Radek Šichtanc: Nejslabším místem IT bezpečnosti je a bude člověk. I ten opravdu zkušený

Prů_er. To je to poslední slovo, které chcete slyšet v souvislosti s IT zabezpečením vaší firmy. Přesto, nebo možná právě proto, ho obsahoval podtitul konference CIO Agenda. Vystoupil na ní i ředitel odboru Bezpečnosti O2, Radek Šichtanc, a ve své přednášce apeloval na to, aby byly firmy v komunikaci kybernetických incidentů maximálně otevřené a transparentní. „Na kybernetický incident se vždycky přijde. A čím později, tím je to pro reputaci firmy horší,“ říká v rozhovoru, který vznikl těsně po konferenci.

250 odborníků v hledišti, téměř 20 zajímavých osobností na podiu a pohled na firemní bezpečnost hned z několika úhlů. Od zástupců policie, soudních znalců, IT expertů ale třeba i etických hackerů. „Inklinuju k praktičtějším přednáškám, takže mě zaujali Cyber Rangers, kteří se na bezpečnost IT koukali optikou hackerské skupiny. To není úplně běžné, tenhle pohled z hranice šedé zóny. A navíc sdílení podobných zkušeností vede k lepšímu pochopení toho, jak hackeři fungují,“ říká Radek Šichtanc.

Právě po Cyber Rangers, kteří barvitě popsali, jak vypadá časová osa před útokem, následovala Radkova přednáška, která naopak popisovala to, co by firma (ne)měla dělat, když útok odhalí.

Předpokládám, že logicky mnoho firem napadne: ‚Incident v žádném případě nepřiznáme nahlas, abychom nepřišli o zákazníky!‘ Je to tak?

RŠ: Mnoho firem si to opravdu řekne. Nicméně vychází z mylného předpokladu, že lze něco takového ututlat. Nejde. Firma musí incident řešit, dochází k režimovým změnám, resetují se přístupové údaje, izoluje se část infrastruktury atp.. A to se špatně vysvětluje. Navíc vždycky existuje skupina lidí, útočníky nevyjímaje, která je se vším obeznámená a u které hrozí, že to vynese ven.

Transparentní komunikace o incidentu směrem ven i dovnitř do firmy je důležitou součástí reakce na kybernetický incident. A čím později si to firma uvědomí, tím je to horší. Klienti si pak naprosto logicky říkají: ‚Tak oni nám rok nedali vědět, že se to týká našich dat, našich produktů..?‘

Nicméně minimálně program téhle konference vyvolává pocit, že jsou firmy ve sdílení informací o kybernetické bezpečnosti a útocích, kterým čelí, mnohem otevřenější než dřív. Je to jen zdání, nebo to vidíte podobně?

RŠ: Netroufám si tvrdit, že jde o většinu firem, ale tu větší otevřenost také vnímám. Vliv na to má legislativa, ale i to, že útoků přibývá a jsou sofistikovanější. Mnohem větší jsou i dopady na chod společností. Kromě toho jsou tu i negativní příklady firem, které to, že byly terčem útoku, dlouho tutlaly, dohnalo je to zpětně a dopady byly mnohem horší.

Ať už z pohledu PR, ale i z pohledu finančního. Došlo u nich k odlivu zákazníků, po podobných případech padají ceny akcií, odstupuje management, i vyšetření a sanace incidentu je výrazně komplikovanější a dražší, pokud se dělá později.

Kyber bezpečnost i díky tomu začíná být téma i ve firmách, kde dlouhou dobu nebyla, je to tak?

