Jiří Sedlák: V O2 SEC dokážeme připravit obranu i proti útoku, který ještě nepřišel

Michaela Látalová

Michaela Látalová
09. 12. 2022

Jiří Sedlák: V O2 SEC dokážeme připravit obranu i proti útoku, který ještě nepřišel

SDÍLET

Co jste dělali 19. dubna 2016? Většina z vás si nejspíš nevzpomene, ale Jiří Sedlák, manažer dohledového centra O2 SEC, si to pamatuje poměrně přesně.

V ten den totiž O2 SEC zahajovalo svůj provoz. Po šesti letech od vzniku je O2 SEC největším dohledovým centrem svého druhu v Česku a špičkovým pracovištěm, které se dokáže na kybernetické hrozby připravit ještě dřív, než přijdou. Jak? I o tom bude řeč.

Bezpečnost řeší stále více firem...

„Bezpečnostní dohledové centrum jsme původně vyvinuli, abychom firmám a institucím pomohli naplnit požadavky zákona o kybernetické bezpečnosti a dalších legislativních norem, jako je třeba nařízení Evropského parlamentu a rady 2016/679,“ vysvětluje Jiří Sedlák pozadí vzniku špičkového pracoviště. „Záhy se ale naše služby rozšířily i na další subjekty, kterých se dotýkají třeba oborové standardy anebo prostě jen vnímají potřebu řešit bezpečnost.“

V některých článcích a rozhovorech vaši práci přirovnáváte k práci detektivů. Proč?

Při vyšetřování kriminálního činu – mimochodem, i kybernetické útoky jimi svým způsobem jsou – shromažďujete maximum důkazů. O prostředí, ve kterém zločin proběhl, jakým způsobem se stal. A tak se postupně dopátráte k tomu, že zjistíte, kdo jej spáchal a jestli se mu dalo předejít. Případně víte, jak se příště bránit.

Náš přístup v O2 SEC je velmi podobný. Sbíráme důkazní materiály, informace, ať už je to sběr logů, monitoring datových toků v rámci firemního ICT prostředí. Stejně jako detektivové tyhle informace, a hlavně jakékoliv nestandardní chování v rámci ICT prostředí vyhodnocujeme a dáváme je do souvislostí.

Pokud skutečně narazíme na problém, bezpečnostní incident, pak důkazy o něm musíme uchovávat tak, aby se nekontaminovaly. Máme nástroje, díky kterým následně můžeme mluvit o důkazním materiálu ve forenzní kvalitě. Ten je potom použitelný při vyšetřování jednotlivých událostí, ale třeba později až někde u soudu.

Detailně jsme se o pracovní náplni specialistů z O2 Security Expert Center i o tom, ale i tom, kolik stojí osobní a firemní data na černém trhu, rozepsali v článku Ochrana kyberprostoru připomíná detektivní práci nebo těžbu zlata

Změnila se vaše práce za těch posledních několik let, kdy O2 SEC funguje?

Mění se tak, jak se proměňuje strategie útoků a jejich techniky, kterými hackeři útočí. Roste také objem monetizace útoků. Naše práce tak už není jen o sběru důkazního materiálu, ale přesouváme se do jiné úrovně obrany. Zaměřujeme se na to, abychom v maximální míře zajistili prevenci před dopady jednotlivých útoků.

Co si pod tím konkrétně představit?

Aktivně vytváříme takové prostředí, které útoku zamezí. Zmenšujeme dopadovou plochu pro útočníka. A to až do takové míry, aby útok vůbec nemohl proběhnout. Prevence má pro zákazníka největší efekt. Z hlediska financí, ale i z pohledu reputačního.

Počet kybernetických útoků roste. Například mezi lety 2019 a 2020 se podle NÚKIBu více než zdvojnásobil. A pandemie tento stav nezbrzdila. Právě naopak. Kyber útočníci byli ještě aktivnější a naplno využívali zmatku, který v mnoha firmách vyvolal plošný přesun na HO.

Roste počet útoků nejen na komerční sféru, ale i na státní instituce, akademickou obec nebo zdravotnictví. Tam jde o nárůst ve stovkách procent. „Silně tu působí monetizace. Útočníci chtějí na svých aktivitách vydělávat. Roste počet útoků a zhoršují se jejich následky,“ shrnuje Jiří Sedlák aktuální stav.

