Mnoho firem netuší, jak zranitelná jsou jejich data
Kvalitní služby a bezpečí pro firemní data nemusí stát „majlant“. Náprava problémů a škod v důsledku rizik přicházejících z kyberprostoru může firmu přijít násobně více, říkají Jan Šafrata, Business development manager a Lumír Srch, ředitel společnosti ITS, která se na tuto problematiku zaměřuje.
Čím se v současné době aktuálně zabýváte?
J. Šafrata: V době covidu se hodně firem přesunulo k home office, a s tím souvisí i ochrana a zálohování dat. Data jsou po lidech ve firmách to nejdůležitější, některé je dokonce staví i před lidi, to je samozřejmě otázka pohledu. Snažíme se zákazníkům poskytnout jak bezpečné uložení a zálohování, tak kyberbezpečnost formou služby.
Když firma nemůže kvůli napadení svých systémů plánovat výrobu či fakturovat, vždy to negativně a citelně zasáhne její provoz. A pokud data neměla nějakým způsobem zálohována či chráněna, hrozí, že o ně, nebo přinejmenším jejich podstatnou část, může přijít se všemi z toho vyplývajícími důsledky.
L. Srch: O data je možné ať už úmyslně, nebo neúmyslně přijít, ale mohou být také zneužita. Obvykle za spolupráci kyberzločinci žádají výpalné, ale také mohou data či napadené systémy použít pro sofistikovaný útok vůči dalšímu subjektu. Nebo chtějí „jen“ zaškodit, třeba data pomíchat, což může být v účetních aplikacích nepříjemné, ale ve zdravotnictví, pokud by se pomíchaly chorobopisy a medikace pacientů, může jít doslova o život. Přitom, pokud nejsou nastaveny kontrolní mechanismy, je manipulace s daty na první pohled těžko zjistitelná.
Jak je to s právní zodpovědností, když už k něčemu dojde? Může to „odnést“ firma, jejíž data byla k útoku zneužita, která si je pořádně nezabezpečila?
L. Srch: To je neustále diskutované téma. Nabízí se určitá paralela – když necháte při odchodu z bytu nezabezpečené dveře, může k vám kdokoli přijít a vzít, co se mu líbí, což je špatné a pojišťovna škodu neuhradí. S daty a bezpečností na internetu je to v principu stejné – pokud data či informace, které máte střežit, jsou dostupné nežádoucím, je to zlé a může to vést k právním problémům, v každém případě škodám na reputaci firmy, což pro ni může být i fatální.
Snažíme se proto společnostem nabízet skenování jejich systémů a síťového perimetru tak, jak je na internetu vidí a mohou k nim přistupovat možní útočníci. Zjišťujeme potenciální či spíše reálná slabá místa a ohrožení, abychom mohli ukázat, co konkrétně nežádoucího na internetu společnost o sobě nevědomky publikuje, co o nich pak kyberútočník nebo kdokoli příslušně erudovaný může zjistit. Například, že používají jednoduchá hesla, nebo nezměněná od doby, kdy někdo systémy nainstaloval, a nezřídka lehce zjistitelná v reálném čase, někdy je to dokonce standardní heslo nastavené už od výrobce. Zákazníci, kteří si nechají analýzu provést, jsou často velmi překvapeni, co o nich lze zjistit. A že jsou to právě různé systémy, které zpřístupnili na internetu, aby mohli k datům a dálkovým řízeným systémům jednoduše přistupovat, např. při práci z domova nebo je mohl spravovat jejich dodavatel. Často se jedná o různé regulace nebo sofistikované robotické systémy apod., což přináší enormní rizika.
Nechají si firmy na základě výsledků poradit?
J. Šafrata: Je to případ od případu. Firmy si hlavně vůbec neuvědomují, co vystavují ven a jaké riziko na ně číhá. Když stav vidí na reálných datech, je to pro ně uchopitelnější, než když se s nimi jen vede debata na to téma, že služby zabezpečení můžeme nabídnout. I když se jim zatím nic takového nestalo. Což je obvyklý problém související možná s typickou českou povahou – dokud se nic nestane, tak to neřeší. Ale když už k něčemu dojde a firma hlásí problém, je to těžší a pro firmu mnohem dražší řešení, než kdyby dbala na prevenci.
