Největší ohrožení firemní IT infrastruktury dnes představuje zero-day malware, na který v danou chvíli není vydána bezpečnostní ­aktualizace softwaru. Dalším zdrojem problémů je masový přechod zaměstnanců na práci z domova. S ochranou před aktuálními hrozbami pomůže využití strojového učení, umělé inteligence a dalších pokročilých technologií v bezpečnostních řešeních, říká v rozhovoru Martin Frühauf, bezpečnostní expert společnosti S&T CZ.

Trendem v oblasti kybernetické bezpečnosti jsou dnes řízené služby. Můžete tento typ služeb ­blíže popsat?

Poskytovatelé řízených bezpečnostních služeb (MSSP, Managed Security Services Providers), respektive poskytovatelé řízených služeb (MSP, Managed Services Providers), kteří se specializují na oblast IT bezpečnosti, pomáhají z pozice externích členů IT týmů organizacím zajišťovat kontinuitu podnikání a řešit případná technologická rizika. Jejich služby využívají zpravidla firmy, které nemají interní zdroje na to, aby si tuto oblast kvalitně pokryly.

Hlavní předností tohoto modelu je, že firma získává profesionální službu nebo řešení, aniž by musela investovat do vlastních technologií či expertů, nehledě na to, že na trhu dnes takto vysoce erudovaní bezpečnostní experti de facto nejsou k mání. Řízené služby jsou v současnosti tím nejefektivnějším způsobem, jak IT bezpečnost zajistit, a to zejména pro organizace, které nedisponují potřebnými rozpočty nebo oblasti bezpečnosti dostatečně nerozumí. Jediný pracovník IT bezpečnosti, kterého má průměrná organizace často k dispozici, není schopen pojmout všechny klíčové oblasti, natož je zodpovědně zabezpečit.

Martin Frühauf Ve společnosti S&T CZ vede divizi Security, jejíž součástí je i Security Operations Centrum. Jako expert na oblast kyberbezpečnosti disponuje řadou bezpečnostních certifikací a jeho specializací jsou návrhy, implementace a správa systémů pro sběr a vyhodnocování aktivit v podnikových IT prostředích, řízení bezpečnostních incidentů, analýzy podnikových informačních systémů a systémy pro detekci a prevenci průniku. V minulosti se podílel na realizacích řešení bezpečnostního dohledu pro významné a kritické informační systémy a naplnění požadavků zákona o kybernetické bezpečnosti u organizací jako NAKIT, ČNB, Česká spořitelna, Česká exportní banka a řady českých ministerstev.

V čem se řízené služby v bezpečnosti liší od konceptu bezpečnost jako služba (Security as a Service)?

Řízené služby jsou komplexnější a jejich poskytovatel zákazníka "vede za ruku". Také se v nich spojuje více oblastí dohromady − od osvědčených postupů přes zákon o kybernetické bezpečnosti, certifikace ISO, interní pravidla až po technická opatření. Celkově jde o dlouhodobější spolupráci a znalost zákazníka. U SaaS už se jedná o poskytování konkrétní služby nebo služeb, které přímo cílí na určité problémy, jako je například bezpečnostní dohled, správa zranitelností a podobně.

S jakými kybernetickými hrozbami se v současné době české ­firmy nejvíce potýkají?

Nejzávažnějším typem kybernetické hrozby se zásadním dopadem na fungování organizace je zero-day malware. Tedy škodlivý software, který ještě není detailně popsán, přesněji řečeno na něj zatím neexistuje účinná obrana typu aktualizace softwaru nebo konkrétní aktualizace bezpečnostního softwaru. Společnost pak musí spoléhat na svoji úroveň IT bezpečnosti jako celku, vhodně doplněnou o moderní bezpečnostní nástroje, které zásadně pomáhají při detekci zero-day hrozeb.

Největší zásah si stále připisují plošné útoky malwaru, které jsou vzhledem k neuspokojivé úrovni IT bezpečnosti v Česku úspěšné. Důvodem je zejména nedostatečná ochrana organizací, jejichž zastaralé IT bezpečnostní řešení mnohdy není schopno detekovat hrozby a reagovat na ně včas. Příkladem jsou subjekty v oblasti zdravotnictví nebo průmyslové výroby, které nejsou technicky ani procesně připravené a bojují s nedostatkem IT personálu či bezpečnostních expertů a které zpravidla zjistí útok až v momentě, kdy jim přestanou fungovat systémy. V českém prostředí vidíme i případy cílených útoků, ale je jich málo.

Došlo v tomto směru k nějaké změně vlivem koronavirové pandemie?

Vliv pandemie lze pozorovat ve dvou rovinách. Jednou je zvýšený zájem lidí o téma covidu-19, a proto útočníci toto téma využívají ve svých kampaních, které se tváří, že přinášejí nové informace o pandemii a případných opatřeních. Jde o malware, který má poměrně vysokou úspěšnost, podobně jako v minulosti například e-maily s podvrženými fakturami. Nicméně tato situace není nijak nová, útočníci budou vždy využívat témata, o která se společnost zajímá.

Druhou oblastí jsou pak rizika spojená s masovým přechodem zaměstnanců na práci z domova. Z pohledu IT bezpečnosti to pro mnohé organizace znamená nový úhel pohledu na možná rizika − lidé pracují mimo prostředí firmy, připojují se z vlastních zařízení a domácích sítí, které často nedisponují potřebnými bezpečnostními prvky a nad kterými nemá správce podnikového IT žádnou kontrolu. Je nutné se tedy nově vypořádat s fungováním a koloběhem firemních dokumentů a know-how v prostředí s výrazně větším rizikem ztráty či odcizení.

