Novinky

CIO Agenda 2018: Nezavírejte své ajťáky do sklepa!

Vztah managementu k IT by měl být nastavený tak, aby se firma nedělila na „my“ a „oni“. Za případná selhání systému nenesou odpovědnost jen IT manažeři. Je na top managementu a následně celé firmě, aby se zapojili do prevence bezpečnostních rizik. Takové je poselství konference CIO Agenda 2018 zaměřené na business continuity v digitální době, na níž se 10. října sešlo v KC City v Praze 150 účastníků. Přinesla řadu praktických příkladů a zkušeností efektivní spolupráce IT a dalších týmů při podpoře úspěšného chodu společnosti.

„Nespoléhejte se na technologie, ale na lidi“, vzkázal etický hacker Jiří Vaněk, aktuálně Senior Security Consultant ze společnosti Unicorn. Upozornil, že útočníci vždy tahají za delší lano, než jejich „oběti“, je jich víc, mají více času a často pracují v etablovaných skupinách či je sponzorují státy. Informace získávají např. z pracovních inzerátů firem a sociálních sítí. Tyto znalosti pak třeba využijí k sepsání důvěryhodného phishingového e-mailu. „Dávno předtím, než svého útočníka potkáte, on si udělá důkladný průzkum vašeho prostředí,“ popsal Vaněk a připomněl, že jen ze sítě LinkedIn bylo ukradeno 160 mil. kontaktů, což z ní dělá potenciální vstupenku do nitra firem a k dalším heslům – protože ne všichni používají sofistikovaná zabezpečení.

Hackeři také klidně využijí např. zaměstnance banky nespokojeného s platovým ohodnocením či nacházejícího se ve složité životní situaci a nabídnou mu dobře placený přivýdělek. Hacker jej pak navádí na dálku k citlivým bodům systému, a když je lup hotov, zaměstnance předá policii a sám mizí. Proto je třeba neustále dělat kybernetická cvičení a simulace útoků a zvyšovat povědomí zaměstnanců o tom, jaké následky může mít jejich rizikové chování. Zároveň je třeba systémy kontrolovat a monitorovat formou sběru logů a jejich vyhodnocování. „Být zabezpečenou organizací je primárně otázkou přístupu každého zaměstnance. Management musí jít příkladem,“ dodal Vaněk.

Jak se chránit

Také Václav Zubr, Pre-Sales Engineer společnosti ESET, vidí chování zaměstnanců jako jednu z hrozeb, kterou vedle kybernetických útoků zákazníci řeší. Důležité je mít pod kontrolou také rozmanitost zařízení a zvládnout tlak na provozní efektivitu. Jistou pomoc vidí v umělé inteligenci, protože umožňuje dynamickou ochranu ve chvíli, kdy např. podvodný e-mail pronikne přes bránu. Analýzu a reakci je pak možné zajistit do několika minut. Zatímco na počítačích je nejčastějším zdrojem infekce e-mail, na mobilu jsou to aplikace, a to nejčastěji ty bankovní. To potvrzuje Josef Rech, Security Director, Raiffeisenbank: „Vidíme trend útoků na klienty přes aplikace, kde je těžší se jim bránit. Dříve se také útočilo na certifikáty v počítačích, dnes jdou hackeři přes autentizační smsky. Plánujeme je proto nahradit třeba mobilními tokeny.“

Zajímavou variantu ochrany nabídl Pavel Štros, seniorní bezpečnostní konzultant společnosti Datasys. Jedná se o tzv. video logy, kdy se pomocí nahrávky vzdálených ploch zaznamenávají přístupy do firemních systémů. Výstupem jsou snímky, pokud ale potřebujete nahrávat celé relace na stanicích administrátorů, měli byste mít pracoviště určené jen pro ně, ne pro denní práci. Implementaci takového systému je možné realizovat za 5 až 10 dnů. Jako jednodušší variantu uvádí systém log managementu, jež umožňuje centralizaci logů z různých technologií. Následně je možné v nich snadno vyhledávat jako na Googlu a také si všimnout, když se někdo snaží přihlašovat patnáctkrát za sebou. „Jakýkoliv nástroj typu log management bude ekonomicky přínosný při porovnání nákladů s budoucími přínosy. Hodí se pro rychlé nalezení odpovědí. Získáte centrální konzoli bezpečnostního dohledu,“ shrnuje Pavel Štros, který podobný systém nedávno zaváděl na Ministerstvu spravedlnosti, přičemž nyní se plánuje jeho rozšíření o krajské soudy. Nabídka zahrnuje každý měsíc analytický report.

