7 minute read
Petr Zahálka (Tech Data): Bezpečnost nesmí být nákladová položka
FRANTIŠEK DOUPAL
Kybernetickou bezpečnost nezajistí jen nainstalovaný antivirus v notebooku. Že už to dávno není takhle triviální, víme všichni. Přesto však řada českých firem nevnímá problematiku kyberbezpečnosti v celé její šíři. Petr Zahálka z divize Security společnosti Tech Data popisuje, jak komplexní disciplínu bezpečnost představuje a jak obtížné někdy bývá ve firmách bezpečnostní opatření implementovat.
Když se ohlédneme na poslední dva roky, vidíme neustále rostoucí intenzitu kybernetických útoků. Není frustrující pracovat v odvětví, v němž stále někoho doháníte, v oboru, kde ti hodní docela často prohrávají?
Pokud si provedete analýzu úspěšných útoků, je to k pláči. Většina z nich totiž nebyla úspěšná proto, že by útočníci byli chytří či sofistikovaní, ale proto, že se zanedbaly základní bezpečnostní aspekty. Chybí tady práce se známými zranitelnostmi. Hodně útoků směřuje na neaktualizované systémy nebo produkty, na zranitelnosti, které známe třeba už čtyři roky a vydaly se na ně záplaty. Bohužel se může stát, že útok, který byl úspěšný před několika lety, vyjde i nyní. Samozřejmě že útočníci se neustále zlepšují a vymýšlejí nové metody útoku, jsou tu zero day útoky, ale drtivé většině narušení lze předejít dobrým nastavením bezpečnosti.
Jak by dobré nastavení bezpečnosti mělo vypadat?
Bezpečnost, jak ji vnímáme my, není jenom o koncových bodech a firewallech, ale je to velmi komplexní disciplína. Tradiční přístup k bezpečnosti je takový, že si firma chrání svůj perimetr a věří, že se díky tomu škůdce do interní sítě nikdy nedostane. Na ochraně perimetru samozřejmě není nic špatného, ale my raději doporučujeme počítat s tím nejhorším scénářem. Je třeba pracovat s eventualitou, že se do interní sítě útočník dostal a může se v ní pohybovat.
Toto je dobře představitelné třeba na oblíbeném příkladu ochrany korunovačních klenotů. Tradiční přístup pro jejich ochranu by střežil pouze hranice České republiky a počítal by s tím, že kdo hranice překročil, klenoty krást nebude. Ale co když se přece jen dostane přes hranice někdo neoprávněný? Pak mu již nikdo v přístupu ke klenotům bránit nebude. Ve svém doporučovaném pojetí naopak předpokládáme, že hranice jsou překonané. Kontrolujeme pohyb lidí směrem do Prahy, kontrolujeme osoby, které se chtějí dostat na Pražský hrad, prověřujeme lidi, kteří chtějí vstoupit do komnaty s klenoty. A i kdyby se někomu povedlo klenoty zcizit, máme opatření, aby se s nimi nedostal z hradu ven. Takhle nějak je nezbytné přistupovat k bezpečnosti. Tento koncept se nazývá zero trust security.
Podle této filozofie také budujete portfolio Security divize v Tech Data?
Zní to jako klišé, ale musím přesto říci, že pokrýváme bezpečnost od A do Z. Nejde jen o koncové body, ale o ochranu celého perimetru firmy. Připojení koncových bodů do firemní sítě, přístup do cloudu, ochranu dat v cloudu. To jsou oblasti, kdy jakýmkoli způsobem firma vstupuje do interakce se svým okolím.
No a potom je to zajištění bezpečnosti uvnitř firmy. Je totiž známou pravdou, že největšími škůdci jsou interní uživatelé, ať již úmyslně, nebo neúmyslně. Tady přichází na řadu otázky autentizace, ochrany uživatelských přístupů. Spadá sem i celá řada řešení monitorujících chování uživatelů umožňujících sledovat anomálie v chování, nestandardní či zvýšený pohyb dat a podobně.
Tomu všemu pak odpovídají výrobci, které máme jako Security divize Tech Data zastoupeny v portfoliu. Za všechny uvedu například Palo Alto Networks, Sophos, Barracuda, Cisco, IBM, VMware, Lookout, Microsoft a další.
Útočníci, kteří se snaží data zcizit, používají techniky a technologie, které s tradičním vybavením ani nemusím detekovat, a už vůbec se jim nemůžu bránit. Musím se tedy posouvat minimálně stejně rychle, jako to dělají útočníci. A proto spolupracujeme s výrobci, kteří jsou v tomto směru inovativní a progresivní. Jejich technologie jsou sofistikované a v řadě případů umějí útočníka rozpoznat a zabránit mu v útoku dřív, než něco napáchá. To samozřejmě administrátorům výrazně šetří práci. Naopak se starými „zbraněmi“ je administrátor ohromně zatížen, aby systém alespoň trochu chránil.