Je to ale také o osvětě. Spousta firem, když se bavíme o bezpečnosti nebo zálohování, si myslí, že to nedokáží zaplatit. Zejména menší nebo i střední firmy uvažují o tom, že je to příliš nákladné, či dokonce nedostupné řešení. Opak je pravda – skenování jejich systémů, síťového perimetru, nabízíme zdarma.
Pokud firma poté uzná, že jim můžeme pomoci, je naše řešení formou služby za přijatelné náklady a firma bude mít jistotu, že nebude muset čelit riziku vysokých výdajů za řešení problémů, do kterých by se mohla dostat. Vlastně si pojišťují bezpečnost svých dat. Koneckonců pojištění, které si na nejrůznější věci sjednáváme proti rizikům s nimi spojenými, ať už jde o auto, nebo dům, je věc úplně běžná, tak proč by to zrovna u IT mělo být jinak?
Ale i u pojištění je podstatným faktorem cena, a firmy se obvykle zdráhají platit za něco, o čem nejsou hned přesvědčeny, že je to nutné…
L. Srch: Co je podstatné, že počáteční krok, seriózní zjištění případných rizik a hrozeb nabízíme firmám zdarma. Pak je na zákazníkovi, zda si od nás objedná i řešení. Je to svým způsobem naše investice do toho, abychom společně hledali cestu výhodnou pro všechny. Internetové skenování a konzultaci jim rádi poskytneme, aby se zjistil reálný stav věcí, i s rizikem, že nám pak poděkují a zkusí poptat řešení u někoho jiného.
Pro nás je podstatné provést u zákazníka v dohodnutou dobu s jeho souhlasem kontrolu zranitelnosti. Obvykle se dělá v nočních hodinách, aby nebyl narušován běžný provoz firmy. Podle velikosti firmy a její IT infrastruktury trvá dvě až tři hodiny, poté zpracujeme report a prezentujeme zjištěné skutečnosti, problémy a možnosti jejich řešení. Typický problém jsou služby, které kdysi někdo nainstaloval a které běží třeba už roky. Firmy se je bojí vypnout, protože nikdo netuší, co by jejich zrušení mohlo způsobit, přitom představují zadní vrátka pro neoprávněný přístup do systému.
Pozornost je nutné věnovat i systémům vzdáleného připojení, jehož prostřednictvím technologické firmy nabízejí dálkový monitoring nebo servisní asistenci pro stroje a zařízení. Stejně tak je potřeba ošetřit jejich připojení a vybavení prvky internetu věcí, často pomocí bezdrátových technologií, které jsou z principu náchylnější k napadení, což může v určitých případech znamenat také potenciálně kritická místa a možnost přístupu pro kyberútočníky, obdobně jako třeba USB na počítačích používaných v rámci home office mimo bezpečí podnikových sítí.
J. Šafrata: Není ale vždy jednoduché najít zodpovědné posluchače – IT oddělení nerada připouštějí, že by něco bylo špatně, jsou si jistí, že vše dělají správně a že tam žádný problém být nemůže. Pro vedení firem je to zase už příliš sofistikovaná záležitost, což je pochopitelné, i když sami mají na stejném principu, kterému rozumějí, wi-fi síť doma. Občas máme pocit, že se firmy tohoto tématu bojí a obávají se, že se přijde na něco, co pro ně nebude dobrou vizitkou.
Na druhou stranu je potřeba férově říci, že spousta IT specialistů i v menších firmách se snaží k problému přistupovat velice zodpovědně a s vysokým osobním nasazením dělají vše pro solidní zabezpečení, což často vedení firmy neocení. Nemají však možnosti a zázemí specializované firmy, aby se dostali na různá odborná školení a kurzy, získali veškeré dostupné informace o aktuálních hrozbách, trendech, řešeních, navíc mohou být zcela zahlceni každodenní rutinou.
Velké korporace většinou mají na globální úrovni určité postupy, manuály, prostě „noty“, podle kterých musí fungovat, ale u menších firem, pokud tam není nikdo osvícený, kdo na to dbá a věnuje pozornost bezpečnosti, si raději v rámci investic do IT pořídí třeba nový server, než aby řešili tyto problémy.
Velké firmy mají řadu subdodavatelů, kteří jsou propojeni do jejich sítě prostřednictvím různých programů, nemůže to být pro ně Achillova pata, uvažujeme-li o teorii nejslabšího článku?