Jak mohou podniky současný masivní přechod na práci z domova ošetřit?

Pro organizace, které dosud neměly žádné zkušenosti s prací zaměstnanců mimo prostředí firmy a které si často ani nejsou vědomy rizik s tím spojených, může přechod na současný režim znamenat velké ohrožení. Primárním cílem je zajistit kontinuitu provozu, ideálně by měla mít každá organizace plán pro zachování kontinuity činnosti dříve, než taková situace nastane. Součástí plánu je samozřejmě i záruka bezpečnosti provozu, do které spadá především minimálně dvoufaktorová autentizace přístupů zejména do cloudových služeb a vzdáleného přístupu k interním systémům, zajištění pravidelných aktualizací softwarových nástrojů a centrální instalace ověřených on-line nástrojů pro spolupráci a schůzky zaměstnanců.

Dostala se v českých firmách bezpečnost do ­popředí zájmu, nebo jde o zanedbávanou či podfinancovanou oblast?

Přístup k IT bezpečnosti se často liší podle oblasti podnikání. Ve finančním nebo energetickém sektoru je úroveň bezpečnosti velmi vysoká, ale například ve zdravotnictví jsou značné rezervy. Příčin může být hned několik: na dodržování povinností vyplývajících ze zákona o kybernetické bezpečnosti nemají zdravotnická zařízení dostatečné zdroje a historicky se spíš než do IT a zabezpečení investuje do zdravotnického vybavení. Obecně soukromý sektor má schopnost rychle reagovat na případné bezpečnostní hrozby, naopak u státních institucí je úroveň zabezpečení tradičně nižší, zde je to otázka nejen rozpočtů, ale i kompetencí a schopnosti reagovat na změny.

I v soukromém sektoru jsou ale oblasti, kde se bezpečnosti nevěnuje příliš velká pozornost. Jde například o průmyslovou výrobu, kde případný bezpečnostní incident zpravidla způsobí velké škody, ale kde jsou také schopni problémy vyřešit v řádu dní a ztráty dále neprohlubovat. Naopak ve zdravotnictví je situace odlišná, jak ukazují i poslední útoky na nemocnice, kde téměř ve všech případech musí s ohledem na rozsah útoku s řešením pomoci i kraje či NÚKIB. Kdyby se stala obdobná událost v soukromé společnosti, s největší pravděpodobností by zkrachovala. Nemocnice mají, a nyní v souvislosti s pandemií o to víc, mnoho problematických oblastí, které vyžadují jejich pozornost, IT bezpečnost je pouze jednou z nich.

Čím se zabývá vaše centrum kybernetické bezpečnosti?

Bezpečnostní kompetenční centrum S&T CZ (SOC, Security Operation Centre) provozujeme od června 2018 a možností jeho pronájmu jako služby nabízíme firmám flexibilitu a nákladovou efektivitu při zajišťování kybernetické bezpečnosti. "Pronájmem" mám na mysli škálu odborných činností, které si u nás mohou zákazníci objednat jako službu na míru. Mezi ně patří zejména průběžný nepřetržitý monitoring a analýza kybernetické bezpečnosti v dané organizaci a analýza aktivit v sítích, na koncových bodech, serverech, v aplikacích, databázích a dalších systémech organizace, díky které zajišťujeme včasnou detekci a reakci na případné bezpečnostní události. Odhalujeme, analyzujeme a reagujeme včas na bezpečnostní incidenty, což nám umožňuje kombinace špičkových technologických řešení, prověřeného souboru procesů a vysoké úrovně certifikovaných bezpečnostních expertů. Podle zvolené úrovně služby přebíráme zodpovědnost za bezpečnost organizace v příslušné míře.

Můžete uvést příklady odvrácení závažných kybernetických útoků?

Nemohu uvádět konkrétní příklady, ale obecně mohu potvrdit, že se nám daří detekovat velké množství pokusů například o zneužití privilegovaných přístupů ze strany interních zaměstnanců u našich zákazníků. Pokročilé technologie a procesy nám umožňují detekovat i většinu průniků zvenku. Naši bezpečnostní experti jsou schopni na základě behaviorální analýzy odhalit anomálie v prostředí zákazníka a následně určit rozsah útoku a všechny systémy, které jsou nebo by mohly být zasaženy. A to v reálném čase, takže vytvoří prostor pro adekvátní reakci.

Jaký je váš výhled kyberbezpečnostní situace a jaké technologie budou v boji proti kyberútočníkům hrát rozhodující roli?

Bude pokračovat nárůst zero-day hrozeb, což podpoří další rozvoj pokročilých inteligentních technologií jako strojového učení a umělé inteligence a jejich implementaci do bezpečnostních řešení. Ta budou schopná se samostatně učit v prostředí zákazníka a upozorňovat na anomálie. Pozornost se pak bude věnovat co nejvyšší automatizaci procesů, přičemž cílem bude využívat lidských zdrojů už ke konkrétním klíčovým úkonům na základě již do určité míry zanalyzovaných dat právě pokročilými technologiemi. O využití umělé inteligence a strojového učení v oblasti kyberbezpečnosti hovoříme řadu let a už dnes vidíme jejich reálná nasazení. Domnívám se, že v několika následujících letech bude využití těchto technologií běžnou praxí.

Článek byl publikován v komerční příloze Hospodářských novin ICT revue.