Bouchnout si na poradách

Podle Jakuba Kejvala, District Chief Executive společnosti Bureau Veritas, kybernetické útoky stále vnímá většina firem jako hrozbu číslo jedna. Potvrzuje zároveň, že to není zdaleka jediné nebezpečí. Doporučuje proto udělat si inventuru, analýzu rizik, prevenci, a pak business continuity management. „Až dojde k nějakému průšvihu, spadne to na vás, budou vám vyčítat, proč jste si na poradách dost nebouchali do stolu. Od vás by měl přijít tlak na řešení a prevenci,“ radí Kejval. Upozornil také na odstrašující příklady z praxe, kdy např. automobilka nechá všechny revizní techniky používat jednu bezpečnostní kartu, či nemocnice se nestará o zastupitelnost hlavních sester a při jejich odchodu z organizace pak měsíc nic nefunguje. Nicméně za poslední roky vidí Kejval v ČR velké zlepšení z hlediska řešení rizik a připisuje to mj. tlaku zahraničních vlastníků v nadnárodních firmách.

Permanentní pořádek

V případě problému musí organizace dokázat, co systémově udělala pro to, aby se vyhnula hrozbě. Na to se policie ptá jako první. „Musím být zpětně schopen prokázat, že jsem opatření dělal,“ potvrdil Petr Krejčí, Business Development Manager společnosti Bisnode. Podle něj jsou základní komoditou ve firmách data a ta je třeba chránit. Zároveň musí firmy uvažovat o rizicích protistran, tedy vědět, s kým obchodují. Ekonomika sice roste, prostředí je ale nestabilní, letos nejspíš zanikne nejvíc firem za posledních sedm let, tedy od hypoteční krize. Jen za první pololetí to bylo téměř 6 tisíc kapitálových podniků. Nikdo jistě nechce, aby si na takové firmy jeho obchodníci vypisovali schůzky. Častým problémem v databázích jsou také duplikace, může to být až 30 %, nebo chybějící adresa, což může být přitom zásadní údaj svědčící o důvěryhodnosti firmy. Jak doporučuje Petr Krejčí, monitoring velkých objemů firemních dat je třeba provádět na denní bázi, nikoliv jednorázově. Jen tak můžete mít permanentní pořádek v datech a generovat kvalitnějších obchodní příležitosti ve správný čas.

„ICT není nástroj byznysu, ale jeho jádro. Společnost bez něj nefunguje,“ vyjasnil hned na úvod své přednášky Michal Zedníček, Security Consultant společnosti Alef Nula. Považuje bezpečnostní audit za nezbytný pro řízení rizik, cenově přitom začíná na půl milionu korun. „Pokud není audit, nemůžete posoudit rizika, protože neznáte zranitelnost,“ dodal. Doporučil také pracovat se standardy typu ISO tak, že nemusíte aplikovat všechny jejich požadavky, pokud zdůvodníte, že se vás konkrétní rizika netýkají.

Čím dřív, tím levněji

„Hodně firem už investovalo do zařízení, která když se propojí, vyjde z toho dost dat použitelných při zvýšení bezpečnosti a business continuity,“ myslí si Tomáš Poslušný, Key Account Manager společnosti Simac Technik. Realizovat interní změny pouze interními lidmi je podle něj většinou pomalé a nedostatečné – externí partner je zpravidla mnohem efektivnější. Zároveň připomněl, že mnoho technologií určených pro sledování a lokaci objektů (osob, vozidel, manipulační a skladové techniky) má přímé využití v bezpečnosti a ochraně zdraví při práci. Třeba technologie rozpoznání obličeje vznikla jako bezpečnostní aparát, kdy kamery sdělily hasičům, kolik lidí se nachází v hořící budově. Chytré systémy pro bezpečnost práce doporučuje stavět interně hned – tak máte šanci nastavit si řešení přesně na míru. Až se z něj stane komodita, budete muset akceptovat řešení definované někým jiným nebo zaplatit mnohem více za customizaci.

My a oni

Příkladem firmy s vlastními interními IT systémy je Alza. Tady také mají vyzkoušené, že IT oddělení nesmí být v izolaci od zbytku firmy. Její ředitel vývoje informačního systému Jiří Schejbal popsal IT jako katalyzátor byznysu. Manažeři z různých oddělení včetně těch na vedoucích pozicích si sem jdou třeba na dva týdny zkusit pracovat a učí se programovat. Výsledkem takové rotace pak je, že získají ponětí o firemním systému a dovedou lépe využít jeho funkcionality, ale také se pak více baví lidi z byznysu s kolegy z IT. Mohou pak vznikat inovační projekty, kterým Alza říká „generační“, a letos jich stihla šest. Příkladem je třeba prodejna budoucnosti bez obsluhy, nebo již dříve zavedení platby bitcoiny. „Když nabíráme nové programátory, jdeme po znalosti IT jako řemesla, ne po tom, zda umí konkrétní program,“ dodává Schejbal, jaké nároky klade na nové ajťáky, které vždy nejprve musí zasvětit do interního systému.

