Jaká je budoucnost v oblasti kyberbezpečnosti? Podle Marcela Poula z BCV solutions, experta na řízení identit s vlastním identity managerem CzechIdM, se stal jakýmsi trendem ransomware neboli vydírání kvůli znepřístupnění dat v klíčových systémech i útoky nepřímo podporované zahraničními vládami. Útoky budou častější a sofistikovanější a obrana proti těmto útokům se značně prodraží.

Rozhovor s MARCELEM POULEM, ředitelem realizace projektů v BCV solutions s.r.o.

Jste ryze českou firmou ve specializovaném oboru IT. V čem je vaše firma specifická?

Přes dvanáct let se specializujeme na jednu konkrétní oblast IT, a to je identity and access management (IAM). Zjednodušeně řešíme to, aby každý v organizaci (od malých firem po veliké korporáty) měl přístup pouze a jen k těm IT zdrojům – systémům, datům – ke kterým mu byl přístup schválen, a pouze na dobu nezbytně nutnou.

Po zkušenostech s různými IAM softwarovými nástroji jsme se rozhodli, že se vydáme cestou vývoje vlastního softwaru. Přibližně před deseti lety spatřil světlo světa první ryze český identity management software – CzechIdM.

Co vám nevyhovovalo na jiných IAM nástrojích?

Řídíme se mottem „pomozte svému IT“. Bezpečnostní a integrační SW nástroje mají pověst složitých a těžkopádných řešení, která sice zvyšují bezpečnost IT, ale na druhou stranu snižují komfort uživatelů včetně řadových zaměstnanců. A do jisté míry to je pravda. U jiných IAM nástrojů té doby nám nevyhovovala zejména složitost použití pro běžného uživatele a administrátora a náročnost na nasazení do prostředí zákazníků. Potřebovali jsme nástroj, který je sice komplexní a robustní, ale zároveň se jednoduše používá a můžeme ho opakovaně a rychle nasazovat. Zároveň chceme, aby CzechIdM mohli stáhnout a začít používat sami administrátoři bez nutnosti úprav na míru.

Velkým pojmem dnešní doby je kyberbezpečnost. Jak úzce spolu tyto obory souvisí?

Kyberbezpečnost a řízení přístupů jsou příbuzné obory a v lecčem se překrývají. Není úplně nejefektivnější investovat značné finanční prostředky do kyberbezpečnosti, pokud nemá organizace vyřešena základní pravidla pro řízení přístupu k IT systémům – IAM. Jedna z prvních věcí, kterou chcete vyřešit, pokud čelíte kyberútoku, je minimalizace škod. Chcete odříznout napadené účty a systémy od dalších částí infrastruktury. Potřebujete to udělat rychle a efektivně. Pokud nemáte dobře popsané procesy řízení, přístupy a vhodný IAM nástroj, už tak vypjatou situaci to velmi komplikuje.

Jaké jsou v současnosti nejčastější trendy a druhy kyberútoků?

Jakýmsi trendem se stal ransomware neboli vydírání kvůli znepřístupnění dat v klíčových systémech i útoky nepřímo podporované zahraničními vládami. Prognóza ohledně trendů není příznivá. Útoky budou častější a sofistikovanější a obrana proti těmto útokům se značně prodraží.

Dnes a denně se mnozí potýkají s tématem kybernetické bezpečnosti. Téma vyvstává především v rámci zaměstnání a zaměstnaneckých účtů, ale i v domácnostech. Důležité je nejen vědět, ke kterým účtům má kdo přístup, ale také i jaké další typy účtů se ve firmách či organizacích používají a kdo je jejich vlastníkem. K firemním IT systémům zdaleka nemají přístup jen zaměstnanci, je třeba řešit správu účtů dodavatelů, partnerů, zákazníků, externích kontraktorů, studentů atd. Firmy často mají pokryté procesy řízení přístupů pro zaměstnance, ale na ostatní často zapomíná.

Jsou kyberútoky spíše jednotlivci, lokální nebo se rozšiřují i mezinárodně?  

Dlouhodobým trendem se začínají také stávat útoky nepřímo podporované vládami, příkladem lze uvést několikrát veřejně zmiňované Rusko, případně také Čínu. Jedním z posledních takových útoků bylo loňské hacknutí společnosti SolarWinds, která poskytuje aplikace softwarovým společnostem i vládním organizacím. Z dat amerických bezpečnostních služeb vyplynulo, že útok a malware, který byl pojmenovaný jako Sunburst,zasáhl více než 250 vládních organizací Spojených států. Data také dále ukazují, že byl útok nejspíše provedený z Ruska a mezi jeho oběti patří kromě USA i společnosti z Belgie, Mexika, Kanady i například Velké Británie a mnozí další. Jedním z klientů, a tedy i obětí hackerského útoku, byl i softwarový gigant Microsoft. V současnosti vyšetřování nadále probíhá.

Mění se způsoby a cíle kyberútoků?