Jak jsou na tom z hlediska kybernetické bezpečnosti české firmy?
Česká firemní scéna je na tom velmi bídně. Ve většině podniků chybí koncepce bezpečnosti, chybí člověk, který by byl za bezpečnost přímo zodpovědný, a hlavně chybí podpora bezpečnosti ze strany managementu. Bezpečnost je se bohužel vnímá jako nákladová položka a katalyzátorem investic do bezpečnosti bývá často až nějaký závažný incident. Když se něco stane, je mysl manažerů najednou otevřená, ale pohříchu vždy jen po omezenou dobu.
Usilujeme o to, aby se tento pohled změnil. Když nemáte notebook, nemůžete pracovat. Když nemáte kvalitně zajištěnou bezpečnost, nemusíte to hned zjistit a po určitou dobu třeba fungovat normálně. Ale dříve či později vás to dostihne. Dokonce se setkávám s případy, kdy si firma raději vytvoří nějakou rezervu na pokrytí ztrát z případného bezpečnostního incidentu, než aby investovala do příslušných technologií.
Nenarážíte ale na problém, že když už firma investuje do nějakého hardwaru, automaticky si již pořizuje bezpečnostní řešení, která jsou na něj navázána?
Nechci být soudcem, které řešení je skvělé a které ne. Záleží na požadavku zákazníka a jeho konkrétní situaci. Security od Tech Data nabízí řešení, která jsou přímo designována pro popsaný koncept zero trust security. Nulová důvěra je strategickým přístupem, který eliminuje implicitní důvěru a neustále ověřuje každou fázi digitální integrace. Obsahuje v sobě i prevenci, nastavení takových principů chování, které již předem eliminují riziko incidentů.
Ale i tady platí, že čím důkladnější zabezpečení, tím vyšší cena. Není právě tohle překážka?
My se snažíme, aby požadavek zákazníka nebyl jen cenově motivovaný. Aby si uvědomil, že když si pořídí řešení bez koncepce, celkové náklady na bezpečnost mohou být nakonec výrazně vyšší než pořízení dedikovaných izolovaných bezpečnostních řešení, pak totiž stráví spoustu času administrací těchto řešení často s nemožností získat celkový pohled na bezpečnost. Proto nemůžeme a nechceme působit jen jako dodavatel, ale aktivně se podílíme na edukaci trhu. Velmi často se setkáváme s případy, že zákazník potřebuje vyřešit nějaký akutní problém a podle toho se okamžitě rozhoduje o nákupu hardwaru nebo softwaru. Možná skutečně vyřeší ten problém, ale to neznamená, že tím posílí svoji bezpečnost. Mnohem lepší cestou je přesvědčit zákazníka, že musí mít nastavenou nějakou bezpečnostní koncepci a do ní by měly zapadat vlastní investice do těch řešení.
Z obchodního hlediska je to pro nás pochopitelně mnohem obtížnější než prodat „krabičku“, kterou partner nebo zákazník požadují. Samozřejmě že naši partneři jsou v tomto směru poučení, ale je třeba jejich prostřednictvím působit právě i na koncové zákazníky. Měli jsme na toto téma sérii webinářů „IT Security od A do Z“, které se setkaly u partnerů s velkým ohlasem. Webináře jsou stále dostupné na webu itsecurityaz.cz a pro tento rok připravujeme jejich pokračování.
Cítíte, že se mění nároky a požadavky na bezpečnost v posledních dvou letech, v souvislosti s pandemií?
Perimetr firem se zcela změnil v souvislosti s tím, kolik zaměstnanců pracuje z domova, co všechno se odehrává hybridním způsobem. Podniky potřebovaly řešit efektivní vzdálený přístup svých zaměstnanců, aby lidé vůbec mohli pracovat, ale už se nezabývaly zabezpečením těchto přístupů. Firmy se přesouvají do cloudu a očekávají, že odpovědnost za bezpečnost přísluší poskytovateli cloudu. Ale to je omyl, ta bezpečnost je sdílená. Za dostupnost služeb odpovídá poskytovatel, ale za data a přístupy uživatelů odpovídá zákazník, vlastník dat. Často slýchám ve firmách tvrzení, že nejsou v cloudu. Na to se obvykle ptám, zda používají Office 365. Samozřejmě že ano a samozřejmě že jsou v cloudu. A v okamžiku, kdy v cloudu jste, musíte svá data zabezpečovat. Proto svým partnerům i jejich zákazníkům nabízíme konzultace, školení i spolupráci na provedení bezpečnostního auditu.
