Konference CIO Agenda, se konala 3. února 2021 online. Tématem byla například připravenost IT na kritické situace, zabezpečení firemních systémů.
Vladimír Rohel, ředitel sekce Bezpečnost z NAKITu vzbudil hned na úvod velký ohlas a diskusi příspěvkem nazvaným „Musíme si pomáhat“. Představil iniciativu „Minimální bezpečnostní standard“, bez kterého se neobejdou firmy a organizace. Pravidla vyvinutá ve spolupráci s NUKIB a Ministerstvem vnitra ČR by měla pomoci i tisícům informačním systémům, které nespadají pod zákon o kybernetické bezpečnosti. „Útočník vždy hledá nejslabší článek řetězu, aby mohl organizaci kompromitovat. Proč by bouchal na hlavní bránu, když může jít zadními vrátky, třeba přes vašeho jinak důvěryhodného dodavatele,“ popsal zkušenost z praxe Rohel a polemizoval s tím, že investice do ochrany některých systémů se nevyplatí, protože kdyby je někdo naboural, nevzniknou velké škody. Doporučil udělat si podle nového srozumitelného manuálu přehled o všech kritických faktorech pro bezpečnost, mj. i pro oblast videokonferencí zažívající boom. Šéfové IT podobnou iniciativu obecně vítají, edukace manažerů o tématu kybernetické bezpečnosti by měla přinést i více prostředků z firemních rozpočtu na tuto oblast.
Co nás naučili hackeři
Slušně „zalarmovat“ vedení, dovedou útoky hackerů, v tom lepším případě těch etických, kteří ukážou reálnou hrozbu a „průstřelnost“ systému. „Cílem hackerů může být kdokoliv. Prostě jen využívají zranitelnosti a je jim jedno, kdo je na druhé straně, klidně to může být malá jihočeská nemocnice,“ říká etický hacker Jan Marek, zakladatel iniciativy Cyberrangers. Přetížené systémy přitom automaticky vytváří zranitelnosti. „Zlí hackeři“ tak měli v roce 2020 žně, práci jim ulehčil zejména přechod firem do cloudu a nárůst VPN přístupů. Naplno se projevilo, kdo měl zanedbané IT, ale také procesy s tím spojené. „Kdybyste třeba využili vše, co nabízí Windows 10, tak nám hackerům podstatně zkomplikujete práci. Řešením ale není jen zavedení neprůstřelných technologií. Potřebujete zároveň vzdělané a optimálně vytížené IT, jakož i zaměstnance informované o rizicích,“ varoval Marek, který se věnuje i tzv. redteamingu, kdy testuje inkognito přímo ve firmách neprůstřelnost bezpečnostních systémů a jeho mise končí ve chvíli, kdy na něj přijde policie, či ho někdo jiný přistihne.
Pokud někomu „zlému“ umožníte spustit program na všem počítači, už to není váš počítač. Proto jej nikdy nenechávat počítače bez dozoru, notebooky si klidně raději odnášet domů. Dále je třeba zbavit se hesel a dát přednost biometrickému přihlašování, a konečně mít kontrolu nad tím, co se na počítačích spouští díky základní funkci application whitelisting. Ta ostatně odchytí i velké množství obávaných vyděračských útoků ransomware. Dalším užitečným nástrojem je provádění kontinuálních bug bounty programů. Na rozdíl od plánovaných penetračních testů jimi oslovíte stovky „útočníků“ a platíte odměnu za jednotlivé nálezy. Jejich využití doporučil Jindřich Šlisík, který 12 let pracoval v Austrálii a Velké Británii, kde jsou podle něj bezpečnost zejména dat klientů a zaměstnanců na prvním místě. Nyní je security manažerem jednoho z nejúspěšnějších českých startupů Productboard a sám se věnuje tomu, že upozorňuje proaktivně firmy na jejich bezpečnostní nedostatky.