Firmy to mají těžké. Zabezpečit firemní ICT je pro ně investičně i personálně náročné. Jde o problematiku, kterou musíte řešit v režimu 24/7, jde o nepřetržitou službu. A není to jen o tom, že vše nonstop monitorují systémy, ale nepřetržitý dohled musíte zajistit i personálně. Připočtěte k tomu náročnost prostorovou i časovou. Proto jsme tu ale my jako alternativa vlastního bezpečnostního dohledového centra.

Snímáme ze zákazníka to, co jsem popsal výš. Tím, že naše služby poskytujeme více zákazníkům, stojíme ho méně než in-house řešení a zároveň získává know-how celého týmu. Naše zkušenosti jsou posbírané z nejrůznějších oblastí, oborů. Na denní bázi řešíme to, co je mnohdy pro běžného ICT specialistu na okraji jeho zájmu, kompetencí, a hlavně časových možností.

S čím vás zákazníci nejčastěji oslovují? Co vyvolá první kontakt?

Velmi často je tím prvním spouštěčem potřeba najít soulad s nějakou legislativou. Pak jsou tu ale i osvícení zákazníci, kteří přijdou s požadavkem na zabezpečení a my společně s nimi hledáme řešení. Takové, které je nejen „compliance“, ale i v maximálním souladu s prostředím a konkrétními potřebami a hrozbami, které si zákazník uvědomuje a které chce proaktivně řešit ještě dřív, než nastane nějaký problém.

Myslím, že dnes neexistuje firma, která by mohla říci, že se jí kybernetická bezpečnost netýká. I spektrum našich zákazníků je dneska už hodně široké. Hledali jsme řešení pro top korporáty, ale i státní správu. A na druhé straně máme i řešení pro menší zákazníky typu malá notářská kancelář a soukromá ordinace. I tady je potřeba chránit data.

Jak to tedy probíhá? Zákazník vás osloví, popíše problém a vy následně přijdete s konkrétním řešením na míru?

S každým novým zákazníkem absolvujeme komplexní workshopy, díky kterým identifikujeme jeho potřeby, seznámíme se s jeho prostředím, nástroji, které používá, ale i personálem. To jsou všechno vstupy, které potřebujeme.

Mnohdy narážíme na to, že zákazníci jsou zmatení množstvím nástrojů a možností, které jsou na trhu k dispozici. Někdy už neefektivně do něčeho investují a třeba při tom opomíjejí základní principy a pravidla kybernetické bezpečnosti.

Po workshopu navrhneme řešení. To pak s klientem diskutujeme a hledáme společně optimální poměr ceny a výkonu. A po jeho najití a odsouhlasení už následuje velmi rychlá implementace. To, jak rychle jsme schopní službu nasadit a provozovat, vnímám jako naši opravdu velkou konkurenční výhodu.

„To, jak rychle jsme schopní služby dohledového centra nasadit a provozovat, vnímám jako naši opravdu velkou konkurenční výhodu.“

Kybernetické útoky mohou být záležitostí minut, hodin ale i dnů a měsíců. Pokud firma nemá prostředky k detekování útoku, může nastat situace, kdy uběhnou týdny i měsíce, než firma přijde na to, že jí někdo brouzdá firemní sítí, případně „sosá“ extrémně důležitá a citlivá data.

Samostatnou kapitolu ale tvoří útoky typu ransomware, kde se útočník po provedení útoku sám zviditelní. Velmi časté jsou tak případy, kdy firma zjistí, že je obětí kybernetického útoku až v okamžiku, kdy se tato citlivá data objeví k prodeji, volně na internetu nebo u konkurence.

„Tahle temná strana neřeší žádná legislativní omezení, nectí geografické hranice a nemá prakticky žádné morální zábrany páchat zlo.“

Jestli to tedy chápeme správně a použijeme Star Wars terminologii, pak vy jste takoví rytíři Jedi…

A nejsme sami. Bezpečnostních dohledových center je celá řada. Výhodou pak je, že používáme společné informační zdroje, frameworky a metodiky, které lze nasadit a použít. Je to neskutečná pomoc pro celý tým, který na tom pracuje.

Zmiňujete tým, kdo v něm tedy je, jak vypadá?