Akci CIO Agenda 2018 pořádala společnost Blue Events a partnersky ji podpořili společnosti Alef Nula, Bisnode, Datasys, Bureau Veritas, Eset, Simac a Unicorn.


Na konferenci CIO Agenda 2018 také zaznělo:

„V roce 2012 jsme si ještě mysleli, že kdo není připojený k internetu, je vůči kybernetické bezpečnosti v pohodě. Stále se také najdou úředníci, kteří o ní neslyšeli. Ministerstvo školství se zatím nepostavilo čelem ke vzdělávání v této oblasti.“
Vladimír Rohel, ředitel sekce Bezpečnost, Národní agentura pro komunikační a informační technologie

„Lidé z managementu nerozumí IT jazyku a je třeba je motivovat, aby více komunikovali a uvědomili si, co se může stát, třeba formou zátěžových testů nejen IT, ale celé organizace. Jejich opakováním typicky každý rok stoupá připravenost na krizové situace.“
Jaroslav Pejčoch, předseda představenstva, T-SOFT

„Svět kryptoměn je decentralizovaný, kdybyste ho chtěli zničit, museli byste vypnout milion počítačů, v nichž je blockchain jako účetní kniha uložený. Jako takový by blockchain přežil i kolaps státu. Jen v ČR už je přes 100 firem, které nakupují a prodávají v kryptoměně.“
Petr Němeček, IT Manager, LINET

„Z hlediska kybernetických rizik jsou za posledních deset let po hackerských útocích hned na druhém místě ztráty přístrojů jako laptopy či hadrdisky, následuje lidská chyba a nepoctiví zaměstnanci.“
Michal Pilecký, produktový manager, RENOMIA

„Komunikace mezi CFO a CIO byla u nás při transformaci informačního systému stěžejní. Tito dva musí být štiky v rybníce. Pokud projekt trvá déle, jeho manažeři si vytvoří zkratky a už jim nikdo nerozumí a zapomíná se, pro koho vlastně projekt řeší. Žádné procesy nenahradí komunikaci ve firmě. Zapojte střední management, firmy se nesmějí rozdělit na „my“ a „oni“.
Hynek Šandera, Finance Manager, IKEA Centres Europe

„Budujeme neviditelné organizace, kdy málokdo o IT ví, ale všechno funguje automaticky. Snažíme se soustředit na relevantní požadavky, co si přejí a jak by chtěli fungovat naši zaměstnanci. Dřív na ICT oddělení chodili pro nový počítač, ale proč by si ho nemohli koupit sami?“
David Pavlík, CIO, Kiwi.com

„V horizontu pěti měsíců bude hotová koncepce digitálního Česka, která je velmi pokroková, ruší staré koncepce, přerušuje zpětnou kompatibilitu. Největším hnacím motorem v legislativě je zákon o digitální službě. Nyní je stav našeho e-govermentu takový, že máme silnou infrastrukturu, ale nevyužíváme ji.“
Ondřej Profant, předseda podvýboru pro eGovernment, Piráti

„Nelíbí se mi, když byznys jen čeká, co udělá IT v případě problému. Oddělení ICT a byznys musí být propojený, když nezafungují technologie, měli bychom vědet, co dělat bez nich.“
Ladislav Csiba, Business Continuity Manager, ČSOB

„Vy jste posledních 18 let nechránili moje data podle stávajících zákonů? To je moje univerzální odpověď na všechen spam spojený se zaváděním GDPR. Vždyť i plnění smluvních podmínek je zákonný důvod pro zpracování osobních údajů.“
Aleš Špidla, vedoucí oddělení Ochrany utajovaných informací a fyzické bezpečnosti, NAKIT


Pro více informací:
Michaela Dvořáková
Michaela.Dvorakova@blueevents.eu 

Další novinky

U nás to žije. Přečtěte si další horké novinky ze světa Blue Events.

Efektivní řízení firmy27. 08. 2018

CIO Agenda 2018: Setkání všech, kteří nesou zodpovědnost za řízení rizik

10. října 2018 se v konferenčním centru KC City v Praze 4 sejdou nejen šéfové IT, ale i top manažeři, kteří si uvědomují, že digitální doba přináší...

Efektivní řízení firmy22. 05. 2018

CFO Congress 2018: Finanční ředitelé musejí hledat nové lidi a rozvíjet talenty

Dobře namíchané menu složené z diskuze, sdílení praktických zkušeností a informací o ekonomických, právních a technologických trendech si...

Efektivní řízení firmy03. 04. 2018

Dobře vyladěné CFO Menu: Určeno ke konzumaci dne 16. 5. 2018

Sedmý ročník výročního setkání finančních ředitelů - CFO Congress se uskuteční 16. května v České národní bance v Praze. Akce, které se pravidelně...