Větším organizacím se stále více vyplácí svěřit kybernetické zabezpečení kvalitnímu externímu dodavateli, protože pokročilá bezpečnostní řešení vyžadují odbornou správu a dohled, myslí si Slavomír Majchrák, obchodní ředitel společnosti Westcon-Comstor pro region střední a východní Evropy, celosvětového distributora informačních technologií a poskytovatele souvisejících služeb. Jako jeden z důsledků přechodu na práci z domova vidí i zásadní rozšíření množství používaných aplikací a služeb při výrazně menším přehledu o zařízeních, která se připojují k firemní síti a pracují s podnikovými daty.
Jak se českým firmám z bezpečnostního hlediska podařilo vypořádat se s obrovským nárůstem zaměstnanců pracujících z domu?
Firmy a jejich IT oddělení, ať už interní nebo externí, se musely či ještě musí vypořádat s řadou zásadních otázek z oblasti procesů a zejména bezpečnosti. V případě, že pracovník používá stolní počítač, přesuneme ho celý, nebo se může pracovník připojit ze svého vlastního zařízení? Povolíme zaměstnancům používat vlastní hardware? Jaký máme mechanismus ověřování a autorizace vzdáleného přístupu a jaké jsou bezpečnostní parametry používaných zařízení? Mohou uživatelé přistupovat do podnikových systémů přes webové rozhraní nebo přes VPN či sdílenou plochu?
Lépe zvládly situaci organizace, které ještě před pandemií a masivním přechodem uživatelů do režimu vzdálené práce přesunuly svoji infrastrukturu do cloudu. Nemusely tak řešit zvýšení přístupnosti systémů ve vlastním datovém centru a zvyšovat související bezpečnostní opatření.
Je obchodním ředitelem pro region střední a východní Evropy společnosti Westcon-Comstor, celosvětového distributora informačních technologií a poskytovatele souvisejících služeb. Dlouhodobě se zaměřuje na oblast technologií pro sjednocenou komunikaci a spolupráci v podnikovém prostředí, v posledních letech s důrazem zejména na problematiku kyberbezpečnosti.
V souvislosti se vzdáleným přístupem se zmiňuje i přístup s nulovou důvěrou (zero trust access). Můžete vysvětlit, o co jde?
Základem přístupu zero trust je ničemu nedůvěřovat a vše ověřovat. Tento princip lze aplikovat na přístup k internetu, k datům i aplikacím, ale je zde několik důležitých požadavků. V první řadě je důležité zanalyzovat, kde všude máme uložená data, zda ve vlastním, nebo externím datovém centru, jaké je geografické rozdělení a podobně a jaká máme data z pohledu jejich identifikace a klasifikace, tedy zda jde o osobní údaje, duševní vlastnictví či jiná citlivá data. Kdy a kým byla data pořízena, kde jsou uložena a s kým a jakým způsobem je lze sdílet.
Dalším důležitým krokem je definice uživatelů. Základem pro zajištění maximální bezpečnosti je, že jakýkoliv přístup k datům bude ověřený. Proto potřebujeme ověřovací autoritu, která ověří a poskytne identitu uživatele, jeho zařízení i samotný kontext přístupu ke zdrojům.
Také musíme definovat, k čemu má mít daný uživatel přístup. Jednotný přístup k datům a aplikacím by měl být založený na minimálním oprávnění, které je navrženo pouze k vykonání dané úlohy. Bezpečnější je uživatelům postupně rozšiřovat práva přístupu k datům a aplikacím než naopak, protože každá aplikace nebo její rozhraní jsou branou k citlivým datům.
Je s rostoucím množstvím útoků a složitostí bezpečnostních řešení stále ještě v silách menších a středně velkých firem spravovat zabezpečení vlastními silami?
Na toto není jednoznačná odpověď. Schopnost zajistit dostatečnou bezpečnost se mimo jiné odvíjí i od oblasti, v které daná organizace působí. V dnešní době je náročné držet krok s neustále se měnícími požadavky a bezpečnostními trendy, a to zejména pro organizace, jejichž hlavní činnost nijak s bezpečností nebo technologiemi obecně nesouvisí. Pro malou firmu je to pak přímo nemožné, pokud tedy s nadsázkou nemají v týmu IT hackera, jehož koníčkem je bezpečnost.
Komplexní zabezpečení je pro firmu významnou investicí, jak funguje a jak se osvědčil model "bezpečnost jako služba"?
Hlavní myšlenka tohoto modelu je, že není nutné outsourcovat celé IT, ale jen v daném okamžiku potřebnou část. Poskytování bezpečnosti jako služby (SECaaS) je efektivní. Třetí strana může spravovat konkrétní část infrastruktury a procesů bez toho, aby zasahovala do ostatních systémů. Interní IT oddělení se věnuje standardním úkonům, jako je například aktualizace softwaru a technická podpora uživatelů, zatímco SECaaS tým řeší závažnější bezpečnostní otázky.
