Archiv pro měsíc: Září 2014

Vaše společnost se věnuje bezpečnosti už několik desítek let. Jak se za tu dobu tato oblast změnila?

Společnost Ness Technologies je globální IT společnost, NESS TSG je její součástí a zaměřuje se na obranu a kritické infrastruktury. Z hlediska vývoje se dá mluvit o třech obdobích.
První z nich trvalo do roku 2000, byla to “naivní éra”, většina klientů jako banky, podníky patřící do kritické infrastruktury státu či nižší a střední průmysl nebrali bezpečnost vůbec v úvahu. Subjekty, které měly nějaké povědomí o bezpečnosti, investovaly spoustu peněz a zdrojů pro vyvinutí jedinečných a na míru šitých bezpečnostních produktů. Tyto organizace se však zaměřovaly především na externí hrozby, těm vnitřním věnovaly minimum pozornosti.
Druhé období – po roce 2000 a „Internetové horečce“ následoval v oboru velký posun a to především zvýšením povědomí o bezpečnosti. Nicméně požadavky klientů byly zaměřeny na bezpečnostní technologie, nikoliv na řešení bezpečnosti.
Třetí období nastalo po roce 2010 – tzv. Cyber Security Wave. Klienti už jsou vyspělí a poptávají bezpečnostní řešení, která zahrnují analýzu hrozeb a rizik, strategické plánování kybernetické bezpečnosti při jejich práci. Vnímají, že vše podléhá náhlým změnám v oblasti externích i interních hrozeb. A jako adekvátní odpověď na tyto hrozby už samozřejmě nestačí Firewall, antivirus či zabezpečená identita.
Proto klienti dnes hledají komplexní bezpečnostní služby – průzkumy, metodiky a školení, bezpečnostní politiky, operace, postupy,… finanční společnosti a organizace s kritickou infrastrukturou vyžadují digitální forenzní služby. Proto logicky přicházejí na řadu externí odborné týmy a outsourcing těchto služeb.

Jaké jsou dnes nejčastější požadavky zákazníků v oblasti bezpečnosti?

Všichni zákazníci nejsou stejní. Někteří jsou si velmi vědomi kybernetické bezpečnosti. Tito klienti pak výrazně a strategicky investují do všech oblastí a domén bezpečnosti.
Na druhou stranu se setkáváme s klienty s nízkým povědomím o hrozbách. Ti mohou stále pracovat v nedůvěryhodných nebo dokonce nezabezpečených prostředích. Nejhorší scénář se objevuje, pokud spravují databáze spojené s osobními údaji. S těmito zákazníky se setkáváme poté, co byli napadeni, a zejména pokud měl útok významný dopad na jejich podnikání nebo dokonce ohrozil existenci podniku.
Zdá se, že se nacházíme v „krizi důvěry“. Když si kupujeme auto, věříme, že je bezpečné a že je jeho výrobce spolehlivý a důvěryhodný. Nemáme však zdroje na kontrolu bezpečnosti auta, ani neznáme investice výrobce do oblasti bezpečnosti. Přesto mu však věříme.
Naše důvěra se ale musí opřít o relevantní regulace a systém vymáhání, který zajistí, aby výrobce dodržoval standardy, a pokud je nedodrží, požene jej k odpovědnosti. Důvěra, spolehlivost a víra jsou základem světa podnikání, jak jej známe.
Stejné modely však v digitálním světě nefungují. Začíná to nespolehlivými produkty a infrastrukturami, které neustále vyžadují bezpečnostní aktualizace prostřednictvím produktů s pochybným zněním Všeobecných obchodních podmínek. Soukromí zákazníka se tak stává komoditou, kterou společnosti a poskytovatelé služeb používají a prodávají bez vědomí zákazníka. IT společnosti navíc raději investují do nových funkcí namísto zabezpečení, protože funkcionalita prostě „prodává“, zatímco bezpečnost je pouze skrytá složka, a zákazník ji často ani řádně neocení.
Člověk se až musí divit, že regulace prakticky neexistovala a světelnými roky zaostávala za stále se zrychlujícím rozvojem technologií. Věříme, že to by se mělo změnit. A to se stane pouze tehdy, když vládní agentury a regulační orgány vezmou do svých rukou část zodpovědnosti za bezpečnost kyberprostoru.
Dnešní „kultura nedůvěry“, která byla součástí pracovní kultury IT společností, pronikla také do dalších odvětví a oblastí jako jsou finance, pojištění a komunikace… Její dopad můžeme pozorovat na různých aspektech našeho života, plynoucí z menšího důrazu na plánování do budoucna a z výroby neúplných produktů a služeb, což vede k mnohem zranitelnějším a méně bezpečným produktům.