Potřebujeme lépe vybavit firemní IT
V březnu 2020 stačily v Itálii dva týdny na to, aby počty VPN připojení k firemním sítím narostly o 160 %. Jsme čím dál více závislí na našich digitálních nástrojích, tedy hlavně aplikacích. Jejich bezpečnosti se dlouhodobě věnuje Martin Diviš z Cisco Systems, podle něhož spokojenost s aplikacemi definuje dnes do velké míry spokojenost s firmou ze strany zákazníků i zaměstnanců. Dostupnost, chybovost a rychlost bývají časté kritické vlastnosti. „Problémy s aplikacemi bychom měli zjišťovat a měřit proaktivně, a ne až v momentě, kdy propuknou, uživatelé mají problém a my ztrácíme byznys. Abychom ale pochopili, jak aplikace skutečně funguje, musíme zároveň sledovat na aplikační provoz, infrastrukturu, na které závisí, a nakonec síťové prostředí sloužící pro přenos k uživateli,“ popsal Diviš.
Jako první krok k řešení navrhuje tvorbu aplikačních map, tedy kompletní přehled až po poslední diskovou operaci, kdy je možné „odchytnout“ anomálie. Třeba když pak někomu VPN nefunguje doma dobře, zjistíme snadno, že na vině je slabá Wi-Fi. Jak zlepšit podmínky pro práci, až se vám zaměstnanci vrátí do práce z home officu? Dobrý tip je nová generace Wi-fi6, která už se i v ČR pomalu rozšiřuje. „Přináší mnoho výhod včetně lepšího zabezpečení, síly signálu, lepší propustnosti pro data, či kapacity pro internet věcí. Je také úzce integrovaná do architektury podnikových sítí. Teď je ten pravý čas ji nasadit,“ doporučuje Petr Pavlů ze společnosti Cisco, který aktuálně realizuje průzkum o stavu Wi-Fi v Česku, do kterého je možné se zapojit. Rozptýlil obavy, že by Wi-fi6 nebyla kompatibilní se současně zaváděnými 5G sítěmi, naopak se do budoucna budou velmi dobře doplňovat.
Jak lépe spolupracovat
Desítky milionů korun firmy mohou vyhodit z okna při špatně nastavené spolupráci s dodavateli softwarů. Aby z „agilních projektů“ nevznikly nakonec „paskvily“, vyplatí se naslouchat zkušenostem Radka Petra ze společnosti Moro Systems. Dle jeho průzkumu jen u 13 % projektů je klient spokojený s průběhem i výsledkem spolupráce, u těch ostatních je pravidlem překročení rozpočtu i termínu. Petr varuje před „zákopovými válkami“ při vývoji softwaru a před přílišným zaměřením na cenu na začátku spolupráce. „Pokud se nechcete spálit, zkuste rozjet nejdřív mini projekt, tedy malou část z vašeho zadání a zkuste to realizovat s dvěma či třemi partnery. Stojí to sice spoustu času, ale při hledání partnera se to vyplatí,“ doporučuje Radek Petr. Běžné jsou dnes výrazné změny zadání v průběhu projektů, proto se doporučují místo smluv o dílo tzv. agilní kontrakty. Objednáváte tak čas, ale také garance, jako třeba stabilní tým, co na projektu pracuje. Kvalita partnerství mezi vývojářem a klientem nakonec definuje kvalitu výsledku.
Vrcholem konference CIO Agenda byla živá debata šesti odborníků o kybernetické bezpečnosti moderovaná Michalem Horáčkem z Microsoftu. Debaty se účastnili spolu s vybranými řečníky konference také Radek Beneš, soudní znalec v oblasti IT a kybernetické kriminality, Petr Černohorský, SecureXpert: Hunting & Integrations z Cisco, Vladimír Jeřábek, vedoucí oddělení Kybernetické a informační bezpečnosti NAKITu a Jindřich Kalíšek, advokát a mediátor.