Pro malé a střední podniky je mnohem náročnější udržet potřebné znalosti bezpečnostního týmu, pokud vůbec nějaký existuje, a model SECaaS dává možnost mít IT bezpečnost na úrovni velkých technologických společností. Je třeba také zmínit, že náklady na tyto služby jsou zpravidla výrazně příznivější než v případě zajištění bezpečnosti vlastními silami.
Existuje obrovské množství dodavatelů bezpečnostních řešení hardwarových i softwarových − stejně jako souvisejících služeb. Očekáváte v roce 2021 nějakou konsolidaci trhu?
Všichni si jistě pamatujeme na dobu před pandemií, kdy jsme si mysleli, že rozsah našeho zabezpečení je velký. Ale nyní, když zaměstnanci pracují vzdáleně, do každodenního pracovního procesu zavádíme nové aplikace pro video a spolupráci a zároveň máme menší dohled nad zařízeními a přístupy do sítě, všichni toužíme po zdánlivě vzduchotěsné bezpečnosti z roku 2019.
Firmy konsolidují náklady na bezpečnostní řešení, a to jak hardwarové, tak softwarové, což bude mít dopad na výrobce. Ti v reakci konsolidují svá produktová portfolia a služby, aby tak lépe reagovali na aktuální situaci a vytěžili z ní maximum. Obecně vidíme zvyšování efektivity při současném snižování výdajů, přičemž optimální řešení je možné najít ve spolupráci s klíčovými dodavateli. Více stávajících řešení je možné nahradit jediným − modernějším a efektivnějším.
Která oblast zabezpečení je v českých firmách a organizacích trvale podfinancovaná?
Obecně můžeme říct, že pandemie a mediálně hojně komunikované zprávy o útocích například na nemocnice postavily mnohé firmy do pozoru. Zvyšující se míra digitalizace a vzdálený přístup k citlivým datům přinášejí mnohem vyšší rizika útoku nebo zneužití dat a firmy si to uvědomují. Úměrně tomu musí zvýšit i rozpočty nejen na IT obecně, ale i na oblast kybernetického zabezpečení. A zde je důležité zmínit, že spolu s posilováním systémového zabezpečení je potřeba i pravidelná edukace uživatelů, zvláště nyní, v době, kdy většina zaměstnanců pracuje vzdáleně. A právě tato oblast bývá velmi často podfinancovaná.
Stáhněte si přílohu v PDF
Jsou české firmy na kybernetické hrozby připraveny nejen technologicky, ale také personálně?
Z technologického hlediska mají organizace dobré předpoklady aktuální bezpečnostní rizika zvládnout, už i proto, že jim to velmi ulehčuje možnost využití různých důležitých funkcí formou cloudových služeb nebo využití modelu SECaaS. Personálně už to bude náročnější, protože odborníků na bezpečnost je na trhu nedostatek. Nabízí se tak možnost začít ve větší míře využívat odborných stážistů z řad studentů IT oboru zaměřených na kybernetickou bezpečnost. Je to oboustranně výhodné, firma získává začínajícího odborníka, kterého si může zaučit, a student získává cennou zkušenost z reálného provozu. Velkým úskalím a podmínkou pro úspěšný boj s kyberzločinci je už zmíněná vzdělanost zaměstnanců, kteří jsou nejslabším článkem zabezpečení. Organizace nesmí vzdělávání uživatelů podceňovat, protože jde o velmi důležitý prvek celé mozaiky kybernetického zabezpečení.
Jaké typy kybernetických útoků budou firmy v roce 2021 nejvíce ohrožovat?
Letos vidíme velké množství typů útoků, které se buď nově objevily v důsledku pandemie, nebo se kvůli ní zhoršily. Kromě standardních útoků typu DDoS nebo útoků na poskytovatele cloudu lze jako největší bezpečnostní hrozby roku 2021 uvést průniky do podnikové sítě nebo zneužití dat prostřednictvím zařízení mimo podnikovou síť a uživatelů pracujících vzdáleně, phishing související s tématem pandemie nebo narušení cloudu kvůli rychlé a nepromyšlené migraci dat do cloudu s cílem zajistit okamžitý přístup zaměstnancům pracujícím z domova. Kyberútočníci také stále více nacházejí slabiny v procesech obchodních operací, které skýtají potenciál finančního zisku. Pozorováním systému najdou zločinci slabé vazby v procesech − například když organizace používá automatizovaný nástroj na fakturaci, který by mohl být sám o sobě zranitelný.
Článek byl publikován v komerční příloze Hospodářských novin ICT revue.