Na český trh uvádíte novou službu – Centrum kybernetické bezpečnosti (Cyber Security Center). Jak byste ji stručně představil?

Jak už jsem naznačil: technologie sama o sobě je nedostačující. Je potřeba holistický přístup, opírající se o osvědčenou metodiku. A takový přístup vyžaduje dostatek zdrojů, což není jednoduché. Ness TSG založilo Centrum kybernetické bezpečnosti (CSC) právě za účelem vyřešení tohoto problému. Toto centrum nabízí zákazníkům, velkým i malým firmám, služby kybernetické bezpečnosti 24/7, upravené podle jejich požadavků. Služba zahrnuje ústřednu pro velení a řízení, inteligenční služby, monitoring, digitální forenzní laboratoř, zásahový tým 24/7, možnost konzultovat konkrétní problémy s bezpečnostními experty, sdílení a získávání relevantních informací z různých zdrojů, školení, cvičení a další služby. Každý zákazník si vybere pro něj potřebné služby a na základě toho platí měsíční poplatky.

Jaké jsou pro zákazníka hlavní přínosy tohoto modelu?

Zákazník může využít kompletní sadu služeb, která je upravena podle jeho specifických požadavků a podle toho se odvíjí v měsíční poplatek. Při porovnání ceny této služby s náklady, které by vznikly při vytvoření těchto funkcí přímo na firmě, je výsledek zřejmý. Zákazník neporovnatelně výhodněji využívá našich osvědčených metod, koncepce a špičkových technologií a – to je asi nejdůležitější – i tým našich zkušených odborníků.

Jaké máte zkušenosti s touto nabídkou v Izraeli a v jiných zemí?

Služba je dostupná v Izraeli i v zahraničí. Naši zákazníci působí v různých sektorech – financích, maloobchodu, průmyslu… CSC nabízíme jako službu z Izraele nebo jako řešení dodávané přímo u zákazníka.

V této oblasti trpí ČR nedostatkem odborníků. Můžete být vaše Centrum řešením?

Podporujeme společné projekty a spolupráci s ostatními zeměmi i dalšími organizacemi, a tím chceme umožnit všem stranám využít výhod a vzájemných silných stránek v různých oblastech působení. Jako součást této spolupráce nabízíme různá teoretická i praktická školení, navržena pro různé úrovně organizací, od zaměstnanců až po management.
Nábor a školení personálu na vysoké úrovni profesionality jsou výzvou, které jsme čelili také v Izraeli. Řešením je najmout schopné lidi s velkým potenciálem a poskytnout jim relevantní praktická školení potřebná k jejich přeměně v profesionály ve svém oboru.
Tato školení zahrnují teoretické a technické přednášky, vyhrazená školení v jedinečných laboratorních prostředích, mnoho praktických činností a studium. Školení jsou rozvržena do bloků a skládají se z šesti měsíců vzdělávání na dálku a dále šestiměsíční stáže po boku zkušených odborníků na kybernetickou bezpečnost.

guruHaim Daror je generálním ředitelem společnosti Ness Q.rity. V oblasti Cyber Security a Cyber Intelligence působí přes 30 let, má zkušenosti z izraelských obranných sil i vládních agentur.

