem se s tím zatím nesetkal, ale domnívám se, že pro útočníky je to spolehlivý a rychlý způsob, jak se dostat k informacím. Nicméně na firmě pak je rozhodnutí, zda si vybuduje schopnost takové jednání rozpoznat a následně zabránit případným důsledkům.
Hojně se diskutovalo i to, zda zaměstnance pravidelně školit, nebo minimalizovat prostor pro jejich chybu pomocí technologií. K čemu se přikláníte vy?
JS: Podle mě otázka nestojí, jestli školit, nebo omezit. Ke kybernetické bezpečnosti je nutné přistupovat komplexně. Moje doporučení je školit, ale zároveň nasazovat další technologická a procesní pravidla a opatření. Když selže zaměstnanec firma musí mít k dispozici další účinné vrstvy ochrany. Stejně jako ve fyzickém světě je bezpečnost IT o vícevrstevnaté ochraně.
Vede tedy cesta k posílení zabezpečení IT i přes investice do rutiny a automatizace?
JS: Na to mám trochu jiný názor, než padl v panelové diskusi na konferenci. Automatizované systémy bezpečnosti určitě mají nezastupitelnou roli v procesu ochrany, ale je nebezpečné je přeceňovat jako vše řešící krabičky.
Přiměřená investice do rutiny a automatizace dává za určitých podmínek smysl a může posílit zabezpečení. Hlavně v prostředí s omezenými nebo žádnými expertními zdroji. Příslušné nástroje zvládnou velké množství operací, vyhodnocují bezpečnostní události na základě nastavených pravidel a automaticky generují aletry, a to včetně popisů a reportů. Ideální je ale takové nástroje kombinovat s dalšími analyticko-detekčními nástroji a know-how expertů.
Na konferenci také zaznělo, že top management mnohdy nedokáže dohlédnout všechny důsledky bezpečnostních rizik. Vnímáte to stejně?
JS: To je citlivé téma. Vnímám to spíš tak, že někdy je top management velmi úspěšně manipulován. Není to o tom, že by top management nedokázal vyhodnotit důsledky rizik. Lidé z managementu ale mohou být obětí manipulace interních i externích subjektů. Takže dostávají zkreslené, nepřesné nebo v čase irelevantní informace.
Dá se to změnit? Jak?
JS: Cesta ke změně může vést přes jejich evangelizaci v oblasti kybernetických rizik. A to včetně souvisejících právních důsledků. A pozitivní vliv na tuto oblast mají i platformy pro sdílení a předávání zkušeností v této manažerské skupině.
V tomto směru se možná blýská na lepší časy. Vypadá to, že firmy jsou ve sdílení IT průšvihů otevřenější než dřív. Je to tak? A podle vás je to tedy ku prospěchu?
JS: Jednoznačně ano. Otevřený přístup v jednotlivých bezpečnostních komunitách je velkým přínosem směrem k šetření bezpečnostních událostí a tvorby opatření. Koncentrace know-how je důležitá a umožňuje minimalizovat čas na vyšetřování a protiopatření. V mnoha případech se díky tomu dostáváme do efektivně vykonávané prevence a nikoliv jen mitigace následků.
Z vaší zkušenosti: Investují české firmy do IT bezpečnosti dostatek prostředků? A zamíchal s investicemi covid, případně válka na Ukrajině?
JS: Viděl bych tam paralelu právě s konfliktem na Ukrajině. Po jeho vypuknutí se řada zemí rozhodla radikálně zvýšit rozpočty do obrany. Ty v předchozím období stagnovaly, nebo se dokonce snižovaly. A najednou se pod přímou hrozbou hledají rezervy. V oblasti IT bezpečnosti existuje celá řada průzkumů, které mapují investice do kybernetické bezpečnosti v ČR. A bohužel se stále pohybujeme hluboko pod doporučenou hodnotou 10 až 15 % investic do IT nákladů.
Covid byl takový lakmusový papírek pro hodnocení úrovně ochrany. Nicméně požadavky na bezpečnost byly vyvolané primárně změnou stylu práce, použitými technologiemi a nástroji. Situace v důsledku ruského útoku je úplně jiná. Vyvolává mnohem větší nároky na kybernetickou bezpečnost. Na úvahy typu „na mě přeci útočit nebudou, jsem malý a bezvýznamný“ není prostor. Dochází ke kombinaci válečných kybernetických hrozeb a kybernetického zločinu. To celou záležitost významně komplikuje z pohledu identifikace rizik a jejich dopadů a současně i bezpečnost významně zdražuje.
![](https://blog.o2.cz/wp-content/uploads/2022/04/51973603461_c814fc2eff_o-1-1024x683.jpg)
Zaznamenali jste v O2 v této souvislosti vyšší počet nebo jiné vektory útoků na naše zákazníky?
JS: Ano. Vnímáme to jako předvoj a zároveň se připravujeme na to, že se situace bude zhoršovat. Porostou počty útoků, změní se nejspíš i struktura cílů. Předpokládám, že útoky budou cílit do oblastí kritické infrastruktury, na velké lokální i zahraniční poskytovatele služeb, finanční infrastrukturu a telekomunikační společnosti.
Kdybyste měl shrnout vaše zkušenosti, zkušenosti z českých firem a vašich kolegů, expertů na IT bezpečnost, jak vyspělá je kultura kyber bezpečnosti v Česku?
JS: Pro mě se pod výrazem kultura ukrývá celý ekosystém kolem kybernetické bezpečnosti. Tedy i legislativa, best practices, procesy a metodiky, nástroje, know-how, školení, tréninky a testování, expertní týmy, formy práce, vzdělávání nových odborníků a tak dále. Nechci na závěr vypadat jako pesimista, ale trend zlepšování kultury neměl zdaleka tak intenzivní nástup, jak jsem v předchozích letech očekával. Pořád se setkávám i s klasickým českým švejkováním, kdy kyber bezpečnost „řeší“ certifikát na stěně a samotný výkon je blízký nule. Ale objevuje se intenzivní světýlko na konci tunelu. Napřed a na vysoké úrovni je určitě i legislativa.
Když Jiří Sedlák v rozhovoru zmiňuje, že kybernetická ochrana firmy musí být komplexní a propojovat expertní know-how s analyticko-detekčními nástroji, čerpá ze své mnohaleté zkušenosti manažera dohledového centra O2.
To je největším dohledovým centrem svého druhu v Česku a prostřednictvím unikátních nástrojů, postupů a zkušeností zajišťuje nonstop ochranu pro mnoho český i mezinárodních firem. Ostatně, přečtěte si o jeho fungování více v rozhovoru: Jiří Sedlák: V O2 SEC dokážeme připravit obranu i proti útoku, který ještě nepřišel