Zatímco počet trestných činů od roku 2011 klesá, kriminalita na internetu ve stejném období narostla o více než 400 %. V roce 2018 bylo v ČR spácháno 6815 trestných činů v oblasti kybernetické kriminality a kriminality páchané na internetu. Kybernetická bezpečnost je přesto lidmi podceňována.
Oslovili jsme odborníky ze společností, zabývajících se právě kybernetickou bezpečností, Karla Šimečka, ředitele Security Operation Centra společnosti Visitech, a. s., a Jindřicha Šavla, *obchodního ředitele společnosti Novicom, s.r.o.
S rostoucí komplikovaností IT systémů ve veřejné správě se zvyšuje i nebezpečí kybernetických hrozeb. Jaké jsou nejčastější chyby, s nimiž se v praxi setkáváte?
Karel Šimeček (KŠ): “Téměř neexistuje evidence IT systémů. Pokud vůbec nějaká evidence IT systémů existuje, tak není aktuální. Pro představu použiji analogii, kdy by správce bytového fondu neměl evidenci rozvodů vody, plynu, elektřiny nebo by sice evidenci měl, ale po několika přestavbách by nebyla aktuální. Změny, které ve strojírenství či stavebnictví probíhají v cyklu asi pěti let, jsou v IT oboru rychlejší - proběhnou i dvě změny informačního systému za rok. Díky nízké znalosti, co je ve veřejné správě skutečně zapojeno a jak je to nastaveno, je možné tyto systémy napadnout i s laickou přípravou. A často to útočníkům skutečně projde, protože pro nedostatek vhledu do IT systémů nelze rozeznat, co bylo změněno či odcizeno.”
Co je nejpodstatnější pro bezpečné fungování systémů organizací veřejné správy?
Jindřich Šavel (JŠ): “Základní je změna přístupu – pochopení, že jednotlivá města, obce a jejich příspěvkové organizace nemají šanci sami zvládnout kybernetickou ochranu ze svých prostředků a se svými lidmi. Nejsou na to připraveni z hlediska technologií, lidských zdrojů ani chápání managementu. Cestu vidím ve sdružování prostředků těchto organizací do sdílených center kybernetické ochrany, která vycházejí z komerční služby SOC nebo hybridní služby, která kombinuje oborovou znalost sektoru institucí a profesionální schopnosti kybernetické ochrany komerčního SOCu (hybridní SOC).”
V článku pro Moderní obec z ledna 2020 uvádíte, že bude potřeba poskytnout graficky srozumitelný náhled se všemi potřebnými položkami. Jak by takový náhled měl vypadat, co má obsahovat?
KŠ: “Můžete mít evidenci o IT systémech vedenou ručně, ale tím nikdy nebude aktuální a budete si evidovat jen nezbytné údaje. Strojová evidence IT systémů zpracovaná přímo z komunikačních protokolů IT komponent, služeb, aplikací a systémů si eviduje stokrát více dat a informací. Z pohledu ergonomie je výhodné dát těmto datům a informacím grafickou podobu a sestavit je do hierarchických závislostí tak, že reflektují pochopení správcem IT systémů veřejné správy. Správce se tak skutečně stane správcem IT systémů. Z úředníka se stane manažer, který má přehled o situaci a o dění v IT prostředí. Bude to manažer, který vidí problém, dříve než začne negativně působit a řeší jej.”
Zmiňujete i skutečnost, že se u SW a HW vyskytují výrobní nekvality (vady a chyby). Obvykle jsou největší bezpečnostní hrozbou uživatelé systémů, kteří jsou často neopatrní, nedodržují zásady bezpečného chování a často systém „rozhodí“. Co s tím?
JŠ: “Myslím, že chybovost HW a SW je fakt, který musíme akceptovat. Je to způsobeno především komplexností dnešního světa, kdy není možné beze zbytku domyslet všechny možné stavy a výjimky, a to i za situace, kdy dnes všichni slušní výrobci mají zavedené standardizované postupy kontroly kvality produkce. Z toho vyplývá i nutnost přísně dbát na aktualizace systémů a aplikací, v rámci kterých výrobci postupně odstraňují zjištěné vady a bezpečnostní hrozby. V této souvislosti považuji za zásadní selhání, pokud v organizacích není věnováno dostatečné úsilí provádění aktualizací a ověřování stavu systémů formou testování zranitelností. Zásady bezpečného chování je však možné často považovat za větší bezpečnostní hrozbu. Mnoho uživatelů prostě stále není naučeno zamyslet se nad linkem v e-mailu, než na něj bez rozmyslu kliknou…”
Při zavedení externí služby Bezpečnostního dohledového centra (SOC) se stává, že jeho správci obvykle nemohou zasahovat v případě poruchy uživatele, protože s ním nesdílejí technologie, někdy ani neznají jeho prostředí. Jak by měly úřady ve veřejné správě, postupovat, pokud takovou službu využívají?
KŠ: “Klíčovou příčinou jsou outsourcing vztahy, kdy úřad má být moderátorem spolupráce jednotlivých outsourcing firem. Tuto roli často úřad nemůže splnit, tím jsou IT systémy nastaveny spíše výhodněji pro outsourcing subjekty. Bezpečnostní dohledové centrum je jako „rozhodčí“, který dohlíží jak na IT systémy a jejich uživatele, tak i na outsourcing firmy, jak plní dodávku IT služeb a dostupnost IT systému. Bezpečnostní dohledové centrum hájí zájmy klienta, tedy úřadu, protože bezpečnost je o kontrole dodržování pravidel na základě sesbíraných faktů přímo z IT systémů. Ostatní subjekty hájí výhradně jen své zájmy, tj. profit. Takže ano, z počátku služby Bezpečnostního dohledového centra není nouze o sporné názory. Rada pro úřady – můžete věřit svým outsourcing partnerům, ale přehled o situaci a úsporu provozu vám nepřinesou. Nebo můžete evidovat a měřit IT systémy veřejné správy, což přináší harmonizaci do nastavení IT systémů a kultivaci spolupráce outsourcing subjektů. Kvalita a úspory v provozu IT systémů se dostavují do dvou měsíců od zahájení služby Bezpečnostního dohledového centra.”
Proč by si úřady a instituce měly službu SOC pořídit? Mohli byste uvést konkrétní výhody služby SOC z praxe?
JŠ: “Pořízení služby SOCu přináší organizacím dva základní přínosy. Prvním je zásadní povýšení bezpečnosti tím, že ji předají odborníkům schopným postavit se hackerům. Jsou na to trénovaní a mají s tím praktické zkušenosti. Možná ještě zásadnější je ekonomické hledisko, protože alternativa ke službě SOC jsou pouze zásadní investice do technologií a lidských zdrojů. A v tom vidím velký problém – protože instituce nemají zpravidla možnost konkurovat komerčním subjektům ve výši mezd a nejsou připravené mít dostatečně široký tým schopný zajistit bezpečnost v režimu 24x7. Jinými slovy, při stejné potřebné úrovni bezpečnosti jsou interní dedikovaný tým bezpečnosti a interní technologie výrazně dražší než služba SOCu. Ta spočívá v nákladově efektivnějším sdílení technologií a lidských zdrojů mezi více institucemi.”
Zdroj: Rozhovor vyšel v časopise Moderní obec 05/2020, kterou vydává Vydavatelství Profi Press s.r.o.
*Pozn.: Krátce po vydání časopisu postoupil Jindřich Šavel z pozice obchodního ředitele na pozici CEO společnosti Novicom.