FacebookTwitterGoogle+Sdílet

V soukromých firmách i ve veřejné správě rychle stoupají počty smartphonů a tabletů s rozmanitými operačními systémy. Nová mobilní zařízení stále více doplňují a často i nahrazují firemní počítače. Zaměstnanci si často sami určují, na jakém zařízení chtějí pracovat. Není důvod tyto technologické trendy nepodporovat, obzvlášť když pomáhají zvyšovat pracovní výkonnost.

19671143_m

Firemní IT ale s tímto trendem začalo pociťovat potřebu nástrojů pro zajištění mobilní bezpečnosti a efektivní správu a nastavování mobilních zařízení, pro přístup k firemnímu emailu a kalendáři, nebo pro využívání certifikátů a VPN. Zároveň chtělo zlepšit podporu uživatelů/svých zaměstnanců v případě řešení bezpečnostních a technických problémů. A samostatnou kapitolou jsou firemní data, obzvláště ta citlivá, která se přístupností na mobilních zařízeních stávají významným bezpečnostním rizikem.

A to jsou přesně situace, kdy přichází ke slovu řešení pro správu mobilních zařízení (MDM – Mobile Device Management), které pomáhá zvýšit bezpečnost dat ve firemních mobilních zařízeních s různými operačními systémy, zkvalitnit IT podporu zaměstnanců a umožnit jim bez problémů využívat pro práci i jejich vlastní mobilní telefon nebo tablet.

Ucelené řešení pro vzdálenou správu firemních mobilních zařízení, které pracuje jako součást firemní IT infrastruktury, umožňuje sjednotit a centralizovat správu telefonů a tabletů s různými operačními systémy v reálném čase. Dokáže průběžně sledovat provoz jednotlivých zařízení a proaktivně upozornit uživatele na nebezpečí překročení limitů pro hovory, SMS či data. Omezuje rizika zneužití firemních dat v případě ztráty nebo odcizení telefonu a zlepšuje podporu uživatelů mobilních telefonů při řešení jejich případných problémů.

Dokáže také zjednodušit přístup k firemnímu emailu a kalendáři, umožňuje správu firemních dokumentů a aplikací v mobilních zařízeních…
I když jsou to všechno kroky, vedoucí ke zjednodušení a zrychlení práce na mobilních zařízeních, hlavním cílem je bezpečnost. Administrátor může provést řadu úkonů jako je například vzdálené uzamčení, lokalizace nebo smazání mobilního zařízení v případě bezprostředního ohrožení dat. V soukromých telefonech může smazat jen ta data, která jsou firemního charakteru (selective wipe). Zároveň je možné definovat přesný seznam konkrétních mobilních zařízení, která mohou mít přístup k firemnímu emailu a kontaktům, případně i k ostatním systémům/aplikacím (CRM, ERP…). Také v případě jakékoliv odchylky od požadované bezpečnostní politiky je možné úplně zakázat přístup k těmto firemním systémům a aplikacím. Všechna nastavení mobilních zařízení je přitom možno provádět vzdáleně, tedy bez nutnosti jejich fyzické přítomnosti.

To všechno jsou možnosti Mobile Device Managementu, které mohou mít pro fungování řady společností zásadní význam. Přitom jak vyplynulo i z nedávného nezávislého průzkumu společnosti Ness Technologies, většina firem je stále ještě ochotna investovat do rozvoje svého podnikání, ale už zapomíná na rozpočet IT bezpečnosti. Ta přitom může právě business firmy ohrozit fatálním způsobem. Tak, jako firemní data včetně těch citlivých, byla dříve chráněna ve firmě v počítačích a systémech, dnes kolují i na mobilech a tabletech. Riziko jejich zneužití v případě ztráty nebo odcizení je větší, než kdykoliv v minulosti. A je na každém vlastníkovi takových dat, aby se o ně – ve svém vlastním zájmu – náležitě postaral. Technologie mu i v tomto jdou naproti.

Jan Čaboun, Ness Technologies