« Květen 2024 »
POÚTSTČTSONE
293012345
6789101112
13141516171819
20212223242526
272829303112

Bezpečnost nesmí být nákladová položka

Kybernetickou bezpečnost nezajistí jen nainstalovaný antivir v notebooku. Že už to dávno není takhle triviální, víme asi všichni. Přesto však řada českých firem nevnímá problematiku kyberbezpečnosti v celé její šíři. Petr Zahálka z divize Security společnosti TD SYNNEX popisuje, jak komplexní disciplínu bezpečnost představuje a jak obtížné někdy bývá ve firmách bezpečnostní opatření implementovat.
Když se ohlédneme za několik posledních let roky zpátky, vidíme neustále rostoucí intenzitu hackerských útoků. Není to frustrující pracovat v odvětví, v němž stále někoho doháníte, v oboru, kde ti hodní docela často prohrávají?
Pokud si provedete analýzu úspěšných útoků, je to k pláči. Většina z nich totiž nebyla úspěšná proto, že by ti útočníci byli nějací géniové, ale právě proto, že byly zanedbány základní bezpečnostní aspekty. Chybí tady práce se známými zranitelnostmi. Hodně útoků směřuje na neaktualizované systémy nebo neaktualizované produkty, na zranitelnosti, které známe třeba už čtyři roky a jsou na ně vydány záplaty. Bohužel se může stát, že útok, který byl úspěšný před několika lety, vyjde opakovaně. Samozřejmě, že útočníci se neustále zlepšují a vymýšlejí nové metody útoku, jsou tu zero day útoky, ale drtivé většině těch narušení lze předejít dobrým nastavením bezpečnosti.
Jak se změnilo prostředí po začátku války na Ukrajině?
Už v souvislosti s kauzou Vrbětice jsme byli svědky velkého růstu počtu hackerských útoků na Česko a po začátku války na Ukrajině se to ještě zvýraznilo. Z obchodního hlediska tady byl hned od ruské invazi jednoznačný obrovský odliv zákazníků od řešení Kaspersky, které jsme nahrazovali. Válka na Ukrajině také docela názorně demonstrovala sílu a flexibilitu cloudu. V podstatě celá ukrajinská státní administrativa totiž převedla své IT systémy do AWS. A nemusí se teď tolik obávat fyzických útoků na IT infrastrukturu.
A jak by to dobré nastavení bezpečnosti mělo podle Security TD SYNNEX vypadat?
Bezpečnost, jak ji vnímáme my, není jenom o koncových bodech a firewallech, ale je to velmi komplexní disciplína. Tradiční přístup k bezpečnosti je takový, že si firma chrání svůj perimetr a věří, že se díky tomu do interní sítě nikdy nedostane škůdce. Na ochraně perimetru samozřejmě není nic špatného, ale my raději doporučujeme počítat s tím nejhorším scénářem. Je třeba pracovat s eventualitou, že se do interní sítě útočník dostal a může se v ní pohybovat.
Toto je dobře představitelné třeba na oblíbeném příkladu ochrany korunovačních klenotů. Tradiční přístup by pro jejich ochranu střežil pouze hranice České republiky a počítal by s tím, že kdo hranice překročil, klenoty krást nebude. Ale co když se někdo neoprávněný přes hranice přece jen dostane? Pak mu již nikdo v přístupu ke klenotům bránit nebude. V našem doporučovaném pojetí naopak předpokládáme, že hranice jsou překonané. Kontrolujeme pohyb lidí směrem do Prahy, kontrolujeme osoby, které se chtějí dostat na Pražský hrad, prověřujeme lidi, kteří chtějí vstoupit do komnaty s klenoty. A i kdyby se někomu povedlo klenoty zcizit, máme opatření, aby se s nimi nedostal z hradu ven. Takhle nějak je nezbytné přistupovat k bezpečnosti. Tento koncept se nazývá Zero Trust Security.
Podle této filozofie také budujete portfolio Security divize v TD SYNNEX?
Naším cílem je poskytovat bezpečnost od A do Z. Nejde jen o koncové body, ale ochranu celého perimetru firmy. Připojení koncových bodů do firemní sítě, přístup do cloudu, ochranu dat v cloudu. To je tedy oblast, kdy jakýmkoliv způsobem firma vstupuje do interakce se svým okolím.
