Novicom v časopise Moderní obec: Bezpečnostní dohledové centrum je jako rozhodčí
Zatímco počet trestných činů od roku 2011 klesá, kriminalita na internetu ve stejném období narostla o více než 400 %. V roce 2018 bylo v ČR spácháno 6815 trestných činů v oblasti kybernetické kriminality a kriminality páchané na internetu. Kybernetická bezpečnost je přesto lidmi podceňována.
Přepis rozhovoru, který vyšel v časopise Moderní obec 05/2020, kterou vydávalo Vydavatelství Profi Press s.r.o.
Oslovili jsme odborníky ze společností, zabývajících se právě kybernetickou bezpečností, Karla Šimečka, ředitele Security Operation Centra společnosti Visitech, a. s., a Jindřicha Šavla, *obchodního ředitele společnosti Novicom, s.r.o.
S rostoucí komplikovaností IT systémů ve veřejné správě se
zvyšuje i nebezpečí kybernetických hrozeb. Jaké jsou nejčastější chyby, s
nimiž se v praxi setkáváte?
Karel Šimeček (KŠ): "Téměř neexistuje evidence IT systémů. Pokud vůbec
nějaká evidence IT systémů existuje, tak není aktuální. Pro představu
použiji analogii, kdy by správce bytového fondu neměl evidenci rozvodů
vody, plynu, elektřiny nebo by sice evidenci měl, ale po několika
přestavbách by nebyla aktuální. Změny, které ve strojírenství či
stavebnictví probíhají v cyklu asi pěti let, jsou v IT oboru rychlejší -
proběhnou i dvě změny informačního systému za rok. Díky nízké znalosti,
co je ve veřejné správě skutečně zapojeno a jak je to nastaveno, je
možné tyto systémy napadnout i s laickou přípravou. A často to útočníkům
skutečně projde, protože pro nedostatek vhledu do IT systémů nelze
rozeznat, co bylo změněno či odcizeno."
Co je nejpodstatnější pro bezpečné fungování systémů organizací veřejné správy?
Jindřich Šavel (JŠ): "Základní je změna přístupu – pochopení, že
jednotlivá města, obce a jejich příspěvkové organizace nemají šanci sami
zvládnout kybernetickou ochranu ze svých prostředků a se svými lidmi.
Nejsou na to připraveni z hlediska technologií, lidských zdrojů ani
chápání managementu. Cestu vidím ve sdružování prostředků těchto
organizací do sdílených center kybernetické ochrany, která vycházejí z
komerční služby SOC nebo hybridní služby, která kombinuje oborovou
znalost sektoru institucí a profesionální schopnosti kybernetické
ochrany komerčního SOCu (hybridní SOC)."
V článku pro Moderní obec z ledna 2020 uvádíte, že bude
potřeba poskytnout graficky srozumitelný náhled se všemi potřebnými
položkami. Jak by takový náhled měl vypadat, co má obsahovat?
KŠ: "Můžete mít evidenci o IT systémech vedenou ručně, ale tím nikdy
nebude aktuální a budete si evidovat jen nezbytné údaje. Strojová
evidence IT systémů zpracovaná přímo z komunikačních protokolů IT
komponent, služeb, aplikací a systémů si eviduje stokrát více dat a
informací. Z pohledu ergonomie je výhodné dát těmto datům a informacím
grafickou podobu a sestavit je do hierarchických závislostí tak, že
reflektují pochopení správcem IT systémů veřejné správy. Správce se tak
skutečně stane správcem IT systémů. Z úředníka se stane manažer, který
má přehled o situaci a o dění v IT prostředí. Bude to manažer, který
vidí problém, dříve než začne negativně působit a řeší jej."
Zmiňujete i skutečnost, že se u SW a HW vyskytují výrobní
nekvality (vady a chyby). Obvykle jsou největší bezpečnostní hrozbou
uživatelé systémů, kteří jsou často neopatrní, nedodržují zásady
bezpečného chování a často systém "rozhodí". Co s tím?