V posledních několika letech se počet kybernetických útoků vůči různým organizacím a firmám zvyšuje. Mění se jejich způsob i cíl. Stále se setkáváme s útoky, které mají za cíl zcizit data, ovšem stále častěji se setkáváme ještě s větší hrozbou ransomware útoků. Tento útok má za cíl zašifrovat data a následně vydírat majitele systémů o nemalou částku, po jejímž uhrazení by mělo dojít k obnově dat. Ohrožené jsou často nejen firmy, ale také úřady, ministerstva i nemocnice.

Můžete uvést příklad kybernetického útoku u nás?

Jako jeden z příkladů kybernetického útoku může být uveden loňský útok na Fakultní nemocnici Brno.  Nemocnice kvůli němu přišla ke škodě v řádu desítek milionů korun. Přesto tomu šlo předejít. Vhodné by bylo oddělit kritické systémy organizací, jako je např. transfúzní systém v nemocnici, nebo systém pro výplatu dávek na ministerstvu do oddělené infrastruktury, aby se k nim případný útočník vůbec nedostal.

Dají se velké kyberútoky předem předvídat a lépe se před nimi ochránit?

Na národní úrovni existují specializované organizace, které se mimo jiné zabývají i varováním před hrozbou kybernetických útoků na významné cíle. V České republice máme Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který v minulosti opakovaně varoval například před hrozbami útoku na velké české nemocnice.

Ačkoli i z jiných oborů víme, že prevence bývá účinnější než následná léčba, i u kyberbezpečnosti na to často nedbáme. Kyberbezpečnost je totiž dlouhodobý a finančně náročný úkol pro jehož plnění některé instituce zkrátka potřebují víc kapacit (i těch lidských), než často v danou chvíli mají k dispozici.

Jsou více v bezpečí data uložená na vlastních serverech či v cloudu?

Již nyní je zjevné, že množství kybernetických útoků bude narůstat, a že tyto útoky budou složitější, budou mít větší rozsah a cílem bude ukrást především data, technologie, osobní údaje, ale také strategické informace. Útoky budou častější a sofistikovanější. Umocní to ještě lákadlo dat umístěných v cloudech, kam se často přesouvají lokální řešení organizací. Nicméně to neznamená, že podobné řešení je méně bezpečné, často to je přesně naopak – cloudová řešení investují velké zdroje do ochrany dat, často takové, které si organizace se svými on-premise řešení nemůže dovolit. Obecně nelze říci, zda je lokální či cloudové řešení bezpečnější, vždy je potřeba to vztahovat ke konkrétní organizaci v daný čas.

Jaká je budoucnost v oblasti kyberbezpečnosti? Budou útoky více sofistikovanější?

Komplikovanější kybernetické útoky budou vyžadovat častější a větší investice, které budou firmy a organizace nuceny vynaložit. Každý rok trh s bezpečnostními řešeními v IT roste o desítky procent, a jen tak se to nezastaví.

Důležité je upozornit, že žádné bezpečnostní opatření není neprolomitelné. Otázka bezpečnosti je vždy otázkou kombinace čítající lidské zdroje, finance, software a hardware. Ale stejně tak potenciální útočník má nějaké prostředky k útoku, především HW, znalosti a jeho silnou zbraní je motivace k útoku.

Při realizaci projektů se snažíte implementovat i prvky agilních metod řízení. Jak se dají tyto metody využít v IT?

IT je jedním z oborů, kde se agilní metody řízení uplatňují nejčastěji. Jde o oblast, ve které je veledůležitá kreativita a vysoká odbornost, a to hraje do karet právě agilním metodám řízení. U nás ve firmě uplatňujeme agilní metody řízení při vývoji software, což nám umožňuje rychle přicházet s prototypy nových funkcí a tím rychle zapracovávat změny a nové požadavky na CzechIdM. Urychluje to také release cyklus SW, kdy s novou verzí přicházíme zhruba každé dva až tři měsíce.

Při dodávání projektů IAM řešení nám zase agilní metody pomáhají v řízení očekávání zákazníka. Jsme velmi rychle schopni dodat řešení do provozu a poté zpracovávat požadavky na další rozvoj řešení na základě reálné zkušenosti uživatelů, což je nenahraditelné. Pro nás se ukázalo se, že takové projekty jsou daleko úspěšnější než realizace projektu s velkou analýzou a implementací všech požadavků naráz.

Vaše firma je také od roku 2010 adoptivním rodičem a sponzorem nosála bělohubého v pražské ZOO. Proč právě toto zvířátko? Je symbolem firmy?

Chtěli jsme podporovat ZOO, protože je nám blízké téma rodiny. Přemýšleli jsme, jaké zvíře vybrat a majitel firmy se nakonec inspiroval jménem svého příbuzného. Někdo by si mohl myslet, že jde třeba o podobu s některým z kolegů a zavdávalo by to záminku k různým nepodloženým spekulacím. Tak to opravdu není. (smích)

Děkuji za rozhovor.

Foto: poskytnuto Marcelem Poulem

Zdroj: Renáta Lucková