No a potom je to zajištění bezpečnosti uvnitř firmy. Je totiž známou pravdou, že největšími škůdci jsou interní uživatelé, ať již úmyslně, nebo neúmyslně. Takže tady přichází na řadu otázky autentizace, ochrana uživatelských přístupů. Plus celá řada řešení monitorujících chování uživatelů a umožňujících sledovat anomálie v chování, nestandardní pohyb dat, zvýšený pohyb dat a podobně.
Tomu všemu pak odpovídají i výrobci, které máme zastoupeny v portfoliu. Za všechny uvedu například Palo Alto Networks, Sophos, Barracuda, Cisco, IBM, VMware, Lookout, Microsoft a další.
Útočníci, kteří se snaží data zcizit, používají techniky a technologie, které s tradičním vybavením ani nemusím detekovat a už vůbec se jim nemůžu bránit. Musím se tedy posouvat minimálně stejně rychle, jako to dělají útočníci. A proto spolupracujeme s výrobci, kteří jsou v tomto směru inovativní a progresivní. Jejich technologie jsou sofistikované a v řadě případů umí útočníka rozpoznat a zabránit mu v útoku dřív, než něco napáchá. To samozřejmě administrátorům výrazně šetří práci. Naopak se starými „zbraněmi“ je administrátor ohromně zatížen, aby systém alespoň trochu chránil.
Jmenoval jste celou řadu bezpečnostních vendorů. Ale jak si vybrat to pravé řešení?
Samozřejmě tu jsou partneři, kteří mají velké kompetence v oblasti bezpečnosti. Často však mají zcela jasné preference jejich zákazníci. Ale pak je tu velké skupina partnerů, se kterými se snažíme konzultovat, jaké řešení by pro jejich koncového uživatele bylo v nejvhodnější, fungujeme v roli architekta. Mezi těmi vendory nejde o konkurenci, která by byla urputná, protože každý z nich míří na trošičku jiný segment. Když například vidíme, že finální uživatel nemá velké znalosti v bezpečnosti, můžeme mu doporučit MDR (Managed Detection and Response), což je zjednodušeně řečeno bezpečnostní platforma poskytovaná formou služby. S rychlým a jednoduchým nasazením, ale přesto vynikajícími výsledky.
Jak jsou na tom z hlediska kybernetické bezpečnosti české firmy?
Myslím, že česká firemní scéna je na tom velmi bídně. Ve většině podniků chybí koncepce bezpečnosti, chybí člověk, který by byl za bezpečnost přímo zodpovědný, a hlavně chybí podpora bezpečnosti ze strany managementu. Bezpečnost je bohužel vnímána jako nákladová položka a katalyzátorem investic do bezpečnosti bývá často až nějaký závažný incident. Když se něco stane, je mysl manažerů najednou otevřená, ale pohříchu vždy jen nějakou omezenou dobu.
Usilujeme o to, aby se tento pohled změnil. Když nemáte notebook, nemůžete pracovat. Když nemáte kvalitně zajištěnou bezpečnost, nemusíte to hned zjistit a po určitou dobu třeba fungovat normálně. Ale dříve či později vás to dostihne. Dokonce se setkávám s případy, kdy si firma raději vytvoří nějakou rezervu na pokrytí ztrát z případného bezpečnostního incidentu, než aby investovala do moderních technologií.
Už od příštího roku budou ale muset firmy začít plnit požadavky směrnice NIS2. Pociťujete to nějak v bezpečnostním byznysu? Jsou české firmy na požadavky směrnice připraveny?
Ta norma se dotkne pěti nebo šesti tisíc domácích společností, které na to podle mě zatím připraveny nejsou vůbec nebo jen částečně. Není to totiž ani tak o technologiích, jako o nastavení firemních procesů, bezpečnostních auditech či školeních. A teprve ve chvíli, máte nějak zvládnutou tu procesní část, mohou k tomu přistoupit i technologie, které to umí zrychlit, zautomatizovat. Technologie sama o sobě určitě nevyřeší soulad s požadavky NIS2.