JŠ: "Myslím, že chybovost HW a SW je fakt, který musíme akceptovat. Je
to způsobeno především komplexností dnešního světa, kdy není možné beze
zbytku domyslet všechny možné stavy a výjimky, a to i za situace, kdy
dnes všichni slušní výrobci mají zavedené standardizované postupy
kontroly kvality produkce. Z toho vyplývá i nutnost přísně dbát na
aktualizace systémů a aplikací, v rámci kterých výrobci postupně
odstraňují zjištěné vady a bezpečnostní hrozby. V této souvislosti
považuji za zásadní selhání, pokud v organizacích není věnováno
dostatečné úsilí provádění aktualizací a ověřování stavu systémů formou
testování zranitelností. Zásady bezpečného chování je však možné často
považovat za větší bezpečnostní hrozbu. Mnoho uživatelů prostě stále
není naučeno zamyslet se nad linkem v e-mailu, než na něj bez rozmyslu
kliknou…"
Při zavedení externí služby Bezpečnostního dohledového centra
(SOC) se stává, že jeho správci obvykle nemohou zasahovat v případě
poruchy uživatele, protože s ním nesdílejí technologie, někdy ani
neznají jeho prostředí. Jak by měly úřady ve veřejné správě, postupovat,
pokud takovou službu využívají?
KŠ: "Klíčovou příčinou jsou outsourcing vztahy, kdy úřad má být
moderátorem spolupráce jednotlivých outsourcing firem. Tuto roli často
úřad nemůže splnit, tím jsou IT systémy nastaveny spíše výhodněji pro
outsourcing subjekty. Bezpečnostní dohledové centrum je jako "rozhodčí",
který dohlíží jak na IT systémy a jejich uživatele, tak i na
outsourcing firmy, jak plní dodávku IT služeb a dostupnost IT systému.
Bezpečnostní dohledové centrum hájí zájmy klienta, tedy úřadu, protože
bezpečnost je o kontrole dodržování pravidel na základě sesbíraných
faktů přímo z IT systémů. Ostatní subjekty hájí výhradně jen své zájmy,
tj. profit. Takže ano, z počátku služby Bezpečnostního dohledového
centra není nouze o sporné názory. Rada pro úřady – můžete věřit svým
outsourcing partnerům, ale přehled o situaci a úsporu provozu vám
nepřinesou. Nebo můžete evidovat a měřit IT systémy veřejné správy, což
přináší harmonizaci do nastavení IT systémů a kultivaci spolupráce
outsourcing subjektů. Kvalita a úspory v provozu IT systémů se dostavují
do dvou měsíců od zahájení služby Bezpečnostního dohledového centra."
Proč by si úřady a instituce měly službu SOC pořídit? Mohli byste uvést konkrétní výhody služby SOC z praxe?
JŠ: "Pořízení služby SOCu přináší organizacím dva základní přínosy.
Prvním je zásadní povýšení bezpečnosti tím, že ji předají odborníkům
schopným postavit se hackerům. Jsou na to trénovaní a mají s tím
praktické zkušenosti. Možná ještě zásadnější je ekonomické hledisko,
protože alternativa ke službě SOC jsou pouze zásadní investice do
technologií a lidských zdrojů. A v tom vidím velký problém – protože
instituce nemají zpravidla možnost konkurovat komerčním subjektům ve
výši mezd a nejsou připravené mít dostatečně široký tým schopný zajistit
bezpečnost v režimu 24x7. Jinými slovy, při stejné potřebné úrovni
bezpečnosti jsou interní dedikovaný tým bezpečnosti a interní
technologie výrazně dražší než služba SOCu. Ta spočívá v nákladově
efektivnějším sdílení technologií a lidských zdrojů mezi více
institucemi."
Zdroj: Rozhovor vyšel v časopise Moderní obec 05/2020, kterou vydává Vydavatelství Profi Press s.r.o.
*Pozn.: Krátce po vydání časopisu postoupil Jindřich Šavel z pozice obchodního ředitele na pozici CEO společnosti Novicom.