Máme 3 základní role. Operátora, který nepřetržitě monitoruje stav a výstupy z jednotlivých bezpečnostních systémů napojených na zákazníka. Teď už v režimu 24×7. Když nastane bezpečnostní událost, zpracuje základní přehled toho, co se děje. 

Tyto informace následně předá našemu analytikovi, který zahájí realizaci pokročilé analýzy bezpečnostní události. Průběžně zpracovává a doplňuje informace a současně komunikuje se zákazníkem a situaci řeší. Základem úspěchu je právě spolupráce se zákazníkem. Ta je pro vyšetřování nenahraditelná.

A ta třetí role?

Poslední rolí je pak expert, který koordinuje a řeší komplikovaná vyšetřování, navrhuje protiopatření včetně změny architektury, metodicky vede práci analytiků a udržuje a rozšiřuje znalostní databázi. Bezpečnost je dynamická oblast, ve které se typy a techniky útoků pořád mění.

Už nestačí mít jen log management a SIEM, není to o pasivním shromažďování a porovnávání stavů. Posouváme se dál k detekčním a response aktivitám, abychom byli schopni rychlé protiakce přímo v prostředí zákazníka, což podstatně zefektivňuje a zrychluje ochranu celého jeho ICT prostředí.

„Stávající model už není jen o pasivním shromažďování a porovnávání stavů, ale o schopnosti proaktivně realizovat hunting útoků a na ně připravovat opatření a ochranu.“

Kvůli dostupnosti informací, které jsou klíčovým parametrem výkonu dohledového centra, spolupracujeme s dalšími profesionály a globálními hráči, kteří nám poskytují data o detekovaných útocích a o napadené infrastruktuře, díky kterým umíme predikovat chování útočníků a nastavovat jim předčasně obranné mechanismy ještě dříve, než se objeví v portfoliu bezpečnostních událostí v systému. Informace, které takto získáme na globální bázi, zpracujeme a využijeme pro konkrétního zákazníka.

Predikcí budoucích útoků jste nám nahrál na další, poslední otázku: Jaká je budoucnost O2 SEC?

Zaměříme se na ještě větší propojení s dalšími službami, které jako organizace poskytujeme. Cílem nejen naším v O2 SEC, ale v rámci celého O2 je to, aby klient mohl celé ICT řešit v režimu „single point of contact“.

Tedy, aby díky jednomu dodavateli získal nejen konektivitu, ale i zabezpečenou infrastrukturu, mohl s ním aktivně řešit firemní síť z pohledu struktury, funkčnosti a v neposlední řadě právě i zabezpečení. Zkrátka, aby měl jedno místo, na které se bude obracet, a které maximálně pokryje jeho potřeby, včetně těch byznysových.

Jsou pro vás služby O2 SEC zajímavé a chcete se o nich dozvědět víc? Podívejte se na možnosti, které O2 SEC nabízí. Anebo nás rovnou kontaktujte a my s vámi vaše potřeby a očekávání probereme osobně.

Jiří Sedlák, manažer Security Expert Center

Svou profesní kariéru zahájil v oblasti leteckého provozu, kde měl na starosti rozvoj leteckých záchranných služeb a vyšetřování leteckých nehod. Poté se začal věnovat krizovému managementu a dnes má už více než 20 let zkušeností v oblasti bezpečnosti ICT, realizaci komplexních bezpečnostních řešení a řízení rizik společnosti.

V O2 Czech Republic působí jako manažer O2 Security Expert Centra, kde uplatňuje své zkušenosti ve vývoji a realizaci řešení v oblasti ICT bezpečnosti. Zároveň dohlíží na jejich propojení s platnou legislativou. Odpovídá také za fungování týmu, který zajišťuje služby dohledového centra kybernetické bezpečnosti.


Michaela Látalová Michaela Látalová
Marketingový specialista pro B2B
Míša se v O2 stará o to, aby české firmy měly vždycky dost informací o trendech v cyberscurity a ICT. Plní blog články, natáčí podcasty a firmy zásobí e-mailingy se žhavými novinkami.

Byl pro vás článek užitečný?

SDÍLET

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?
Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Jak zabezpečit firemní prohlížeče a eliminovat rizika?
CIO Agenda 2024: Kyberzločin je jen byznys

CIO Agenda 2024: Kyberzločin je jen byznys

CIO Agenda 2024: Kyberzločin je jen byznys
Analýza rizik

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?
Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?
SOC 2 cloud

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost
O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb
Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?