Myslím, že zatím tu otázku řešíme spíš my jako distributor, naši partneři nebo různé konzultační společnosti. Firemní sféra asi začne problém NIS2 vnímat až ve chvíli, kdy se propíše do právních norem.
Nenarážíte někdy na problém, že když už firma investuje do nějakého hardwaru, automaticky si již pořizuje bezpečnostní řešení, která jsou na něj navázána?
Nechci určovat jako soudce, které řešení je skvělé a které ne. Je to vždy o požadavku zákazníka a jeho konkrétní situaci. Security od TD SYNNEX nabízí řešení, která jsou přímo designována pro popsaný koncept Zero Trust Security. Nulová důvěra je strategickým přístupem, který eliminuje implicitní důvěru a neustále ověřuje každou fázi digitální integrace. Obsahuje v sobě i prevenci, nastavení takových principů chování, které již předem eliminují riziko incidentů.
Ale i tady platí, že čím důkladnější zabezpečení, tím vyšší cena. Není právě tohle překážka?
My se snažíme, aby požadavek zákazníka nebyl jen cenově motivovaný. Aby si uvědomil, že když si pořídí řešení bez koncepce, tak celkové náklady na bezpečnost mohou být nakonec výrazně vyšší než pořízení dedikovaných izolovaných bezpečnostních řešení, pak totiž stráví spoustu času administrací těchto řešení často s nemožností získat celkový pohled na bezpečnost. Proto nemůžeme a nechceme působit jen jako dodavatel, ale aktivně se podílíme na edukaci trhu. Velmi často se setkáváme s případy, že zákazník potřebuje vyřešit nějaký akutní problém a podle toho se okamžitě rozhoduje o nákupu hardwaru nebo softwaru. Možná skutečně vyřeší ten problém, ale to neznamená, že tím posílí svoji bezpečnost. Mnohem lepší cestou je přesvědčit zákazníka, že musí mít nastavenou nějakou bezpečnostní koncepci a do ní by měly zapadat vlastní investice do těch řešení.
Z obchodního hlediska je to pro nás pochopitelně mnohem obtížnější než prodat „krabičku“, kterou partner nebo zákazník požadují. Samozřejmě, že naši partneři jsou v tomto směru poučení, ale je třeba jejich prostřednictvím působit právě i na koncové zákazníky.
Cítíte, že se v posledních letech mění nároky a požadavky na bezpečnost?
Perimetr firem se zcela změnil v souvislosti s tím, kolik zaměstnanců pracuje z domova, co všechno se odehrává hybridním způsobem. Podniky potřebovaly řešit efektivní vzdálený přístup svých zaměstnanců, aby lidé vůbec mohli pracovat, ale už se nezabývaly zabezpečením těchto přístupů. Firmy se přesouvají do cloudu a očekávají, že odpovědnost za bezpečnost přísluší poskytovali cloudu. Ale to je omyl, ta bezpečnost je sdílená. Za dostupnost služeb odpovídá poskytovatel, ale za data a přístupy uživatelů odpovídá zákazník, vlastník dat. Často slýchám ve firmách tvrzení, že nejsou v cloudu. Na to se obvykle ptám, zda používají Office 365. Samozřejmě, že ano a samozřejmě, že jsou v cloudu. A v okamžiku, kdy v cloudu jste, musíte svá data chránit. Proto nabízíme našim partnerům i jejich zákazníkům konzultace, školení i spolupráci na provedení bezpečnostního auditu u nich či jejich zákazníků.
Hodně se teď v souvislosti s bezpečností hovoří o modelu SASE (Secure Acces Service Edge)…
Přesně tak. SASE obecně reaguje na distribuované fungování firem. V době, kdy máte mnoho uživatelů v hybridním prostředí a využíváte cloudy a cloudové aplikace, dost dobře nemůžete chtít, aby se všichni připojovali přes datacentrum, kde se centrálně aplikuje bezpečnost. Musíte zajistit bezpečnost a vynucování pravidel i mimo firemní perimetr. A o tom je SASE.
Samozřejmě, že i vendoři, které má security divize v portfoliu, disponují produkty a službami, které z části nebo zcela pokrývají architekturu SASE. Zatím se SASE implementuje jen u velkých firem v rámci mezinárodních projektů. Věřím, že se během dvou let ten zájem podstatně zvýší.