Hackerské útoky, úniky osobních údajů, ransomware či programy s cílem paralyzovat informační systém oběti - to je jen krátký výčet hrozeb, které na nás ve světě jedniček a nul čekají bez nadsázky na každém kliku. O svůj náhled na kybernetická nebezpečí současnosti i nutná opatření se s námi v rozhovoru podělil Michal Řezáč, ředitel pro strategický rozvoj a kybernetickou bezpečnost ve společnosti Gordic, která na trhu působí od 90. let a dodává informační systémy více než šesti tisícovkám organizací, včetně těch z oblasti obrany a bezpečnosti.

Na začátku kalendářního roku se objevuje řada hodnocení věcí minulých a predikcí budoucnosti. Co zásadního v kybernetické bezpečnosti přinesl rok 2019? Čemu, podobně zásadnímu, se letos nevyhneme?

Zajímavých událostí na poli kybernetické bezpečnosti bylo opravdu mnoho. Z hlediska bezpečnosti organizací v ČR se ukázalo, jak moc je toto téma podceňováno. Viděli jsme to na případě filmového festivalu ve Zlíně, nemocnice v Benešově i OKD, a to je pouze výběr toho “nejlepšího”. Jako společnost, která má nejvíce zákazníků ve veřejné správě, si přejeme, aby byla řešena bezpečnost těchto organizací co nejkomplexněji. Nechceme se totiž dočkat dalšího Benešova, protože to budou daňoví poplatníci, kteří nakonec celý proces obnovy činnosti organizace zaplatí. Náš tým kybernetické bezpečnosti všem organizacím rád pomůže. Jde o bezpečnost nás všech.

Které významné trendy sílí na straně bezpečnostních hrozeb, a které mezi bezpečnostními opatřeními?

Mezi bezpečnostními hrozbami sílí sofistikované cílené útoky, kdy si útočník svůj cíl přesně vytypuje, analyzuje jeho slabiny a až pak vede (většinou úspěšný) útok. Podceňovat nelze ani ransomware, které přichází ve vlnách jako to bylo u WannaCry, NotPetya či Ryuk. Roste i počet útoků skrze zranitelnosti zařízení internetu věcí (IoT), ze kterého se tak mnohdy stává internet of threats (internet hrozeb). Nejslabším článkem nadále zůstávají samotní uživatelé, na něž ve velkém cílí lepé propracované phishingové útoky. Sociální inženýrství není radno podceňovat. Kvalita i kvantita útoků rok od roku roste. Jedním z nejúčinnějších opatření, na které se ovšem často zapomíná, je vzdělávání zaměstnanců a samotné organizační nastavení. Pokud zaměstnanec ví, jak rozpoznat podezřelý email a co s tím pak udělat, pravděpodobnost úspěšného útoku se snižuje. Co se týče zavádění technologických opatření, vždy říkáme našim zákazníkům základní věc: “Nejprve zjistěte, co chcete chránit, proč to chcete chránit a jaké jsou slabiny. Pak teprve hledejte vhodné systémy.“ Každá organizace je jiná, tím pádem se liší i použitá opatření. Obecně lze všem doporučit vedení evidence aktiv dle vyhlášky o kybernetické bezpečnosti, řízení rizik, vedení evidence zpracování osobních údajů dle GDPR a pravidelné vzdělávání svých zaměstnanců.

Jakým bezpečnostním technologiím, ať už stávajícím nebo nastupujícím, by organizace v letošním roce měly věnovat pozornost?

Jak jsme zmínili v minulém bodě, nejdůležitější je vědět, co chcete chránit a jaké zranitelnosti dané věci mají. V odborné řeči musíte vést evidenci aktiv (kybernetická bezpečnost) a evidenci zpracování osobních údajů (GDPR). Ačkoliv v obou případech můžete využít tabulky, textové či jiné soubory, mnohem lepší a efektivnější je mít vše ihned přehledně dostupné v jedné aplikaci. Právě to zvládnou nástroje CSA a GDA (www. gordiccybersec.cz), které reagují na požadavky legislativy i uživatelů. Zároveň se tyto nástroje dají napojit na nejrozšířenější ERP systém veřejné správy GINIS, nebo na aplikace typu SOC či SIEM. Právě integrace bezpečnostních nástrojů a následné řízení kybernetické bezpečnosti z jednoho místa bude jedním z hlavních trendů v této oblasti.

Co se v posledních dvou letech změnilo v oblasti kybernetické bezpečnosti v českých podnicích?

Jde o kombinaci několika věcí. Díky tomu, že velká část soukromých i veřejných organizací již zažila kybernetický útok, si začínají uvědomovat, že podcenění kybernetické bezpečnosti se nevyplácí. S tím souvisí i narůstající fenomén zajištění bezpečnosti jako služby, kdy organizace přenese řízení kybernetické bezpečnosti na třetí stranu. V neposlední řadě s tím, jak roste české hospodářství, začínají představovat tuzemské podniky pro útočníky čím dál lákavější cíle.

Ovlivnila tuzemskou situaci výrazněji nová vyhláška o kybernetické bezpečnosti?

Tato vyhláška se bohužel vztahuje pouze na povinné subjekty, kam nespadají všechny organizace veřejné správy či důležité podniky obranného a bezpečnostního průmyslu. Ačkoliv je velmi dobře zpracována, nese tento malý ale velice důležitý nedostatek. Vyhláška přispěla ke zlepšení kybernetické bezpečnosti u jednotek organizací, nikoliv však u nějakého sektoru jako celku. Navíc většina organizací ji poměrně „úspěšně“ ignoruje. Zabývají se jejími požadavky, až při vzniku konkrétního problému. Nicméně i tak představuje obrovský pokrok, jen je nutné z ní vyplývající povinnosti na povinných subjektech vynutit, a případně i počet těchto subjektů rozšířit. Se zavedením těchto povinností organizacím pomůže právě zmíněná aplikace CSA.

Existuje řada průvodců a doporučení pro oblast kybernetické bezpečnosti. Na co by se obecně dle vaší zkušenosti měly podniky obranného a bezpečnostního průmyslu?

Podobně jako ostatní subjekty by se měly zabývat evidencí aktiv, řízením rizik a vzděláváním svých zaměstnanců. Až poté přichází na řadu detekční a monitorovací systémy. Jelikož tyto firmy se podílí na dodávkách výstroje, výzbroje a dalšího materiálu ozbrojeným složkám, existuje vyšší riziko, že na ně budou vedeny kybernetické útoky a to i od státy sponzorovaných hackerských skupin. Z tohoto důvodu musí brát problematiku kybernetické bezpečnosti opravdu zodpovědně, protože její podcenění může přímo ovlivnit národní bezpečnost.