Aspekt digitální důvěry se postupně etabluje jako jedno z klíčových aktiv dnešního podnikání. Staví na transparentním zabezpečení, spolupráci a sdílení informací. Jeho zavádění do praxe průběžně posiluje pokračující digitální transformace.

Nemálo aktuálních témat a trendů kybernetické bezpečnosti úzce navazuje na plány a aktivity podniků v oblasti digitální transformace. A pokud šlo v minulých letech spíše o prezentaci znalostí jejich vazeb a potenciálu vývoje, vloni a letos se v důsledku dopadů pandemie covidu-19 většina témat přeměnila v praktickou potřebu. „Kybernetická bezpečnost se začíná stávat nedílnou součástí firemní strategie a inovačních projektů. Digitální transformaci nelze rea­lizovat bez dostatečně rozmyšlené bezpečnosti a firmy si většinu rizik uvědomují,“ říká Miroslav Kořen, generální ředitel společnosti Kaspersky pro region střední a východní Evropy. Podle analytiků společnosti IDC koronavirová krize donutila řadu organizací urychlit transformační aktivity a změnit přístup i myšlení.

Ukázkovým příkladem je masový rozvoj práce na dálku a nástup hybridních modelů práce. Tyto přístupy se neobejdou bez intenzivního využití moderních technologií a navazující vysoké až celkové digitalizace procesů, komunikace a vztahů na pracovištích.

Přesun činností do digitálního prostoru se ukázal být velkou příležitostí pro organizace i pro kybernetické zločince. „Zaměstnavatelé díky tomuto kroku dokázali udržet své procesy v chodu i v dobách omezených fyzických interakcí. Kybernetickým útočníkům se zase přes noc násobně rozšířilo pole působnosti a otevřel se velmi specifický přístup k jindy více či méně obtížně dosažitelným firemním sítím a zdrojům,“ komentuje dopady vzdálené práce Peter Lechman, obchodní ředitel společnosti Palo Alto Networks.

„Covid-19 se stal akcelerátorem změn a organizace se musely rychle přizpůsobit a zajistit správná opatření v oblasti kybernetické bezpečnosti,“ říká dále Peter Lechman a dodává: „Vzhledem k tomu, že práce z domova bude pro mnohé pravděpodobně pokračovat, je důležité rozšířit přehled o podnikové síti. Rozsah toho, co je třeba zabezpečit, se rozšířil z firemních prostor do domácností zaměstnanců, kde je úroveň kybernetické bezpečnosti obvykle mnohem nižší. Pro manažery informační bezpečnosti to znamenalo výzvu, jak najít rovnováhu mezi soukromím zaměstnanců a bezpečnostními potřebami podniku.“

V širším rámci vztahů a vazeb budou organizace nuceny stále průkazněji demonstrovat svou důvěryhodnost. Právě termín důvěra považují analytici společnosti IDC za klíčový pro budoucí uspořádání byznysu. Část organizací ji bude prokazovat, část vyžadovat, část se ocitne v obou rolích. Bez všestranné důvěry by partnerské ekosystémy ztratily na atraktivnosti a postupně i na konkurenceschopnosti.

Koncept společně realizované bezpečnosti nabízí i řadu výhod. Organizace se podle analytiků IDC snaží přecházet na technologicky nezávislé platformy, omezovat činnosti s nízkou přidanou hodnotou i počet dodavatelů specializovaných řešení. V rámci ekosystému vzniká silné bezpečnostní know-how. Tlak na důvěryhodnost nevyvíjejí pouze regulační orgány, oborová seskupení nebo partnerské ekosystémy. Pro některé firmy se stala i zdrojem přidané hodnoty, kterou dokážou monetizovat, neboť ji zákazníci uvítají a ocení.

Postpandemická realita kybernetické bezpečnosti

Během posledního roku zásadně vzrostla intenzita využití digitálních služeb a významně se změnil přístup k digitálním aktivům. Co se změnilo v samotném pojetí kybernetické bezpečnosti? „Stále jde primárně o bezpečnost a ochranu dat, tedy ochranu jejich důvěrnosti, dostupnosti a integrity,“ říká Karel Řehka, ředitel Národního úřadu pro kybernetickou a informační bezpečnost. „Změnilo se spíše vnímání kybernetické bezpečnosti. Ještě nedávno si většina lidí myslela, že jde o obor, který mají řešit jen IT specialisté, často ti z provozu. Dneska už prakticky nikdo nepochybuje, že organizace má mít dedikované bezpečnostní role, že se toto téma týká každého a že je to otázka daleko většího množství faktorů než jen technických.“

Specifika současného přístupu ke kybernetické bezpečnosti přibližuje Vladimír Dzurilla, vládní zmocněnec pro informační technologie a digitalizaci: „V minulosti obecně platilo pravidlo: Důvěřuj, ale prověřuj. V současné době se v oblasti kybernetické bezpečnosti uplatňuje pravidlo nové: Nikomu nevěř! Koncept nulové důvěry se začíná považovat za normální stav a důvěra se přisuzuje jen a pouze takovým zařízením, technologiím, aplikacím, které disponují striktně definovanými bezpečnostními prvky.“

Změnu priorit popisuje také Daniel Šafář, country manager společnosti Check Point Software Technologies: „Jednoduše bychom mohli říci, že detekce je mrtvá, ať žije prevence. Jakákoliv detekce hrozeb a bezpečnostních incidentů uvnitř sítě už přichází pozdě. Kritické je využití preventivní technologie. V této souvislosti můžeme zmínit například extrakci hrozeb, která z dokumentů a příloh odstraní všechny potenciálně škodlivé prvky, takže se zaměstnanci nemusí bát doručené pošty.“

Jak se pod vlivem pandemie změnil přístup mana­gementu k zajišťování kybernetické bezpečnosti? Podle Vladimíra Dzurilly jsou tvůrci kybernetické bezpečnosti obvykle připraveni, nebo alespoň mají ponětí o tom, jaká opatření by měla být implementována. Velice důležitá je však podpora ze strany managementu. „V případech, kdy management odmítá kybernetickou bezpečnost řešit, pak může být jednou z motivací představení reálně uskutečněných úspěšných kybernetických útoků a jejich dopadů. Vhodným argumentačním nástrojem je také perfektně zpracovaná analýza rizik, jež mapuje ohodnocená aktiva a dopady při uplatnění některé z reál­ných hrozeb,“ vysvětluje Dzurilla.