L. Srch: Snažíme se i menším subdodavatelským firmám nabídnout enterprise technologie, špičková řešení, jaká používají velké firmy, za přijatelnou cenu, a dodat jim to nejlepší dostupné za podmínek, jaké by normálně představovala běžná malá řešení. A hlavně jim dodat k tomu i lidi – spolehlivé, vysoce kvalifikované odborníky, protože právě v nich tkví záruka skutečně funkčních a kvalitních služeb. Pokud si firma pořídí nějaké zařízení, ale nenastaví ho správně, nebo nebude sledovat co dělá, nemůže očekávat, že bude stoprocentně plnit a zaručovat svou funkci. Nebo když si pořídí levný outsorcing z druhé strany světa, kvalita tomu bude zřejmě odpovídat a asi těžko se dočká informace, že se děje něco, co by je mělo zajímat, nebo že je někdo ve stejném časovém pásmu upozorní, pokud dojde k nějaké anomálii… Jako například: „Zaznamenali jsme, že z vaší sítě proudí nezvykle vysoký datový tok, odesíláte nějaká data, nebo je někdo odesílá za vás?“
Je nutné udělat maximum, ale nelze zase v rámci totální bezpečnosti firmu zcela paralyzovat. Pokud jsou bezpečnostní systémy nastaveny takovým způsobem, že to uživatelé nebudou schopni akceptovat, budou hledat cesty, jak je obejít, a řešení tak nebude zajišťovat správně to, co má. Musí se prostě najít rozumná cesta a spolupráce založená na vzájemné důvěře.
Čemu dávají zákazníci přednost? Hotovým, nebo na zakázku vyvíjeným řešením, která jsou sice dražší, ale obvykle mnohem lépe přizpůsobená potřebám dané firmy?
L. Srch: Většina dodavatelů těchto systémů přechází z prodejního modelu na model pronájmu. Umožňuje to, aby měl zákazník stále to nejmodernější, investice do hardwaru jsou spíše svazující. Dříve býval cyklus obnovy hardwaru třeba tři roky, dnes vydrží i více let bez nutnosti výměny, ale to, co je potřeba neustále upgradovat, je software nebo funkcionality systému – a chytrost a vědomosti analytiků, kteří s ním pracují.
Vždy tu budeme mít dva světy. Třeba můj kolega jako obchodník nabízí ucelené věci, kde se dá dobře popsat, co daný systém umí a dělá, jako jsou například naše eprocesy.cz – komplexně pojatá řešení, která řeší konkrétní správu úkolů v organizaci, řízení určitých procesů, rozesílání instrukcí a potvrzování, že je správný příjemce obdržel a akceptoval. Na druhou stranu to vše potřebuje pod sebou nějakou provozní rovinu. Kdyby se měla aplikace začít psát od nuly, zabere to dlouho dobu a tu dnes nikdo čekat nechce, navíc je riziko, že než se vytvoří, bude už jiné řešení, místo dané technologie se bude používat jiná, nebo se změní požadavky. Je tu tak několik vrstev, které jsme schopni nabídnout včetně práce našeho vývoje.
Například máme systém, který zvládá zpracování dat, nad něj velmi rychle vyvineme aplikaci, která zajišťuje výměnu a agregaci dat ve firmě. Samozřejmě vytváříme i rozhraní pro jejich propojení na další firemní nebo externí systémy a již zmíněné bezpečnostní řešení umožňující rychle detekovat potenciální problémy a hrozby a zamezit jim. V podstatě je jedno, zda si zákazník chce nasadit aplikaci u sebe, nebo je provozovat vzdáleně z cloudového prostředí. Vždy je to jakási systémová krabička, a v podstatě i cloudy jsou vlastně svým způsobem takové krabičky obsahující nějaká řešení, která jsou vzájemně pospojována do komplexnějšího systému.
Pokud jsou to firmy ochotny akceptovat, vždy dostanou rychlou odpověď na své požadavky, přitom vůbec ne tak drahou, jak si původně myslely, a jako přidanou hodnotu navíc i cenné know-how a zkušenosti dodavatele.
Josef Vališka
Foto: TMP
Tři dekády ve službách bezpečné informatiky
Na českém trhu působí společnost ITS od roku 1990 a od svého založení se zaměřuje zejména na komplexní služby a vývoj vlastních aplikací.
Nabízí řešení pro IT infrastrukturu a digitalizaci, cloudová řešení i vlastní aplikace pro digitální transformaci, e-business B2B systémy a servisní služby.