RŠ: Určitě. Respektive, kdybychom se podívali třeba 5 let zpátky, pak už tehdy řadil management firem kyber rizika do top 3. Investice do zmírnění těchto rizik tomu ale neodpovídaly. Tohle se výrazně mění až v posledních letech. Na trhu s bezpečnostními produkty a službami vidím dvouciferný růst. Pro firmy je aktuálně bezpečnost IT velké téma. A má to i další příčiny, nejen rostoucí počet útoků. Je to i stále přísnější legislativa. Například EU Směrnice NIS2 významně rozšíří povinnosti dodržovat přísnější pravidla kyberbezpečnosti i na další subjekty. Zabezpečení IT tak budou muset řešit i firmy, které doposud nemusely. Pro ně to bude znamenat nejen investovat do nových technologií ale i sehnat lidi, kteří ale aktuálně na trhu chybí. 

Kyber bezpečnost je sice žhavé téma, nicméně v panelové diskuzi zaznělo i postesknutí, že až teď řešíme otázky, které jsme měli řešit před 10 lety. A že úroveň bezpečnosti pořád není tam, kde by měla být.

RŠ: Bezpečnost by měla být integrální součástí životního cyklu jakéhokoliv procesu, produktu nebo řešení již ve fázi návrhu. Bohužel se tak vždy neděje a bezpečnost tak často pouze reaguje na nové hrozby. Ostatně, tohle jsme v minulosti zažili už několikrát. Vezměte si třeba mobilní telefony. Když se rozmohly, jen málokdo řešil jejich zabezpečení, byť jsme v té době intenzívně řešili třeba bezpečnost notebooků. Dneska už jejich zabezpečení řešíme, ale je před námi masivní rozvoj IoT, chytrých senzorů… a tam to zase nebude nějakou dobu zcela vyřešené. Je to svým způsobem daň za rychlý vývoj.

V anotaci konference se objevuje věta: I když si myslíte, že všechno máte dobře, může to dopadnout blbě. Dá se zobecnit, co je u firem taková častá slepá jistota, kterou ale hackeři dokážou velmi rychle nabourat?

RŠ: Zobecnit to nedokážu, nicméně zkušenosti z mnoha incidentů většinou odhalí nějakou zbytečnou a hloupou lidskou chybu. Typicky firmy skenují zranitelnosti a odstraňují je. Tím to považuje za vyřešené. A už se nikoho neptá, jestli se to děje dost často, správně a všude, kde se to dít má. Jestli to zodpovědný člověk řeší dostatečně rychle…

Časté jsou i chyby v konfiguraci. Společnost sice má nasazené bezpečnostní technologie, a to i na několika vrstvách, ale vlastně je závislá na tom, jestli jsou správně konfigurované. Debata o bezpečnosti končí na úrovni ‚Super, máme pokročilý firewall‘, ale jak je nastavený, to už nikdo neřeší.

Takže k zajištění bezpečnosti potřebujete nejen technologie, ale i lidi…

RŠ: Vzdělání zaměstnanců je extrémně důležité. Navzdory tomu ale bude člověk vždycky nejslabší článek. I zkušený a vzdělaný uživatel může udělat chybu. Včetně admina po 20 letech v IT bezpečnosti. O to horší ta chyba může být.

Proto je důležitá ta záchranná brzda v podobě bezpečnostních nástrojů, automatizovaných technologií, bezpečnostního monitoringu atp., a obecně celém návrhu a takzvaném vícevrstvém modelu bezpečnosti. Odstraňuje (do jisté míry) závislosti na člověku. A když selže jedna úroveň ochrany, zafungují ty další.

Kdybych se měl vrátit k podtitulu CIO Agendy, tak právě to je jedna ze strategií, jak v oblasti IT zabránit fakt velkému prů… švihu.

Zajímá vás, co dalšího se na letošní CIO agendě probíralo? Mrkněte i na rozhovor s Jiřím Sedlákem, manažerem našeho bezpečnostního dohledového centra, který hájil v panelové diskusi barvy „blue teamu“.

Michaela Látalová
Marketingový specialista pro B2B Míša se v O2 stará o to, aby české firmy měly vždycky dost informací o trendech v cyberscurity a ICT. Plní blog články, natáčí podcasty a firmy zásobí e-mailingy se žhavými novinkami.