Mírně skeptický, ale zjevně reálný komentář o přístupu vedení firem ke kybernetické bezpečnosti připojuje Michal Zedníček, head of business development společnosti Alef Nula: „Pořád je to tuhý boj mezi touhou ošetřit rizika na straně cybersecurity odborníků a chutí riskovat na straně vrcholového managementu. A protože vyšší bere, tak prostě riskujeme.“

„Většina lidí má stále za to, že k zabezpečení digitálního prostoru stačí nainstalovat libovolný antivirus na koncová zařízení. Digitální svět je však mnohem komplexnější a vyvíjí se extrémním tempem. Objevují se nové technologie a druhy hrozeb, proti kterým je třeba se chránit. Stoprocentního zabezpečení pravděpodobně dosáhnout nelze, ale velmi důležitým prvkem, který dokáže znatelně pomoci, je kontinuální vzdělávání všech osob,“ shrnuje Miroslav Kořen ze společnosti Kaspersky.

Bezpečnost a důvěra v blízké budoucnosti

Do roku 2022 vzrostou výdaje na moderní softwarově definovaná řešení bezpečného přístupu na čtyřnásobek, tvrdí analytici společnosti IDC. Důvodem je masivní rozvoj práce na dálku, jejž souběžně doprovázejí nedostatky či selhání starších řešení typu VPN pro zabezpečení vzdáleného přístupu. Dojde k výraznému navýšení výdajů na řešení virtuálních privátních sítí, kontroly síťového přístupu a softwarově definovaného perimetru. „Cloud computing, stínové IT nebo i práce z domova v podstatě přinesly konec tradičního vnímání bezpečnostního perimetru, který ohraničoval data a aplikace organizací,“ říká Mark Child, analytik trhu bezpečnostních řešení ve společnosti IDC. „Objevila se potřeba nových bezpečnostních opatření, která by se vypořádala s rozšířeným či dynamickým perimetrem. Většina aktivit a úsilí se nově soustřeďuje na samotné uživatele.“

Predikce mimo jiné ilustrují i jeden z nejviditelnějších a možná i nejpraktičtějších doprovodných jevů pandemie. Už v letošním roce nasadí dvě pětiny organizací do provozu software pro monitorování a zdokonalování digitálních workflow. Cílem tohoto kroku je zvýšení produktivity práce zaměstnanců, kteří pracují z domova. V zájmu snížení náročnosti obsluhy bezpečnostních řešení a v reakci na nedostatek kvalifikovaného personálu zainvestuje 55 procent podniků do dvou let do sjednocených bezpečnostních ekosystémů a platforem. Zjevně jde o důsledek rozvoje požadavků na důvěryhodnost a bezpečnostní spolupráci v ekosystémech.

S rozvojem bezpečnosti v partnerských a zákaznických ekosystémech souvisí i další predikce. Do roku 2025 budou čtyři pětiny vedoucích manažerů důvěry (Chief Trust Officers) od svých dodavatelů vyžadovat, aby do měření důvěryhodnosti podniku zapojili bezpečnostní a rizikové ukazatele, které zahrnou i dodavatelské vztahy a reputaci zaměstnanců. Digitální důvěra se podle společnosti IDC stane klíčovým ekonomickým parametrem pro úspěšnou digitální transformaci. Definičně ji tvoří pět elementů: riziko, bezpečnost, soulad s požadavky regulátorů, soukromí a etická a společenská odpovědnost.

ICT revue

Stáhněte si přílohu v PDF

Digitální transformace se do značné míry opírá o technologie cloud computingu, což se musí promítnout i do jejich nabídek a funkcionalit. Dva ze tří největších světových poskytovatelů veřejných cloudových služeb se do roku 2024 probojují také mezi pětici největších poskytovatelů řízených bezpečnostních služeb. Své pozice zčásti posílí akvizicemi. Analytici tuto predikci opírají o průzkumy, v nichž nemalá část podnikových uživatelů považuje provozovatele cloudových platforem za své nejbližší a nejdůvěryhodnější partnery. A ti pochopitelně rozvíjejí své portfolio bezpečnostních řešení, aby se stali ještě důvěryhodnějšími. Analytici v predikci neupřesňují, o kterých poskytovatelích hovoří, ale pravděpodobně jde o firmy Google a Microsoft.

„V roce 2020 došlo k urychlení digitální transformace. Vývoj ale předběhl bezpečnostní procesy v organizacích,“ říká Daniel Šafář, country manager společnosti Check Point. Z jejích průzkumů vyplývá, že zabezpečení veřejných cloudů je pro 75 procent organizací stále velkým problémem. Více než čtyři pětiny podniků zjistily, že jejich stávající bezpečnostní nástroje nefungují nebo mají v cloudu jen omezené funkce. „Zabezpečení cloudových prostředí bude jedno ze zásadních témat roku 2021,“ myslí si Šafář.

Článek byl publikován v komerční příloze Hospodářských novin ICT revue.